針對安卓移動終端設備的數據取證技術研究

傅緯球

（廣東天波信息技術股份有限公司，廣東 佛山 528251）

針對安卓移動終端設備的數據取證技術研究

傅緯球

（廣東天波信息技術股份有限公司，廣東 佛山 528251）

由于安卓移動終端設備的應用越來越廣泛，在獲取司法證據及鑒定時，對安卓移動終端設備中數據的提取、處理及分析十分必要，這已是獲取證據時不可忽略的途徑。文章旨在對安卓的數據取證進行分析，不僅對移動終端數據恢復的邏輯及物理技術進行了介紹，而且還對文件系統、時間序列、字符串匹配等相關的數據分析技術提出了意見。

安卓系統；移動終端設備；數據取證技術；司法證據；司法鑒定

當今社會，現代計算機、移動硬盤、手機等電子設備發展迅速，日常生活中人們對電子設備十分依賴，運用也極為廣泛，從而推動了社會信息化的發展。需要通過司法鑒定來證明社會上的民事糾紛、刑事案件等客觀事件的真實性。數字取證這一技術正在高速發展，如對公司內部調查分析、刑事調查、民事訴訟、情報收集，與國家安全相關等方面影響巨大。

數字取證領域發展迅速，移動取證不僅挖掘了巨大的商機還發起了嚴峻的挑戰，安卓的取證分析無論是對取證分析師還是對安全工程師來說都會使業界呈高速的增長的狀態。取證時的電子數據信息采用二進制數據表示，存在的方式為數字信號，若出現其他差錯或故意的變更、刪減、剪接、刪除、截收數字證據等，均將導致數據被篡改。因此，應結合磁盤、內存數據恢復、數據挖掘、加密技術、反向工程、解決技術等理論和技術將證據進行安全保障。但是由于取證分析師及信息安全工程師們對相應的設備及手持終端的知識、技術不夠了解，在解決問題時會比較困難。本文中，針對安卓移動終端設備的數字取證問題，從技術的層面對相關技術進行了分析。

1 關于取證

1.1 物理數據技術

可進行存儲數據的物理介質即為物理技術的目標，數據的訪問并不是依靠文件系統來實現，可以對大部分被刪除的數據進行訪問是物理技術的主要優點。采用某種手段對安卓設備的存儲區域直接進行鏡像處理，并將生成的數據鏡像文件做進一步分析的技術即為安卓系統的物理數據恢復技術。若能成功避開口令的保護，從而使獲得被修復的數據根據指數的數量級不斷增加即獲取目標數據存儲的物理映像取證技術。這除了對已刪除的數據可進行訪問之外，還可對系統認為不再重復使用而丟棄的數據進行訪問。物理數據恢復就結構上來說低于邏輯數據恢復一層，即為邏輯數據恢復的基礎。由于采用的鏡像手段各有不同，可以是硬件為基礎的物理數據恢復技術及以軟件為基礎的物理數據恢復技術，硬件即連接硬件與終端設備的方法或是指在物理上獲取終端設備部件的方法；軟件即在可訪問root的條件下可使終端設備中的軟件開始運行的技術，從而可在數據分區獲得完整的物理映像。以硬件的方法為基礎，則需要專門的較為昂貴的儀器及對取證人員進行培訓，可有效地作用于無法獲得root訪問權限的終端設備中。而以軟件為基礎的物理技術可直接地獲取數據，以此為起始點較為理想，但只有能對終端設備上的root進行訪問，才能更好地運用以軟件為基礎的技術。

1.2 邏輯數據技術

以對文件系統的訪問來挖掘所分配的數據即為邏輯技術。所分配的數據主要是指可在文件系統中獲得且沒被刪除的數據。于當前文件目錄中獲取數據文件并對其進行邏輯分析技術指的就是安卓系統的邏輯數據恢復技術。目前，在使用安卓操作系統的移動終端設備時，在data/data/目錄下儲存與應用程序相關的信息及數據，同時為更好區分，應將不同的應用程序于該目錄下采用多個子目錄將該程序中的數據文件進行存放。如在data/ data/com.Android.Contacts的目錄下存放與聯系人相關的文件、在data/data/com.Android.mms的目錄下存放與手機彩信相關的文件等。而databases目錄存在于上述的每個目錄下，這個目錄中是存儲對與該應用程序的SQLite數據庫相關的文件。采用調試工具adb，由Google官方提供，可對所有目錄中所存儲的文件進行查看，并提取需要進行邏輯分析的SQLite數據庫文件到運行adb工具的PC機上，后可采用SQLite expert此類數據庫文件查看器查看并分析所獲取的數據庫文件。

這種獲取并分析數據方式操作較為簡單且易于實現，于SQLite數據庫文件中可獲取大量的信息，如聯系人、短信記錄及瀏覽器的瀏覽記錄等。但是這種方式也有較為明顯的缺點，各應用程序正在使用的SQLite數據庫中當前的文件內容就是利用該方法進行數據取證的唯一途徑，若有些應用程序被卸載，則該類的數據庫文件將不復存在或者數據庫中的某些程序的內容在應用程序中已被做了刪除處理，因此無法在數據庫中獲取這些信息。此外，若SQLite數據庫的某些文件的數據庫記錄被刪除，將不會再有顯示。對比傳統的邏輯技術，在安卓取證中配合特殊的工具與技術，依靠內容提供商內置于安卓平臺、軟件開發套件中的技術，通過所獲取的邏輯數據，將被刪除的數據庫數據恢復。

2 數據分析技術

2.1 獲取數據

數據獲取模塊包括有4個子模塊，即為Ingest數據獲取模塊、Android安卓模塊、E01模塊和EXIF模塊。Ingest模塊所發揮的功能是數據源以及相關文件的獲取；Android模塊所發揮的功能是獲取終端數字；E01模塊所發揮的作用是識別該類型的文件并獲取相關數據；EXIF模塊所發揮的作用是識別EXIF圖像，并對有關文件進行分析。

2.2 傳輸數據

傳輸數據的模塊所采用的是通信技術對相關數據進行傳輸，包括有4個子模塊，即為Services提供服務的模塊、Core Component Inter Faces核心組成構件的接口模塊、Core Utils核心通用模塊、Key word Search Service搜索關鍵字的模塊。其中，Services模塊所發揮的作用是為模塊直接的信息傳遞提供必要的服務；Core Component Inter Faces模塊所發揮的作用是建立信息傳遞所需要的通信接口，使得組件之間的信息可以順利傳輸；Core Utils模塊功能所發揮的作用是為信息傳輸提供通用工具；Key word Search Service模塊所發揮的作用是為搜索關鍵字提供必要的服務。

2.3 分析數據

分析數據的模塊包括有9個子模塊，即為File typeid處理文件的模塊、Seven Zip處理壓縮包的模塊、Data Model數據模塊、File Ext Mismatch識別不匹配擴展名的模塊、Core核心模塊、Key word Search搜索關鍵字的模塊、File Search搜索文件的模塊、Core libs核心庫模塊、Recent Activity近期活動的模塊。其中，File type模塊所發揮的作用是判斷文件的類型并對相關問題進行分析；Seven Zip模塊所發揮的作用是識別壓縮包文件并對相關問題進行分析；Data Model模塊所發揮的作用是建立數據模塊并對相關問題進行分析；File Ext Mismatch模塊是導入擴展名并對相關問題進行分析；Core核心模塊所發揮的作用是加載核心庫并對相關問題進行分析；Key word Search模塊所發揮的作用是搜索關鍵字并對相關問題進行分析；File Search模塊所發揮的作用是搜索文件并對相關問題進行分析；Core libs模塊所發揮的作用是加載核心庫并對相關問題進行分析；Recent Activity模塊所發揮的作用是提取各項活動任務并對相關問題進行分析。

2.4 處理數據

處理數據的模塊包括有5個子模塊，即為Hash Data base哈希數據校驗的模塊、Content Viewers瀏覽內容的模塊、Report報告模塊、Directory Tree目錄樹模塊、Time line時間軸模塊。Content Viewers模塊所發揮的作用是瀏覽元數據、Hash Data base模塊所發揮的作用是采用哈希校驗的方法對數據進行取證；Directory Tree模塊所發揮的作用是將建立數據樹目錄、Report模塊所發揮的作用是將符合用戶需求的取證報告制定出來、Time line模塊所發揮的作用是分析時間、事件以及行為之間所存在的相關性。

2.5 其他

在取證的過程中，以物理獲取數據為基礎后進行邏輯獲取及分析即可得到足夠的案件信息。而有些案件需要更進一步的分析，將被刪除的文件與未知的文件的結構之間進行聯系，這將會涉及到其他如XML解析技術、數據庫技術和數據挖掘技術等與之的相關的技術，上述技術均是安卓取證中不可或缺的；若辦案人員想準確地了解儲存的數據，可采用十六進制編輯器進行查看，找到其模式或可將被刪除的數據結構識別出來。

3 防范方法

注意安全使用網絡。當今社會是網絡時代，日常生活中網絡無處不在，家庭寬帶、無線網絡及手機的4G功能均為人們常用來上網的方式，但是當我們處于室外及一些公共場所時，常會使用公共網絡，因此我們要注意我們的私密信息是否會泄露，若有不安全的網絡切勿隨意使用，盡量避免個人信息被攔截或遭到竊取。若有信息泄露，應盡快將有關財產及重要的信息掛失凍結。

在安裝APP時應時刻注意系統所提示的權限信息。在安裝時，系統所提示的系統權限信息如“訪問通訊錄、獲取相冊、獲取位置信息”等，很多用戶通常不會注意到這些權限信息是否應該通行還是阻止，這需要用戶結合所安裝的此款軟件的使用來決定是否需要通行這些權限。若應用的基本功能與權限信息不符合，則對此款軟件應用的真實性持懷疑的態度。

4 發展趨勢

（1）會有大量惡意軟件對移動設備構成威脅。忽略設備的更新或是設備沒有系統更新的提示等情況均可將相關安全服務市場的發展推動，該安全服務市場不僅可對傳統PC電腦的安全問題進行解決，而且還可解決移動設備的安全問題；（2）越來越多的手機制作商、移動運營商正在找尋可將移動設備中所存在的安全漏洞進行快速修復的方法。該項工作的發展較為緩慢，仍需要較長的時間進行研究及開發；（3）移動支付系統正在穩步發展。現在人們常使用的支付寶的在線支付功能、微信的面對面收錢功能等，且還有Apple Pay等移動支付功能正被廣泛應用中，在使用相關的間接支付功能時，均要求移動設備具有較高的安全性及用戶同樣要具有較高的安全意識；（4）目前惡意軟件還是較少的出現泄露用戶數據、信息等情況，但不排除在今后會大量出現數據泄露類移動惡意軟件，也是因如今處于數據時代可輕易地獲取大量的數據信息。因此，在這個廣泛應用云技術的網絡時代，我們應高度關注此類問題。

5 結語

本文以介紹安卓的移動終端數據恢復的邏輯技術、物理技術及數據分析技術為主。在公安、法院等偵探及執法部門中，為獲取與涉案人員相關的信息，如其使用的智能手機、移動終端設備中的通訊錄、通話記錄、短信、彩信、相冊及文件等相關信息及數據，且為盡量恢復已被刪除上述信息和數據，提供了在案件中進行調查和審理所需的技術支持。此外，采用相關方法對人們的信息及數據進行保護，使人們對相關信息及數據的保護意識極大增強。

[1]吳紹兵．云計算環境下的電子證據取證關鍵技術研究[J]．計算機科學，2012，39（11）.

[2]周敏，龔箭．分布式計算機取證模型研究[J]．微電子學與計算機，2012，29（2）.

[3]張俊，麥永浩．云計算環境下仿真計算機取證研究[J]．信息網絡安全，2011，（10）.

[4]武魯，王連海，顧衛．基于云的計算機取證系統研究[J]．計算機科學，2012，5（39）．

（責任編輯：黃銀芳）

TP393

1009-2374（2017）12-0013-03

10.13535/j.cnki.11-4406/n.2017.12.007

A