電子數(shù)據(jù)取證工作中手機(jī)App逆向分析的應(yīng)用研究

張 乾

（靈武市公安局，寧夏 靈武 751400）

在現(xiàn)代信息化技術(shù)在全球的進(jìn)一步推廣普及背景下，智能手機(jī)成為人手必備的一種電子設(shè)備，但是手機(jī)中App軟件在為人們?nèi)粘Ｉ詈蛯?shí)際工作中帶來(lái)很大便利的同時(shí)，手機(jī)App軟件也存在著被網(wǎng)絡(luò)中惡意程序入侵的危險(xiǎn)。比如有一個(gè)惡意程序會(huì)將外表偽裝成符合法律法規(guī)標(biāo)準(zhǔn)的程序、會(huì)在軟件中隱藏帶有不良信息的惡意網(wǎng)站鏈接以及還會(huì)有不法分子通過(guò)運(yùn)用惡意程序在潛移默化中竊取手機(jī)用戶的個(gè)人信息資料等［1］。基于此，應(yīng)該積極探究能有效監(jiān)測(cè)智能手機(jī)中惡意App程序的措施和方法。然而在手機(jī)惡意App程序開展電子數(shù)據(jù)取證工作時(shí)，逆向分析是極其關(guān)鍵和重要的解決措施之一，通過(guò)采用這種方法可以有效地檢測(cè)出智能手機(jī)App中惡意代碼的入侵，從而了解到應(yīng)該采用哪種解決方法進(jìn)行針對(duì)性解決。

一、手機(jī)App逆向分析研究

（一）逆向工程

所謂的逆向工程又可以被稱之為反向工程（Reverse Engineering），其主要是指在已經(jīng)安裝成功程序的基礎(chǔ)上，通過(guò)利用逆向工程探尋到程序的源頭代碼，以此研究分析完善的設(shè)計(jì)規(guī)劃［2］。現(xiàn)階段，社會(huì)中有許多現(xiàn)代企業(yè)與我國(guó)相關(guān)司法鑒定政府部門通過(guò)運(yùn)用這種方法對(duì)智能手機(jī)中惡意App程序展開檢測(cè)和分析研究，在這種方法中對(duì)智能手機(jī)中惡意App程序采用反匯編的手段對(duì)其App中具體功能和作用展開深層次的分析，從而明確掌握到存在惡意App程序中的惡意行為和危害，以此獲得不法分子利用惡意App程序進(jìn)行違法犯罪行為的有力證據(jù)或者線索。

（二）分析措施

在分析智能手機(jī)中惡意App程序過(guò)程中最為常見的方法包括有動(dòng)態(tài)檢測(cè)分析法和靜態(tài)分析法，其中動(dòng)態(tài)檢測(cè)分析法就是指在虛擬技術(shù)或者沙箱環(huán)境中執(zhí)行安裝App軟件程序，然后取證系統(tǒng)會(huì)在執(zhí)行安裝App軟件程序過(guò)程中將惡意程序在其中所實(shí)行的所有惡意行為和影響詳細(xì)記錄下來(lái)［3］。而將沙箱環(huán)境根據(jù)空間種類進(jìn)行分類，可以分為內(nèi)核空間沙箱和用戶空間沙箱兩種，在內(nèi)核空間沙箱中比較典型的有TainDroi等。而靜態(tài)分析法主要是指運(yùn)用逆向工程在惡意App軟件程序沒(méi)有運(yùn)行的時(shí)候獲取App軟件程序的特征，在對(duì)這個(gè)特征展開研究分析，從中了解和掌握到惡意App軟件程序是否惡意侵害。這種分析法與其他分析法相比的優(yōu)勢(shì)就是分析速度快、工作效率較高，但同時(shí)也有一些不足之處就是無(wú)法完全應(yīng)對(duì)極易出現(xiàn)混淆的代碼和多種形態(tài)技術(shù)，特別是具有一定攻擊性的惡意程序［4］。將動(dòng)態(tài)檢測(cè)分析法和靜態(tài)分析法進(jìn)行有機(jī)整合，就可以對(duì)智能手機(jī)中惡意App的源碼和惡意行為進(jìn)行分析，以此可以將惡意App軟件程序中重要數(shù)據(jù)信息提取出來(lái)，并且可以將其中相關(guān)的數(shù)據(jù)信息固定，進(jìn)而完成智能手機(jī)惡意App的電子數(shù)據(jù)取證工作，獲取到指控惡意App軟件程序在智能手機(jī)中實(shí)行惡意行為的重要證據(jù)。

二、手機(jī)App中電子數(shù)據(jù)取證工作中逆向分析的應(yīng)用實(shí)際案例研究

以下根據(jù)a某智能手機(jī)被惡意App“X約.apk”竊取個(gè)人隱私作為研究案例，分析探究手機(jī)App運(yùn)用逆向分析開展如何電子數(shù)據(jù)取證工作。

（一）運(yùn)用動(dòng)態(tài)檢測(cè)分析法的操作流程

在專門用于電子數(shù)據(jù)取證工作的電腦中安裝“X約.apk”文件，將檢材固定其中，然后計(jì)算出MD5的數(shù)值，然后在運(yùn)行模擬器Genymotion for personal use Cust phone6.0.0版本，并在模擬器中安放“X約.apk”軟件程序，在程序界面彈窗中顯示“媒體內(nèi)容與文件么？是否允許繼續(xù)訪問(wèn)您設(shè)備中保存的圖片”等文字信息，并且還會(huì)顯示“允許”與“拒絕”兩種選項(xiàng)。在選擇“允許”選項(xiàng)之后，“X約.apk”軟件程序的顯示頁(yè)面中會(huì)出現(xiàn)“填寫邀請(qǐng)碼”的點(diǎn)擊按鈕，接下來(lái)就會(huì)進(jìn)入到“填寫邀請(qǐng)碼”的填寫框中，通過(guò)這一系列流程竊取到智能手機(jī)用戶的個(gè)人隱私信息。

在運(yùn)用動(dòng)態(tài)檢測(cè)分析法進(jìn)行電子數(shù)據(jù)取證工作過(guò)程中了解到，在顯示頁(yè)面中出現(xiàn)“填寫邀請(qǐng)碼”時(shí)只要輸入手機(jī)號(hào)碼和邀請(qǐng)碼二者之間的一個(gè)在點(diǎn)擊“確定”的選項(xiàng)之后，程序界面機(jī)會(huì)自動(dòng)提醒“需要輸入正確手機(jī)號(hào)碼或者邀請(qǐng)碼”。在經(jīng)過(guò)反復(fù)填寫和嘗試隨機(jī)的幾位數(shù)字后，最終程序會(huì)沒(méi)有任何反應(yīng)。

（二）靜態(tài)分析法進(jìn)行檢測(cè)的過(guò)程

首先要先將工作臺(tái)開啟，然后運(yùn)用殺毒軟件對(duì)工作臺(tái)中情況展開檢測(cè)，接下來(lái)將所要檢測(cè)的文件資料導(dǎo)進(jìn)工作臺(tái)。在借助jadx-gui-0.9.0反編譯程序軟件破譯“X約.apk”文件，最終獲得想要“X約.apk”文件的內(nèi)部代碼結(jié)構(gòu)。在將破解文件進(jìn)行歸納整理安放在特定的地方，再計(jì)算出MD5的數(shù)值，從而達(dá)到固定證據(jù)的目的。而在安卓系統(tǒng)中與APK程序執(zhí)行互相連接的接頭文件就是Android manifest.XML，這一文件提供出APK程序全部申請(qǐng)權(quán)限和組件。在Android manifest.XML文件內(nèi)包括有APK程序向安卓系統(tǒng)申請(qǐng)的全部權(quán)限，其中分別有“讀取短信”“寫入外部存儲(chǔ)”“訪問(wèn)具體定位”“讀取聯(lián)系方式”等個(gè)人隱私權(quán)限。

通過(guò)進(jìn)入H5框架，可以靈活調(diào)動(dòng)程序核心業(yè)務(wù)中基本入口文件manifest.json。由此可知，在“X約.apk”程序中index.html是最先開始執(zhí)行的文件，在打開這一文件之后，只有“確定這一個(gè)選項(xiàng)”，在確認(rèn)選擇后就可以調(diào)用aa（）的方法，通過(guò)運(yùn)用這種方法可以對(duì)輸入的手機(jī)號(hào)碼和邀請(qǐng)碼進(jìn)行檢查，然后在通過(guò)permission的方法申請(qǐng)獲取讀取存儲(chǔ)在智能手機(jī)的聯(lián)系人的權(quán)限，若是權(quán)限申請(qǐng)沒(méi)有通過(guò)，就會(huì)在彈窗中顯示提示信息“請(qǐng)您同意彈出的權(quán)限，便可使用程序！如果沒(méi)有提示彈出，請(qǐng)前往系統(tǒng)“手機(jī)設(shè)置”中的“權(quán)限管理”找出應(yīng)用，并且將通信聯(lián)系人權(quán)限打開，方可以使用。若是將權(quán)限申請(qǐng)下來(lái)后，則可以采用success Callback的方法。在這種方法中可以靈活調(diào)用huoqu（sjh，yzm）方法執(zhí)行。

執(zhí)行huoqu（sjh，yzm）方法的步驟流程為，首先：將用戶使用的手機(jī)號(hào)碼、邀請(qǐng)碼以及address變量中保存到智能手機(jī)的生產(chǎn)商家和手機(jī)型號(hào)所設(shè)定的con變量；其次，通過(guò)dclould中H5框架接口得到智能手機(jī)中通信錄存儲(chǔ)的隱私信息；另外在cong變量中導(dǎo)入存儲(chǔ)所獲得通信錄中所有聯(lián)系人的信息和手機(jī)號(hào)碼；在將這些獲得到的信息資料傳輸?shù)浇K端服務(wù)器中，最后在采用相應(yīng)行之有效的方法將在智能手機(jī)中獲取的定位信息傳送到服務(wù)器。

由此可見，通過(guò)使用“X約.apk”程序可以達(dá)到獲取智能手機(jī)使用型號(hào)、定位數(shù)據(jù)信息、通信錄聯(lián)系人數(shù)據(jù)信息、短信信息以及將獲取到的數(shù)據(jù)信息傳輸?shù)浇K點(diǎn)服務(wù)器的目的。將檢測(cè)出的相關(guān)代碼作為證據(jù)文件，根據(jù)司法鑒定步驟流程對(duì)其進(jìn)行固定，作為法院查閱證據(jù)時(shí)使用。

總而言之，通過(guò)以一款特定的手機(jī)惡意App為例，進(jìn)行電子數(shù)據(jù)取證和分析研究，將在電子數(shù)據(jù)取證工作中逆向分析所發(fā)揮的作用和基本操作方式展現(xiàn)出來(lái)，將現(xiàn)代多元化的措施和手段融入其中，從而達(dá)到凈化網(wǎng)絡(luò)環(huán)境，打擊不法分子的目的。