安卓手機(jī)取證技術(shù)論文
安卓手機(jī)取證技術(shù)論文
安卓手機(jī)的普及,諸如近年來常見的電子郵件詐騙、短信騷擾、掛馬網(wǎng)站非法交易等違法犯罪行為也再逐漸激增。下面是小編精心推薦的一些安卓手機(jī)取證技術(shù)論文,希望你能有所感觸!
安卓手機(jī)取證技術(shù)論文篇一
Android系統(tǒng)手機(jī)取證分析
摘要:現(xiàn)代社會(huì)中,手機(jī)犯罪現(xiàn)象作為高科技犯罪的一種,亟待研究相應(yīng)的對策加以應(yīng)對,智能手機(jī)的普及使對手機(jī)取證技術(shù)的研究邁向新的高度,越來越多的智能手機(jī)采用Android系統(tǒng),針對Android系統(tǒng)手機(jī)取證的電子證據(jù)來源以及取證分析方法進(jìn)行了相應(yīng)地介紹和研究,最后提出采用Android系統(tǒng)的手機(jī)取證應(yīng)解決的問題。
關(guān)鍵詞:手機(jī)犯罪;手機(jī)取證;Android
中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012) 05-1052-05
The Forensic Analysis of Android Mobile Phone System
PEI Shan-shan
(Department of Information Science and Technology, ShanDong University of Political Science and Law, Jinan 250014, China)
Abstract: In modern society, mobile phone crime phenomenon as a high-technology crime, need to study and the corresponding counter? measures to deal with, the popularity of intelligent mobile phone make the mobile phone on evidence research to a new height, wherein more and more intelligent mobile phone use Android system.this paper mainly introduces the Android system mobile phone forensics elec? tronic sources of evidence and forensic analysis method, finally puts forward using Android system should solve the problem of mobile phone forensics.
Key words: mobile phone crime; mobile phone forensics; Android
1概述
信息技術(shù)迅猛發(fā)展的今天,作為當(dāng)今最為普及的信息技術(shù)產(chǎn)品,各種手持設(shè)備發(fā)展日新月異。手機(jī)是當(dāng)今社會(huì)最重要的通訊工具之一,更新?lián)Q代發(fā)展迅速,不再僅僅停留在通訊功能上,智能手機(jī)逐漸成為市場新寵,以前需要一臺(tái)電腦才能具備的功能,現(xiàn)在往往一個(gè)手機(jī)就能具備。其中android系統(tǒng)作為一款開源手機(jī)系統(tǒng),很成功的吸引了大批開發(fā)者,android系統(tǒng)手機(jī)市場潛力劇增,android系統(tǒng)手機(jī)的迅猛發(fā)展的同時(shí),利用手機(jī)進(jìn)行詐騙、誹謗和偽造等犯罪活動(dòng)隨之而來。為打擊這一系列的犯罪活動(dòng)和維持社會(huì)的穩(wěn)定,迫切需要我們對android系統(tǒng)手機(jī)進(jìn)行取證技術(shù)方面的相關(guān)研究。[1]
2 Android系統(tǒng)手機(jī)取證概述
Android系統(tǒng)手機(jī)的市場份額逐年快速增長,2011年第一季度,Android系統(tǒng)在全球的市場份額首次超過塞班系統(tǒng),躍居全球第一。2011年11月數(shù)據(jù),Android占據(jù)全球智能手機(jī)操作系統(tǒng)市場52.5%的份額,中國市場占有率為58%。并且可以預(yù)見它將有更大的市場空間。
隨著越來越多的人加入到使用Android系統(tǒng)手機(jī)的隊(duì)伍當(dāng)中,并且可以利用Android系統(tǒng)手機(jī)可以代替計(jì)算機(jī)處理很多日常應(yīng)用,用戶大量的信息存儲(chǔ)在Android系統(tǒng)手機(jī)上,對于犯罪分子的作案工具Android系統(tǒng)手機(jī),我們可以通過某些操作獲取其數(shù)據(jù)副本,并多次加以分析,最終挖掘出更有效的信息,Android系統(tǒng)手機(jī)取證應(yīng)運(yùn)而生。[2]
電子證據(jù)是科技高速發(fā)展的產(chǎn)物,是將法律與高科技相結(jié)合的一種新形式的證據(jù)。
Android系統(tǒng)手機(jī)取證就是對Android系統(tǒng)手機(jī)通過技術(shù)分析,確保收集手機(jī)內(nèi)的相關(guān)數(shù)據(jù),并最終從中獲取具有法律效力、能夠幫助公安人員破案的證據(jù)的過程。
Android系統(tǒng)手機(jī)有操作系統(tǒng),用戶可以安裝軟件、游戲、程序、擴(kuò)充它的功能,還可以接入網(wǎng)絡(luò)上網(wǎng),獲得更多的資源,無異于一臺(tái)微型計(jì)算機(jī)。
2.1取證源
Android系統(tǒng)手機(jī)取證的重要證據(jù)源是由手機(jī)的內(nèi)存、用戶識(shí)別卡、SD卡以及移動(dòng)運(yùn)營商的業(yè)務(wù)數(shù)據(jù)庫構(gòu)成的。
2.2證據(jù)信息的內(nèi)容
聯(lián)系人、通話記錄、短信息、多媒體信息、瀏覽網(wǎng)頁、錄音文件等。[3]
3 Android手機(jī)取證工具
手機(jī)取證在實(shí)際的操作過程當(dāng)中,出現(xiàn)了式樣繁多的取證軟件,并且已經(jīng)被越來越廣泛的使用,但是現(xiàn)在這些手機(jī)取證工具都或多或少的存在一些弊端,僅使用其中一種取證工具還很難達(dá)到我們的取證要求,只有對這些取證工具進(jìn)行綜合使用,才能滿足調(diào)查人員的特定需求。
1)Final Shield:是一種用來屏蔽手機(jī)信號(hào)的取證輔助工具,該工具通過內(nèi)部USB與Android系統(tǒng)手機(jī)進(jìn)行連接,計(jì)算機(jī)或特定的手機(jī)取證工具利用Final Shield外部USB與該設(shè)備進(jìn)行連接,作為手機(jī)取證的輔助工具共同得到有效的電子證據(jù),可以有效的防止取證過程中有電話打入或短信接收,從而造成手機(jī)原始數(shù)據(jù)不必要的破壞或丟失。
2)XRY:是一款便攜式取證箱,用來手機(jī)內(nèi)存轉(zhuǎn)儲(chǔ)和采集數(shù)據(jù)的工具。此設(shè)備是由SIM卡讀寫器、USB通信單元、數(shù)據(jù)線、記憶卡讀卡器、SIM復(fù)制卡等組成的。在安全模式下可以讀取Message, telephone number, address books, pictures, video等。該工具效果理想,并且容易操作,可以方便快捷的完成手機(jī)數(shù)據(jù)的分析、獲取、查看工作,同時(shí),還能通過加密文件的創(chuàng)建,保護(hù)數(shù)據(jù)不被其他未經(jīng)允許的人員進(jìn)行查看。該工具完成取證工作后,會(huì)得出相應(yīng)的分析報(bào)告,方便調(diào)查工作人員查看詳細(xì)的取證結(jié)果。
3)Oxygen Forensic:該工具通過運(yùn)用高級(jí)底層通訊方式,獲取更多數(shù)據(jù),相比其他對智能手機(jī)、PDA以及普通手機(jī)的邏輯分析軟件,顯示了更大的優(yōu)越性,尤其適合于Android系統(tǒng)手機(jī)的取證工作。[4]
4)BitPIM:BitPIM是一種電話管理軟件,能夠查看Phone book, calendar, wallpapers, ringtones等數(shù)據(jù)。該軟件可以在Linux等操作系統(tǒng)上運(yùn)行,前提是需要我們安裝正確的驅(qū)動(dòng)程序。
5)CELLDEK:CELLDEK是一款便攜式手機(jī)取證箱,可以提取Android系統(tǒng)手機(jī)的原始數(shù)據(jù)。設(shè)備中嵌入一臺(tái)筆記本,數(shù)據(jù)的提取和分析就是通過筆記本內(nèi)的特定軟件來實(shí)現(xiàn)的。
4 Android系統(tǒng)手機(jī)取證方法
所謂取證的概念,即是對潛在的手機(jī)數(shù)據(jù)證據(jù)進(jìn)行分析提取的過程,最終取得有效的證據(jù)和案件線索,對Android系統(tǒng)智能手機(jī)的取證工作,主要需注意以下幾點(diǎn):
1)保證手機(jī)電量,切忌因電量不足意外關(guān)機(jī)??梢詼?zhǔn)備手機(jī)電源線,及時(shí)對手機(jī)進(jìn)行充電;采用Android系統(tǒng)的手機(jī)有些數(shù)據(jù)在刪除后并不會(huì)立即清除,只有在下次重啟以后,才會(huì)被完全清除掉,這是因?yàn)锳ndroid系統(tǒng)手機(jī)在數(shù)據(jù)處理上與傳統(tǒng)手機(jī)存在差異。所以說,在Android系統(tǒng)手機(jī)取證的過程中,保證充足的電量是十分必要的。
2)將手機(jī)設(shè)置為飛行模式,防止取證過程中有電話打入或短信接收,造成手機(jī)原始數(shù)據(jù)的破壞。
3)無線網(wǎng)連接需斷開,因?yàn)槿绻謾C(jī)在取證過程中連上網(wǎng)絡(luò),也可能造成數(shù)據(jù)破壞。
4)首先對手機(jī)SD卡和內(nèi)存的原始數(shù)據(jù)進(jìn)行備份,然后再開始分析備份好的數(shù)據(jù)。
5)成功備份手機(jī)內(nèi)存數(shù)據(jù)后,可以單獨(dú)分析SIM卡和SD卡中的數(shù)據(jù)。[5]
5 Android手機(jī)的取證分析
5.1電話本信息
電話本信息存儲(chǔ)在/data/data/com.android.providers.contacts/databases里面的contacts2.db文件中。
圖1電話本文件
打開后可顯示所有聯(lián)系人電話,截圖如圖2:
圖2聯(lián)系人信息
5.2通話記錄信息
通話記錄信息也是存儲(chǔ)在/data/data/com.android.providers.contacts/databases里面的contacts2.db數(shù)據(jù)庫文件中。通話人,接的電話,撥打的電話及通話時(shí)間都可以很準(zhǔn)確的查看到。
圖3通訊記錄信息
5.3短信息
短信息存儲(chǔ)在/data/data/com.android.providers.telephony/databases里面的mmssms.db文件中。
圖4短信息文件
打開mmssms.db文件后可看到所有短信內(nèi)容及發(fā)件人手機(jī)號(hào)。
圖5短信息內(nèi)容
5.4多媒體信息
多媒體信息是在/data/data/com.android.providers.media/databases里面做了個(gè)鏈接文件external-f6f21cel.db,實(shí)際是存儲(chǔ)到了SD卡中了,打開該文件可清晰的看到,其中手機(jī)錄音也存儲(chǔ)在這個(gè)文件中。
圖6多媒體文件
1)歌曲信息
圖7歌曲信息
2)圖片信息
圖8圖片信息
3)視頻信息
圖9視頻信息
5.5瀏覽的網(wǎng)頁信息
瀏覽網(wǎng)頁信息存儲(chǔ)在/data/data/com.android.browser/databases里面的browser.db文件中。
圖10網(wǎng)頁信息
打開browser.db文件后可看到用Android系統(tǒng)手機(jī)自帶瀏覽器瀏覽到的所有網(wǎng)頁題目及網(wǎng)址。
圖11網(wǎng)頁題目及地址
6面臨的問題
由于Android系統(tǒng)手機(jī)的標(biāo)準(zhǔn),設(shè)備及網(wǎng)絡(luò)的多樣性,它的取證較困難。市場上也出現(xiàn)了一些商業(yè)產(chǎn)品,但Android系統(tǒng)手機(jī)取證還有許多問題亟待解決,主要表現(xiàn)在:
1)采用Android系統(tǒng)的手機(jī)種類繁多,很多數(shù)據(jù)線等沒有統(tǒng)一的標(biāo)準(zhǔn),使取證工作變得復(fù)雜。
2)對Android系統(tǒng)手機(jī)數(shù)據(jù)進(jìn)行完全鏡像備份的軟件工具還較少;
3)如今對Android系統(tǒng)手機(jī)取證工作還主要停留在數(shù)據(jù)獲取階段,分析數(shù)據(jù)的能力還需要進(jìn)一步提高和完善;
4)目前我國自主研發(fā)的取證工具還不是很成熟,而國外的取證工具由于代碼的保密性,還存在不小的風(fēng)險(xiǎn);且成本較高;
5)缺乏Android系統(tǒng)手機(jī)取證的技術(shù)標(biāo)準(zhǔn)和規(guī)范;
6)進(jìn)一步完善相關(guān)政策法律,為手機(jī)取證工作提供強(qiáng)有力的法律保護(hù)和政策支撐。
7結(jié)束語
Android系統(tǒng)手機(jī)取證是打擊手機(jī)犯罪現(xiàn)象有效的技術(shù)手段,在很多方面與計(jì)算機(jī)取證有共通之處,但是由于它的物理特點(diǎn)以及Android系統(tǒng)手機(jī)功能的日益強(qiáng)大,在取證領(lǐng)域中所占的比重越來越大。本文針對Android系統(tǒng)手機(jī)的特點(diǎn),對其取證源、證據(jù)信息及取證方法進(jìn)行分析研究,并列舉了一些常用的取證工具,最后提出了Android系統(tǒng)手機(jī)取證技術(shù)面臨的問題,本文對Android系統(tǒng)手機(jī)取證工作進(jìn)行的初步研究探討,以期對手機(jī)的取證工作提供有價(jià)值的參考依據(jù)。
參考文獻(xiàn):
[1]戴吉明.手機(jī)取證及其電子證據(jù)獲取研究[J].計(jì)算機(jī)與現(xiàn)代化,2007(5):100-101.
[2] Svein Y,Willassen,M.Sc.Forensic Analysis of Mobile Phone Internal Memory[C].IFIP WG 11.9 conference on Digital Forensics in Orlando. Florida.2005.
[3]杜江,褚?guī)?智能手機(jī)取證研究[J].電腦知識(shí)與技術(shù),2011(9):2120-2121.
[4] Christopher V,Marsico,Marcus K. Rogers.iPod Forensics[J].International Journal of Digital Evidence,Fall 2005.
[5]黃芹華,歐陽為民.手機(jī)及小型手持?jǐn)?shù)字設(shè)備數(shù)字取證研究綜述[J].計(jì)算機(jī)工程與應(yīng)用,2009,45(18):83-84.
點(diǎn)擊下頁還有更多>>>安卓手機(jī)取證技術(shù)論文