基于Android平台的手机取证办法研究
第一章绪论
1.1研究布景
跟着挪动互联网的到来,智妙手机早已普及,良多人将它做为生活和工做的交换东西。
日益丰富的挪动利用法式改动了人们的生活体例,人们能够停止购物,聊天,发微博等,手
机仍然成为挪动端的小型电脑。与此同时,一些犯警份子操纵手机停止高科技立功的现象越
来越普及,手机中存储的立功证据便成为了公安部分停止案件侦破的重要根据,手机中的通
话笔录、短信、QQ聊天笔录、邮件、上彀笔录等都有可能笔录着立功份子的立功行为。因
此若何在合法、可靠的情状下敌手机停止取证,获取立功份子的立功证据便成为了手机取证
的重点研究内容,手机取证也成为了现代取证科学的分收之一。
智妙手机含有丰富的利用法式,几乎能够实现电脑端的所有功用,所以从降生起便遭到
了人们的喜欢。跟着挪动互联网的快速开展,智妙手机的手艺研究日益成熟,消费成本不竭
降低,智妙手机已然成为市场支流。据市场研究机构Kantar Worldpane12013年第四时度的统
计数据展现,中国智妙手机市场份额到达97.3%,比往年增长了4%,此中,Android系统继
续连结增长的态势,到达了78.8%}1} o
Android手机浩荡的市场占有率使得其成为很多立功份子做案的东西,同时也成为了手机
取证的重要对象。Android手机中不只存储着短信息、联络人和通话笔录那些根本信息,还存
储着大量的利用法式信息,例如QQ聊天笔录、Gmail邮件信息和微信聊天笔录等。那些信
息都可能成为立功人员做案留下的证据,因而取证人员能够提取其数据停止阐发,发掘潜在
证据,进步取证效率。
面临敏捷增长的高科技立功现象,公安机关需认实阐发研究当前现状,提出有效的战略
方针,出格处理智妙手机电子证据等关键问题。智妙手机电子证据的提取、判定、阐发和举
证是冲击立功的重要手段,同时也是公安机关处理的问题。手机证据同属于电子证据,因而
必需完全可靠,契合法令标准,被法庭所承受。智妙手机证据的存储格局闪现多样性且极易
展开全文
发作改变,在提取过程中面对很大的困难,逐步成为司法机关冲击立功的瓶颈。因而,手机
取证那门科学的相关研究变得十分迫切,造定手机取证标准和研发在手机取证标准下的手机
取证系统,为冲击手机立功供给鼎力撑持,已成为公安机关、平安局等司法机关有待处理的
问题。
1.2.2国外研究现状
因为国外的智妙手机普及较早,因而在智妙手机取证的研究方面也获得了很多功效,其
中Android系统取证的研究也逐步展开,次要集中在取证手艺、取证流程和线性阐发等方面。
Jeff Lessard和Gary C. Kessler}g]提出了对Android手机中内存数据和SD卡数据停止逻辑
获取的取证步调,并借助FTK东西对HTC Hero手机停止取证,详尽阐明取证中的每个细节,
并对获取的数据停止线性阐发。Andrew Hoog}9}成立了Android手机取证的里程碑,简单介绍
了Android手机的取证办法,提出了物理获取和逻辑获取两种支流的数据提取办法,并对那
两种取证手艺停止深进地研究,接着讨论若何包管数据完全性和有效、合法地将证据闪现给
法庭等问题,最初介绍了目前市场支流的各类取证东西。Lamine M.Aouad和Tahar M.
Kechadi}lo」针对因为Android手机系统版本和手机型号的多样性而欠缺同一的取证原则的问
题,提出了对 Android手机内存停止物理提取和阐发的一般性办法,通过物理获取办法能够
对数据停止完全恢复,包罗删除的数据,并且摘用物理获取办法时机不会对原始数据形成任
何改动,此外,针对贸易取证软件不撑持yaffs2系统的物理取证问题,提出了一种端到端的
针对yaffs 2系统的Android手机物理提取办法,并操纵Linux情况对获取到的yaffs2系统的
数据停止阐发。
国外学者在智妙手机取证流程标准化方面的研究也获得了很多功效。Jeong-Hyun Lim,
Chang-Woo Song和Kyung-Yong Chung等人「m针对电子证据随便消逝、窜改、污染等问题,
提出了智妙手机取证流程,确保获取的数据可以做为证据利用于原始立功场景。Stefan Sack,
Knut Kroger和Refiner Creutzburg}l2]对Android系统构造停止阐发,提出了Android手机取证
的标准,取证过程包罗立功现场查询拜访、判定、备份复原和证据闪现那四个步调,在数据提取
过程中包罗SD卡阐发、逻辑阐发、手艺阐发和碎片阐发那四种办法,最初通过实例验证了
文中提出的取证标准。
当然,一些学者在智妙手机的利用法式数据的取证方面也展开了一些研究,包罗社交网
络、立即通信、天文位置数据等信息。Stefan Maus, Hans Hofken和Marko Schuba}l3]对利用
法式中可能产生的天文位置数据信息停止取证阐发,摘取一种简单、综合处所法敌手机中的
天文位置数据停止线性阐发,该办法可以主动获取相关数据,联系关系性地展现给取证人员。Noora
A1 Mutawa, Ibrahim Baggili和Andrew Marrington}l4]针对智妙手机的社交网站可能存在的潜在
证据停止取证阐发,文中次要对三大时髦社交网站Facebook, Twitter和MySpace别离在
B1ackBerry, iPhone和Android三种支流操做系统手机停止尝试,起首在每个设备中安拆社交
网站并产生数据,然后在取证标准下获取每个设备的逻辑镜像并对获取到的逻辑镜像停止线
性阐发,其目标是验证那些社交网站的用户数据能否存储在设备的内存中,该尝试表白通过
逻辑取证可以获得iPhone和Android手机中社交网站的大量有价值的证据,而B1ackBerry手
机中因为不存在社交网站利用数据的陈迹,因而无法通过取证获得相关证据。Aditya Mahajan,
M.S.Dahiya和H.P.Sanghvi}ls]对Android手机中立即通信类利用法式停止取证阐发,文中对
Whatsapp和Viber那两款支流的立即通信类利用法式停止尝试,将那两款支流软件安拆在
Froyo(2.2), GingerBread(2.3.x)和IceCream Sandwich(4.O.x)那三种版本的5部手机停止测试和
阐发,研究那些利用法式的聊天笔录、视频等信息在设备中的存储位置以及形式,最初通过
Cellebrite UFED Classic Ultimate取证东西对那些利用法式数据停止获取并阐发,尝试成果表
明那些设备内存中存储着大量有价值的信息。
1.3本文研究内容
本论文对Android手机取证办法和证据可视化办法停止研究,设想并开发了一套基于
Android手机的取证系统。次要内容如下:
(1)对Android系统构造、平安机造、数据存储机造停止研究,并连系手机取证原则提
出了针对Android手机的取证流程模子,该模子连系Android手机自己的特征,在整个取证
过程中可以确保数据的完全性、有效性,而且可以快速、合理地获取潜在证据,包管了最末
证据可以被法庭所承受。
(2)提出了Android手机信息静态与动态取证相连系的办法,静态取证办法是对Android
手机根本信息和利用法式信息中包罗的关键数据停止逻辑提取,并对那些数据停止线性阐发。
针对因为利用法式信息更新迭代速度快、数据存在加密现象而招致线性阐发的工做量大、耗
时和取证困难问题,本论文提出了对Android手机利用法式信息的动态取证办法,通过将应
用法式数据仿实到Android仿实器中停止取证,该办法可以绕过加密数据,屏障了利用法式
版本问题而且可以获得长途收集信息。操纵静态与动态取证相连系的办法可以愈加快速、全
面地对Android手机信息停止取证。
(3)提出了操纵时间序列和社会收集阐发的的证据可视化办法,将证据以可视化的体例
展现给取证人员。起首提出了时间序列模子,将数据之间的联系关系关系反响到时间维度上,例
如立功嫌疑人A和B的整个通话笔录做为一个事务停止处置,成立一条通话时间线,反映A
和B整个通话的事务开展关系。接着提出了手机信息收集模子,根据手机信息收集模子的特
点提出了基于手机信息收集的图主动规划算法,实例证明算法办法简单、易于实现,可以曲
接绘造非连通图。操纵证据可视化的体例可以曲看地展现了用户之间的联系关系关系,便于取证
人员快速发现潜在证据,降低取证难度,加快破案速度。
1.4本文构造安放
根据研究内容,文章分为五章,详细安放如下:
第一章次要介绍了智妙手机取证的研究布景与意义以及当前智妙手机取证在国表里的
研究现状。
第二章次要介绍了Android手机取证的理论与前提,起首介绍了Android系统构造、数
据存储机造、平安机造,接着介绍了智妙手机的取证原则,最初连系Android手机特征和取
证原则提出了Android手机取证流程模子。
第三章次要介绍了Android手机信息静态和动态取证的办法,起首研究了Android手机
权限分配机造,并根据分配机造产生的破绽实现了一种暂时root权限提取办法。接着,介绍
了手机信息静态取证办法,包罗根本信息的静态取证和利用法式信息的静态取证。最初,介
绍了利用法式信息的动态取证办法,包罗动态取证意义、预备阶段和仿实阶段。
第四章次要介绍了时间序列和社会收集阐发的可视化办法。起首简单描述了手机信息的
时间序列,包罗数据预处置和时间序列模子。接着,介绍了手机信息收集的可视化办法,提
出了手机信息收集模子,描述了基于手机信息收集的图主动规划算法,最初,详尽描述了算
法阐发和设想的过程。
第五章操纵C#编程实现了系统的所有模块功用,包罗手机信息静态取证模块、手机信
息动态取证模块以及证据可视化模块,详尽描述了那些模块的实现原理,并操纵实例停止了
展现和阐发。
第六章起首对本文的工做停止了总结,并指出了论文研究工做中存在的残留问题,最初
提出了下一步研究标的目的。
第二章Android手机取证理论与前提研究
跟着4G收集的到来,实正意义上的挪动互联网已经悄悄降临,人们的各类生活几乎都
离不开智妙手机,智妙手机能够停止购物、团购、在线聊天、买票等。Android系统的优胜性
已使得其在短短几年内敏捷生长为全球最时髦的手机操做系统。用户利用Android手机停止
日常生活所产生的数据也越来越丰富,越来越私密。窃取存储在Android手机中的数据停止
信息诈骗等立功行为的立功团伙变得十分跋扈撅。面临那些威胁,手机取证那门穿插科学正在
不竭地开展与完美。取证人员颠末特殊的培训后,对Android系统架构、Android开发套件、
Android数据存储机造、Android平安机造、Android手机取证原则以及Android手机取证流程
等有了比力深进的理解后,可以根据差别的案件场景,摘取合法、有效的取证办法与取证技
术对取证对象停止处置,以便最末的证据可以被法庭所承受。
2.1 Android系统介绍
2.1.1 Android系统构造
Android是一款基于Linux内核的智妙手机操做系统。Android系统构造分为四层如图2.1
所示:
C1利用法式层
Android利用层包罗德律风拨号法式、图片阅读器、阅读器、短信法式等利用法式。那些
利用法式能够被第三方开发的利用法式所替代,因而,愈加乖巧和个性化。
C2)利用法式框架层
利用法式框架层是Android开发的根底框架,它可以实现良多利用法式的核心功用。
C3)系统运行库层
从图2.1中能够看出,系统运行库层包罗系统库和Android运行时。系统库是利用法式
框架的支持,是毗连利用法式框架层与Linux内核层的重要纽带。Android运行时摘用Java
语言编写,法式在Android运行时中运行。
C 4 ) Linux内核层
Linux Kernel也做为硬件和软件之间的笼统层,它隐躲详细硬件细节而为上层供给同一
的办事。
Android的系统架构摘用分层架构的思惟,架构清晰,条理清楚,协同工做。Android的
系统架构不只从宏看上熟悉了Android系统,同时,也对Android取证供给了很好的理论依
据与理论指南。
2.1.2 Android软件开发套件
Android的软件开发套件(C SDK)是开发利用法式所需的资本。Android的软件开发套件
不单供给东西,创建在Android平台上运行的利用法式,并且可以在很大水平上搀扶帮助取证人
员对末端设备停止取证或平安阐发。不只Android硬件设备在末端平台功用上发扬着次要做
用,软件开发套件又将那些特征发扬到极致,最末创建出消费者期看获得的体验和功用。对
Android软件开发套件的深进领会,为我们在对数据、末端设备以及重要的共享法式库停止取
证查询拜访时供给搀扶帮助。Android的软件开发套件是一个功用强大的取证东西,在良多情状下被取
证人员用于搀扶帮助对Android末端设备停止取证查询拜访。
Dalvik虚拟机可以包管挪动利用法式的平安性,每一个利用法式在它本身的虚拟机中运
行。因而,许多虚拟机可以同时运行。Dalvik虚拟机严峻依靠于Linux操做系统供给的底层
功用。
每个利用法式通过编译生成二进造代码,然后转换成.dex文件格局在虚拟机中运行,便
于进步施行效率。Dalvik是对Android设备停止取证查询拜访的重要构成部门。
Android法式调试桥是Android软件开发套件的重要构成部门,同时又是取证人员的重要
取证东西。开发者、取证人员和平安工程师能够操纵Android法式调试桥通过USB与Android
设备停止通信,掌控此设备。那里需要重视的是,USB调试形式必需被翻开才气利用Android
法式调试桥停止响应的操做。Android设备将在后台运行adbd,与USB毗连。adbd将以通俗
用户身份停止运行,所拜候的数据遭到限造。若Andorid设备已经root,则用户将以root权
限身份停止拜候。此时,开发者、取证人员则能够操纵Android法式调试桥对末端设备中的
数据停止操做和拜候。为取证的查询拜访以及数据的搜集供给了有效的包管。
Android法式调试桥的利用涉及以下3个次要部件:
(1)在Android设备上运行的adbd;
(2)在工做站上运行的adbd;
C3)在工做站上运行的adbd客户端法式。
若Android设备上启动了USB调试形式,adbd将会对通信停止监控。此USB毗连所形
成的虚拟收集是运行在设备上的adbd和运行在工做站上的adbd之间的通信通道。后台法式
之间利用当地端口5555到5585停止通信。
Android法式调试桥的功用十分强大。取证人员能够操纵Android法式调试桥中的良多命
令停止取证。
次要有以下功用:
C1)在末端设备上运行shell号令;
C2)在号令行安拆利用法式;
C3)工做站与末端设备之间的端口转发;
C4)从末端设备上频频地递回复造文件和文件夹;
CS)查看末端设备的日记文件。
Android软件开发套件不单供给了Android平台深进的信息,并且从取证和平安角度均为
查询拜访一个末端设备供给了功用强大的东西,在一台取证工做站上安拆了Android软件开发套
件后,取证阐发师就具备了与一部通过USB接口毗连的Android末端设备停止交互的才能,
只要启动了USB法式调试功用。我们不单能够从末端设备获取信息,并且能够安拆和运行应
用法式,最末实现从末端设备中抽取数据。Android软件开发套件是一个用于取证和平安阐发
的重要东西。
2.2 Android手机数据存储机造和平安机造
掌握了Android系统架构和开发套件,取证人员就能够根据差别的案件战略摘用差别的
取证手艺停止取证。那么每个案情的偏重点差别,必需根据情状停止重点取证,那就需要取
证人员对Android手机数据的存储机造有很好地掌握。同时,因为Android手机具有必然的
平安机造,差别数据的取证,所需要的权限差别,因而取证人员需足够掌握Android的平安
机造,摘取响应地办法对Android手机数据停止取证。
2.2.1 Android手机数据存储机造
Android供给了5种在末端设备上存储数据的体例。取证人员可以至少从4中数据格局的
文件中获得数据。因而,理解那5种数据存储机造十分重要。详细来说,那5种体例如下:
(1)共享优先
共享优先是一种轻量级的数据存储机造。开发者可以将根底数据类型的变量定义一数值二
元组以轻量级的XML格局停止存储。SharedPreferences次要用于存储“key-value paires”格局
的数据,只能够存储根本数据类型,包罗整型、布尔型、浮点型和字符串型等。SharedPreferences
次要是通过键盘值对来存储简单数据,我们能够通过SharedPreferences的put()办法来实现键
值数据的存储,同样我们也能够利用SharedPreferences的get()办法来获取键盘值数据的内容。
我们存储的SharedPreferences是以XML文件的格局体例主动保留的,凡是存储在利用法式
的数据目次中的shared_pref文件夹中。因为良多利用法式都操纵轻量级的共享优先办法来存
储变量定义一数值二元组,它也许成为取证数据的丰富来源。当取证人员可以恢复过往的或已
经被删除的XML优先文件,那一点尤为明显。
C2)内部存储
内部存储是通过Java中的IO流来对文件停止操做,然而在Android系统中文件是一个应
用法式私有的,一个利用法式无法读写其他利用法式的文件。利用法式运行所成立的文件都
保留在设备的内部存储器上,在”/data/datapackage name/files”途径中。开发者能够在文件中
存储更复杂的数据构造,并能够将文件存储在内部存储器的几个差别处所。开发者具有掌握
文件类型、名称和地点的才能。在默认情状下,那些文件只能被所属的利用法式往读取,甚
至末端设备持有者也不容许查看那些文件的内容,除非他们拥有root拜候权限。取证人员可
以通过肃清法快速找到那些文件停止取证。原则上,任安在利用法式的/data/data子目次下,
不属于shared_prefs, lib, cache及databases子目次中的文件都是内部存储文件。那些内部存
储数据很可能是取证人员感兴致的数据。
C3)外部存储
存储在内部存储器上的文件具有很严厉的平安和位置参数,然而存储在外部存储器上的
文件却具有少少的限造。外部存储器用于保留大文件和无权限限造的文件,凡是含有用户录
造的视频文件等。外部存储器利用的是FAT的文件系统,不撑持拜候形式和权限掌握。固然
此文件系统获得普遍的撑持,它贫乏像ext3, ext4等文件系统中存在的细化平安机造。因而,
在默认情状下,那些文件无法强逼拜候掌握权限。而那些文件凡是都包罗了十分丰富的数据,
对取证价值十分大。
(4)SQLite
SQLite数据库是一个十分时髦的数据库格局,利用于良多挪动系统以及传统的操做系统
中,用于存储构造化的数据。与传统的关系数据库治理系统有所差别,SQLite的整个数据库
全数包罗在一个零丁的跨平台文件中。
Android软件开发套件通过供给专门的利用编程接口容许开发者在他们的利用法式中使
用SQLite数据库。SQLite文件凡是存储在内部存储器的”/data/data/利用法式名/databases"
途径下。但是,关于在其他处所创建数据库没有设置任何限造。SQLite数据库是取证数据的
丰富来源。
(5)收集
用户通过收集存储或获取数据,操纵收集硬盘空间上传或者下载收集资本,获取收集空
间中的数据。固然用户操纵末端设备在收集存储空间中停止数据相关操做,我们无法间接获
取存储在长途收集空间中的数据,但是我们能够对存储在末端设备上的相关数据停止取证,
而常见的是,重要的设置装备摆设和数据库数据都能够得到恢复。
2.2.2 Android手机平安机造
Android系统平安机造既继续了Linux系统又有所区别,利用层都有各自的平安性。系
统操纵Linux历程东西设置利用法式的平安级别,分配UID和GID。详细来说,Permission
权限机造能够限造利用法式的详细操做,"per-URI permissions”机造则能够掌握利用法式中产
生的数据的权限拜候形式,例如将数据拜候体例设置为只读、读写等形式。因而,利用法式
之间是彼此独立的,彼此之间无法拜候。但,Permission平安机造供给了一些功用,用于应
用法式间的平安拜候。
C 1) Linux内核层平安机造
Linux内核平安机造包罗强逼拜候掌握机造以及自主拜候掌握机造。强逼拜候掌握机造由
Linux平安模块来实现,但未将LSM编译进Android系统中。自主拜候掌握机造由用户、用
户组、其它用户与读、写、施行的组合来实现,掌握文件的拜候权限形式,包罗容许、限造、
回绝用户、用户组和其他用户的拜候。拥有“system”和“root”权限的用户能够拜候文件系
统,利用法式能够申请响应的权限拜候响应文件。
C 2 ) Android的“沙箱”机造
Android“沙箱”机造能够隔离利用法式和历程,使得利用法式无法拜候文件系统或其它
文件。每个利用法式与系统历程都被分配独一的UID,与内核历程相对应。每个利用法式在
本身的虚拟机中运行,拥有零丁的地址和资本。利用法式必需在其manifest文件中进声明权
限或者共享UID才气拜候文件系统或者其它文件。
C 3 ) Android的权限查抄机造
Android是一个“权限别离”的系统,任何一个利用法式在利用Android受限资本之前都
必需以XML文件的形式事先向Android系统提出申请,待系统授予利用法式权限时,才气使
用响应的资本。
当利用法式获得响应权限后,即可挪用API利用层接口实现响应功用。可分为以下三个
步调:
(a)挪用Public库中的API利用层接口。
(b)公共API利用层会挪用RPC stub,即API代办署理接口。
Cc)以IPC绑定的体例传递给系统办事,由系统办事历程实现响应功用。
权限查抄包罗利用法式安拆时的静态查抄和运行时的动态查抄。动态查抄是指利用法式
在运行期间挪用的系统办事或组件必需颠末受权查抄。
C 4 ) Android的数字签名机造
利用法式必需拥有用于标识利用法式的用户身份和利用法式之间的相信关系的一个数字
证书。Android系统在安拆利用法式时会主动查抄该利用法式能否含有数字证书及其权限,若
权限级别为signature,则会查抄利用法式利用的数字签名和声明signature权限的利用法式所
用数字签名,只要当两者的数字签名一致时,才容许安拆。若利用法式的权限为
signatureOrSystem,系统便会受权一样的数字签名的利用法式。
2.2.3 Android手机取证原则
Android手机取证是指取证人员从涉案Android手机中获取手机的用户信息、手机位置信
息、手机内存信息、SIM卡信息、短信、通话笔录、通信录、多媒体信息、利用法式信息、
日记等,并对那些信息停止阐发、整理,最末构成对案件有证明力的证据而且被法庭所采用
的过程。取证人员要颠末必然的取证认证,而且被法庭所承受。在整个取证过程中,取证人
员摘用的取证手艺、取证办法要契合取证规则和原则,可以具有法令效劳。
手机取证与计算机取证都是数字取证的分收,也可遵照计算机取证原则:执法部分以及
详细施行人员的任何行为都不克不及改动存储在计算机内存储介量上的数据,那些数据可能在后
续阶段为法院所利用;在任何人认为有需要拜候存储在计算机内或存储介量上数据的情状下,
此人必需可以胜任此项工做,并且可以清晰地提出证据,用于阐明其行为的联系关系性以及涵义;
对所有基于计算机的电子证据的过程都要创建审计笔录,并予以保留。任何一个独立的第三
方都要可以对那些过程停止查抄,并可以获得同样的成果;负责查询拜访的人对确保法令以及以
上那些原则得到遵照负有全数责任。
通过对计算机取证原则的借鉴,Android手机取证应遵照以下五个方面的原则:
C1取证合法性原则
起首,取证人员必需获得法定资格,具有合法的取证手艺,可以科学熟悉和处置取证过
程的细节,包管取证工做合法。其次,取证流程必需合法化。取证过程必需严厉根据法定程
序停止取证,包管取证成果被法庭所承受。最初,取证人员所利用的取证手艺东西以及包罗
的利用情况都必需契合法定原则,不容许在取证过程中存在数据窜改等问题,使得取证的证
据失往法令效劳。
C2取证及时性原则
起首,因为Android手机中的数据自己比力懦弱,随便遭到骚乱,从而发作改动。其次,
因为Android手机的内存比力小,数据更新快,若不摘取收集隔离,则接进的通话或者短信
都笼盖原有通话或者短信笔录。再者,手机自己需通过电池续航才气停止一般工做,若手机
没电,则存储在RAM区的数据都将丧失,给取证工做带来很大的费事。最初,收集运营商
则会通过收集对用户数据停止周期性更新,若取证不及时,则会发作数据笼盖现象。总之,
取证人员应敌手机摘取合法办法,及时敌手机证据停止提取与固定,制止因数据发作改动,
形成取证失败。
C3)取证备份原则
取证人员要在合法的取证流程下对Android手机中的电子证据停止备份,至少备份两次,
构成两个副本。一份副本是取证人员用于对电子证据的获取和阐发,另一个副本停止保留用
于为第三方停止复查。
C4)取证情况平安原则
Android手机设备中的电子证据存储在电磁介量中,而电磁介量易遭到高温、尘埃、挤压、
湿润等因素的影响而发作改动。因而应该平安保管手机,取证人员敌手机停止操做时应制止
那些因素敌手机产生的影响。为避免静电消磁从而敌手机中的电子数据形成影响,应利用纸
量等不容易产生静电的素材敌手机停止包拆。此外,因为手机在开机形态下,它的通信收集收
发安装可以与无线通信收集停止交互,招致手机内存的改变。因而,必需第一时间摘取收集
隔离办法,隔绝距离手机与无线通信收集的信息交互,包管手机证据的原始性和完全性。
CS)证据保管原则
在成立取证对象后,应摘用笔录、摄影、录像多种办法对取证过程停止详尽地、不连续
地笔录,包罗手机的搜集、保留、运输的办法,取证操做的步调,数据源的摘集和阐发的方
法以及生成证据陈述的体例。
以上五个原则的施行能够包管整个取证过程的合法性和客看性,使到手机证据可以经得
住法庭量证的严厉考验。
2.3 Android手机取证流程模子
取证的手机必需严厉根据取证流程停止取证,而且在最末的呈述陈述中,将取证的整个
过程都以文件体例详尽笔录下来,使其愈加契合司法法式,以便做为证据为整个案件做出有
力的说服。Android手机取证流程模子如图2.2所示:
(1)取证预备
取证预备阶段是对案件的取证需要获得受权后,造定取证计划,安放有必然资历的取证
人员,预备取证东西以及所需的软硬件和从属设备。因为手机证据的特殊性,所以现场手机
取证差别与一般证据的取证。除了物证袋、拍照或摄像机等东西和设备之外,针敌手机取证
的特殊情状应当预备的设备次要有:具备多种手机接口的东西箱,包罗各类线缆,续航电源,
防静电袋、硬量屏障箱、多用电源适配器、备份和拷贝数据所必须的空白存储介量等。
C2)证据获取与摘集
Android手机的数据获取与摘集是后续取证工做顺利停止的一个前提。取证人员抵达现场
后,敏捷对取证现场的四周情况停止摄影和文字笔录。在获得手机后,敏捷根据手机的形态
停止庇护。当手机电量不敷时,应敌手机停止及时充电,制止手机因电量不敷关机对取证造
成困扰。因为手机无线收发安装会周期性地与无线通信收集停止信息交互,因而应敏捷将手
机停止收集隔离,制止手机证据的改动。因为Android的平安机造,取证人员停止证据获取
和摘集时需要root权限,若手机没root,则摘用暂时root办法敌手机停止权限获取。根据
Android中取证数据源的差别,摘用差别的取证手艺停止证据的摘集。获取的信息包罗RAM
区数据,NAND Flash中的数据,SD卡中的数据等等。对每个数据对象计算完全性校验码。
至少要备份两份副本,同时对副本中的每个数据对象计算完全性校验码,在比照完全性校验
码之间的一致性来断定手机数据的完全性与可靠性。
C3)证据阐发
证据阐发需根据备份下来的数据品种,连系案件立功类型,有针对性的对某些偏重的数
据停止阐发,以便更快速地获取所想要的证据。因为RAM中的数据次要存储着用户登录过
的用户名、密码等,对那些数据停止阐发能够获得十分有价值的潜在证据。NAND Flash中主
要存储着大量的用户数据,好比:短信、通话笔录、QQ、微博、Gmail等信息,对那些数据
的阐发能够发掘出大量的证据。SD卡中次要存储一些音频、视频、图片等数据,那些数据也
具有极高的取证价值。因而起首对那些数据停止线性阐发,以列表形式展示给取证人员,便
于取证人员对详细数据有曲看地挑选,然后操纵时间序列阐发和社会收集阐发,将数据之间
联系关系关系展现在时间维度和二维空间上,使得取证人员可以快速、曲看地通过那些联系关系关系
发掘潜在证据,定位搜刮范畴,进步破案速度。
C4)证据存管
证据存管次要包罗手机自己做为物证停止存管和从手机中获取的电子证据的存管。在取
证过程中,敌手机的存管也长短常重要的。应摘用防静电袋将手机停止保留,因为手机自己
会存在无线通信收集模块停止信息交互现象,因而需要将手机保留在密闭情况或者屏障情况
中。获取的电子证据应有专门的存管人员停止存管,并且要实行严厉的存管束度,避免数据
被窜改。
CS)证据呈述
取证人员需要根据阐发的证据编写证明文件,证明文件中应该详尽论述每个取证步调中
取证人员的操做。出格为了获取某些重要数据而不能不敌手机的某些形态做出改动时,应该
详尽阐明改动的目标以及改动的详细情状,避免被误认为窜改数据而对最末的数据的有效性
形成了影响。在编写好证明文件后,需连系立功嫌疑人手机中获取的潜在证据,对整个案件
停止评估,最末将证明文件与评估陈述一同呈于法庭。同时应该用录像机对整个取证过程的
每个细节停止录像,以便在法庭中为取证过程中的每个步调停止证明。
2.4本章小结
本章次要介绍了Android手机取证的理论根底,起首介绍了Android系统构造以及取证
时要用到的Android开发套件,为Android手机取证手艺供给了理论根据。其次,进一步介
绍了Android的数据存储机造和平安机造,便于取证人员对Android手机中的数据停止提取
和阐发。再者,连系计算机取证原则,提出了Android手机取证的五个原则,为手机以及手
机中的电子数据的完全性、有效性供给了包管。最初,连系手机的自己特征,提出了Android
手机取证流程模子。连系差别的案件,取证人员根据Android取证原则,根据Android取证
流程模子对取证对象停止取证,取证的最末成果能够做为证据被法庭所摘纳。
第三章基于SDK机造的静态与动态取证办法研究
跟着挪动互联网的敏捷兴起,手机立功的日益跋扈撅,针敌手机立功的手机取证东西也变
得越来越丰富。Android手机利用法式的日益丰富化,使得人们之间的沟通体例、生活体例逐
渐发作改动,人们从最后的传统体例逐步向立即通信类和收集德律风类利用法式交换体例转移。
因而,Android利用法式中的数据变得越来越有价值。Android手机取证的偏重点也渐渐从传
统的根本信息取证开展到对Android利用法式信息的取证。
然而,国内的Android手机取证东西相对十分少,并且大部门都偏重于取证手艺手段而
漠视了整个取证的合法性、有效性。国外的Android手机取证东西固然相对丰富,但是针对
Android中利用法式的当地化,那些手机取证东西无法对Android利用法式数据停止取证和分
析。同时因为利用法式的更新迭代速度快,品种繁多,存在加密现象,存储体例也不不异,
若只是对利用法式信息停止静态取证,不只取证所需时间长,并且,有些因加密数据而无法
取证。利用法式的动态取证不只能够间接绕过详细的数据存储构造和版本问题,通过仿实器
间接取证,并且还能够获取静态取证无法获取的长途收集信息。
因而,本章连系手机取证原则和流程,利用法式的特征,提出了针对Android静态与动
态取证相连系的取证办法,更大程度地发掘潜在证据,同时使得整个取证过程愈加有效、合
法,更大程度地包管了Android手机数据的原始性、完全性、有效性,使得最末证据可以被
法庭所承受。
3.1 Android手机权限提拔办法研究
因为Android平安机造的限造,假设用户想要拜候手机中的小我隐私数据,则必需要获
得root权限才能够敌手机的隐私数据停止操做。若要在手机未root的情状下停止取证,获取
潜在证据,则必需敌手机停止权限提取,获取位于手机内存中的隐私数据。但,敌手机停止
root权限提取则一定会改动手机中的某些形态,那似乎与取证标准相矛盾。若何敌手机停止
root,尽量削减敌手机地改动,成为手机取证中的一个关键性因素。本节通过对Android权限
机造的研究,提出了一种暂时root权限提取办法,那种办法能更大程度地庇护手机中的原始
数据。因为它只是改动了手机文件系统,并未敌手机中的用户数据产生影响,摘用细分数据
对象停止数据完全性校验,能够包管用户数据的完全性与原始性。因而,只需在最初的文件
呈述加以阐明,最末获得的证据便会被法庭所采用,可以有效地阐明某些立功行为。
3.1.1 Android手机权限分配机造
Android系统是基于Linux内核而开发的操做系统,但与Linux有所差别。Android系统
会默认暂时分配用户权限给Android系统的利用法式先辈行启动,Linux系统则是需要用户身
份登录启动。固然Android系统会分配暂时用户权限,但那种权限的感化时间十分短。Android
手机的文件和设备拜候掌握仍然利用了Linux的权限拜候掌握。部门权限声明后,利用法式
启动的时候,AMS会从PKMS那里获得该利用历程的uid和gid信息,然后通过Zygote来创
建一个指定id的历程。获得指定组id的历程,也只能获得部门文件的拜候权限。因而,必需
要通过su对利用法式的历程停止权限提拔。su是linux中的一个号令,用于通俗用户提权到
root。但是,root和shell下的用户才能够挪用su。大部门利用法式因为在运行过程中会产生
的大量的私密数据,基于平安考虑,那些利用法式不克不及挪用su号令。当su被挪用时,会主
动验证它的法式,若发现非root和shell,则无法对利用法式的权限停止提拔。因而,su号令
是利用法式施行权限提拔的关键,若历程能够在root和shell形式下运行,即可以通过su对
利用法式的施行权限停止提拔。
Android利用开发套件中详尽介绍了Android法式调试桥(adb,它通过adbd办事和
Android手机停止信息交互。Android手机与电脑毗连且手机中的USB调试形式已经翻开,便
能够通过adb号令对末端设备停止取证。对adb的源文件停止阐发能够发现adbd的代码如下:
int adb_ main(int is_ daemon)
property_get("ro.secure",value,"");
if (strcmp(value,"1")==0)
secure=1
if (secure){
由Android的平安机造可知,adb默认不会被分配root权限,adb启动后,adbd会检测系
统的ro.secure属性,假设ro.secure属性值为1则将会把本身的用户权限降级成shell用户。
一般设备出厂时,城市在default.prop文件设置ro.secure属性值为1。此时,adb不克不及在root
权限形式下运行,取证人员通过adb机造只能获取那些在不需要root权限形式下的数据。然
而,取证中的大部门有价值的数据都存储在必需拥有 root权限形式才气停止操做的文件中。
好比//data/data目次下的文件含有大量隐私数据,必需拥有root权限才气停止获取和取证。
由Android文件系统构造可知,init.rc是一个可设置装备摆设的初始化文件,存储着良多系统办事,
adb由init.rc历程启动。在init.rc中设置装备摆设的系统办事启动的时候都是root权限,所以其子法式
adb也拥有root权限。查看init.rc中代码如下所示:
/*then switch user and group to "shell"*/
setgid(A} SHELL);
setuid(A} SHELL);
从代码中能够看到,施行了setgid和setuid函数后,adb法式权限便会降级为shell。假设,
可以让setgid和setuid函数施行失败,那么adb法式便会以root权限陆续施行,此时取证人
员能够操纵adb对Android手机中的隐私数据停止取证。
3.1.2 Android手机权限提取办法
基于上节中对Android手机分配机造的研究能够发现,当adb历程施行setgid和setuid
函数失败后,adb历程便陆续以root权限停止施行。通过查看setuid的文档手册,能够发现
如下代码:
RETURN VALUE
On success, zero is returned. On error,一1 is returned, and errno is set appropriately.
ERRORS
EAGAIN The uid does not match the current uid and uid brings process over its RLIMIT_NPROC
resource limit.
从上述代码中能够看到,setuid是可能发作错误的,而且在uid的历程数超越
RLIMIT_ NPROC极限时,发作EAGAIN错误。而adb的源文件中并未对setuid的返回值做
任何揣度,所以adb会陆续以root权限运行。
在Android的源码中,setuid()定义于//bionic/libc/unistd/setuid.c,现实上引用了一个外部符
号_setuid,那个符号在/bionic/libc/arch_ xxx/syscalls/-setuid.S中定义,最末是一
个%eax=$一 N凡setuid32, %ebx=uid的int 0 X 80中断。因而,能够通过不竭造造子历程,使
shell用户的历程数超越RLIMIT_ NPROC极限,返回EAGEIN的错误信息,此时setuid函数
施行失败,adb历程降级shell形式失败。此时,adb会在root权限下陆续施行。
因为Android手机每次重启时,系统办事历程城市对设备停止初始化处置,Android系统
属性的ro.secure值仍然为1,因而adb会降级为shell形式,此时手机处于未root形态下。所
以,称此种办法为暂时root权限提取办法。详细原理如图3.1:
C1在Android的shell用户下不竭创建子历程,曲至到达shell用户的历程数上限
RLIMIT_ NPROC;
C2)完毕当前系统中的adb, adbd历程,并再次占据其历程位置以连结到达上限;
C3)系统会在一段时间后重启adb, adbd历程,该历程最后是root用户,在完成少许初
始化工做后,挪用setuid()切换至shell用户;
C4)此时shell用户的历程数已经到达上限,所以setuid()失败,返回一1,而且用户降级
为shell形式没有完成,adb仍是root权限;
CS) adb没有查抄setuid()的返回值,陆续施行,因而产生了一个具有root权限的adb
历程,能够被用于与用户的下一步交互。
C1起首获取了RLIMIT_ NPROC的值,那个值是Linux内核中定义的每个用户能够运
行的更大历程数。
(2)获得RLIMIT_NPROC的值后,挪用find adb()函数来搜刮Android系统中adb历程
的PID,详细而言,该函数读取每个历程对应的文件的//proc/pid/cmdline,根据其能否等
于”/sbin/adb',来揣度能否是adb历程。
C3)父历程退出,创建一个新的子历程,子历程陆续施行,同时创建一个管道。新建一
个历程后,在子历程之中,不竭地创建新的子历程,而新的子历程不竭退出,从而使不竭创
建的子历程占据shell用户的历程数。最末,历程数到达上限,fork()函数的返回值小于0,于
是打印当前已经创建几子历程,并向管道输进一个字符。在那里,管道的感化是和之前创
建的父历程同步,此父历程会读取管道信息,因而阻塞曲至子历程已经到达上限。
C4)此时挪用restart_adb()函数,完毕adb历程,并在系统检测到那一现象并重启一个
adb历程之前,再一次创建子历程,将前一个adb留下的历程空位占据。最初,挪用
wait for root adbQ,期待系统重启一个adb,那个新建的adb就会具有root权限。此时,临
时权限提拔胜利。
整个暂时权限提取过程,必需通过文件和录像详尽笔录,出格是对设备停止权限获取中
形成Android设备改动的某些步调,都必需详尽笔录并反响在陈述中,连同最末的证据一路
呈述给法庭。
3.2 Android手机根本信息提取手艺的研究
Android手机根本信息是指人们停止日常的沟通和交换所产生的根本数据,包罗短信息、
通信录、通话笔录。固然Android手机愈加类似于一台微型智能电脑,能够操纵它停止上彀、
聊天、购物等,但是一般比力重要的日常交换和长途沟通都是发短信和打德律风。因而,Android
手机的根本信息会包罗大量的有价值的数据,对取证工做来说也长短常重要的。
3.2.1 Android手机短信息提取
短信息(short message service)简称SMS,是用户通过手机或挪动末端间接发送或领受
的文字或数字信息。它属于一种数据通信营业,能够切确、快速地传递信息。一些犯警份子
可能会通过短信停止巧取豪夺和不法交易等立功活动。因而,关于取证人员来说,短信数据
的取证价值长短常浩荡的。
通过基于adb机造的adb pull号令对Android手机的文件系统停止逻辑取证,快速抽取一
个逻辑复本到当地目次下,对此目次下的文件停止阐发能够看到短信信息的文件途径
为”/data/data/com.android.providers.telephony/",整个文件夹下的目次构造如图3.6所示:
从图3.3中能够看到短信目次文件夹的子目次中次要包罗lib, databases和shared_prefs
三个子文件夹。lib文件夹下的文件都是利用法式所需的自定义库文件,取证价值能够漠视。
shared_prefs文件夹下的文件是以XML格局存储的共享优先目次文件,取证价值也能够漠视。
databases文件夹下的文件包罗了mmssms.db和telephony.db两个数据库文件。telephony.db数
据库文件只包罗无线办事供给商所供给办事的信息,凡是含有一些用户数据,因而能够漠视。
mmssms.db的数据库中会含有大量的用户数据,对取证价值浩荡,因而应重点阐发。在取证
过程中,已发信息、已收信息、草稿箱和发送失败的信息都应该是取证重点存眷的对象,在
提取解析过程中应该重点存眷短信发送的时间、内容、领受方、发送方、动静形态等等。
阐发mmssms.db数据库文件的数据构造能够发现sms表中存储着短信数据的所有信息,
因而对sms表停止详尽阐发。
如图3.4所示,sms表中包罗着良多字段,有些字段信息是我们取证的次要信息,别的一
些字段信息则不含有取证信息。对次要字段信息解析如下:
_ id:短信信息生成序号,每一条短信城市根据挨次分配一个序号。
thread_ id:发件人序号,统一发件人序号都是一样的,差别发件人序号纷歧样。
address:收件人或者发件人的手机号码。
person:手机通信录中联络人的序号,目生人则为空值。
date:短信收发时间。
protocol:彩信或短信的标示符。1表达短信,0表达彩信。
read:标记短信能否已读,0表达短信未读,1表达短信已读。
status:标识短信形态。一1表达领受,0表达完成,128表达发送或领受失败。
type:短信类型。0代表所有短信,1代表收件箱信息,2代表已发送信息,3代表草稿
信息,4代表发件箱信息,5代表发送失败信息,6代表待发送信息。
subject:彩信主题,短信则为空值。
body:短信或彩信的内容。
通过人工阐发能够发现,短信中的字段信息比力杂乱无序,但字段之间存在着某种联系关系
性,因而需要通过挪用SQLite的利用接口对短信数据库信息停止有抉择性地提取,对短信的
时间、发送者、领受者、短信内容等与取证相关的重要信息停止可视化展示,让取证人员能
够快速找到案件相关证据。
3.2.2 Android手机联络人信息提取
联络人信息存储在Android手机通信录中的联络人的姓名、手机号码、家庭地址、头像
等信息。联络人信息存储体例有两种,一种是存储在SIM中,另一种存储在手机内存中。手
机通信录保留着与同窗、同事、亲戚之间的关系,手机号码已经成为小我身份的标记。联络
人信息已然成为取证人员停止取证工做中获取的重要价值信息,通过获取联络人信息能够迅
速对某些不明身份嫌疑人停止挑选、锁定,为案件停顿供给十分有利的证据。对提取到当地
目次下的逻辑复本停止阐发,能够发现联络人信息的文件途径
为”/data/data/com.android.providers.contacts/",整个文件夹下的目次构造如图3.5所示:
从图3.5能够发现联络人信息包罗3个文件夹,能够发现联络人的信息都存储在databases
文件夹中的contacts2.db数据库文件中。阐发contacts2.db中的所有表能够发现联络人信息存
储在data表和raw contacts中,别离对那两个表停止阐发。
图3.6为raw_ contacts表中的次要字段信息,对字段信息解析如下:
_id:索引号,用来联系关系通话笔录表中的联络人。
deleted:册」除标记位。0表达未删除,1表达已删除。
times contacted:通话次数。
last time_ contacted:最初通话时间。
display_name:联络人姓名。
图3.7为data表中的次要字段信息,对字段信息解析如下:
minitype_id:表达所存数据类型。1表达邮箱,3表达住址,5表达德律风号码,7表达姓
version:
contact
标识数据的改变次数。
记:联络人信息索引号,用来与短信数据库等表相联系关系。
datal:根本数据,例如联络姓名、号码。
data4:德律风号码逆序摆列,以及联络人的身份、街道信息。
data?若是地址行则有市数据。
data8若是地址行则有省数据。
data9:若是地址行则有邮编数据。
从图3.6和图3.7的字段阐发能够看出,一个联络人信息能够会产生多行笔录,能够通过
联络人索引号将某个联络人的详尽信息停止联系关系,构成完全的联络人信息,通过挪用S QLite
的利用接口停止可视化展示,有助于案件信息的摘集和处置。
3.2.3 Android手机通话笔录信息提取
手机通话笔录是人们之间彼此通话交换产生的笔录,反映着一小我的交换范畴,能够证
明在某个时间段能否有人与立功嫌疑人停止交换,能够快速缩小搜寻范畴,因而是一种重要
的取证数据源。通话笔录的数据存储在”/data/data/com.android.providers.contacts/databases”路
径下的contacts2.db的calls表中。通话笔录分为已拨德律风、未接来电、已接来电。
图3.8为calls表中的次要字段信息,对calls表停止阐发如下:
_id:联络人信息索引号。
number:联络人号码。
date:通话起始时间。
duration:通话时长。
type:
name:
通话类型标示符。1表达来电,2表达已拨,3表达未接。
联络人姓名。
从calls表中的字段信息阐发能够看出,number, date, duration, type, raw
五个字段信息能够完全表达通话笔录的所有信息,因而将那些数据停止联系关系,
contact id那
以可视化的方
式停止展示,同时导出成excel格局的表格形式停止保留,通过excel表格对数据停止愈加曲
看和有偏重点的挑选,好比将那些信息根据通话长短停止排序等,进步破案的速度。
3.3 Android手机利用法式信息提取手艺的研究
4G时代的降临以及智妙手机的敏捷普及,因为智妙手机的强大功用,PC时代的一些社
交类、立即通信类、邮箱类等那些涉及小我的私密数据的利用软件已经逐步被利用于智妙手
机末端中。人们能够操纵安拆在Android手机中的利用法式随时随地停止日常活动和交换,
例如,通过QQ与同事交换,更新微博的形态,查收公司的邮件等等。日益丰富的利用法式
为人们的生活带来了很大的便当,与此同时,因为那些利用法式含有大量的小我隐私数据,
也成为了很多立功份子停止欺诈、讹诈、偷盗的对象。利用法式的数据往往对取证工做具有
十分严重的价值。目前,支流的涉及小我隐私数据比力多的利用法式次要分为四类,第一类
是立即通信类利用法式,包罗QQ, Skype、飞信等。第二类是邮件类利用法式,包罗Gmail,
Hotmail、网易、QQ邮箱等。第三类是阅读器类利用法式,包罗UC阅读器、QQ阅读器、百
度阅读器等。第四类是社交类利用法式,包罗人人网、新浪微博、腾讯微博等。
根据Android系统架构和数据存储机造能够领会,Android利用法式次要将数据存储在内
部存储器上,内部存储器通过Android利用编纂接口(API)停止掌握。当安拆一个利用法式
时,系统会在//data/data子目次下利用那个利用法式包的名字为此利用法式成立一个内部存储
器。例如,Android阅读器法式包的默认名字为com.android.browser,因而,数据文件将会被
存储在子目次”ata/data/com.android.browser',下。固然系统没有要求利用法式必需存储数据文
件,但大大都利用法式城市如许做。在利用法式的”/data/data”子目次中,有一些原则目次以
及由开发者掌握的目次,常见目次如表3.1所示:
从表3.1能够看到,在”/data/data/'’子目次中的利用法式目次下的databases目次中的文件
是利用法式产生的用户数据,应重点提取与阐发。掌握利用法式的原则目次机造能够让取证
人员快速锁定利用法式中的数据,快速找到响应的证据。
3.3.1立即通信类信息提取
立即通信(Instant messaging,简称IM)是一个末端办事,容许两人或多人利用网路即
时的传递文字讯息、档案、语音与视频交换。立即通信按利用用处分为企业立即通信和网站
立即通信,根据拆载的对象又可分为手机立即通信和PC立即通信,网站、视频立即通信如:
米聊、QQ、微信、飞信、Skype, MSN等利用形式。
立即通信具有便利、可靠、时髦、廉价等特征,已经逐步替代了短信功用,越来越多的
人利用立即通信停止沟通交换,国内支流的立即通信类利用法式有QQ等。本节次要对
QQ2011的利用法式停止详尽解析。
2011版本的QQ信息存储在’'/data/data/com.tencent.电话/databases/”途径下的QQ_database
数据库文件中,进一步阐发,能够发现QQ的信息次要存储在电话_accounts, 电话_selfInfo,
电话_qGroupList_ detail、电话一uddy_list detail、电话_groupInfo_detail、电话_msgHistory、
as buddylist main, 电话 qGroupList main那8个表中。如下图所示:
从表3.2和表3.3能够看出,QQ次要字段信息包罗登岸账号信息、QQ分组信息、QQ好
友备注、QQ聊天笔录等等,并且多账号登岸时,会主动保留每个账号的信息,通过数据库
东西查看那些数据是杂乱无章的,通过火析能够发现每个账号都有一个身份id号,且每个表
中城市有对应的id号与其彼此联系关系,因而我们能够挪用数据库利用法式接口,对那些数据进
行联系关系,进步数据的聚合度,以可视化的形式展示。
3.3.2邮箱类信息提取
现在,邮箱类已然被利用到了Android手机中,人们能够操纵邮箱客户端随时随地收发
邮件与同事、伴侣停止交换。目前支流的邮箱类利用法式包罗Gmail, Hotmail、自带邮箱、
网易邮箱、新浪邮箱等。因而,本节次要对常用的邮箱Gmail停止提取息争析。
Gmail是Google公司开发的一款邮箱类利用,也是全球最时髦的邮箱,在中国也占据着
很多的份额,并且Android系统手机城市自带Gmail邮箱,因而对Gmail邮箱的提取息争析
的数据长短常有价值的。2.3.5和2.3.6版本的Gmail数据存储体例是一样的,并且是良多
Android手机自带的版本,因而本文对其停止提取息争析。
根据利用法式原则目次可知,一般情状下与用户相关的信息都存储在以利用法式包定名
的文件夹下的数据库文件中,然而Gmail是个特例,他的用户登岸信息存储在/data/system/路
径下的accounts.db数据库中,如下图所示:
从图3.17中能够看到,账号信息包罗用户名、密码、邮箱类型。name为用户登录的账
号,type为邮箱类型,password为登岸时的密码。
Gmail的邮箱信息存储在”/data/data/com.google.android.gm/databases”文件下的数据库文
件中,数据库文件的定名体例为mailstore.+账号信息,本文中以做者的邮箱账号停止登录测
试,所认为mailstore.zhengya 198902 @ gmail.com.db。其数据构造如图3.18所示:
从图3.18能够看出Gmail数据构造中包罗良多表和索引,对那些表停止阐发能够发现邮
箱的次要信息存储在messagges, conversations, attachments那三张表中,以下别离为那三张
表的次要字段信息。
次要字段信息的解析如表3.4所示:
3.3.3阅读器类信息提取
手机阅读器是用户操纵无线互联网停止信息阅读的次要东西,阅读器中存储着大量的用
户小我数据,例如电话密码、社交网站的密码、阅读的信息等等。目前支流的阅读器有QQ浏
览器、UC阅读器等。本文次要对QQ阅读器停止提取息争析。
QQ阅读器2.9版本的数据存储在”/data/data/com.tencent.mtt/databases/',途径下的
database.db, default.db和webview.db数据库中。对那三个数据库文件停止阐发能够发现阅读
器的信息次要存储在database.db的history表、default.db的mtt bookmarks表和webview.db
的password表中,如下图所示:
详细解析如表3.5所示:
3.3.4社交类信息提取
社交类利用法式是指基于社交类办事的挪动客户端,例如人人网挪动客户端、新浪微博
挪动客户端。人们利用那些社交类利用法式和拥有不异兴致的人停止聊天、文件分享、群组
讨论,它笔录了人们的生活点滴,含有大量的私密数据,在取证中能够供给丰富的潜在证据。
本文对支流的新浪微博3.0.5版本停止提取息争析。
新浪微博3.0.5版本的数据存储在”/data/data/com. sina.weibo/databases/”途径下的sina weibo
数据库中,对sina_ weibo中的表停止阐发,能够发现新浪微博的信息次要存储在home_ table,
account table一 v2, follow_ table和group_ table那四张表中。如下图所示:
3.4 Android手机利用法式动态取证办法研究
3.4.1动态取证办法研究的意义
因为手机键盘输进存在必然的局限性,用户在利用过程中会将利用法式设置为记住密码
或者主动登录。因而,操纵保留在利用法式中的密码,摘用动态取证办法不需要对利用法式
停止解析,间接获取利用法式数据。动态取证办法是对静态取证的有效填补,具有十分重要
的意义。
C1绕过加密数据
由静态取证办法的研究能够看出,利用静态取证办法对利用法式停止提取与解析不只需
要实时添加新版本的利用法式解析的动态链接库。并且跟着平安意识的进步,许多开发利用
法式的公司对利用法式的数据停止加密。若利用法式数据已经加密,则摘用静态取证办法对
利用法式数据停止提取与解析根本变得不成能,摘用动态取证办法能够绕过对详细的加密算
法,间接将利用法式数据复原到仿实器长进行取证。
C2)征服利用法式版本问题
因为利用法式品种繁多,数据复杂,即便摘用插件机造对每一款利用法式停止解析城市
消耗大量的时间,而跟着Android系统的日趋开放化, Android手机中的利用法式品种和版本
也越来越多,因而在解析过程中需要对那两个版本的利用法式别离停止解析。手机利用法式
的开展速度已远远超越了对利用法式的阐发速度,摘用动态取证办法能够有效地处理利用程
序的版本问题。
C3)获取长途收集信息
跟着云存储的快速开展,许多用户将信息存储在网盘存储空间中而不是手机当地上,比
如将一些文件存储在115网盘、百度网盘,在QQ空间中颁发日记,在人人网上写日记等。
摘用静态取证办法只能获取十分少的用户数据,而操纵用户保留在手机上的用户名和密码,
摘用动态取证办法能够间接进进用户的收集存储空间,从而得到用户在收集上的数据。
3.4.2动态取证办法设想
摘用动态取证办法能够绕过加密数据、征服软件版本问题、获得长途收集信息,处理静
态取证办法不克不及处理的问题,而那些问题是现今取证的常见问题,因而,手灵活态取证办法
应遭到重视。
从图3.29能够看出,动态取证办法分为预备阶段和仿实阶段。预备阶段是取证人员连系
取证流程和取证原则对目标设备所摘取的办法以及创建与目标设备完全不异的仿实系统的过
程,此过程中,需确保目标设备的数据的原始性,应制止目标设备停止信息交互而招致的数
据改变。仿实阶段是取证人员提取利用法式数据并将数据仿实到仿实器长进行取证的过程,
在那个过程中,应尽量摘用暂时提权手艺对目标设备停止提权。此外,取证人员应详尽笔录
每个细节,最末构成陈述,将证据提交给法庭。
C1)预备阶段
取证人员在拿到嫌疑人的设备后,第一时间对设备停止隔离,确保数据的原始性和完全
性。在确包管据原始性与完全性的前提下,将设备与电脑毗连,设置设备毗连形式确保安拆
响应的驱动法式,电脑可以准确拜候设备的数据。取证人员根据取证标准停止操做,解析
Android手机的系统版本,获取响应android版本,确保android仿实的一致性与准确性。利
用手机取证系统东西搭建响应模仿器情况,创建出与目标设备一致的仿实情况。
Ca)隔离目标设备
取证人员获取目标设备后,摘用隔离箱敏捷对目标设备停止信号屏障,避免因立功嫌疑
人通过收集信号长途施行目标设备中的法式并对相关数据停止肃清,招致目标设备中电子数
据遭到毁坏。
(b)毗连PC端
翻开设置一利用法式一开发一USB调试形式,根据目标设备型号抉择响应的USB数据
线,毗连电脑,根据目标设备型号安拆响应驱动,确保两者可以准确停止数据通信,可以读
取目标设备内部的数据,为获取数据做预备。
Cc)解析系统版本
操纵adb对目标设备中拆载的操做系统以及版本停止详尽阐发,得到准确的操做系统版
本,通过Android SDK创建与目标设备系统版底细婚配的模仿情况,在电脑上创建出对应的
仿实系统,避免因操做系统版本差别招致的仿实失败情状。
C2)仿实阶段
在仿实系统创建胜利后,需要在仿实情况中创建响应利用法式的软件情况。基于Android
平安机造的庇护,在获取手机利用法式以及数据时,必需先获取更高权限,因而需要先对目
标设备停止权限提取,确保能够获得相关仿实数据。因为利用法式繁多,提取响应利用法式
以及相关数据后,停止利用法式联系关系性挑选,对相关利用法式停止版天职析。将响应利用程
序复原到仿实器中,创建与目标设备不异的软件情况,确保仿实的一致性与可靠性。操纵取
证系统东西将响应利用法式的数据导进到仿实系统中利用法式的文件存储位置,实现仿实。
Ca)提取目标设备权限
通过手机取证系统东西对目标设备停止权限查看,若闪现完全root形态,则能够获取目
标设备中的内部利用法式数据。若闪现未完全root或者未root形态,则通过手机取证系统进
行权限提取。应起首摘用暂时root权限提取办法敌手机停止提权,因为此种办法只改动了系
统设置中的初始化法式中的setuid的值,没有对用户数据产生影响,并且在设备重启后会还
原到初始形态。但暂时提权只针对一些版本的Android手机,若摘用此种办法提权失败,则
应考虑摘用第三方东西停止提权,获取root权限。
Cb)获取利用法式以及数据
adb拥有root权限后,即可以操纵adb pull号令将存储在”/data/data/”和”/data/app/”途径下
的利用法式及其数据保留到PC端的案例文件途径下,为进一步地仿实做预备。
Cc)对利用法式停止阐发,过滤无价值法式
成立一个xml格局的利用法式规则婚配文件,包罗目前市场上所有利用法式的版本和软
件包名。遍历”/data/app”途径下得利用法式,与利用法式规则婚配文件停止婚配,认真阐发目
标设备中的利用法式以及详尽版本号,整理出可仿实利用法式。通过手机取证系统东西,在
创建好的仿实系统中安拆响应详尽版本号的利用法式,构建与目标设备操做系统中不异的软
件情况。
Cd复原利用法式,搭建仿实系统
运行仿实系统中的利用法式,通过手机取证系统东西将保留在指定途径中的相关软件数
据导进到仿实系统的软件数据存储的位置中。因为某些利用法式在仿实系统重启前无法读到
导进的数据,无法看到仿实效果。因而要重启仿实系统,完成仿实。因为每次在仿实器启动
时需要几分钟到十几分钟的时间才气完全启动,对取证工做是极其倒霉的。因而,能够利用
快照(Snapshot)功用,快速启动仿实器,及时对目标设备停止动态取证。
Ce)复原利用法式数据,动态取证
运行仿实系统中可仿实的利用法式,查看利用法式的利用陈迹,操纵虚拟身份查看收集
长途数据,并对相关数据停止动态取证。
Cf)构成阐发陈述,提交证据
取证人员对整个过程中的每个细节,摘用纸量文件笔录、摄影和录像体例停止笔录,对
设备产生可能性影响的步调应详尽阐明原因和产生的改变。最初,整理阐发的陈述,将证据
提交给法院。
3.5本章小结
本章次要介绍了基于SDK机造的静态与动态取证办法,第一节介绍了ADB权限分配机
造和提取办法,尝试证明此权限提取体例能够利用于Android2.1-4.0.3版本的手机。第二节
介绍了Android根本信息和利用法式信息的静态提取手艺研究,在利用法式信息的提取与分
析中,因为文章篇幅的限造,在四大类利用法式中,别离各列一款支流的利用法式停止提取
和阐发。现实上提取与阐发过程中的利用法式中,包罗差别版本的 QQ、微信、飞信、Skype,
MSN等立即通信东西,差别版本的QQ, UC、百度、游历、firefox, 360等阅读器,差别版
本的Gmail、网易、Hotmail、新浪等邮箱,差别版本的新浪微博、腾讯微博、人人网、陌陌
等社交软件,根本涵盖了目前市场支流的所有版本的可以提取与解析的利用法式。最初,介
绍了利用法式的动态取证办法,对静态取证的有效填补。操纵静态与动态取证相连系的手段,
能够敌手机中的绝大部门数据停止取证,不会遗漏潜在的证据。
第四章基于时间序列和社会收集阐发的可视化办法研究
由第三章可知,对Android手机信息的静态与动态取证能够快速便利地对可疑人员的通
信内容停止排查,但那种传统的文字与列表相连系的线性关系展示形式已无法称心日益丰富
的手机数据取证需求,摘用统计阐发与社会收集可视化手艺能够曲看、深进天文解收集构造
并发掘收集内部隐躲的潜在证据,因而被利用于手机取证中。本章起首构建Android手机信
息时间序列(Timeline)模子,反响联络两边在时间维度的联系关系关系。最初,连系统计阐发与社
会收集可视化手艺手段对Android手机信息停止通信两边、联络主被动关系、频度关系停止
阐发和展示,反响目标对象的人际社会关系,案件初始阶段给取证人员供给一个曲看的看察,
很有可能确定立功嫌疑人的数量以至确定可疑人员。
4.1手机信息时间序列
摘用统计和可视化手艺相连系的办法对某个时间段的信息停止阐发,缩小搜刮范畴,进
一步确定范畴。手机信息时间序列是指跟着时间的推移,用户之间停止信息互动所产生的时
间链。以时间变量做为次要变量,描述用户的通信行为跟着时间的推移所发作的改动。通过
手机信息的时间线,取证人员可以十分清晰地看到用户在某个时间段的通信频次,与其他用
户的联络密切性,搀扶帮助取证人员揣度潜在的信息,为进一步伐查和阐发供给很好地参考。
4.1.1手机信息预处置
在获取手机原始信息的过程中不只存在取证人员重点存眷的潜在证据,还含有大量地与
侦查取证无关的信息。那些冗余数据会骚乱取证人员的阐发,降低破案效率。因而需要取证
人员敌手机信息停止预处置,过滤与案件无关的信息,提取手机中的关键信息,进步破案速
度,同时为构建时间序列图做根底。
手机信息的数据预处置需要考虑以下两个方面:
(1空值处置。
手机信息中往往含有一些内容属性值为空的数据,例如立即通信类的飞信信息数据库中
的message字段值为NULL,则阐明此条飞信信息笔录的聊天内容为空。那种信息对取证人
员来说根本是没有取证阐发价值的数据,若将此条信息停止统计,反响在时间序列中的通信
频次中,反而会骚乱案件的查询拜访。因而对那些空值数据笔录停止删除,削减对取证人员案件
断定的骚乱。
C2)数据笼统化。
数据笼统化是将低条理或者数据层的数据对象用更笼统的概念停止替代。例如,数据类
型中时间属性往往会详细到秒,因而能够将时间笼统成天。
因为手机用户停止通信行为所产生的数据笔录中的时间属性都切确到秒,时间属性的取
值粒度十分细,反响到手机信息时间序列图中的构造十分松懈,无法十分曲看地反响相关成
员之间的通信行为频次,未便于取证人员停止阐发,因而敌手机信息中的时间属性停止数据
笼统化,将时间从秒笼统成天,削减对时间属性的取值个数,愈加便利统计时间数据。
4.1.2时间序列模子
时间序列模子是指根据用户之间停止通信的时间属性,对用户和时间停止统计和阐发,
以X-Y坐标轴的体例成立的模子。如图4.1所示。
将时间属性映射到X轴上,用户账号属性映射在Y轴上,用户A和用户B在时间点Ti和
兀上发作了通信行为,此中用户A是本机账号,B为A的联络老友账号。用红颜色字体在坐
标原点处表达A账号,以便于区分其他账号,B摘用默认颜色表达,A的坐标轴为A(坐标
原点,账号A), B在时间点Ti的坐标轴为B1(时间点Tl ,账号B ), B在时间点Tz的坐标轴
为Bz(时间点Tz ,账号B),用线段将坐标A和坐标B1, Bz停止毗连,表达A在时间点Ti和
Tz与B停止了通信。
摘用时间序列图停止证据可视化,取证人员能够对用户间在时间线上的通信行为有愈加
曲看和深进地查看和阐发。其次要功用有以下几点:
C1)查看特按时间段内,立功嫌疑人用户的通信范畴。
C2)查看某一时间段内用户的通信频次,若在那个时间段内,用户与某一个或几个用户
的联络频度颇为频繁,则应考虑对那些用户停止查询拜访阐发。
C3)查看与核心人物相关的某个用户的通信行为形态,例如:通信起头时间,完毕时间,
频繁度等。
C4)查看特按时间段内,立功嫌疑人用户与新增用户之间的通信行为,及时发现某些异
常行为。
手机信息时间序列图通过时间维度地展示,十分曲看地反响了与立功嫌疑人账号有联系关系
的用户账号信息及通信行为频次,便于取证人员连系案件发作的时间,对特按时间段内立功
嫌疑人停止通信的用户范畴停止界定,缩小取证范畴。对那段时间与立功嫌疑人通信频次高
的用户或者新增用户起首停止锁定,进而查看此用户在线性关系展示中的详细内容,再连系
案件和内容锁定或者肃清此用户。依次对那段时间内与立功嫌疑人有通信行为的用户停止锁
定或肃清,进步取证效率。
4.2手机信息收集的可视化办法
手机中的信息量相对来说比力小,不敷以构成根底数据,若摘用聚类等数据发掘手艺,
不只效率低下,并且发掘切确度会大大降低,很有可能产生误导。因为手机信息中的某些类
信息含有大量的元数据,且文本信息仅含有一部门,那关于聚类等手艺的实现存在很大的壁
垒。因而,我们足够操纵手机信息中存在的大量元数据,提取关键信息,摘用社会收集阐发
手艺,构建以立功嫌疑人用户为中心的星型人际关系收集图,阐发手机信息中核心人物的通
信行为形式,发掘与立功嫌疑人有联系关系的潜在信息。
摘用统计阐发和社会收集可视化手艺相连系的办法,从取证的角度动身,将手机信息中
用户通信行为之间的联系关系性所构成的人际关系网停止可视化。手机信息收集不只可以让取证
人员愈加曲看天文解收集构造数据之间的关系,并且可以辅助取证人员在短时间内以最天然
处所式发掘和获取数据之间隐躲的特征信息,便于摘取快速有效的战略。因而,手机信息网
络在手机取证的数据阐发过程有着十分重要的意义。
4.2.1手机信息收集模子
手机信息收集与一般的社会收集有所差别,因为手机都是小我化定造,一部手机一般只
限于一小我利用,从取证角度来看,手机中所产生的信息一般是手机拥有者(立功嫌疑人)
停止通信所产生的信息,收集展示形式一般是以持有手机者的单账号或者多账号为中心的星
型收集,其他用户之间的连通性根本不存在,核心人物本身比力明显,不存在区分性。例如
手机中的短信收集,则是以手机用户自己号码为中心与其他用户停止信息互动的收集,其他
用户之间不存在间接联络,不存在连通性,显而易见核心人物即是手机用户。
手机信息收集是指用户借助手机平台与其别人停止信息互动所产生的存储在手机中的信
息聚集构成的收集,因为那些信息集包罗通信人和通信行为关系,因而能够用社会收集表达。
图4.2所示,手机信息收集包罗用户在每个利用法式下停止信息互动所产生的信息收集,
可分为根本信息收集和利用法式信息收集。根本信息收集可分为以用户号码为中心的短信网
络和以联络报酬中心的通话笔录收集。利用法式信息收集又能够分为立即通信、邮箱和社交
收集三大类信息收集。以用户QQ号码为中心的QQ收集属于立即通信类信息收集,以用户
Gmail账号为中心的手机邮件收集属于邮箱类信息收集,以新浪微博账号为中心的微博信息
收集属于社交收集。根据收集类型,又可将分为单账户星型收集和多账户复合收集。
图4.3所示为单账户星型收集,单账户星型收集是立功嫌疑人始末利用单一账号停止通
信所构成的人际关系收集,典型的单账户星型收集包罗短信息收集和通话笔录收集,绝大部
分情状下的手机都是单卡式手机,因而会构成以立功嫌疑人手机号码为中心的通信行为收集。
从上图能够看出,处于收集中心的红色A用户为立功嫌疑人利用的账号,其余是与A发作通
信行为关系的账号,用带箭头的线条表达两者之间的通信行为,单向箭头表达两者之间单向
通信,例如A-C表达A向C发送信息给C } B-A表达B发送信息给A。双向箭头代表
两者之间互相停止通信,例如A一H表达A与H之间彼此发送信息。
图4.4所示为多账号复合收集,多账号星型收集是立功嫌疑人利用多个账号停止通信所
构成的人际关系收集,那些账号可能是立功嫌疑人自己的,也可能是与立功嫌疑人有特殊关
系的用户账号。常见的多账号复合收集根本都是利用法式信息收集,例如立即通信类的QQ
收集,邮箱收集的Gmail收集,社交收集的新浪微博收集等。那些多账号所构成的复合收集
除了以每个账号为中心的星型收集,那些账号之间也有可能停止通信,并且那些账号之间也
可能会存在配合用户账号。从图4.4能够发现,位于收集中心的用户A和B是立功嫌疑人使
用的两个账号,A和B又以本身为中心构成各自的星型收集,A与J、K、L、M、N、0、C、
D、E构成以A为中心的星型收集,B与C、D、E、F、G、H和I构成以B为中心的星型网
络。能够发现A与B的配合账号为C、D和E,且A与B之间也存在互相通信关系。
因为手机立功中,大部门立功嫌疑人城市同时产生单账户和多账户的收集,经常会呈现
以立功嫌疑报酬中心的一对多或者多对多的立功行为,通过敌手机信息中的关键信息和通信
频度停止统计阐发,成立以立功嫌疑报酬核心的单账户或多账户通信收集,从通信收集平分
析出立功嫌疑人可能存在的同伙或者与案件有关的受害者,从而确定立功规模或者受害者范
围,扩展侦查范畴,进而进步案件侦破速度。
图是比线性表愈加复杂的一种数据构造,被普遍利用于社会、天文、化学等差别范畴。
图G一(D,R)中D表达图中数据元素的聚集,R表达那些数据元素之间存在的关系聚集。若
数据元素和关系别离笼统为节点和边,则能够用G一(V,E)表达图,此中v代表结点的聚集,
E表达边的聚集。如节点A和节点B发送通信行为,产生联系关系关系,则能够A与B之间能够
用边(A,句表达,即(A,B)二E.根据边的标的目的性,能够将图分为有向图和无向图。
无向图是指图中的所有边都是无向的,在图G一(v,E)中,关于肆意结点Y,砚任V,当
(M,砚)任E时,则必有(砚,M)任E,则称图G为无向图。无向图中能够用不带箭头的边表达,
因为(:,砚)·(砚,:)。
有向图是指图中所有边都是有标的目的的,边是有节点之间构成的有序对,例如(v,砚表达
结点M与v,之间的一条边,则(Y,砚)一Y。砚,即M表达边的始点,v,表达边的起点。而
(砚,Y)一砚。Y,即v,表达边的始点,M表达边的起点。在有向图中,·(v,砚‘(砚,v)一可
以用带箭头的线段表达两个结点之间的联系关系关系,箭头标的目的由始点指向起点。
手机信息收集次要包罗单账户的星型收集和多账号的复合收集,因为手机信息收集中通
信两边的主被动关系在取证过程中具有十分重要的参考价值,通信两边具有标的目的性,因而摘
用有向图构建手机信息收集。其形式化定义如下:
定义1:以有向图G-(v}E)表达手机信息收集,此中v代表通信行为关系两边的用户账
号的聚集,即V一{{v;lv,代表用户账号};E是有向边(通信行为关系)的聚集,即E一{(v,,v;),v
胜利发送动静给V} } o
n
定义2:手机信息收集中通信两边密切度C一W,,此中W.,一艺‘,W,为用户账号1和用
k =1
户账号j之间的边权值,n表达用户1和用户j之间发送通信行为的交互总次数,W.,的值越大
阐明用户之间的关系越密切,交往越频繁。密切度C的值能够用来权衡用户之间的关系密切
J性。
定义1和定义2只是敌手机信息收集停止形式化定义,以立即通信类收集的QQ信息关
系收集为例停止阐明。在QQ信息的解析中,能够发现QQ的关键信息次要有发送者号码、
发送者昵称备注、发送的信息内容、发送时间、领受者和领受者昵称备注。因为发送者昵称
更能曲看地反利用户的实在信息,而且能独一代表用户,因而统计发送者和领受者昵称备注
的属性值做为用户账号,即V={v;lv,代表昵称备注}}o E代表发送者和领受者的关系聚集,
即E=f}}咐,M胜利发送动静给v}。统计发送者和领受者之间的信息互动总数n,计算两者
之间的边权值W},从而获得两者之间的密切度C。由此构建一个简单的QQ信息收集图,如
图4.5所示:
图4.5是以立功嫌疑人QQ账号昵称A为中心的信息互动收集图,从图中能够发现有三
种信息交换体例:A主动发送动静给E, A与B互相发送动静和D主动发送动静给A,即A
一E, A一B和D-A。用户之间的连线上的数字代表两者之间密切度的值C,从图中可
以发现A与I停止信息互动的密切度更高,即C=16,由此能够看出A与I的关系长短常密切
的。而D发送了一条动静给A后,便没有收到A的回应了,D与A的密切度最小,其实可
以揣测D可能是垃圾信息发送者,发送了一条告白给A,当然那需要通过详细动静内容停止
判定。根据C值的大小,取证人员十分曲看地看察到与立功嫌疑人有密切联络的用户群体,
因而能够为案件的揣度做参考。
4.2.2基于手机信息收集的图主动规划算法
手机信息收集模子是敌手机信息收集的一种形式化描述,详细的展示形式则需要操纵社
会收集可视化手艺停止实现。社会收集大多是基于节点的二维收集图形,一旦收集节点变多
时,便会形成收集中节点之间的毗连线彼此重合,因而收集规划的合理性会严峻影响用户对
收集中包罗的潜在信息的揣度。即便是类似于手机中的信息互动所构成的那种小型收集,如
若收集规划不合理也会增加用户理解收集构造的困难性。因而,敌手机信息收集规划时,应
遵照美学原则,让用户愈加间接、深条理天文解收集构造和社会属性,快速发掘用户想要获
取的信息。
由手机信息收集模子可知,手机中每一种彼此通信而产生的收集数据集所构成的收集都
能够笼统成收集模子G(v,E),例如短信收集,通话笔录收集,QQ聊天笔录收集,手机电子
邮件收集等。此中V是节点的聚集,代表每个彼此通信的实体,例如发送者与领受者。E是
边的聚集,代表实体之间的彼此交换,例如发送者和领受者之间的通信行为。关于边eEE设
定一个权值w}e),权值为正整数,代表通信次数。边的聚集【u;} u,+}」定义为从节点s到节点
t的途径,i=0,1,2, } } },1-1,此中uo=s, u}=1.途径的长度为该途径所有边的权值之和。节点s和t
的间隔d(s,t)为在G收集中毗连s和‘的任何途径的最小长度,节点s和‘的最短途径的聚集
为二St,颠末节点v的途径数记为二Stw).
收集G }V, E)的可视化是将平面的一点尸(、)表达节点、EV,节点尸(。)和尸(、)之间的曲
线代表两者之间的边(u,v)EE,曲线上的数值代表边权值w(e)。因而,收集规划算法能够被
利用于手机信息收集的可视化中,产生契合美学原则而且在特定区域展现的二维收集图。每
组坐标(二(、),,(、))代表一个节点,两坐标之间的有向线段表达发送者与领受者之间的通信行
为,考虑到有向图的美学原则:1、节点散布平均;2、边穿插最小化;3、收集具有对称性。
简化原则:1、每个节点应与其他节点保留必然间隔;2、彼此有通信行为的节点间的间隔应
该靠近。基于上述两条原则,规划问题能够简化为如下公式的最小值问题:
min f }G}V,E}}
(4.1)
那里,
此中,ri
f(G)一艺艺
i=1 j=i+1
L2
}P,一P;}
+艺
(vv,i )eE
Iri一p,}
L2
(4.2)
为节点:二V的位置,}、,一、,…是节点:与v,}的间隔,
:一、n
(4.3)
L为节点vi与v,}的抱负间隔,。代表节点的数量,、代表屏幕的区域,k是协调参数。从
公式(4.2 )能够看出,减末节点与其他节点的间隔会增大第一部门的值,增大有通信行为的
节点间的间隔会增大第二部门的值,因而只要使得f}G)的值最小,即可以规划合适条理结
构清晰的手机取证收集。本文摘用遗传算法求得f(G)的更优解,从而得到手机信息收集的
主动规划算法,使到手机信息收集规划合理,条理清楚,便于取证人员曲看地停止揣度。
遗传算法是计算机科学人工智能范畴用于处理更优化的一种搜刮启发式算法,是进化算
法的一种。它借鉴了进化生物学的一些现象开展起来的,凡是生成有用的处理计划来优化和
搜刮问题。算法整个过程如图4.6所示:
C1初始化:设置进化计数器t=0,更大进化代数为T,随机生成M个个别做为初始群
体P(0)。
C2)评判:计算机群体P(t)中个别的适应度。
C3)抉择:从群体P(t)中抉择称心必然适应度的个别用于繁育下一代。
C4)穿插:对两个个别中的不异位置的基因互换产生新个别。
CS)变异:对群体中的个别串中的某些基因值做异向转化。
C6)末行:t=T时,将整个过程中产生的更大适应度的个别做为更优解输出,算法末行。
4.2.3算法设想与阐发
手机信息收集的规划问题转换成操纵遗传算法求公式(4.1)的更优解问题,因为在手机信
息收集中几乎不存在非中心点之外互相连通的节点社团,在规划方面不会摘用将区域朋分成
差别的部门停止规划,摘用方格法停止规划。摘取那种办法的益处,能够将同时毗连在一个
节点但彼此之间没有连通的节点停止平均散布,连线不会存在穿插现象。此时,只需计算特
定间隔的节点之间的斥力,超越必然间隔的节点之间的斥力无需计算,进而计算f(G):
,统一} }}}LZ}、艺
i一,;一;+} gyp;一pi}(v,v)。
…:,一:,…2
L
(4.4)
s}n
1一2
逐个
d
1,… p,一:,…“
0,} p,一pi}全“
逐个
刀
电
其
可v; )表达节点v; E V在屏幕区域的映射,x; , y,代表p ( v;)在坐标轴中的映射值,因而,
收集G (V, E)所有节点能够映射在特定区域、中:
、一{(x,,)}。三、_ b,。三,三“
(4.5)
公式(4.4)的最小化问题转换为:
min
(X.,})Es
f (x,,)
(4.6)
“中,.f (x} y,一牲1/厂六不+(只
(:一x,)zxi+(,,一,,)z
L
因为手机信息收集的核心人物对取证有着十分重要的价值,因而在收集规划过程中摘用
聚类图的原则。起首计算每个节点的度,包罗出度和进度,那里的度是指通信行为的次数,
将度值更高的节点规划在中心位置,假设那些节点之间互不连通,则将那些节点根据圆形布
局体例规划在中心位置。若所有的节点在各自社团中的度数更高,则不改动那些节点的规划
体例。给那些节点分配如下坐标:
‘1,1、
、尤。,,·)一}2}}2w夕
(4.7)
们
夕
厂lleseeee、
一
夕
厂lleseeee、
xr+,
yr+k=
_生l+Lcos
生w+L sin
2
·ar+,}n
hr+,}n
(4.8)
(4.9)
那里,i=1,2,...,n-r.L为公式(4.3 )中定义的节点间的抱负间隔,通过调整参数k对网
络规划停止优化,本文k值为生
2
0 nr+,为第(:+幻个社团的节点数,氏+,
一。;+,_1+ 2T}r+;}, 8r+r- r+}一。。
公式(C 4.6)的候选集(}x,,y,),}x2,y2),...,}xr,yr))做为遗传算法的染色体,评判每个个别
在收集中的适应度,那些低适应度地个别将被修改做为新的候选集。新的候选集被用于算法
的下一次迭代中。曲到产生公式(4.6 )的最小值(或者一个近似解)才停行迭代。详细设想
如下:
(1)编码
为制止解码和削减施行时间,摘用坐标的实数串(xl y1, .x2, y2, " . ., xr, yr)做为遗传算法的染
色体。
}2)设想适应度函数
为使目标函数获得最小值,定义正数Cmax ' Cmax } f( xl } y1 } x2 } y2 } " . . , xr , yr ),定义适应度
函数为F}x,,y,,x2,y2,...,xr,yr)一Cmax一J (xlylx2}y2}"..,xr}yr) 0
C3)战略抉择
为制止过早收敛,利用Sigma比率转换手艺将个别i的适应度f(i)转换成ExpVal }i),
ExpVal }i)一}{·(f(‘,一f(!)/。(Z)),6(
{1,口L
、0
厂,.f (t)和二(r)别离表达第;代的适应度和原则
)0
方差。关于ExpVal }i),摘取基于适应度比值的抉择战略,同时保留更大适应度的染色体。
C4)参数设定
P表达杂交的概率,月。表达变异概率。那两个参数影响时间消耗和迭代末行的可能性。
针对差别特量的收集设置差别的值,那里N=30只=0.7 } P,n =0.02 0
(5)遗传算子的设想
关于杂交算子,抉择两个父体A一(a,, a2, . . ., a2Y)和B一伍,b2,...,b2Y),杂交位置为3则会
产生两个新个别A'一(a,,a2,a3,b4,...,b2Y)和B'一伍,b2,b3,a4,...,a2Y)。
关于变异算子,摘用随机突变,详细构想如下:假设突变挑选的第k代成员中的父体为
A一(a,,a2,...,ak,...,a2小其Y坐标的值区间为【。,川。颠末一次突变挑选后得到一个新个别:
A,一(a,,a2,...,ak,一:),此中a;一{
ak+△(t, d一ak),Random } 2 )-
ak+△(t, a、一c),Random } 2)-
那里,Random}2)称心△}t} y)一,(‘一Y(‘一t/T)5),O}t,y)E}O,y」且0 (t一T, y)一0时,其
值为0或1, t和T别离代表当前变异次数和更大变异次数。那表白在早期变异过程中会停止
大范畴地搜刮,在后期则停止部分调整。
(6)末行原则
根据预先规定的更大演化代数,颠末几代突变称心前提时末行。
因而,基于手机信息收集的遗传算法的图主动规划算法伪代码如下:
Begin:
t=O,initialize(p(t));
Evaluate(P(t));
while tT Do
begin
P1=Select(P(t));
P2=Crossover(P(1));
P(t+1)=Mutate(P2);
Evaluate(P(t+1));
t++;
end
Draw_ Graph(G,X,Y)函数施行过程中,节点的x和Y坐标轴便被规划在指定区域内,同时
节点之间的度值大小也被确定,根据度值的大小停止迭代,将附近的值规划在齐心圆周中,
构成以中心节点为核心的聚类图规划收集。
本系统摘用C#实现了基于手机信息收集的图主动规划算法,并根据尝试数据绘造了如图
4.7所示图例。
从图例中能够看到,摘用此种算法绘造的图,都规划在区域中心,而且非连通图之间在
往区域中心的同时连结必然的间隔,每个节点之间的间隔平衡,以核心节点为中心散布平均,
构造条理清晰。别的,此算法办法简单,随便实现,便于修改,且易于并行化,能够间接用
来绘造非连通图。
4.3本章小结
本章次要介绍了手机信息收集的时间序列和社会收集阐发的可视化办法,从取证角度出
发,通过时间维度和二维收集将手机信息关系收集停止可视化,便于取证人员发掘一些潜在
信息。起首,操纵时间属性构建时间维度,将时间属性值笼统化,接着统计用户之间的通信
行为频次,表现用户之间在时间维度的关系收集。其次,根据手机信息的特征,定义了单账
户星型收集和多账户复合收集那两品种型,再根据那两品种型敌手机信息收集停止形式化定
义,构建手机信息收集模子和权衡用户行为特征的密切度。最初,根据手机信息收集模子的
特征和节点散布,连系遗传算法的特征,提出了基于手机信息收集的图主动规划算法,并利
用此算法绘造了部门图例,停止测试。
第五章系统实现与阐发
本章在前三章的研究根底上,设想并开发了Android手机取证系统,系统次要包罗三个
模块功用,Android手机信息静态取证模块,Android利用法式信息动态取证模块,关键信
息时间序列与社会收集的可视化模块。此套手机取证系统能对目前市场上支流的Android手
机停止取证,可以实现根本信息和各类版本的四大类支流利用法式的静态与动态取证,再对
提取的手机信息停止时间序列阐发和社会收集阐发,论述某类信息通信行为的时间线和人际
社会收集,并以图表的形式曲看地闪现,便利查询拜访人员停止查询拜访,能够明白查询拜访的标的目的。
5.1关键信息数据库设想
因为Android手机信息的提取与阐发中除了含有时间、内容、联络人等关键信息,还含
有序列号、空值等冗余信息,并且许多利用法式的数据都存储在差别的表中,需要对那些表
中的字段停止联系关系解析。那不只增加领会析时间,并且因为展现的信息中含有大量垃圾信息,
从而增加了取证人员的取证阐发难度。因而本节敌手机信息的数据库停止优化,删除冗余数
据,为静态解析与展现供给数据集,同时也做为时间序列和社会收集阐发的数据根底,系统
间接对优化后的数据库停止操做,进步了系统运行速度。
因为Android手机信息次要包罗根本信息和利用法式信息两大类,根本信息包罗短信息、
联络人和通话笔录,利用法式信息包罗立即通信、邮箱、阅读器和社交收集,如图5.1所示。
因为原始的Android手机短信息、联络人和通话笔录别离存在每个利用法式包名下的数
据库中,而且每个数据库中含有大量的冗余数据表,在现实阐发过程中那三类根本信息的关
键信息都只存储在一张或两张表中。对多部手机的提取过程能够发现,每部手机的根本信息
数据库都是一样的,因而能够将提取的关键信息存储在一个数据库中,每张表代表一类信息。
BasicInfo.db是存储根本信息的数据库,它包罗message, calls和addressbook那三张表,此中
message存储着从短信息中提取的关键信息,calls存储着从通话笔录中提取的关键信息,
addressbook存储着从联络人中提取的关键信息。
然而,从原始利用法式数据库信息的提取能够发现,每一类利用法式都包罗良多利用程
序,例如邮箱类包罗Gmail, Hotmail, QQ邮箱、Foxmail、网易邮箱等利用法式,跟着挪动
互联网的开展,将会有更多的邮箱类利用法式产生。并且,每个利用法式都包罗大量的冗余
数据,且关键信息都存储在多个表中,需要联系关系多个表才气提取关键信息,因而考虑每类应
用法式的可扩展性以及数据的聚合度,将每一类利用法式关键信息存储在一个数据库中,那
类利用法式的关键信息存储在那个数据库的表中。例如邮箱类利用法式的关键信息存储在
MailBoxInfo.db中,它的表中存储着邮箱类利用法式的所有信息。每个利用法式都包罗两张
表,一张表存储账号信息,另一张表存储邮件信息,例如Gmail_ accounts表存储着Gmail的
账号信息,Gmail_ message存储着Gmail的邮件往来信息。
关键信息数据库的构造设想包罗逻辑构造设想和物理构造设想。对Android手机关键信
息的阐发能够设想如下数据构造:
C1)短信息(索引号,联络人姓名,德律风号码,短信内容,时间,短信类型)
C2) QQ账号(QQ号,昵称)
C3) QQ聊天笔录(QQ号,昵称,聊天类型,发送者QQ,发送者昵称,领受者QQ
领受者昵称,时间,内容)
C4) QQ群信息(群账号,群昵称,群主,群签名,群内成员)
CS) QQ分组信息(老友账号,老友所在分组,昵称,备注,签名)
C 6 ) Gmail账号信息(账号,密码,类型)
C 7 ) Gmail邮件信息(发送者,领受者,主题,发送时间,承受时间,内容,附件)
C8) QQ阅读器汗青笔录(网站,网址,拜候时间)
C9) QQ阅读器书签(网站,网址,标签时间)
C10)新浪微博主页(发布者,内容,发布时间)
C11)新浪微博账号信息(账号,密码,昵称)
C12)新浪微博老友(老友昵称,老友分组,分组名称)
从设想的数据项能够看出,每一类利用法式的数据构造都是根据其自己的构造停止优化
和设想的。例如,QQ包罗账号,群,分组,聊天笔录那四张表。构造和条理十分清晰,便
于取证人员停止取证阐发。因为篇幅限造,以短信息库为例停止阐发设想。逻辑构造设想如
下所示:
本系统的数据库都是S QLite数据库,因而挪用SQLite的利用法式接口创建数据库与表。
短信信息的物理构造实现如下:
CREATE TABLE message
(id integer,
contact TEXT,
phonenumber TEXT,
body TEXT,
date TEXT,
type TEXT
5.2手机信息静态取证的实现与阐发
由Android手机信息提取手艺的研究能够发现存储在手机中的数据信息次要是根本信息
和利用法式信息,那些数据次要存储在以利用法式包定名的文件夹子目次中的SQLite数据库
中,那些数据自己存在那必然的联系关系性,次要关键信息有用户名、交换内容、时间等,除了
那些关键字段数据以外同时含有大量的冗余数据。
本节次要从取证角度动身,对数据停止有效、可靠、完全地提取,而且以可视化的证据
展示体例停止展现同时可将展现的数据以excel表格的形式停止保留,做为最初的法庭证物。
同时,在提取的过程中摘用数据完全性查验办法对逻辑副本停止hash值计算,在阐发的过程
中摘用细分数据对象的原则,对每个数据对象摘用hash函数停止查验,将初始的细分数据对
象与阐发后的数据对象停止比照,以验证数据的完全性、有效性和可靠性。
因为利用法式不竭更新、不竭丰富,若主法式中包罗每个利用法式的提取与阐发代码,
则不只显得法式冗余并且会对后期的庇护带来困难。因而系统摘用插件机造,将每个利用程
序封拆成动态链接库(DLL,主法式挪用每个法式的动态链接库。只需对后期更新和扩展的
利用法式停止封拆,由主法式挪用即可,制止了因为利用法式频繁地改变而不竭改动主法式
的费事。通过插件机造,我们的利用法式能够更大化的获得可扩展性、适应性和不变性,而
且便于软件的庇护和晋级。手机信息的提取原理如图3.35所示:
C1定义getFileListInDir办法,遍历对应途径下的所有文件,婚配包罗该利用法式关键
字的文件,并返回该文件的全途径。详细原理:实例化DirectoryInfo类,操纵DirectoryInfo
类的GetFileSystemInfos办法返回该目次下所有文件名和子目次的一个数组,操纵foreach,
FileSystemInfo类和DirectoryInfo类对返回的所有文件和子目次停止遍历,若为文件名与关键
字婚配,则返回此文件的全途径。若为目次,则迭代挪用getFileListInDir办法,进进子目次
中,陆续遍历和婚配,未找到婚配文件则返回NULL值。
C2)断定Path的值能否为空值,若为空值,则未含有利用法式数据,提取完毕。不然
对得到的数据库文件摘用MDS算法生成hash值。以往的计算机证据固定都是基于整个文件,
而手机与计算机的更大差别点是手机能够与运营商停止信息互动,出格在对Android手机进
行暂时提权后,一定会改动原始数据,假设仍然对整个备份文件生成hash值,则会与原始文
件镜像hash值纷歧致,招致整个数据会遭到法庭的量疑。连系手机信息的特征,本文提出细
分数据对象查验办法,别离将短信、联络人、通话笔录、QQ等利用法式的数据库做为一个
数据对象停止划分,对那些数据文件摘用MDS算法生成hash值,对信息提取前后两次的hash
值停止比照。间接挪用MDSCryptoServiceProvider类,利用ComputeHash办法,计算Stream
对象的哈希值。起首操纵FileStream类对遍历后的数据库文件停止读取。然后创建MDS算
法,计算数据库文件的hash值,并返回字节数组。最初将字节数组转换为16进造的字符串
并展现。
(3)别离实例化TreeView和DataGridView类的子节点和列表,操纵SelectedNode获取
选定的 TreeView子节点。此时通过SQLiteConnection成立毗连对象,指定SqlConnection对
象的ConnectionString属性,翻开此途径下的数据库文件。
(4)实例化SQLiteCommand类,创建SQL语句,读取数据。操纵S QLiteD ataReader
的Reader办法遍历读取的数据,将数据添加到TreeView的子节点和DataGridView的对应列
中,展现。
(5)挪用Microsoft.Office.Interop.Excel动态链接库,实例化一个Excel.Application对象,
新增加一个Workbook工做簿,操纵for轮回将DataGridView中的第一列属性值导进到Excel
的列头中,生成Excel列头名称。通过两层for轮回语句,将DataGridView中的数据库导进
到Excel中,保留Workbook和Excel到用户指定的文件,完毕Excel历程。
如图5.3所示为根本信息中的通话笔录的线性关系界面展现,包罗通话笔录的5中关键
信息,那种线性关系的展现相比照较曲看,取证人员能够根据案件停顿情状,挑选在某个时
间段立功嫌疑人的通信行为信息,进一步缩小查询拜访范畴。当然,取证人员也将那些潜在的证
据保留到excel表格中,一方面操纵excel的功用停止挑选查找,另一方面将那种证据闪现给
法庭,做为证据的一部门,图5.4为通话笔录的excel表格形式。
根据取证原则和取证流程能够发现,若那些用户数据的原始性和完全性无法得到包管,
则其做为证据往阐明或者辩驳某件事务的法令效劳会大大降低,因而根据手机信息证据特征
划分为两大类,根本信息和灵敏信息。再对那两大类停止细分,每大类中的一种信息做为基
础数据元素停止细分。例如,根本信息能够细分为短信、联络人、通话笔录。在整个静态信
息提取过程中对信息提取前后的数据对象停止完全性查验,摘用MDS算法生成hash值,比
较前后两次的hash值的一致性来断定用户数据能否被窜改。本系统将生成的hash值比照关
系保留到excel中做为法庭证物,进而断定用户数据的原始性、完全性。
图5.5为信息提取前后的hash值比照关系图,从图中能够看出来,短信、联络人、QQ"
Gmail、新浪微博、UC阅读器等用户数据在信息提取前后的hash值是一致的,那阐明在整个
静态取证过程中,那些数据没有发作窜改或者毁坏,具有原始性和完全性,因而那些数据在
阐明或者辩驳某些事务中具有法令效劳,能够被法庭承受。从图中能够发现系统设置的前后
两次的hash值纷歧致,那阐明系统设置在提取过程中数据发作了改动,那是因为在信息提取
前需要将手机调成飞翔形式,将USB调试形式翻开等操做,此外手机若处于未root形态,需
操纵暂时root的办法敌手机停止暂时提权,那自己也改动了系统设置中的一些参数值。因而,
系统设置的数据发作了改动,招致了前后hash值的纷歧致。但,那其实不影响用户数据的法令
效劳。
5.3利用法式信息动态取证的实现与阐发
利用法式信息动态取证模块次要操纵Android SDK中仿实器的特征,连系利用法式的特
性,对四大类的利用法式停止动态取证,利用法式的当地信息能够曲看地在仿实器上展现,
同时能够获得长途收集信息,为证据的搜集与阐发供给了填补。动态取证明现原理如图5.6
所示:
根据Android手机系统版本信息,挪用”reat avd"号令创建与Android手机版本一致的仿
实器,再操纵”mulator"号令启动创建的仿实器。根据市场上四大类各个版本的利用法式成立
xml格局的规则库,包罗利用法式名和对应的利用法式包名,遍历”/data/app"途径下的利用程
序和”data/data"途径下的利用法式文件夹,将截取的软件名和软件利用法式文件夹名与规则
库中的利用法式名和利用法式包名停止婚配,婚配胜利则别离返回利用法式的全途径和利用
法式文件夹的全途径,同时挪用利用法式的属性值例如利用法式大小,利用法式名等。将应
用法式的相关信息在DataGridView和Label控件中展现。当触发安拆软件时,挪用”adb install"
号令和利用法式全途径,将选中的利用法式安拆在模仿器中。此时触发仿实复原事务,调
用”db pull"和利用法式文件夹的全途径,将选中的利用法式信息仿实到安拆的利用法式中。
挪用“emulator“号令,重启模仿器,再次启动软件,此时取证人员即可以对此利用法式停止
动态取证。
动态取证模块利用的案例是做者的中兴U880的Android手机,以QQ2011为例停止动态
取证,如图5.7为动态取证界面图,从图中能够看到右边是用户软件安拆列表,那代表了用
户在手机中安拆过的而且存在的利用法式,此列表能够清晰地看到用户安拆的四大类的各个
版本的软件,便于取证人员有针对性地停止动态取证。可仿实利用列表为规则库中婚配胜利
的可仿实的利用法式文件信息,此列表默认选中婚配胜利的利用法式信息。图5.7所示,当
用户点击安拆软件时,即可以将QQ2011利用法式安拆到仿实器中,此时,取证人员能够曲
接对仿实器停止操做,启动软件。启动软件胜利后,间接点击仿实复原,即可以将QQ2011
的利用法式信息复原到仿实器中,封闭模仿器,再次启动模仿器,然后启动软件,即可以曲
接操纵用户保留的密码停止登录,对此中的数据停止取证和阐发,如图5.8所示。
从图5.8能够发现,第一幅片图中展现的是用户在某个时间点的聊天笔录,此时取证人
员能够根据案情开展情状,有偏重地挑选某个时间段的聊天笔录停止阐发和取证。在仿实器
中的信息构造和手机的信息构造完全一样,信息的层级构造愈加清晰,愈加便于取证人员快
速地停止阐发,查看老友、群信息、比来联络人等等。QQ信息的动态取证不只能够阐发其
当地信息,还能够获取QQ的长途收集信息,例如用户QQ空间的形态,网盘,日记等等。
第二幅片图展现的即是用户QQ空间的形态,通过对长途收集信息的阐发和取证,取证人员
能够掌握立功嫌疑人在某个时间段的社交活动范畴和行为倾向等,也有可能获取立功嫌疑人
的部门立功事实的证据,为案件的进一步开展供给有效地搀扶帮助。
5.4时间序列与社会收集可视化实现与阐发
摘用动态取证与静态取证的办法能够对详细的内容停止挑选,找到有案件有关的证据,
但那种人工阐发工做量大,耗时,因而能够操纵时间序列和社会收集可视化办法,将大量的
联系关系数据反映到时间维度和二维收集空间中,便利取证人员敏捷找到用户之间的联系关系关系,
进步取证速度。时间序列和社会收集可视化次要操纵GDI+的Graphics, Pen和Brush等类以
及第四章中的图主动规划算法停止实现。
5.4.1关键信息时间序列的实现与阐发
将手机信息中的数据之间通信关系以时间停止排序,反响通信两边跟着时间的迁徙的通
信关系,以可视化的形式展示给取证人员,愈加曲看地展现证据之间的联络。本文摘用第四
章的时间序列模子停止可视化展现,实现原理如图5.9所示:
定义构造体MobileInformation,遍历优化后的数据构造,将发送者、领受者和时间那三
个属性值存储到构造体中,操纵for轮回联络人和时间的数量。挑选出手机用户的账号,使
用System.Drawing定名空间,新建Graphic s类,操纵show办法展现绘图窗体,实例化Pen
类,摘用黑色、2像素的线条宽度画笔停止绘造,实例化Point办法,以用户账号(0,0为坐
标原点绘造坐标轴,以坐标原点为基准绘造Y轴,根据统计的联络人对Y轴停止平分,并依
次将联络人账号打印在Y轴坐标点上。再操纵Point办法绘造X轴,根据统计的联络人通信
时间对X轴停止平分,将时间值依次打印到X轴坐标点上。遍历构造体中的联络人和时间,
与联络人的X轴和时间的Y轴展现值停止婚配,并将婚配的坐标点的X和Y值存储在动态
二维数组中。新建Brush基类,实例化DrawLine办法,遍历动态二维数组中的坐标值,挪用
DrawLine办法将坐标原点与遍历的坐标点之间绘造黑色曲线,完成整个时间序列图。
如图5.10所示为通话笔录的时间序列图,从部分图中能够十分曲看地看到立功嫌疑人(本
机)与联络人“m”之间在2012年4月28号中午停止了两次通话,在2012年4月28号晚
上与联络人“山公”停止了一次通话,在2012年4月29号中午与联络人“李标”发作了一
次通话,在2012年4月29号晚上与联络人“星星”发作了两次通话。
通过整个时间序列图能够十分曲看地看到立功嫌疑人与联络人“m”之间的通话频次和
通话起头时间,连系案件发作的时间段,能够对时间序列图中该时间段中立功嫌疑人与此联
系人之间的通话频次停止比力曲看地把控,再连系该联络人在其他时间段与立功嫌疑人的通
信关系,揣度此联络人与立功嫌疑人之间能否具有某种特殊关系,例如为立功嫌疑人的同伙
或受害者。当然也能够从图中能够看出联络人“m”与立功嫌疑人的通话法例,根据此法例
能够比力随便地掌握此联络人呈现的反常行为,例如在某段时间内通话频次突然变得十分频
繁或者在某段时间内与立功嫌疑人无任何通话笔录,再连系该联络人静态阐发中此段时间内
的详细通话内容好比通话时长等信息做进一步揣度。
时间序列图将联络人与立功嫌疑人之间的联系关系关系通过时间的开展挨次停止展现,能够
十分曲看地看察某一个联络人与立功嫌疑人之间的整个事务开展过程中的通信行为,可以帮
助取证人员连系时间段做出快速揣度。
5.4.2关键信息社会收集的实现与阐发
以优化后的数据库数据为根底,摘用第四章的手机信息收集模子和基于手机信息收集的
图主动规划算法敌手机信息的人际关系收集停止绘造。以类聚图的体例间接展现立功嫌疑人
的人际关系收集,以一个或多个账户为类聚中心,与账户有通信行为关系的账户则用带箭头
线段停止毗连,箭头表白通信标的目的,箭头上的数字表达通信频次,整个收集的规划平均、对
称。实现原理如图5.11所示:
根据数据库中的关键信息属性值,统计通信关系两边的主动、被动联络次数与联络人数
目,根据账号表统计利用者用户账号的数目。实例化Graphics办法,绘造画图窗体,实例化
Point办法,以利用者用户账号为节点中心停止绘图,挪用QuickGraph库中的
Random Graph_ Layout随机图生成办法生成初步收集关系图,计算画图窗面子积,根据k值、
窗面子积和节点数目计算抱负间隔L。摘用for语句遍历节点,依次计算两节点之间的斥力和
引力,此中斥力则根据L停止揣度,若斥力大于抱负间隔则漠视斥力,不然计算斥力。根据
斥力和引力从头计算节点之间的坐标值,参照第四章设定的N, P二和P计算每个节点的适应
度,不竭迭代,调整节点的坐标位置,曲到称心更大迭代次数时停行迭代,完成整个收集图。
图s.12为QQ2o 11聊天笔录的社会收集关系图,从图中能够十分曲看地发现此收集类型
为多账号的复合收集图,立功嫌疑人利用该手机登岸了两个账号,别离以郑冬亚(626228734)
和王超(188128683)为核心人物停止通信行为,产生人际关系收集图。以两个账号为整体进
行阐发能够发现,两个账号之间也停止了通信,此中郑冬亚发了s条信息给王超,王超回复
了4条信息给郑冬亚。从图中能够发现两者之间配合的聊天账号包罗王振宇、肖哥、邵泽慧
和墨小龙那四小我,此中墨小龙的密切度更高,密切度值到达s7和22,那四小我与那两个
账号都有互动,四个账号与立功嫌疑人自己具有比力密切的关系且以墨小龙的关系最密切,
取证人员能够连系静态取证和动态取证查看起首查看墨小龙的详细聊天笔录,再查看其他三
小我的聊天笔录,停止初步揣度。以每个账号为核心停止阐发能够发现,郑冬亚与13小我进
行了聊天,此中郑冬亚发送了一条信息给三菊却没有收到回复,而周伟伟、咖uj和山公均发
送信息给郑冬亚却未收到回复,其他账号均与郑冬亚产生了互动,从以郑冬亚为核心的人际
关系网中能够发现墨小龙与郑冬亚之间的密切度更高,其值为57,而三菊、周伟伟与郑冬亚
的密切度更低,其值为1,因而取证人员对郑冬亚的聊天笔录停止静态和动态取证时能够先
查看墨小龙的聊天笔录,再查看联络比力少的其他账号,停止初步揣度。从以王超为核心人
物的收集中能够发现,王超与17小我停止了聊天,此中互动的人有9人,主动发信息给王超
的有6人,王超主动发送信息的有2人,密切度更高的是肖哥,密切度更低的是牛年生人。
取证人员能够对肖哥的聊天笔录停止静态和动态取证,查看肖哥的聊天笔录,停止初步揣度。
整个收集图的规划时以类聚图的体例停止展现的,摘用基于遗传算法的图主动规划算法
停止规划,别离以核心账号为类聚中心,核心账号规划在收集的中心,与核心账号有通信关
系的节点规划在齐心圆上,节点之间的间隔平衡,条理清晰,不存在穿插线条,十分便于取
证人员连系案件对图中隐躲的潜在证据停止揣度。
5.5本章小结
本章次要连系第三章和第四章的研究手艺功效设想并开发了一个系统,详尽介绍了次要
模块的实现原理,并连系实例对取证成果停止阐发。起首介绍了系统的数据库设想,接着重
点介绍了静态取证、动态取证和证据可视化模块的实现原理与取证成果阐发。因为文章篇幅
限造,三大模块只能以此中一种手机信息为例停止阐发。此中静态取证模块和时间序列图以
通话笔录信息为数据根底停止阐发,动态取证模块和社会收集图则以立即通信类的QQ聊天
笔录信息为数据根底停止阐发。
第六章总结与展看
6.1总结
跟着智妙手机的普及以及收集通信手艺的开展,人们操纵智妙手机停止手机立功的现象
变得越来越普及,智妙手机取证与以往的传统手机取证又不尽不异,智妙手机取证的研究已
经成为了电子取证范畴的一个重要研究方面。若何有效、快速、合法地获取智妙手机中的证
据是司法机关面对的困难。
本文以Android系统为研究平台,讨论了Android手机中的数据源类型,并对那些数据
停止提取和线性阐发,操纵仿实器实现了利用法式的动态仿实,最初以提取的数据为根底,
构建手机信息时间序列和社会收集模子,并通过社会收集可视化的办法将立功嫌疑人的联系关系
关系在时间维度和二维空间中停止展现,构造清晰,条理清楚,便于取证人员快速、有效地
从大量的数据中找到与案件有关的潜在证据。
次要研究内容如下:
C1)论述了智妙手机取证的研究意义、国表里研究现状。
C2)介绍了Android系统构造及其特征,简单介绍了数据存储机造和平安机造。
C3)研究了当前手机取证原则,连系Android手机特征,提出了Android手机取证流程
模子。
C4)根据Android手机的平安机造,研究了其权限分配机造,并提出了一种暂时root
权限提取办法
(5)研究了手机根本信息和利用法式信息的静态提取和线性阐发办法,次要对短信息、
通话笔录、联络人、QQ, Gmail、新浪微博等信息停止提取,并对那些信息的数据构造停止解析。
C6针对静态解析中呈现的问题,提出了一种动态取证办法,操纵Android仿实器,将
利用法式信息仿实到仿实器中停止取证,该办法可以实时、动态地对那些信息停止阐发。
C7)操纵手机信息中存在的逻辑关系,构建时间序列模子和手机信息收集模子,并根据
模子特征提出了基于手机信息收集的图主动规划算法,将手机信息中存在的联系关系关系反响到
时间维度和二维收集空间中,使得取证人员可以愈加曲看、快速地揣度手机信息收集中的潜
在信息,进步取证的效率。
C8)根据以上研究功效,设想了Android手机取证系统,并编程实现了此系统。起首对
整个手机的数据库停止了设想,过滤了冗余数据和无价值数据,以此做为阐发的数据根底,
使得取证阐发愈加有效。系统次要分为静态取证模块、动态取证模块和证据可视化模块,其
中静态取证模块次要包罗数据的提取和线性阐发,动态取证模块包罗利用法式的过滤、仿实
器的创建和利用法式仿实,证据可视化模块包罗根本信息和利用法式信息的时间序列关系图
和社会收集关系图的可视化。最初操纵实例对整个系统停止阐发和评估。
6.2展看
本文起首对Android手机取证办法停止研究,最初通过Android手机取证系统停止实现
和阐发,但因为时间和手艺的限造,将来还需要在以下几个方面做进一步研究:
C1)本文只实现了Android手机2.2-4.03版本的暂时root权限提取办法,跟着Android
系统版本的继续更新,需要对以后的版本停止研究,实现对更多版本的权限提取。
C2)因为本文摘用逻辑提取办法敌手机中的数据停止提取,只能获取一部门数据,需要
研究通过物理提取办法实现敌手机中的数据停止彻底的恢复办法。
C3)在动态取证过程中,因为数据是实时、动态地,不成制止地会形成数据的改变,如
何确保动态取证中的数据的合法性,那也需要做进一步研究。
C4)在证据可视化办法中,本文只是根据手机信息自己的逻辑关系通过时间维度和二维
收集空间停止了展现,跟着手机数据量的日益增加,若何操纵数据发掘手艺,主动阐发数据
中存在的联系关系关系成为了进一步的研究内容。