一種基于備份的手機易失性數據獲取方法

曹飛 胡濤

摘 要：首先介紹了智能設備進行易失性數據取證的重要性，并說明了其難點在于對易失性數據的獲取上，其后介紹了幾種易失性數據獲取的方法。但是每種方法都有缺陷，因此提出了一種基于備份的易失性數據獲取方法，沒有使用環境的要求，也不會污染其他進程的易失性數據，對不同操作系統的支持也比較好，使得取證人員能夠很方便獲取重要的證據數據。

關鍵詞：智能設備；易失性數據；取證；基于備份

中圖分類號：TP309 文獻標識碼：A

Abstract：In this paper，we introduces the importance to carried out volatile data from smart devices and explains their difficulty lies in obtaining data on the volatile.Thereafter describes several methods to capture the volatile data.But all methods have different drawbacks，so we proposed a method based on backup of volatile data acquisition，which does not have environmental requirements，also will not contaminate other processes of volatile data，supports for different operating systems is relatively good，so that people can easily obtain evidence important evidence data.

Keywords：smart devices；volatile data；live forensics；backup

1 引言（Introduction）

隨著科技進步和數字移動通信網絡的普及，智能手機和平板電腦已經成為生活的必備工具。據統計，截止2015年2月，移動電話用戶總數達到12.9億，其中相當大的比例為智能手機用戶。根據美國市場研究公司IDC發布的報告，2015年全球智能手機出貨量增長10.4%，達到14.4億部[1]。

與此同時，隨機技術的發展，以智能手機為代表智能設備的計算能力越來越強大，使其在基本的電話和短信之外，具備了更多的功能，成為了人們工作、娛樂、交際的重要工具。甚至有人把以手機為代表的新興傳播形式稱為繼報紙、廣播、電視、互聯網之后的“第五媒體”。但是，智能設備在給人們帶來遍歷的背后，也常常被犯罪分子利用作為犯罪工具[2]。譬如，犯罪分子利用智能設備來詐騙、誹謗他人，甚至窺探、傳播他人隱私，使其日漸成為新型犯罪工具。因此對智能設備的取證研究越來越重要，存在智能設備中的各類數據作為一種新的證據形式，也越來越多的作為訴訟證據之一，發揮了巨大的作用[3]。

當前大部分對智能設備的取證都是針對存儲在內存卡和閃存上的非易失性數據取證的研究，比如。而對存儲在運存上的易失性數據獲取方法還比較少。然而由于手機廠商眾多，并且同一個廠商的產品也具有不同的型號，使智能設備的易失性數據取證更加困難。本文既是提出一種方法來完成對不同設備的易失性數據的獲取。

由于設備沒有間斷的運行，導致內存的數據在不斷的變化中，特別是在手機在處于聯網狀態的時候，所以確定需要取證的時候，要首先完成對易失性數據的獲取，并且不能修改設備的狀態包括關閉網絡連接、干擾手機信號等，因為這些操作的同時就會修改一些內部數據，從而造成數據的丟失。完成易失性數據的獲取過后，在進行對非易失性數據進行取證調查[4]。

2 研究現狀（Research status）

雖然現在沒有一種統一方法來完成對智能設備的易失性數據獲取，但是也有了很多相關的研究。由于智能設備也是電子隨便的一種，因此取證方法和普通PC類似。易失性數據獲取的一般方法就是斷開網絡，然后對當前內存數據進行鏡像備份，最后通過對鏡像進行分析，獲取關鍵性證據信息。移動設備的操作系統是運行在有限資源之上的，內存的容量還是受限，因此其需要在未經用戶許可的情況下移除一些優先級較低的進行，以分配內給優先級較高的進程。但是，有些重要證據就是存儲在優先級較低的進程上的，因此，在智能設備易失性數據電子取證的重點就是獲取這些易失性數據[4]。

易失性數據的獲取方法包括物理獲取和邏輯獲取。物理獲取又叫硬件獲取，通過獨立的硬件設備完全繞過操作系統，且不在目標機上運行任何應用程序，最后完成將全部的物理內存的數據鏡像拷貝到另外的存儲設備之中。在普通的PC上面，物理獲取的主要方法有通過PCI接口、FireWire接口等通過特殊的接口來實現。PCI接口通過預先安裝特定的專用取證設備，利用DMA來獲取對內存的直接訪問，可以不依賴操作系統，不需要運額外的代碼；缺點是不支持熱拔插，需要預先安裝。FireWire也是直接通過DMA訪問，取證人員將一個包含適當程序并且能夠向FireWire設計控制器發送特定的指令來啟動設備。但是這些方法在移動智能設備上都不能使用，因為移動設備由于其小巧，不可能具有這么大的接口存在。邏輯獲取也叫軟件獲取，通過安裝特定的取證軟件來訪問內存數據，進而將其轉儲成物理鏡像。在這方面，移動設備和普通PC的方法類似。

在智能移動設備的易失性數據獲取上，研究人員也提出了許多不同的方法。Willassen提出了一種獲取存儲在易失性存儲介質如RAM的物理獲取方法[5]，需要拆卸手機進而從印刷版電路（PCB）獲取到存儲介質，然后使用JTAG芯片測試接口獲取其中的易失性敏感數據。在這個過程之中，需要保持電源的持續連接，并且為了減少數據丟失的可能，需要對其進行降溫處理。G.Me和A.Distefano提出了一個內部獲取而不是通過USB等接口的外部獲取方法，并完成了MIAT（Mobile Internal Acquisition Tool）工具，該工具需要安裝在內存卡內部，使手機具有從內存獲取數據能力，并在10到15分鐘之內獲取到內存上的所有數據。該工具存在的問題是需要手機重啟一次且運行在恢復模式，然而在重啟的過程中會修改一些文件和數據。但是，這些修改的數據是可以接受的，并且比一些常用的修改工具如Paraben和XRY的取證方法所修改的數據要少。

在另外一個研究上，Irwin和Hunt提供了一種使用網絡連接來獲取敏感數據的方法[6]，可以通過Wi-Fi或者GSM來完成，基于Windows Phone的。為了完成這項研究，他們開發出了四種工具來完成數據的獲取和傳輸工作。第一個工具叫做CTASms（Contact、Task、Appointment和SMS），完成從Windows Phone的PIM（個人信息管理中心）提取數據。這個工具通過復制PIM中的數據并發送到其他設備中來完成數據的獲取功能。在這個工作中，需要使用到另外的兩個工具：ActiveSync和DataGrabber。ActiveSync也是安裝在手機上的，主要工作是使用網絡連接來發送CTASms獲取的數據到工作站上，完成同步工作。DataGabber設備就是安裝在工作站上的工具，功能是接受ActiveSync發送的數據并分類存儲。最后一個工具叫做SDCap（存儲設備捕獲），通過遠程連接安裝有DataGrabber的工作站，獲取到同步的數據并進行分析，完成最后的證據獲取功能。由于需要使用移動網絡，因此該研究的使用具有很大的局限性，并且在完成數據傳輸的過程中對易失性數據的修改也是比較多的。

此外，L.L.V.Thing和E.C.Chang提出一種自動執行易失性數據的分析方法[7]。他們通過研究易失性數據的動態行為，分析不同的應用數據的實時數據對證據呈現的重要性，找到了在不同的應用場景需要的不同參數。他們的實驗表明，手機向外發送的數據比接受到的數據對取證分析上具有更大的作用，因此在數據獲取的時候，應該更多的傾向于獲取手機本身產生的數據。根據此原理，他們開發了一個數據獲取工具MemGrab用來獲取特定類型的易失性數據，并進行了后續分析。在一個實際的應用場景中，不管是連續發送還是間斷發送，都能根據獲取的數據分析出可信的證據信息。MemGrab跟蹤系統調用的過程，控制其執行，獲取對應進程的地址空間，然后在獲取特定類型的數據快照，重點在于手機本身產生的數據而不是接受的數據。按照他們的觀點來看，一個自動獲取的系統需要及時的獲取這些易失性數據。對于低持久性的數據，如果沒有及時的獲取則會直接丟失，這對取證工作造成了一定的困難。

3 基于備份的易失性數據獲取方法（Volatile memory acquisition method based on backup）

為了克服上面的提到一些易失性數據獲取方法的缺點，本文提出了一種基于備份的易失性數據獲取方式，通過對特定易失性數據的備份來提高這些數據的持久能力，進而對這些數據進行分析，從而獲取需要的電子證據。盡管手機型號多種多樣，每種都有自己的設計和架構，但是他們具有一個相同的基于基本架構。因此，本文提出的方法可以通用大多數操作系統，包括Windows Phone、Android以及IOS等。

為了保存手機的易失性數據，提高其持久化能力，需要使用手機的部分內存作為備份存儲空間來使用，重要的易失性數據需要保存在這個備份空間里面。此備份存儲在一定時間內更新的易失性數據，數據來源是其他正在該手機上運行的重要進程。根據預設的進程優先級，甚至可以做到當該進程已經被用戶顯示的終止，也可以在備份中找到該進程的重要易失性數據。通過這種方式，可以在調查過程中幫助取證人員獲取重要的易失性數據，從而對取證過程產生積極的影響。

由于用戶備份的空間有限，對于備份的數據選擇就很重要。需要清楚地知道那些數據是過時的、不重要、不需要在處理的，需要在一定時間后將其從備份空間中刪除。甚至是同一個進程的數據也有優先級的區分，根據上面提到的L.L.V.Thing和E.C.Chang的實驗[7]表明，向外發送的數據比從外接收到的數據在取證過程中具有更高的重要性。當一個進程被終止過后，可以將其備份的數據在保存一段時間，如果一段時間過后沒有其他的操作，則確定是過時的，將其自動刪除。如果該進程重新運行了，則需要判斷新產生的易失性數據是否具有更高的優先級，從而決定是否刷新以前備份的數據，具體流程如圖1所示。

通過這種辦法，可以適當的提高一些易失性數據的持久化能力。此外為了更好的管理備份空間，需要對不同的進程進行優先級排序，這點可以通過調查人員以前的辦案經驗得到結果通過神經網絡算法來獲取不同進程的優先級。比如系統進程和日志等系統本身的數據，在調查過程中不具有比較好的證據效果，一般認為是最低的優先級的，而短信、聊天工具等具有更多的和用戶行為相關的進程，其優先級應該是最高的。

以上介紹的方法不需要使用其他的額外的工具就能夠獲取到重要的易失性數據，并且不會修改手機中其他的數據，也不會產生額外的不必要的文件。這種方法也沒有使用移動網絡或Wi-Fi等網絡連接，只需要通過USB數據線連接到電腦或者必要的時候直接生成一個文件就可以完成對重要易失性數據的獲取，方便調查人員的調查工作。

4 結論（Conclusion）

通過備份重要進程的重要易失性數據，可以提高這些易失性數據的持久化能力，方便取證工作人員獲取重要電子證據，因此本文具有一定的實用意義。但是該方法的缺陷非常明顯，需要預先對待取證的手機進行操作，實現難度比較大，所以還需要一定的改進。

參考文獻（References）

[1] Top Ten Smartphone Vendors Based on Market Share，http：//www.dramexchange.com/ WeeklyResearch/Post/5/4272.html.

[2] 戴吉明.手機取證及其電子證據獲取研究[J].計算機與現代化，2007（5）：100-102.

[3] 殷聯甫.計算機取證中的物理內存取證分析方法研究[J].計算機應用與軟件，2010，27（12）：295-298.

[4] 張瑜，等.內存取證研究與進展[J].軟件學報，2015（5）：1151-1172.

[5] Willassen S.Forensic Analysis of Mobile Phone InternalMemory[J].Ifip—the International Federation for InformationProcessing，2005，194：191-204.

[6] Irwin D，Hunt R.Forensic information acquisition in mobilenetworks[C]//Communications.Computers and SignalProcessing，2009.PacRim 2009.IEEE Pacific Rim Conferenceon.IEEE，2009：163-168.

[7] Thing V，Ng K Y，Chang E C.Live memory forensics of mobilephones[J].Digital Investigation，2010，7（8）：S74-S82.

作者簡介：

曹 飛（1990-），男，碩士生.研究領域：Android內存取證.

胡 濤（1963-），男，學士，高級工程師.研究領域：橋梁結構與信息化管理.