針對安卓移動終端設(shè)備的數(shù)據(jù)取證技術(shù)分析

趙斌 何涇沙 萬雪姣 張玉強 劉公政 北京工業(yè)大學(xué)

針對安卓移動終端設(shè)備的數(shù)據(jù)取證技術(shù)分析

趙斌 何涇沙 萬雪姣 張玉強 劉公政 北京工業(yè)大學(xué)

從技術(shù)層面介紹了安卓系統(tǒng)移動終端數(shù)據(jù)恢復(fù)的邏輯技術(shù)和物理技術(shù)，并提出了時間序列、文件系統(tǒng)、字符串匹配等相關(guān)的數(shù)據(jù)分析技術(shù)。

安卓 取證 數(shù)據(jù)恢復(fù) 數(shù)據(jù)分析

一、引言

隨著安卓操作系統(tǒng)在移動終端中的應(yīng)用越來越廣泛，針對安卓版本的移動終端設(shè)備數(shù)據(jù)取證成為當(dāng)前的研究重點之一。在取證過程中，電子數(shù)據(jù)信息是用二進(jìn)制數(shù)據(jù)表示的，以數(shù)字信號的方式存在，而數(shù)字信號是非連續(xù)性的，故意或由于其他差錯對數(shù)字證據(jù)進(jìn)行的變更、刪除、刪減、剪接、截收和監(jiān)聽等，都會導(dǎo)致對數(shù)據(jù)的篡改。因此，應(yīng)融合磁盤及內(nèi)存數(shù)據(jù)恢復(fù)、數(shù)據(jù)挖掘、加密、反向工程、解決技術(shù)等其它理論和技術(shù)，對證據(jù)給予充分的安全保障。

本文針對司法鑒定中所涉及的安卓版本移動終端設(shè)備的數(shù)字取證問題，從技術(shù)層面闡述了數(shù)據(jù)恢復(fù)和分析的相關(guān)技術(shù)。

二、數(shù)據(jù)恢復(fù)技術(shù)

針對安卓系統(tǒng)的取證技術(shù)，從本質(zhì)上分為邏輯技術(shù)和物理技術(shù)兩類，即邏輯數(shù)據(jù)恢復(fù)技術(shù)和物理數(shù)據(jù)恢復(fù)技術(shù)。

邏輯技術(shù)通過訪問文件系統(tǒng)的手段來實現(xiàn)對所分配的數(shù)據(jù)進(jìn)行挖掘；所分配的數(shù)據(jù)是指那些沒有被刪除的數(shù)據(jù)，可以通過訪問文件系統(tǒng)獲得。針對安卓系統(tǒng)的邏輯數(shù)據(jù)恢復(fù)技術(shù)一般指從當(dāng)前的文件目錄下獲取數(shù)據(jù)文件，并進(jìn)行邏輯分析的技術(shù)。當(dāng)前對于使用安卓操作系統(tǒng)的移動終端設(shè)備來說，所有與應(yīng)用程序相關(guān)的數(shù)據(jù)和信息都存放在data/data/目錄下，每種不同的應(yīng)用程序在該目錄下用可區(qū)分的不同子目錄存放本程序的數(shù)據(jù)文件，例如：手機彩信相關(guān)文件所在目錄為data/data/com.Android.mms、聯(lián)系人相關(guān)文件所在目錄為data/data/com.Android. Contacts等。上述的每個目錄下都會有一個databases目錄，這個目錄中所存儲的是一些對應(yīng)于該應(yīng)用程序的SQLite數(shù)據(jù)庫文件（SQLite是安卓操作系統(tǒng)所采用的數(shù)據(jù)庫程序）。通過Google官方提供的調(diào)試工具adb，可以查

（一）邏輯數(shù)據(jù)恢復(fù)技術(shù)

看所有目錄中存儲的文件，并可以方便地將需要用于邏輯分析的SQLite數(shù)據(jù)庫文件提取到運行adb工具的PC機上，然后就可以使用某種數(shù)據(jù)庫文件查看器（如SQLite expert）對提取到的數(shù)據(jù)庫文件進(jìn)行查看和分析。

這種數(shù)據(jù)獲取和分析方式操作簡單、易于實現(xiàn)，可以從SQLite數(shù)據(jù)庫文件中獲取大量信息，例如瀏覽器瀏覽記錄、聯(lián)系人、短信/彩信記錄等。但是這種方式的缺陷也很明顯，用該方法進(jìn)行數(shù)據(jù)取證的唯一來源就是各種應(yīng)用程序正在使用的SQLite數(shù)據(jù)庫文件當(dāng)前內(nèi)容，一旦某些應(yīng)用程序已經(jīng)卸載而致使該類型數(shù)據(jù)庫文件不再存在，或者應(yīng)用程序?qū)?shù)據(jù)庫中的某些內(nèi)容已經(jīng)作過刪除處理，這些信息就無法從數(shù)據(jù)庫文件中獲取。另外，SQLite 數(shù)據(jù)庫的某些文件中數(shù)據(jù)庫記錄一旦被刪除，也將不能顯示。

與傳統(tǒng)的邏輯技術(shù)相比較，在安卓取證中采用一些特殊的工具與技術(shù)，依賴于內(nèi)容提供商內(nèi)置在安卓平臺或軟件開發(fā)套件（SDK）技術(shù)，從所獲取的邏輯數(shù)據(jù)中恢復(fù)被刪除的數(shù)據(jù)庫數(shù)據(jù)。

物理技術(shù)直接將存儲數(shù)據(jù)的物理介質(zhì)作為目標(biāo)，而不是依賴于文件系統(tǒng)來實現(xiàn)對數(shù)據(jù)的訪問。物理技術(shù)最重要的優(yōu)點在于可以訪問到大量被刪除的數(shù)據(jù)。

針對安卓系統(tǒng)的物理數(shù)據(jù)恢復(fù)技術(shù)指通過某種手段直接對安卓設(shè)備的硬件存儲區(qū)域直接進(jìn)行鏡像，生成數(shù)據(jù)鏡像文件并進(jìn)一步分析的技術(shù)。獲取目標(biāo)數(shù)據(jù)存儲的物理映像取證技術(shù)通常能夠繞過口令的保護，獲得被修復(fù)的數(shù)據(jù)按照指數(shù)數(shù)量級增加；不僅能夠訪問到已經(jīng)被刪除的數(shù)據(jù)，而且還能夠訪問到系統(tǒng)認(rèn)為不再需要而丟棄的數(shù)據(jù)。從結(jié)構(gòu)上說，物理數(shù)據(jù)恢復(fù)在邏輯數(shù)據(jù)恢復(fù)的下層，是邏輯數(shù)據(jù)恢復(fù)的基礎(chǔ)。依據(jù)獲取鏡像手段的不同，可以分為基于硬件的物理數(shù)據(jù)恢復(fù)技術(shù)以及基于軟件的物理數(shù)據(jù)恢復(fù)技術(shù)二大類：

（1）基于硬件的技術(shù)：將硬件與終端設(shè)備實現(xiàn)連接的方法，或者是物理上實際獲取終端設(shè)備部件的方法；

（2）基于軟件的技術(shù)：將終端設(shè)備中的軟件在具有root 訪問權(quán)限條件下運行的技術(shù)，以獲得數(shù)據(jù)分區(qū)完整的物理映像。

基于硬件的方法需要專門并且通常很昂貴的儀器以及對取證人員培訓(xùn)，但是對于無法獲得 root 訪問權(quán)限的終端設(shè)備非常有效?；谲浖奈锢砑夹g(shù)是一個更加直接的數(shù)據(jù)獲取途徑，因而通常也是最好的開始點。當(dāng)然，必須首先獲得終端設(shè)備上的 root 訪問權(quán)限，基于軟件的技術(shù)

（二）物理數(shù)據(jù)恢復(fù)技術(shù)

才成為可行。

1. 基于硬件的物理技術(shù)

（1）JTAG技術(shù)

JTAG 技術(shù)于上世紀(jì)80年代提出，目的是為印刷電路板布線和相互連接的測試制訂一個標(biāo)準(zhǔn)。到1990年，此標(biāo)準(zhǔn)完成了制訂，正式成為電機與電子工程師協(xié)會（Institute of Electrical and Electronics Engineers，IEEE）的標(biāo)準(zhǔn)，具體來說就是 IEEE 1149.1-1990（IEEE SA, n.d.），隨后又在2001年進(jìn)行了更新，標(biāo)準(zhǔn)也變?yōu)镮EEE 1149.1-2001。此標(biāo)準(zhǔn)得到廣泛接受，目前，大多數(shù)印刷電路板都有JTAG 測試訪問接口（JTAG Test Access Ports，TAPs），支持對中央處理器（CPU）進(jìn)行訪問。

每一個JTAG 測試訪問接口都會向外呈現(xiàn)不同的信號，大多數(shù)的移動終端設(shè)備都擁有以下接口：

·TDI Test Data In（測試數(shù)據(jù)入）

·TDO Test Data Out（測試數(shù)據(jù)出）

·TCK Test Clock（測試時鐘）

·TMS Test Mode Select（測試模式選擇）

·TRST Test Reset（測試初始重置）

·RTCK Return Test Clock（返回測試時鐘）

雖然JTAG 是從安卓終端設(shè)備的 NAND 閃存中抽取數(shù)據(jù)的一種途徑，但因其操作復(fù)雜性和困難度較大，在處理 JTAG焊接點過程出現(xiàn)任何差錯，或者是給電路板供應(yīng)錯誤的電壓，不但會造成JTAG無法再使用，而且會對終端設(shè)備造成嚴(yán)重的損壞，因此只能由接受過足夠的培訓(xùn)以及具有處理微印刷電路板焊接點經(jīng)驗的人員勝任，故JTAG通常不是物理獲取安卓終端設(shè)備取證映像的首選。

（2）芯片摘?。–hip-off）

芯片摘取技術(shù)實際上就是將 NAND 閃存從終端設(shè)備中取出，在外部對其進(jìn)行檢查、分析，獲得存儲在 NAND閃存芯片中數(shù)據(jù)的物理映像的技術(shù)。此技術(shù)不但可以用于修復(fù)已經(jīng)遭到毀壞的終端設(shè)備中的數(shù)據(jù)，也可以有效地分析使用口令保護的終端設(shè)備，獲得取證數(shù)據(jù)。

芯片摘取技術(shù)涉及到以下三個主要環(huán)節(jié)：

第一步，將NAND閃存從終端設(shè)備中實際地取出?？梢酝ㄟ^斷開焊接點或者使用特殊儀器設(shè)備，通過噴出熱氣及吸取的方式將芯片取出；還可以將芯片加熱到特定溫度后，將 NAND 閃存從終端設(shè)備中取出。在這個過程中，NAND閃存很容易遭到損壞，但是通過特殊硬件，配以控制軟件，可以將NAND閃存從終端設(shè)備中實際地取出。

第二步，重建導(dǎo)電球。修復(fù)芯片底部的導(dǎo)電球的過程被稱為重建導(dǎo)電球，在修復(fù)之前芯片必須首先經(jīng)過清洗，然后再進(jìn)行修復(fù)，這是因為取出芯片過程常常會損壞芯片底部的連接頭。

第三步，將取出的芯片插入到配有NAND 閃存設(shè)置程序的特殊硬件設(shè)備中，以對芯片進(jìn)行讀取，獲得存儲在NAND閃存芯片中數(shù)據(jù)的物理映像。應(yīng)該注意的是：這些特殊硬件設(shè)備必須能夠為具體的NAND閃存通過程序進(jìn)行設(shè)置，并且能夠支持若干很流行的芯片。

雖然芯片摘取技術(shù)在數(shù)據(jù)恢復(fù)過程中非常有效，是執(zhí)法機構(gòu)認(rèn)可、且非常有用的取證技術(shù)之一，但是將NAND閃存取出的過程將是毀滅性的，將NAND閃存重新粘連到印刷電路板上并使其正常運行是非常困難的；不僅要求取證檢查師具有非常專業(yè)化的訓(xùn)練和技能，還需要擁有干凈并受到電磁場輻射保護的操作環(huán)境。

2. 基于軟件的物理技術(shù)

基于軟件的物理技術(shù)與基于硬件的物理技術(shù)相比較具有很多優(yōu)勢?；谲浖募夹g(shù)更容易執(zhí)行，因為通常直接對文件系統(tǒng)進(jìn)行訪問，能夠完整地拷貝出所有的邏輯文件（簡化某些分析），幾乎沒有損壞終端設(shè)備或丟失數(shù)據(jù)的風(fēng)險。

要使用基于軟件的物理技術(shù)，首先必須獲得root訪問權(quán)限，然后才能運行數(shù)據(jù)獲取程序。安卓終端設(shè)備上的root訪問權(quán)限并不能夠默認(rèn)地獲得；如果在某些特定情況下想要獲得 root 訪問權(quán)限，通常只對完整的、可持續(xù)的root 訪問權(quán)限進(jìn)行跟蹤。然而，從取證分析的角度來看，則更加希望獲得臨時的root訪問權(quán)限或者是通過特定的修復(fù)模式而獲得的root訪問權(quán)限。獲得root訪問權(quán)限需要注意以下問題：

（1）在很多情況下，獲得root訪問權(quán)限會改變終端設(shè)備。

（2）root訪問權(quán)限技術(shù)不但隨著制造商以及終端設(shè)備的不同而不同，而且還隨著不同版本的安卓系統(tǒng)，甚至隨著系統(tǒng)所使用的Linux核的不同而不同。

（3）獲得root訪問權(quán)限的多數(shù)技術(shù)并不理想，權(quán)限數(shù)據(jù)常包含不準(zhǔn)確的信息。

root訪問權(quán)限一般分為以下三種類型：

·利用相關(guān)技術(shù)獲得臨時的root訪問權(quán)限：這種root訪問權(quán)限通常在系統(tǒng)重啟后就不再有效。在這種情況下，adb后臺進(jìn)程通常在沒有root訪問權(quán)限的條件下運行。

·通過定制的只讀內(nèi)存（ROM）而獲得的root 訪問權(quán)限：定制的只讀內(nèi)存（ROM）通常將 adb 后臺進(jìn)程在具有 root 訪問權(quán)限的條件下運行。

·修復(fù)模式 root訪問權(quán)限：通過閃建一個特定的修復(fù)分區(qū)，或閃建定制的只讀內(nèi)存（ROM）的部分內(nèi)容而獲得的修復(fù)模式 root訪問權(quán)限。定制的只讀內(nèi)存（ROM）通常將adb后臺進(jìn)程運行在具有 root訪問權(quán)限的條件下，大多數(shù)被修改過的修復(fù)分區(qū)也如此。

獲得一個新的終端設(shè)備或者是一個新版本的root訪問權(quán)限，必須要有一個獨立的終端設(shè)備用于測試，在保證整個測試過程運行正常、數(shù)據(jù)沒有丟失的情況下，通過測試技術(shù)來確定root訪問權(quán)限。在此情況下，雖然測試工作非常耗費時間，但測試是一個非常重要的步驟。

三、數(shù)據(jù)分析技術(shù)

（一）時間序列分析技術(shù)

時間序列分析是定量的預(yù)測方法之一，是任何取證調(diào)查中的關(guān)鍵，是利用按時間順序排列的一組數(shù)據(jù)序列，應(yīng)用數(shù)理統(tǒng)計方法加以處理，以預(yù)測未來事物的發(fā)展。因為任何事件的發(fā)生時間都是取證過程中的參考指標(biāo)，在數(shù)據(jù)分析過程中構(gòu)造出正確無誤的取證時間序列極其重要。

時間序列信息主要來源于文件系統(tǒng)的元數(shù)據(jù)，包括修改（文件元數(shù)據(jù)）、訪問、變化（文件內(nèi)容）及創(chuàng)建等時間戳信息。文件系統(tǒng)跟蹤不同的時間戳，在取證分析的過程中計算延遲和精確度，得出細(xì)微的時間差別。如果人工分析時間序列，將耗費巨大的工作量。目前，對于支持的文件系統(tǒng)（如SD卡以及嵌入式多媒體卡上的FAT16/FAT32文件系統(tǒng)），已經(jīng)存在有數(shù)種可以用于構(gòu)建時間序列的算法。然而，目前沒有任何分析工具支持YAFFS2文件系統(tǒng)，對于不同的安卓終端設(shè)備以及不同的安卓版本，相關(guān)的文件系統(tǒng)都會有所不同。因而在現(xiàn)有基于Apriori性質(zhì)的時間序列分析算法的基礎(chǔ)上，需構(gòu)建、設(shè)計新的自適應(yīng)時間序列算法來應(yīng)對安卓操作系統(tǒng)的更新變化。

新的自適應(yīng)時間序列算法通過分析來自程序調(diào)試日志、stat命令以及模擬NAND閃存設(shè)備中nanddump的相互對立數(shù)據(jù)，為在NAND閃存上的每一個文件和目錄都生成相應(yīng)的MAC時間點，根據(jù)時間點，從NAND閃存或ObjectHeaders（從系統(tǒng)提供但是不存在的塊中的垃圾回收站中找到的）中所收集的完整元數(shù)據(jù)信息中得到完整的時間信息。新的自適應(yīng)時間序列算法將是對YAFFS2文件系統(tǒng)開展取證研究的基礎(chǔ)。

（二）文件系統(tǒng)分析技術(shù)

安卓系統(tǒng)是基于Linux內(nèi)核的開源手機操作系統(tǒng)，與其他操作系統(tǒng)一樣，采用了分層的架構(gòu)。從高層到低層分成應(yīng)用程序?qū)?、?yīng)用程序框架層、中間件層和Linux核心層四個層。

文件系統(tǒng)分析算法通過創(chuàng)建一定容量的nandsim終端設(shè)備，容納下Droid中的“/data”分區(qū)。使用nandwrite命令將數(shù)據(jù)和OOB區(qū)域拷貝到模擬的NAND閃存中去。對于從Droid 上獲得的完整的“/data”文件系統(tǒng)，從工作站上可以進(jìn)行訪問，匹配適應(yīng)的數(shù)據(jù)分析技術(shù)（SQLite數(shù)據(jù)庫查看器）就可以對相關(guān)數(shù)據(jù)進(jìn)行分析鑒定。

（三）文件分割技術(shù)

文件分割技術(shù)是指對具體的文件類型進(jìn)行查找與獲取的技術(shù)，它的基本理論是將目標(biāo)文件以二進(jìn)制形式進(jìn)行讀寫，并分割成一定大小的多個二進(jìn)制文件，傳送到目的地后得到的是整個磁盤或分區(qū)的取證映像。文件分割的工作原理是基于已知的文件頭信息，通過檢查二進(jìn)制數(shù)據(jù)對文件進(jìn)行識別。如果從文件的格式定義中知曉文件尾，文件分割將從文件頭開始掃描，直至找到文件尾（或者是在配置文件中設(shè)置的文件最大長度），然后將分割的文件保存在磁盤上，以備隨后對其進(jìn)行取證檢查。

傳統(tǒng)的文件分割技術(shù)要求映像中的數(shù)據(jù)按照順序進(jìn)行存儲，因此在文件分段存儲的情況無法獲得整個文件。將文件分段存儲的原因是由于文件分割隨著文件系統(tǒng)類型的不同而變化，而且根據(jù)內(nèi)存的不同而不同，如 NAND 閃存中非常大的文件（如視頻文件）很難被恢復(fù)。

針對碎片文件的制約問題，設(shè)計獨立于任何文件系統(tǒng)的文件分割算法，從配置文件中讀取滿足要求的文件頭和文件尾定義，使它能夠從原始映像中抽取出文件，用于恢復(fù)文件系統(tǒng)中的重要元素，對于取證分析來說是一個非常有價值的工具。

（四）字符串匹配技術(shù)

串匹配問題是計算機科學(xué)中的一個基本問題，也是復(fù)雜性理論中研究得最廣泛的問題之一。它在文字編輯處理、圖像處理、文獻(xiàn)檢索、自然語言識別、入侵檢測等領(lǐng)域有著廣泛的應(yīng)用。串匹配問題實際上就是一種模式匹配問題，即在給定的文本串中找出與模式串匹配的子串的起始位置。字符串匹配技術(shù)在數(shù)字取證時，根據(jù)已知信息對二進(jìn)制信息進(jìn)行快速查找，即通過關(guān)鍵字搜索獲得準(zhǔn)確信息。字符串匹配的實現(xiàn)可以有多種算法，如BF算法、KMP算法、BM算法等。

由于谷歌地圖服務(wù)已經(jīng)緊密地集成在安卓操作系統(tǒng)中，使安卓終端設(shè)備存在著大量的位置信息，設(shè)計運行于Ubuntu虛擬機中、支持功能強大以及正項表達(dá)式的復(fù)雜模式匹配算法是必要的。

（五）其它技術(shù)

在很多取證過程中，基于物理獲取數(shù)據(jù)之后的邏輯獲取、分析通常可以得到足夠的案件信息。然而，某些案件還是需要更深入的分析，以找到已經(jīng)被刪除的文件或未知的文件結(jié)構(gòu)之間內(nèi)在的聯(lián)系，這就會涉及到更多的相關(guān)技術(shù)，如數(shù)據(jù)庫技術(shù)和數(shù)據(jù)挖掘技術(shù)，XML解析技術(shù)，這些成為安卓取證中必不可少的技術(shù)；如十六進(jìn)制編輯器可以幫助辦案人員準(zhǔn)確地看到存儲的是什么數(shù)據(jù)。尋找其模式，或?qū)⒖梢宰R別被刪除的或從前見過的數(shù)據(jù)結(jié)構(gòu)。

本文介紹了針對基于安卓系統(tǒng)的移動終端數(shù)據(jù)恢復(fù)的邏輯技術(shù)和物理技術(shù)及數(shù)據(jù)分析技術(shù)，有助于公安辦案人員獲取涉案人員在所使用的智能手機或其他移動終端設(shè)備中存有的通訊錄、通話記錄、來往信息、數(shù)碼照片、各類文件等用戶信息和數(shù)據(jù)，并盡可能對已經(jīng)被刪除的以上信息和數(shù)據(jù)進(jìn)行恢復(fù)，以滿足案件偵查的需要。另外，能夠增強人們對相關(guān)信息和數(shù)據(jù)的保護意識，并利用更加有效的手段來保護這些信息和數(shù)據(jù)的安全。

四、總結(jié)

[1] 周敏,龔箭. 分布式計算機取證模型研究[J]. 微電子學(xué)與計算機,2012,2(29):40-43.

[2] 王雪玉. 云計算取證的5項基本技能[J]. 金融科技時代, 2012,(01):45-46.

[3] 武魯,王連海,顧衛(wèi)東. 基于云的計算機取證系統(tǒng)研究[J]. 計算機科學(xué),2012,5(39):83-85.

[4]陳丹. 計算機取證技術(shù)探討[J].福建電腦,2013(01):78-79.

[5] 郭陳陽,楊龍. 計算機取證技術(shù)在打擊犯罪中的應(yīng)用[J].計算機光盤軟件與應(yīng)用,2012(09):82-83.

[6] 吳紹兵. 云計算環(huán)境下的電子證據(jù)取證關(guān)鍵技術(shù)研究[J]. 計算機科學(xué),2012,11(39):139-142.

[7] 張俊,麥永浩. 云計算環(huán)境下仿真計算機取證研究[J].信息網(wǎng)絡(luò)安全,2011(10):7-9,12.

[8] 楊衛(wèi)軍,張佩軍,溫萬造.Android手機短信獲取與恢復(fù)方法.警察技術(shù),2013(03).

[9] 王雪玉. 云計算取證的5項基本技能[J].金融科技時代,2012(01): 45-46.