Android應(yīng)用取證分析研究.pdf

1、隨著Android手機(jī)的普及，Android應(yīng)用程序的相關(guān)數(shù)據(jù)成為越來越多刑事案件、經(jīng)濟(jì)案件、政治案件以及高科技犯罪的重要證據(jù)。對于Android應(yīng)用程序的數(shù)據(jù)取證，現(xiàn)有的研究主要集中在存儲(chǔ)數(shù)據(jù)的取證分析上。但是隨著Android系統(tǒng)不斷改進(jìn)應(yīng)用程序存儲(chǔ)數(shù)據(jù)的防護(hù)手段，并提供底層的全盤數(shù)據(jù)加密功能，傳統(tǒng)的數(shù)據(jù)取證方法已無法獲取有效的數(shù)據(jù)證據(jù)。本文在分析現(xiàn)有Android應(yīng)用程序的存儲(chǔ)數(shù)據(jù)取證技術(shù)上，進(jìn)一步研究了Android應(yīng)用程序的內(nèi)

2、存數(shù)據(jù)取證分析方法。在此基礎(chǔ)上開發(fā)實(shí)現(xiàn)了Android應(yīng)用程序數(shù)據(jù)取證系統(tǒng)，可對Android應(yīng)用程序的存儲(chǔ)數(shù)據(jù)和內(nèi)存數(shù)據(jù)進(jìn)行取證分析。本文的主要工作如下:
　　1.在研究手機(jī)取證現(xiàn)有技術(shù)的基礎(chǔ)上，提出了符合現(xiàn)有國際國內(nèi)標(biāo)準(zhǔn)流程的Android應(yīng)用程序數(shù)據(jù)的取證方法及流程。根據(jù)Android應(yīng)用程序數(shù)據(jù)存儲(chǔ)方式將數(shù)據(jù)取證分為存儲(chǔ)數(shù)據(jù)取證和內(nèi)存數(shù)據(jù)取證:根據(jù)Android應(yīng)用程序數(shù)據(jù)存儲(chǔ)位置及存儲(chǔ)格式分為XML文件數(shù)據(jù)取證、SQLi

3、te數(shù)據(jù)庫文件數(shù)據(jù)取證以及二進(jìn)制文件數(shù)據(jù)取證，并提出相應(yīng)的取證方法;根據(jù)Linux內(nèi)核存儲(chǔ)空間以及內(nèi)存管理機(jī)制，提出應(yīng)用程序內(nèi)存數(shù)據(jù)取證方法。
　　2.研究Android應(yīng)用存儲(chǔ)數(shù)據(jù)的取證方法:Android應(yīng)用數(shù)據(jù)主要以XML文件、SQLite數(shù)據(jù)庫文件以及二進(jìn)制文件形式存儲(chǔ)。首先對Android應(yīng)用進(jìn)行使用，通過向應(yīng)用中輸入關(guān)鍵信息，觀察和比較特殊文件，獲取其應(yīng)用數(shù)據(jù)存儲(chǔ)文件格式及存儲(chǔ)位置。對于XML文件，通過遍歷其樹形結(jié)構(gòu)格

4、式，判斷屬性值的方法進(jìn)行數(shù)據(jù)證據(jù)的提取及分析;對于SQLite數(shù)據(jù)庫文件，通過SQL語言查詢相關(guān)數(shù)據(jù)庫的方法進(jìn)行數(shù)據(jù)證據(jù)的提取及分析;對于二進(jìn)制文件，通過遍歷二進(jìn)制文件查找特征值或者匹配固定格式數(shù)據(jù)的方法進(jìn)行數(shù)據(jù)證據(jù)的提取及分析，或者對Android應(yīng)用進(jìn)行逆向分析，通過向應(yīng)用反編譯產(chǎn)生的smali代碼注入特征代碼的方式，完成解析應(yīng)用數(shù)據(jù)存儲(chǔ)及加密方式，最終獲得解密數(shù)據(jù)，從而完成二進(jìn)制文件數(shù)據(jù)證據(jù)的提取及分析。
　　3.研究And

5、roid應(yīng)用內(nèi)存數(shù)據(jù)的取證方法:分析Android系統(tǒng)內(nèi)核及其內(nèi)存映射機(jī)制。利用Linux內(nèi)核運(yùn)行時(shí)可擴(kuò)展的特性，通過可加載內(nèi)核（LKM）的方式，加載驅(qū)動(dòng)程序到系統(tǒng)內(nèi)核態(tài)從而直接實(shí)時(shí)提取內(nèi)存數(shù)據(jù);通過解析內(nèi)存中的iomem_ resource結(jié)構(gòu)，獲取實(shí)際系統(tǒng)內(nèi)存物理地址空間，通過地址偏移計(jì)算得到內(nèi)存當(dāng)中虛擬地址頁幀號，從而計(jì)算獲得相應(yīng)頁結(jié)構(gòu);在此基礎(chǔ)上通過高端映射獲取虛擬內(nèi)存空間線性地址，并從相應(yīng)地址讀取系統(tǒng)所有應(yīng)用進(jìn)程相關(guān)數(shù)據(jù);內(nèi)存

6、提取程序通過TCP連接與驅(qū)動(dòng)程序通信，存儲(chǔ)提取應(yīng)用程序內(nèi)存數(shù)據(jù);對于所提取的應(yīng)用程序內(nèi)存數(shù)據(jù)，通過查找分析特征值的方法對提取的內(nèi)存數(shù)據(jù)進(jìn)行相關(guān)分析。
　　4.提出一種基于隱馬爾科夫模型(Hidden Markov Module，HMM)的Android應(yīng)用內(nèi)存數(shù)據(jù)分析方法:由于所提取的應(yīng)用內(nèi)存數(shù)據(jù)結(jié)構(gòu)未知且存在變化，難以獲取有效信息。本文提出一種基于HMM的有限概率狀態(tài)機(jī)的解析方法。通過觀察提取數(shù)據(jù)相應(yīng)特征，建立相關(guān)HMM模型結(jié)構(gòu)

7、，然后針對經(jīng)過預(yù)處理后的數(shù)據(jù)，使用Viterbi算法提取出匹配模型且具有最大概率的信息序列，從而實(shí)現(xiàn)從內(nèi)存數(shù)據(jù)中自動(dòng)提取有效數(shù)據(jù)證據(jù)。
　　5.設(shè)計(jì)并實(shí)現(xiàn)了符合國際國內(nèi)取證標(biāo)準(zhǔn)流程的Android應(yīng)用程序數(shù)據(jù)取證系統(tǒng)。該取證系統(tǒng)包括Android應(yīng)用程序數(shù)據(jù)獲取模塊、數(shù)據(jù)鑒定和分析模塊以及取證結(jié)果生成模塊:數(shù)據(jù)獲取模塊實(shí)現(xiàn)待取證目標(biāo)數(shù)據(jù)的提取;數(shù)據(jù)鑒定和分析模塊根據(jù)不同的取證類型對提取的數(shù)據(jù)進(jìn)行解析并提取有效數(shù)據(jù)證據(jù);數(shù)據(jù)結(jié)果生成