謝莉莉

摘要：隨著手機支付寶軟件的不斷普及，越來越多的人使用支付寶進行線上或線下的金融交易，除了提供支付功能外，支付寶還提供了第三方服務(wù)，包括出行打車、快遞查詢等服務(wù)，因此對支付寶的用戶數(shù)據(jù)進行取證，能獲取豐富的用戶信息。由于對用戶數(shù)據(jù)安全性的保護，支付寶中大部分重要數(shù)據(jù)都存儲在云端服務(wù)器，需要登錄后才能獲取，因此，該文提出一種基于安卓仿真的支付寶云數(shù)據(jù)取證方法，基于智能終端設(shè)備信息及支付寶數(shù)據(jù)，定制化虛擬機環(huán)境，將智能終端中的支付寶數(shù)據(jù)遷移至虛擬機，實現(xiàn)免密碼登錄，獲取用戶云端服務(wù)器數(shù)據(jù)，為取證人員提供有力線索。

關(guān)鍵詞：安卓仿真；支付寶；手機取證

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2018）32-0298-02

1 背景

隨著移動互聯(lián)網(wǎng)的快速發(fā)展，移動智能終端也在不斷地普及。由于智能移動設(shè)備具有易攜帶、能聯(lián)網(wǎng)、操作方便等特性，人們越來越多地使用這一類設(shè)備進行網(wǎng)絡(luò)活動、社交活動、文件流轉(zhuǎn)、信息傳遞和金融活動等，智能終端中存儲著越來越重要的信息。電子證據(jù)在整治打擊各類網(wǎng)絡(luò)違法犯罪，打擊網(wǎng)絡(luò)恐怖主義，加強國際網(wǎng)絡(luò)安全執(zhí)法合作等方面均具有重要的意義[1]。

支付寶作為現(xiàn)在的主流支付軟件，其使用已經(jīng)覆蓋社會的各行各業(yè)。越來越多的人，使用支付寶進行線上和線下的金融交易活動，其支付項目涵蓋各種吃穿住行，賬單明細(xì)甚至能反映出用戶的生活軌跡。而隨著支付寶第三方服務(wù)的不斷豐富，諸如滴滴出行、我的快遞、共享單車等服務(wù)可以在不用下載的情況下直接使用，這種服務(wù)方式越來越獲得用戶的青睞。因此，對支付寶的用戶數(shù)據(jù)進行取證，不僅能獲取交易明細(xì)，還能獲取到出行記錄、快遞信息等重要數(shù)據(jù)，這些數(shù)據(jù)將對犯罪案件的偵破提供有效的線索。

2 支付寶取證現(xiàn)狀

由于支付寶對用戶數(shù)據(jù)的安全性保護，使得部分重要敏感數(shù)據(jù)使用了加密存儲方式，即使找到支付寶的數(shù)據(jù)存儲位置，仍需要對數(shù)據(jù)進行破解，因此，直接對支付寶本地數(shù)據(jù)進行取證分析，獲取數(shù)據(jù)的難度大且信息有限。其次，由于支付寶版本的不斷更新，數(shù)據(jù)的存儲結(jié)構(gòu)及加密方式有可能再次發(fā)生變化，需要重新進行數(shù)據(jù)的結(jié)構(gòu)及解密分析，其分析工作有可能滯后于支付寶新版本2周左右，這將較大降低了軟件版本的支持率。再者，在取證過程中，取證人員為了保護數(shù)據(jù)的完整性，會將智能終端設(shè)置為飛行模式或者對其信號進行屏蔽，而出于安全性考慮，支付寶中的部分重要數(shù)據(jù)并未保存在本地而是存儲在云端服務(wù)器，只有登陸聯(lián)網(wǎng)后，才能獲取，這也為支付寶的數(shù)據(jù)取證增加了難度[2]。因此，可以通過安卓仿真的方式，將智能終端中支付寶的用戶數(shù)據(jù)進行提取，并在安卓仿真機中獲取云端數(shù)據(jù)。

目前，在國內(nèi)外都有出現(xiàn)智能手機軟件云端數(shù)據(jù)獲取的取證軟件，其中國外的UFED Cloud Analyzer和XRY Cloud產(chǎn)品，提供了對Facebook、Twitter等一些應(yīng)用服務(wù)端數(shù)據(jù)的訪問和獲取，然而對于國內(nèi)的支付寶應(yīng)用卻并不支持。國內(nèi)方面也有一些公司進行了服務(wù)端數(shù)據(jù)獲取方面的研究，例如美亞公司研究了使用Android Virtual Device（AVD）來進行Android系統(tǒng)模擬[3]，雖然支持支付寶，但系統(tǒng)運行卡頓、訪問服務(wù)不穩(wěn)定、系統(tǒng)不兼容部分功能模塊無法查看，失去了可操作性，且僅支持已獲取root權(quán)限的安卓智能終端。

3 安卓虛擬機的構(gòu)建

總體來說，在計算機上運行Android系統(tǒng)主要采用軟件虛擬的手段來實現(xiàn)，主要方法有三種：

1）直接使用google 提供的Android開發(fā)工具中的Android Virtual Device ，也就是Android開發(fā)調(diào)試的虛擬機來模擬。AVD 使用QEMU虛擬出一套ARM硬件，將Android系統(tǒng)運行在該硬件基礎(chǔ)上，效率很低，運行速度很慢，用戶體驗差。

2）將Android底層API接口翻譯成Windows API，對PC硬件本身沒有要求，在硬件兼容性方面有一定的優(yōu)勢。但需要翻譯的Android接口數(shù)量巨大，很難面面俱到，而且存在軟件翻譯的開銷，在性能和游戲兼容性方面欠佳。使用該技術(shù)的產(chǎn)品有BlueStacks。

3）通過在Windows內(nèi)核底層直接插入驅(qū)動模塊，創(chuàng)建一個完整虛擬的電腦環(huán)境運行安卓系統(tǒng)，加上CPU VT硬件加速，性能和兼容性都更好，但是對于電腦CPU有一定要求。

該文選用基于第三種方法的VirtualBox作為運行安卓系統(tǒng)的虛擬軟件，使用VirtualBox新建虛擬機并安裝Android x86操作系統(tǒng)，由于Android x86系統(tǒng)基于x86系統(tǒng)架構(gòu)，對ARM版APK的支持存在兼容性問題，需要給操作系統(tǒng)安裝libhoudini支持包，該包中包括多個so庫文件，其原理在于把ARM的二進制代碼轉(zhuǎn)譯為x86指令集，使得可以在x86的CPU上執(zhí)行。

4 基于安卓仿真的支付寶云數(shù)據(jù)取證方法

該文采用基于VirtualBox模擬器[4]的仿真方式，提取智能終端中支付寶的用戶數(shù)據(jù)，導(dǎo)入到虛擬機中，并通過相應(yīng)的配置，實現(xiàn)用戶數(shù)據(jù)的仿真以及免密碼登錄，獲取用戶的云端在線數(shù)據(jù)。具體包括以下步驟：

1）獲取終端中的支付寶應(yīng)用數(shù)據(jù)。在安卓智能終端中，支付寶的安裝包存放路徑為/data/app/com.eg.android.AlipayGphone-2.apk，軟件應(yīng)用數(shù)據(jù)存放路徑為/data/data/ com.eg.android.AlipayGphone。通常，該路徑需要安卓智能終端獲取root權(quán)限才能訪問，而目前市面上，大部分智能終端已經(jīng)不支持獲取root，因此需要通過備份的方式來獲取智能終端中的支付寶數(shù)據(jù)。

2）安裝支付寶。通過ADB工具，使用adb install命令，把獲取的支付寶安裝包安裝到安卓虛擬機中。判斷命令行執(zhí)行結(jié)束后，是否返回Success，確保支付寶安裝成功。

3）獲取支付寶用戶數(shù)據(jù)屬性。支付寶安裝成功后，通過adb shell ls -l /data/data/ com.eg.android.AlipayGphone查看文件夾所屬的用戶和用戶組。

4）支付寶待仿真數(shù)據(jù)準(zhǔn)備。通過adb push命令將步驟1中獲取的支付寶用戶數(shù)據(jù)導(dǎo)入到安卓虛擬機中，覆蓋步驟2中安裝的應(yīng)用數(shù)據(jù)。修改覆蓋后com.eg.android.AlipayGphone文件夾及其下所有文件的所屬用戶和用戶組，同時，還需修改所有文件的權(quán)限，將權(quán)限修改為最高權(quán)限777。

5）開始仿真。打開安卓虛擬機的網(wǎng)絡(luò)連接，確保網(wǎng)絡(luò)正常，此時，打開支付寶軟件，可實現(xiàn)免輸入密碼，直接登錄用戶的使用界面，查看用戶的云端在線數(shù)據(jù)，獲取相關(guān)線索，并截圖。若虛擬機未聯(lián)網(wǎng)，可離線查看支付寶的本地用戶數(shù)據(jù)。

5 支付寶云端數(shù)據(jù)取證系統(tǒng)

基于上述的支付寶云端數(shù)據(jù)取證方法，該文開發(fā)了一款基于仿真的支付寶云端數(shù)據(jù)取證系統(tǒng)，系統(tǒng)可識別不同型號的安卓智能終端，提取終端中支付寶的用戶數(shù)據(jù)，定制化配置相應(yīng)的安卓虛擬機并導(dǎo)入獲取的用戶數(shù)據(jù)，最后在虛擬機中成功仿真支付寶數(shù)據(jù)。

如下圖，可實現(xiàn)免密碼登錄支付寶用戶界面，查看用戶的賬號信息，交易明細(xì)，聊天記錄、行程記錄以及快遞信息等。由于支付寶軟件內(nèi)置了眾多常用第三方服務(wù)，通過這些服務(wù)，能獲取到支付寶用戶的所有吃穿住行的相關(guān)信息，通過對這些信息的分析，很可能對犯罪案件提供有力的線索。

6 結(jié)束語

隨著手機支付寶應(yīng)用的不斷普及，其應(yīng)用已經(jīng)涵蓋生活中的方方面面，并逐漸成為人們支付的主流方式之一。支付寶除了提供支付功能以外，還提供了滴滴出行、快遞等第三方服務(wù)，用戶可以在不用下載軟件的情況下直接使用這些便捷服務(wù)，因此，其使用的普及度也越來越高。由于安卓智能終端的系統(tǒng)版本以及支付寶的軟件版本安全性的不斷提高，對支付寶的取證變得越來越困難，尤其是在對智能終端的數(shù)據(jù)進行保護而對網(wǎng)絡(luò)進行限制且無法獲取支付寶用戶的賬號密碼的情況下，能獲取到的有用信息變得十分有限。

該文基于現(xiàn)狀，提出了一種基于安卓仿真的支付寶云數(shù)據(jù)取證方法，通過提取安卓智能終端中的設(shè)備信息及支付寶數(shù)據(jù)，定制化配置基于Virtualbox的安卓虛擬機，導(dǎo)入提取的支付寶數(shù)據(jù)，最終實現(xiàn)免密碼登錄支付寶用戶界面，獲取用戶的云端服務(wù)器數(shù)據(jù)?；谝陨戏椒?，該文還開發(fā)了一款基于仿真的支付寶云端數(shù)據(jù)取證系統(tǒng)，能有效獲取支付寶用戶的交易記錄，賬單明細(xì)，出行記錄及快遞信息等眾多信息，為取證人員的犯罪案件偵破發(fā)揮重要作用。

參考文獻：

[1] 孔攀， 蔡睿奇. Android 手機取證技術(shù)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2018（2）： 153-154.

[2] 張楠. 電子商務(wù)第三方支付存在的問題及對策研究[J]. 中國商貿(mào)， 2011（9Z）： 119-120.

[3] 黃加紅， 劉曉宇， 曹榮鑫， 等. 仿真技術(shù)在手機云數(shù)據(jù)取證中的應(yīng)用[J]. 計算機科學(xué)， 2016， 43（B12）： 181-182.

[4] 闞文梟， 黃秋蘭， 陳剛. 桌面網(wǎng)格環(huán)境下虛擬化技術(shù)的應(yīng)用研究[J]. 計算機工程， 2017， 34（3）： 11-17.

【通聯(lián)編輯：謝媛媛】