一種基于Android智能終端的彩信取證分析方法

陳祥奎

摘要：當今Android操作系統已成為全球最受歡迎的智能終端操作系統之一，涉案Android智能終端已成為重要的證據來源。針對當前以彩信為栽體的網絡違法犯罪多發的問題，該文詳細分析Android平臺下彩信的數據取證分析方法。

關鍵詞：智能終端取;Android;彩信

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2020）01-0282-02

1背景

彩信（Multimedia Messaging Service，縮寫為MMS），是在GPRS的支持下，以WAP無線應用協議為載體，可以傳遞包括文字、圖像、聲音等各種多媒體格式的信息。

近年來，有些不法分子利用彩信的便捷性，召集人員組織策劃犯罪活動或冒充他人組織及個人到處詐騙錢財等違法犯罪活動，彩信正成為誘導犯罪、滋生罪惡的溫床。隨著新型智能終端設備、應用的快速發展，涉案智能終端中的數據已成為重要的破案線索和證據來源，針對智能終端設備上應用程序取證是打擊這類犯罪的一個有效手段。本文的目的旨在對An-droid智能終端上彩信的取證方法進行研究和探討，詳細描述彩信數據取證的分析方法。

2彩信文件路徑

使用手機自帶備份功能將短信彩信備份出來，彩信數據保存在/Mms/文件夾下。

應用數據主要存在與mms_backup.xml和pdu文件中，其中mms_backup.xml保存每條彩信的時間、大小等信息，每個pdu文件都是一個完整的彩信，包含了彩信的絕大部分信息，是Android平臺下彩信分析的關鍵文件。

3彩信應用數據分析

3.1彩信基本信息

通過文本查看器打開mms_backup.xml文件，如圖2所示。

其中關鍵詞段含義如表1：

3.2彩信聯系人

用WinHex打開每一個pdu文件，如圖3所示。文件主要分為兩部分：文件頭和文件體，文件頭中包括聯系人的電話號碼，如果是同一條彩信群發出去，則文件頭會同時保存多個聯系人的電話號碼。

首先需要從文件中取出文件的頭部。需要注意的是彩信pdu文件有兩種格式：一種是彩信中只有文本信息，另一種是彩信包含圖片或視頻信息。對于包含圖片或視頻信息的彩信而言，pdu文件體會以…開頭，即之前的內容就是文件頭。對于內容是純文本的彩信來說，文件體會以*.txt開始，所以需要字符串匹配找到Txt開始的位置區分文件頭和文件體。

然后是從文件頭中解析到聯系人電話號碼。經過多次調研，在二進制文件中，聯系人的電話號碼會以OxEA開頭，以0x2F 0x54 0x59 0x50 0x45 Ox3D 0x50 0x4C 0x4D 0x4E（/TYPE=PLMN）結尾。為了保險起見，可以在解析出的數據中添加過濾條件，比如：電話號碼的長度、電話號碼不會有字母等。

3.3彩信內容

彩信內容就是指文本、圖片、視頻等信息。內容保存在pdu文件的文件體中。針對不同的彩信格式，有不同的解析方法。

對于只有文本信息的彩信。獲取pdu文件的二進制字符串內容，使用KMP算法進行字符串匹配找到.txt的位置。將.txt之后的內容使用UTF-8格式進行編碼得到的就是彩信的文本內容。

對于包含…的彩信而言?！瓟祿K保存的就是彩信的布局信息，如圖4所示。

從圖中可以看出這部分內容是xml格式，包含彩信中所有文件的文件名，并且按順序排列。按照從塊解析出的文件名列表從之后依次解析分割出文件實體。經調研，每個文件名后面緊跟著的內容就是該文件的實體，一直到下個文件名或者結尾。

4結束語

本文通過對Android平臺彩信的存儲文件進行簡單介紹，然后對數據存儲文件進行深入分析，詳細介紹彩信數據的取證方法。