傅緯球

（廣東天波信息技術(shù)股份有限公司，廣東 佛山 528251）

針對(duì)安卓移動(dòng)終端設(shè)備的數(shù)據(jù)取證技術(shù)研究

傅緯球

（廣東天波信息技術(shù)股份有限公司，廣東 佛山 528251）

由于安卓移動(dòng)終端設(shè)備的應(yīng)用越來越廣泛，在獲取司法證據(jù)及鑒定時(shí)，對(duì)安卓移動(dòng)終端設(shè)備中數(shù)據(jù)的提取、處理及分析十分必要，這已是獲取證據(jù)時(shí)不可忽略的途徑。文章旨在對(duì)安卓的數(shù)據(jù)取證進(jìn)行分析，不僅對(duì)移動(dòng)終端數(shù)據(jù)恢復(fù)的邏輯及物理技術(shù)進(jìn)行了介紹，而且還對(duì)文件系統(tǒng)、時(shí)間序列、字符串匹配等相關(guān)的數(shù)據(jù)分析技術(shù)提出了意見。

安卓系統(tǒng)；移動(dòng)終端設(shè)備；數(shù)據(jù)取證技術(shù)；司法證據(jù)；司法鑒定

當(dāng)今社會(huì)，現(xiàn)代計(jì)算機(jī)、移動(dòng)硬盤、手機(jī)等電子設(shè)備發(fā)展迅速，日常生活中人們對(duì)電子設(shè)備十分依賴，運(yùn)用也極為廣泛，從而推動(dòng)了社會(huì)信息化的發(fā)展。需要通過司法鑒定來證明社會(huì)上的民事糾紛、刑事案件等客觀事件的真實(shí)性。數(shù)字取證這一技術(shù)正在高速發(fā)展，如對(duì)公司內(nèi)部調(diào)查分析、刑事調(diào)查、民事訴訟、情報(bào)收集，與國家安全相關(guān)等方面影響巨大。

數(shù)字取證領(lǐng)域發(fā)展迅速，移動(dòng)取證不僅挖掘了巨大的商機(jī)還發(fā)起了嚴(yán)峻的挑戰(zhàn)，安卓的取證分析無論是對(duì)取證分析師還是對(duì)安全工程師來說都會(huì)使業(yè)界呈高速的增長(zhǎng)的狀態(tài)。取證時(shí)的電子數(shù)據(jù)信息采用二進(jìn)制數(shù)據(jù)表示，存在的方式為數(shù)字信號(hào)，若出現(xiàn)其他差錯(cuò)或故意的變更、刪減、剪接、刪除、截收數(shù)字證據(jù)等，均將導(dǎo)致數(shù)據(jù)被篡改。因此，應(yīng)結(jié)合磁盤、內(nèi)存數(shù)據(jù)恢復(fù)、數(shù)據(jù)挖掘、加密技術(shù)、反向工程、解決技術(shù)等理論和技術(shù)將證據(jù)進(jìn)行安全保障。但是由于取證分析師及信息安全工程師們對(duì)相應(yīng)的設(shè)備及手持終端的知識(shí)、技術(shù)不夠了解，在解決問題時(shí)會(huì)比較困難。本文中，針對(duì)安卓移動(dòng)終端設(shè)備的數(shù)字取證問題，從技術(shù)的層面對(duì)相關(guān)技術(shù)進(jìn)行了分析。

1 關(guān)于取證

1.1 物理數(shù)據(jù)技術(shù)

可進(jìn)行存儲(chǔ)數(shù)據(jù)的物理介質(zhì)即為物理技術(shù)的目標(biāo)，數(shù)據(jù)的訪問并不是依靠文件系統(tǒng)來實(shí)現(xiàn)，可以對(duì)大部分被刪除的數(shù)據(jù)進(jìn)行訪問是物理技術(shù)的主要優(yōu)點(diǎn)。采用某種手段對(duì)安卓設(shè)備的存儲(chǔ)區(qū)域直接進(jìn)行鏡像處理，并將生成的數(shù)據(jù)鏡像文件做進(jìn)一步分析的技術(shù)即為安卓系統(tǒng)的物理數(shù)據(jù)恢復(fù)技術(shù)。若能成功避開口令的保護(hù)，從而使獲得被修復(fù)的數(shù)據(jù)根據(jù)指數(shù)的數(shù)量級(jí)不斷增加即獲取目標(biāo)數(shù)據(jù)存儲(chǔ)的物理映像取證技術(shù)。這除了對(duì)已刪除的數(shù)據(jù)可進(jìn)行訪問之外，還可對(duì)系統(tǒng)認(rèn)為不再重復(fù)使用而丟棄的數(shù)據(jù)進(jìn)行訪問。物理數(shù)據(jù)恢復(fù)就結(jié)構(gòu)上來說低于邏輯數(shù)據(jù)恢復(fù)一層，即為邏輯數(shù)據(jù)恢復(fù)的基礎(chǔ)。由于采用的鏡像手段各有不同，可以是硬件為基礎(chǔ)的物理數(shù)據(jù)恢復(fù)技術(shù)及以軟件為基礎(chǔ)的物理數(shù)據(jù)恢復(fù)技術(shù)，硬件即連接硬件與終端設(shè)備的方法或是指在物理上獲取終端設(shè)備部件的方法；軟件即在可訪問root的條件下可使終端設(shè)備中的軟件開始運(yùn)行的技術(shù)，從而可在數(shù)據(jù)分區(qū)獲得完整的物理映像。以硬件的方法為基礎(chǔ)，則需要專門的較為昂貴的儀器及對(duì)取證人員進(jìn)行培訓(xùn)，可有效地作用于無法獲得root訪問權(quán)限的終端設(shè)備中。而以軟件為基礎(chǔ)的物理技術(shù)可直接地獲取數(shù)據(jù)，以此為起始點(diǎn)較為理想，但只有能對(duì)終端設(shè)備上的root進(jìn)行訪問，才能更好地運(yùn)用以軟件為基礎(chǔ)的技術(shù)。

1.2 邏輯數(shù)據(jù)技術(shù)

以對(duì)文件系統(tǒng)的訪問來挖掘所分配的數(shù)據(jù)即為邏輯技術(shù)。所分配的數(shù)據(jù)主要是指可在文件系統(tǒng)中獲得且沒被刪除的數(shù)據(jù)。于當(dāng)前文件目錄中獲取數(shù)據(jù)文件并對(duì)其進(jìn)行邏輯分析技術(shù)指的就是安卓系統(tǒng)的邏輯數(shù)據(jù)恢復(fù)技術(shù)。目前，在使用安卓操作系統(tǒng)的移動(dòng)終端設(shè)備時(shí)，在data/data/目錄下儲(chǔ)存與應(yīng)用程序相關(guān)的信息及數(shù)據(jù)，同時(shí)為更好區(qū)分，應(yīng)將不同的應(yīng)用程序于該目錄下采用多個(gè)子目錄將該程序中的數(shù)據(jù)文件進(jìn)行存放。如在data/ data/com.Android.Contacts的目錄下存放與聯(lián)系人相關(guān)的文件、在data/data/com.Android.mms的目錄下存放與手機(jī)彩信相關(guān)的文件等。而databases目錄存在于上述的每個(gè)目錄下，這個(gè)目錄中是存儲(chǔ)對(duì)與該應(yīng)用程序的SQLite數(shù)據(jù)庫相關(guān)的文件。采用調(diào)試工具adb，由Google官方提供，可對(duì)所有目錄中所存儲(chǔ)的文件進(jìn)行查看，并提取需要進(jìn)行邏輯分析的SQLite數(shù)據(jù)庫文件到運(yùn)行adb工具的PC機(jī)上，后可采用SQLite expert此類數(shù)據(jù)庫文件查看器查看并分析所獲取的數(shù)據(jù)庫文件。

這種獲取并分析數(shù)據(jù)方式操作較為簡(jiǎn)單且易于實(shí)現(xiàn)，于SQLite數(shù)據(jù)庫文件中可獲取大量的信息，如聯(lián)系人、短信記錄及瀏覽器的瀏覽記錄等。但是這種方式也有較為明顯的缺點(diǎn)，各應(yīng)用程序正在使用的SQLite數(shù)據(jù)庫中當(dāng)前的文件內(nèi)容就是利用該方法進(jìn)行數(shù)據(jù)取證的唯一途徑，若有些應(yīng)用程序被卸載，則該類的數(shù)據(jù)庫文件將不復(fù)存在或者數(shù)據(jù)庫中的某些程序的內(nèi)容在應(yīng)用程序中已被做了刪除處理，因此無法在數(shù)據(jù)庫中獲取這些信息。此外，若SQLite數(shù)據(jù)庫的某些文件的數(shù)據(jù)庫記錄被刪除，將不會(huì)再有顯示。對(duì)比傳統(tǒng)的邏輯技術(shù)，在安卓取證中配合特殊的工具與技術(shù)，依靠?jī)?nèi)容提供商內(nèi)置于安卓平臺(tái)、軟件開發(fā)套件中的技術(shù)，通過所獲取的邏輯數(shù)據(jù)，將被刪除的數(shù)據(jù)庫數(shù)據(jù)恢復(fù)。

2 數(shù)據(jù)分析技術(shù)

2.1 獲取數(shù)據(jù)

數(shù)據(jù)獲取模塊包括有4個(gè)子模塊，即為Ingest數(shù)據(jù)獲取模塊、Android安卓模塊、E01模塊和EXIF模塊。Ingest模塊所發(fā)揮的功能是數(shù)據(jù)源以及相關(guān)文件的獲取；Android模塊所發(fā)揮的功能是獲取終端數(shù)字；E01模塊所發(fā)揮的作用是識(shí)別該類型的文件并獲取相關(guān)數(shù)據(jù)；EXIF模塊所發(fā)揮的作用是識(shí)別EXIF圖像，并對(duì)有關(guān)文件進(jìn)行分析。

2.2 傳輸數(shù)據(jù)

傳輸數(shù)據(jù)的模塊所采用的是通信技術(shù)對(duì)相關(guān)數(shù)據(jù)進(jìn)行傳輸，包括有4個(gè)子模塊，即為Services提供服務(wù)的模塊、Core Component Inter Faces核心組成構(gòu)件的接口模塊、Core Utils核心通用模塊、Key word Search Service搜索關(guān)鍵字的模塊。其中，Services模塊所發(fā)揮的作用是為模塊直接的信息傳遞提供必要的服務(wù)；Core Component Inter Faces模塊所發(fā)揮的作用是建立信息傳遞所需要的通信接口，使得組件之間的信息可以順利傳輸；Core Utils模塊功能所發(fā)揮的作用是為信息傳輸提供通用工具；Key word Search Service模塊所發(fā)揮的作用是為搜索關(guān)鍵字提供必要的服務(wù)。

2.3 分析數(shù)據(jù)

分析數(shù)據(jù)的模塊包括有9個(gè)子模塊，即為File typeid處理文件的模塊、Seven Zip處理壓縮包的模塊、Data Model數(shù)據(jù)模塊、File Ext Mismatch識(shí)別不匹配擴(kuò)展名的模塊、Core核心模塊、Key word Search搜索關(guān)鍵字的模塊、File Search搜索文件的模塊、Core libs核心庫模塊、Recent Activity近期活動(dòng)的模塊。其中，F(xiàn)ile type模塊所發(fā)揮的作用是判斷文件的類型并對(duì)相關(guān)問題進(jìn)行分析；Seven Zip模塊所發(fā)揮的作用是識(shí)別壓縮包文件并對(duì)相關(guān)問題進(jìn)行分析；Data Model模塊所發(fā)揮的作用是建立數(shù)據(jù)模塊并對(duì)相關(guān)問題進(jìn)行分析；File Ext Mismatch模塊是導(dǎo)入擴(kuò)展名并對(duì)相關(guān)問題進(jìn)行分析；Core核心模塊所發(fā)揮的作用是加載核心庫并對(duì)相關(guān)問題進(jìn)行分析；Key word Search模塊所發(fā)揮的作用是搜索關(guān)鍵字并對(duì)相關(guān)問題進(jìn)行分析；File Search模塊所發(fā)揮的作用是搜索文件并對(duì)相關(guān)問題進(jìn)行分析；Core libs模塊所發(fā)揮的作用是加載核心庫并對(duì)相關(guān)問題進(jìn)行分析；Recent Activity模塊所發(fā)揮的作用是提取各項(xiàng)活動(dòng)任務(wù)并對(duì)相關(guān)問題進(jìn)行分析。

2.4 處理數(shù)據(jù)

處理數(shù)據(jù)的模塊包括有5個(gè)子模塊，即為Hash Data base哈希數(shù)據(jù)校驗(yàn)的模塊、Content Viewers瀏覽內(nèi)容的模塊、Report報(bào)告模塊、Directory Tree目錄樹模塊、Time line時(shí)間軸模塊。Content Viewers模塊所發(fā)揮的作用是瀏覽元數(shù)據(jù)、Hash Data base模塊所發(fā)揮的作用是采用哈希校驗(yàn)的方法對(duì)數(shù)據(jù)進(jìn)行取證；Directory Tree模塊所發(fā)揮的作用是將建立數(shù)據(jù)樹目錄、Report模塊所發(fā)揮的作用是將符合用戶需求的取證報(bào)告制定出來、Time line模塊所發(fā)揮的作用是分析時(shí)間、事件以及行為之間所存在的相關(guān)性。

2.5 其他

在取證的過程中，以物理獲取數(shù)據(jù)為基礎(chǔ)后進(jìn)行邏輯獲取及分析即可得到足夠的案件信息。而有些案件需要更進(jìn)一步的分析，將被刪除的文件與未知的文件的結(jié)構(gòu)之間進(jìn)行聯(lián)系，這將會(huì)涉及到其他如XML解析技術(shù)、數(shù)據(jù)庫技術(shù)和數(shù)據(jù)挖掘技術(shù)等與之的相關(guān)的技術(shù)，上述技術(shù)均是安卓取證中不可或缺的；若辦案人員想準(zhǔn)確地了解儲(chǔ)存的數(shù)據(jù)，可采用十六進(jìn)制編輯器進(jìn)行查看，找到其模式或可將被刪除的數(shù)據(jù)結(jié)構(gòu)識(shí)別出來。

3 防范方法

注意安全使用網(wǎng)絡(luò)。當(dāng)今社會(huì)是網(wǎng)絡(luò)時(shí)代，日常生活中網(wǎng)絡(luò)無處不在，家庭寬帶、無線網(wǎng)絡(luò)及手機(jī)的4G功能均為人們常用來上網(wǎng)的方式，但是當(dāng)我們處于室外及一些公共場(chǎng)所時(shí)，常會(huì)使用公共網(wǎng)絡(luò)，因此我們要注意我們的私密信息是否會(huì)泄露，若有不安全的網(wǎng)絡(luò)切勿隨意使用，盡量避免個(gè)人信息被攔截或遭到竊取。若有信息泄露，應(yīng)盡快將有關(guān)財(cái)產(chǎn)及重要的信息掛失凍結(jié)。

在安裝APP時(shí)應(yīng)時(shí)刻注意系統(tǒng)所提示的權(quán)限信息。在安裝時(shí)，系統(tǒng)所提示的系統(tǒng)權(quán)限信息如“訪問通訊錄、獲取相冊(cè)、獲取位置信息”等，很多用戶通常不會(huì)注意到這些權(quán)限信息是否應(yīng)該通行還是阻止，這需要用戶結(jié)合所安裝的此款軟件的使用來決定是否需要通行這些權(quán)限。若應(yīng)用的基本功能與權(quán)限信息不符合，則對(duì)此款軟件應(yīng)用的真實(shí)性持懷疑的態(tài)度。

4 發(fā)展趨勢(shì)

（1）會(huì)有大量惡意軟件對(duì)移動(dòng)設(shè)備構(gòu)成威脅。忽略設(shè)備的更新或是設(shè)備沒有系統(tǒng)更新的提示等情況均可將相關(guān)安全服務(wù)市場(chǎng)的發(fā)展推動(dòng)，該安全服務(wù)市場(chǎng)不僅可對(duì)傳統(tǒng)PC電腦的安全問題進(jìn)行解決，而且還可解決移動(dòng)設(shè)備的安全問題；（2）越來越多的手機(jī)制作商、移動(dòng)運(yùn)營商正在找尋可將移動(dòng)設(shè)備中所存在的安全漏洞進(jìn)行快速修復(fù)的方法。該項(xiàng)工作的發(fā)展較為緩慢，仍需要較長(zhǎng)的時(shí)間進(jìn)行研究及開發(fā)；（3）移動(dòng)支付系統(tǒng)正在穩(wěn)步發(fā)展?，F(xiàn)在人們常使用的支付寶的在線支付功能、微信的面對(duì)面收錢功能等，且還有Apple Pay等移動(dòng)支付功能正被廣泛應(yīng)用中，在使用相關(guān)的間接支付功能時(shí)，均要求移動(dòng)設(shè)備具有較高的安全性及用戶同樣要具有較高的安全意識(shí)；（4）目前惡意軟件還是較少的出現(xiàn)泄露用戶數(shù)據(jù)、信息等情況，但不排除在今后會(huì)大量出現(xiàn)數(shù)據(jù)泄露類移動(dòng)惡意軟件，也是因如今處于數(shù)據(jù)時(shí)代可輕易地獲取大量的數(shù)據(jù)信息。因此，在這個(gè)廣泛應(yīng)用云技術(shù)的網(wǎng)絡(luò)時(shí)代，我們應(yīng)高度關(guān)注此類問題。

5 結(jié)語

本文以介紹安卓的移動(dòng)終端數(shù)據(jù)恢復(fù)的邏輯技術(shù)、物理技術(shù)及數(shù)據(jù)分析技術(shù)為主。在公安、法院等偵探及執(zhí)法部門中，為獲取與涉案人員相關(guān)的信息，如其使用的智能手機(jī)、移動(dòng)終端設(shè)備中的通訊錄、通話記錄、短信、彩信、相冊(cè)及文件等相關(guān)信息及數(shù)據(jù)，且為盡量恢復(fù)已被刪除上述信息和數(shù)據(jù)，提供了在案件中進(jìn)行調(diào)查和審理所需的技術(shù)支持。此外，采用相關(guān)方法對(duì)人們的信息及數(shù)據(jù)進(jìn)行保護(hù)，使人們對(duì)相關(guān)信息及數(shù)據(jù)的保護(hù)意識(shí)極大增強(qiáng)。

[1]吳紹兵．云計(jì)算環(huán)境下的電子證據(jù)取證關(guān)鍵技術(shù)研究[J]．計(jì)算機(jī)科學(xué)，2012，39（11）.

[2]周敏，龔箭．分布式計(jì)算機(jī)取證模型研究[J]．微電子學(xué)與計(jì)算機(jī)，2012，29（2）.

[3]張俊，麥永浩．云計(jì)算環(huán)境下仿真計(jì)算機(jī)取證研究[J]．信息網(wǎng)絡(luò)安全，2011，（10）.

[4]武魯，王連海，顧衛(wèi)．基于云的計(jì)算機(jī)取證系統(tǒng)研究[J]．計(jì)算機(jī)科學(xué)，2012，5（39）．

（責(zé)任編輯：黃銀芳）

TP393

1009-2374（2017）12-0013-03

10.13535/j.cnki.11-4406/n.2017.12.007

A