曹飛 胡濤

摘 要：首先介紹了智能設(shè)備進行易失性數(shù)據(jù)取證的重要性，并說明了其難點在于對易失性數(shù)據(jù)的獲取上，其后介紹了幾種易失性數(shù)據(jù)獲取的方法。但是每種方法都有缺陷，因此提出了一種基于備份的易失性數(shù)據(jù)獲取方法，沒有使用環(huán)境的要求，也不會污染其他進程的易失性數(shù)據(jù)，對不同操作系統(tǒng)的支持也比較好，使得取證人員能夠很方便獲取重要的證據(jù)數(shù)據(jù)。

關(guān)鍵詞：智能設(shè)備；易失性數(shù)據(jù)；取證；基于備份

中圖分類號：TP309 文獻標(biāo)識碼：A

Abstract：In this paper，we introduces the importance to carried out volatile data from smart devices and explains their difficulty lies in obtaining data on the volatile.Thereafter describes several methods to capture the volatile data.But all methods have different drawbacks，so we proposed a method based on backup of volatile data acquisition，which does not have environmental requirements，also will not contaminate other processes of volatile data，supports for different operating systems is relatively good，so that people can easily obtain evidence important evidence data.

Keywords：smart devices；volatile data；live forensics；backup

1 引言（Introduction）

隨著科技進步和數(shù)字移動通信網(wǎng)絡(luò)的普及，智能手機和平板電腦已經(jīng)成為生活的必備工具。據(jù)統(tǒng)計，截止2015年2月，移動電話用戶總數(shù)達到12.9億，其中相當(dāng)大的比例為智能手機用戶。根據(jù)美國市場研究公司IDC發(fā)布的報告，2015年全球智能手機出貨量增長10.4%，達到14.4億部[1]。

與此同時，隨機技術(shù)的發(fā)展，以智能手機為代表智能設(shè)備的計算能力越來越強大，使其在基本的電話和短信之外，具備了更多的功能，成為了人們工作、娛樂、交際的重要工具。甚至有人把以手機為代表的新興傳播形式稱為繼報紙、廣播、電視、互聯(lián)網(wǎng)之后的“第五媒體”。但是，智能設(shè)備在給人們帶來遍歷的背后，也常常被犯罪分子利用作為犯罪工具[2]。譬如，犯罪分子利用智能設(shè)備來詐騙、誹謗他人，甚至窺探、傳播他人隱私，使其日漸成為新型犯罪工具。因此對智能設(shè)備的取證研究越來越重要，存在智能設(shè)備中的各類數(shù)據(jù)作為一種新的證據(jù)形式，也越來越多的作為訴訟證據(jù)之一，發(fā)揮了巨大的作用[3]。

當(dāng)前大部分對智能設(shè)備的取證都是針對存儲在內(nèi)存卡和閃存上的非易失性數(shù)據(jù)取證的研究，比如。而對存儲在運存上的易失性數(shù)據(jù)獲取方法還比較少。然而由于手機廠商眾多，并且同一個廠商的產(chǎn)品也具有不同的型號，使智能設(shè)備的易失性數(shù)據(jù)取證更加困難。本文既是提出一種方法來完成對不同設(shè)備的易失性數(shù)據(jù)的獲取。

由于設(shè)備沒有間斷的運行，導(dǎo)致內(nèi)存的數(shù)據(jù)在不斷的變化中，特別是在手機在處于聯(lián)網(wǎng)狀態(tài)的時候，所以確定需要取證的時候，要首先完成對易失性數(shù)據(jù)的獲取，并且不能修改設(shè)備的狀態(tài)包括關(guān)閉網(wǎng)絡(luò)連接、干擾手機信號等，因為這些操作的同時就會修改一些內(nèi)部數(shù)據(jù)，從而造成數(shù)據(jù)的丟失。完成易失性數(shù)據(jù)的獲取過后，在進行對非易失性數(shù)據(jù)進行取證調(diào)查[4]。

2 研究現(xiàn)狀（Research status）

雖然現(xiàn)在沒有一種統(tǒng)一方法來完成對智能設(shè)備的易失性數(shù)據(jù)獲取，但是也有了很多相關(guān)的研究。由于智能設(shè)備也是電子隨便的一種，因此取證方法和普通PC類似。易失性數(shù)據(jù)獲取的一般方法就是斷開網(wǎng)絡(luò)，然后對當(dāng)前內(nèi)存數(shù)據(jù)進行鏡像備份，最后通過對鏡像進行分析，獲取關(guān)鍵性證據(jù)信息。移動設(shè)備的操作系統(tǒng)是運行在有限資源之上的，內(nèi)存的容量還是受限，因此其需要在未經(jīng)用戶許可的情況下移除一些優(yōu)先級較低的進行，以分配內(nèi)給優(yōu)先級較高的進程。但是，有些重要證據(jù)就是存儲在優(yōu)先級較低的進程上的，因此，在智能設(shè)備易失性數(shù)據(jù)電子取證的重點就是獲取這些易失性數(shù)據(jù)[4]。

易失性數(shù)據(jù)的獲取方法包括物理獲取和邏輯獲取。物理獲取又叫硬件獲取，通過獨立的硬件設(shè)備完全繞過操作系統(tǒng)，且不在目標(biāo)機上運行任何應(yīng)用程序，最后完成將全部的物理內(nèi)存的數(shù)據(jù)鏡像拷貝到另外的存儲設(shè)備之中。在普通的PC上面，物理獲取的主要方法有通過PCI接口、FireWire接口等通過特殊的接口來實現(xiàn)。PCI接口通過預(yù)先安裝特定的專用取證設(shè)備，利用DMA來獲取對內(nèi)存的直接訪問，可以不依賴操作系統(tǒng)，不需要運額外的代碼；缺點是不支持熱拔插，需要預(yù)先安裝。FireWire也是直接通過DMA訪問，取證人員將一個包含適當(dāng)程序并且能夠向FireWire設(shè)計控制器發(fā)送特定的指令來啟動設(shè)備。但是這些方法在移動智能設(shè)備上都不能使用，因為移動設(shè)備由于其小巧，不可能具有這么大的接口存在。邏輯獲取也叫軟件獲取，通過安裝特定的取證軟件來訪問內(nèi)存數(shù)據(jù)，進而將其轉(zhuǎn)儲成物理鏡像。在這方面，移動設(shè)備和普通PC的方法類似。

在智能移動設(shè)備的易失性數(shù)據(jù)獲取上，研究人員也提出了許多不同的方法。Willassen提出了一種獲取存儲在易失性存儲介質(zhì)如RAM的物理獲取方法[5]，需要拆卸手機進而從印刷版電路（PCB）獲取到存儲介質(zhì)，然后使用JTAG芯片測試接口獲取其中的易失性敏感數(shù)據(jù)。在這個過程之中，需要保持電源的持續(xù)連接，并且為了減少數(shù)據(jù)丟失的可能，需要對其進行降溫處理。G.Me和A.Distefano提出了一個內(nèi)部獲取而不是通過USB等接口的外部獲取方法，并完成了MIAT（Mobile Internal Acquisition Tool）工具，該工具需要安裝在內(nèi)存卡內(nèi)部，使手機具有從內(nèi)存獲取數(shù)據(jù)能力，并在10到15分鐘之內(nèi)獲取到內(nèi)存上的所有數(shù)據(jù)。該工具存在的問題是需要手機重啟一次且運行在恢復(fù)模式，然而在重啟的過程中會修改一些文件和數(shù)據(jù)。但是，這些修改的數(shù)據(jù)是可以接受的，并且比一些常用的修改工具如Paraben和XRY的取證方法所修改的數(shù)據(jù)要少。

在另外一個研究上，Irwin和Hunt提供了一種使用網(wǎng)絡(luò)連接來獲取敏感數(shù)據(jù)的方法[6]，可以通過Wi-Fi或者GSM來完成，基于Windows Phone的。為了完成這項研究，他們開發(fā)出了四種工具來完成數(shù)據(jù)的獲取和傳輸工作。第一個工具叫做CTASms（Contact、Task、Appointment和SMS），完成從Windows Phone的PIM（個人信息管理中心）提取數(shù)據(jù)。這個工具通過復(fù)制PIM中的數(shù)據(jù)并發(fā)送到其他設(shè)備中來完成數(shù)據(jù)的獲取功能。在這個工作中，需要使用到另外的兩個工具：ActiveSync和DataGrabber。ActiveSync也是安裝在手機上的，主要工作是使用網(wǎng)絡(luò)連接來發(fā)送CTASms獲取的數(shù)據(jù)到工作站上，完成同步工作。DataGabber設(shè)備就是安裝在工作站上的工具，功能是接受ActiveSync發(fā)送的數(shù)據(jù)并分類存儲。最后一個工具叫做SDCap（存儲設(shè)備捕獲），通過遠程連接安裝有DataGrabber的工作站，獲取到同步的數(shù)據(jù)并進行分析，完成最后的證據(jù)獲取功能。由于需要使用移動網(wǎng)絡(luò)，因此該研究的使用具有很大的局限性，并且在完成數(shù)據(jù)傳輸?shù)倪^程中對易失性數(shù)據(jù)的修改也是比較多的。

此外，L.L.V.Thing和E.C.Chang提出一種自動執(zhí)行易失性數(shù)據(jù)的分析方法[7]。他們通過研究易失性數(shù)據(jù)的動態(tài)行為，分析不同的應(yīng)用數(shù)據(jù)的實時數(shù)據(jù)對證據(jù)呈現(xiàn)的重要性，找到了在不同的應(yīng)用場景需要的不同參數(shù)。他們的實驗表明，手機向外發(fā)送的數(shù)據(jù)比接受到的數(shù)據(jù)對取證分析上具有更大的作用，因此在數(shù)據(jù)獲取的時候，應(yīng)該更多的傾向于獲取手機本身產(chǎn)生的數(shù)據(jù)。根據(jù)此原理，他們開發(fā)了一個數(shù)據(jù)獲取工具MemGrab用來獲取特定類型的易失性數(shù)據(jù)，并進行了后續(xù)分析。在一個實際的應(yīng)用場景中，不管是連續(xù)發(fā)送還是間斷發(fā)送，都能根據(jù)獲取的數(shù)據(jù)分析出可信的證據(jù)信息。MemGrab跟蹤系統(tǒng)調(diào)用的過程，控制其執(zhí)行，獲取對應(yīng)進程的地址空間，然后在獲取特定類型的數(shù)據(jù)快照，重點在于手機本身產(chǎn)生的數(shù)據(jù)而不是接受的數(shù)據(jù)。按照他們的觀點來看，一個自動獲取的系統(tǒng)需要及時的獲取這些易失性數(shù)據(jù)。對于低持久性的數(shù)據(jù)，如果沒有及時的獲取則會直接丟失，這對取證工作造成了一定的困難。

3 基于備份的易失性數(shù)據(jù)獲取方法（Volatile memory acquisition method based on backup）

為了克服上面的提到一些易失性數(shù)據(jù)獲取方法的缺點，本文提出了一種基于備份的易失性數(shù)據(jù)獲取方式，通過對特定易失性數(shù)據(jù)的備份來提高這些數(shù)據(jù)的持久能力，進而對這些數(shù)據(jù)進行分析，從而獲取需要的電子證據(jù)。盡管手機型號多種多樣，每種都有自己的設(shè)計和架構(gòu)，但是他們具有一個相同的基于基本架構(gòu)。因此，本文提出的方法可以通用大多數(shù)操作系統(tǒng)，包括Windows Phone、Android以及IOS等。

為了保存手機的易失性數(shù)據(jù)，提高其持久化能力，需要使用手機的部分內(nèi)存作為備份存儲空間來使用，重要的易失性數(shù)據(jù)需要保存在這個備份空間里面。此備份存儲在一定時間內(nèi)更新的易失性數(shù)據(jù)，數(shù)據(jù)來源是其他正在該手機上運行的重要進程。根據(jù)預(yù)設(shè)的進程優(yōu)先級，甚至可以做到當(dāng)該進程已經(jīng)被用戶顯示的終止，也可以在備份中找到該進程的重要易失性數(shù)據(jù)。通過這種方式，可以在調(diào)查過程中幫助取證人員獲取重要的易失性數(shù)據(jù)，從而對取證過程產(chǎn)生積極的影響。

由于用戶備份的空間有限，對于備份的數(shù)據(jù)選擇就很重要。需要清楚地知道那些數(shù)據(jù)是過時的、不重要、不需要在處理的，需要在一定時間后將其從備份空間中刪除。甚至是同一個進程的數(shù)據(jù)也有優(yōu)先級的區(qū)分，根據(jù)上面提到的L.L.V.Thing和E.C.Chang的實驗[7]表明，向外發(fā)送的數(shù)據(jù)比從外接收到的數(shù)據(jù)在取證過程中具有更高的重要性。當(dāng)一個進程被終止過后，可以將其備份的數(shù)據(jù)在保存一段時間，如果一段時間過后沒有其他的操作，則確定是過時的，將其自動刪除。如果該進程重新運行了，則需要判斷新產(chǎn)生的易失性數(shù)據(jù)是否具有更高的優(yōu)先級，從而決定是否刷新以前備份的數(shù)據(jù)，具體流程如圖1所示。

通過這種辦法，可以適當(dāng)?shù)奶岣咭恍┮资詳?shù)據(jù)的持久化能力。此外為了更好的管理備份空間，需要對不同的進程進行優(yōu)先級排序，這點可以通過調(diào)查人員以前的辦案經(jīng)驗得到結(jié)果通過神經(jīng)網(wǎng)絡(luò)算法來獲取不同進程的優(yōu)先級。比如系統(tǒng)進程和日志等系統(tǒng)本身的數(shù)據(jù)，在調(diào)查過程中不具有比較好的證據(jù)效果，一般認為是最低的優(yōu)先級的，而短信、聊天工具等具有更多的和用戶行為相關(guān)的進程，其優(yōu)先級應(yīng)該是最高的。

以上介紹的方法不需要使用其他的額外的工具就能夠獲取到重要的易失性數(shù)據(jù)，并且不會修改手機中其他的數(shù)據(jù)，也不會產(chǎn)生額外的不必要的文件。這種方法也沒有使用移動網(wǎng)絡(luò)或Wi-Fi等網(wǎng)絡(luò)連接，只需要通過USB數(shù)據(jù)線連接到電腦或者必要的時候直接生成一個文件就可以完成對重要易失性數(shù)據(jù)的獲取，方便調(diào)查人員的調(diào)查工作。

4 結(jié)論（Conclusion）

通過備份重要進程的重要易失性數(shù)據(jù)，可以提高這些易失性數(shù)據(jù)的持久化能力，方便取證工作人員獲取重要電子證據(jù)，因此本文具有一定的實用意義。但是該方法的缺陷非常明顯，需要預(yù)先對待取證的手機進行操作，實現(xiàn)難度比較大，所以還需要一定的改進。

參考文獻（References）

[1] Top Ten Smartphone Vendors Based on Market Share，http：//www.dramexchange.com/ WeeklyResearch/Post/5/4272.html.

[2] 戴吉明.手機取證及其電子證據(jù)獲取研究[J].計算機與現(xiàn)代化，2007（5）：100-102.

[3] 殷聯(lián)甫.計算機取證中的物理內(nèi)存取證分析方法研究[J].計算機應(yīng)用與軟件，2010，27（12）：295-298.

[4] 張瑜，等.內(nèi)存取證研究與進展[J].軟件學(xué)報，2015（5）：1151-1172.

[5] Willassen S.Forensic Analysis of Mobile Phone InternalMemory[J].Ifip—the International Federation for InformationProcessing，2005，194：191-204.

[6] Irwin D，Hunt R.Forensic information acquisition in mobilenetworks[C]//Communications.Computers and SignalProcessing，2009.PacRim 2009.IEEE Pacific Rim Conferenceon.IEEE，2009：163-168.

[7] Thing V，Ng K Y，Chang E C.Live memory forensics of mobilephones[J].Digital Investigation，2010，7（8）：S74-S82.

作者簡介：

曹 飛（1990-），男，碩士生.研究領(lǐng)域：Android內(nèi)存取證.

胡 濤（1963-），男，學(xué)士，高級工程師.研究領(lǐng)域：橋梁結(jié)構(gòu)與信息化管理.