【Android论文栏目提醒】:网学会员Android论文为您提供ual[通信/电子]手机仿真取证系统浅析_Android系统仿真实战 - 技术总结参考,解决您在ual[通信/电子]手机仿真取证系统浅析_Android系统仿真实战 - 技术总结学习中工作中的难题,参考学习。
2010.11专题研究19——
Android系统仿真实战黄志炜厦门市美亚柏科信息股份有限公司福建厦门 361008摘 要随着各种手机的推广手机应用程序的极大丰富在实际取证工作中我们经常会遇到对各种手机的应用程序取证而现有对手机应用程序的分析技术刚刚起步要实现对大部分应用程序使用痕迹的取证需要一段较长的时间。
如何快速对手机应用程序进行取证成为取证工作的一个重要内容。
因此本文提出了一个手机仿真取证系统的解决方案并以
Android系统为例进行介绍。
关键词手机仿真取证使用痕迹
Android中图分类号TP393.08 文献标识码AResearch on Mobile Phone Emulation Forensic System-Practical Analysis of
Android System EmulationHuang Zhi-wei Xiamen Meiya Pico Information Co.Ltd. Xiamen Fujian 361008 China Abstract: With the popularization of mobile handset and its rapid development there are more and more application software which are applied in mobile phone systems. During the process of mobile forensics we are often faced with evidence extraction of all kinds of applications in mobile phone system. However forensic analysis of applications in mobile phones is still in its beginning stage. It need take longer time to be able to analyzeextract or acquire the artifacts of most application software. It is one key point for mobile forensic investigators to analyze applications in mobile phone systems to get evidence. This paper describes one solution for mobile phone forensics that is dynamic emluation of mobile phone system which will introduce the investigation on Androit phone system based on this system.Key words: mobile phone emulation forensic usage traces Androiddoi10.3969/j.issn.1671-1122.2010.11.0061 手机仿真的意义随着手机功能的增加手机已经从一个功能单一的移动电话发展成一台小型的个人电脑上面安装的应用程序类型也在飞速增加仅对手机应用程序进行静态解析已经无法满足现有手机取证的需求而手机仿真恰恰可以绕过对手机应用程序的解析直接获取到应用程序数据。
从当前取证形势来看手机仿真可以用来进行如下取证工作1.1 使用痕迹分析由于手机使用的局限性大部分用户会将常用软件设置为记住密码或自动登录。
因此利用仿真系统经常可以直接获取到用户在手机上的上网记录、聊天记录、邮件内容等痕迹。
1.2 远程信息获取随着各种网络存储空间的普及许多手机用户没有把信息存放在手机本地这就造成普通的取证方式无法获取到对方存储在网络上的信息而通过应用仿真我们可以直接利用用户保存在手机上的密码通过网页或相应工具进入网络存储空间进而获取到用户保存在网络上的文件或信息等。
1.3 新版软件取证普通手机取证方式需要对各个软件产生的痕迹进行静态分析而静态分析一个软件产生的痕迹往往需要比较多的时间。
现有手机操作系统正逐渐向软件开发人员开放利用SDK Software Development Kit 可以开发各式各样的软件这就使得现在手机系统上的软件种类越来越多。
而按当前趋势发展下去对软件进行静态分析的速度是远远跟不上手机软件的发展速度。
采用仿真方式进行作者简介黄志炜1980-男本科主要研究方向计算机取证技术。
手机仿真取证系统浅析信息网络安全厦门美亚柏科合作202010.11专题研究软件取证可以有效解决这一问题。
1.4 加密数据调查一些手机操作系统或应用程序会对部分数据进行特殊处理如调用数据库或是用各种加密算法对自己产生的数据进行加密而这些数据往往用静态分析方法是极难得到结果的这时利用仿真系统就可以绕过具体的加密算法直接进行取证。
1.5 应用程序分析在进行取证时有时需要对部分应用程序进行运行前后的状态或数据比对才可得到进一步的证据这时就需要对应用程序运行前后的状态进行快照以便随时恢复到应用程序运行前后的状态进行比对。
而通过仿真系统可以方便得创建一个或多个快照为应用程序的分析提供了极大的便利。
1.6 虚拟身份利用由于手机基本上都是个人使用且输入密码比较麻烦所以大部分人都会把自己的帐号设成保存密码状态这时利用手机仿真就可以利用对象保存的密码登录对象的帐号利用对象的虚拟身份进行各种取证调查工作。
2 手机仿真取证系统基于上述目的我们提出了一种对这些应用程序进行仿真取证的解决方案并以当前流行
Android系统为例做进一步具体的介绍。
2.1信号屏蔽为了在取证过程中避免受到外部信号干扰导致手机电子证据受到破坏需要利用屏蔽盒、干扰器等信号屏蔽设备对手机进行信号屏蔽。
2.2驱动安装手机连接到电脑上时默认使用的是USB模式只能访问内部的SD卡数据因此我们需要对手机进行设置并安装相应的驱动程序这样才能在手机连接到电脑时读取到手机系统内部的数据。
不同手机操作系统在该设置上有不同的方法以
Android手机操作系统为例需要在主菜单的设置中将其模式设置成调试模式再根据手机型号安装驱动程序以读取系统数据。
2.3版本分析由于当前手机系统种类非常丰富即使是同一种操作系统其各个版本间也可能存在极大的差异因此要对手机系统进行仿真就必须先对手机装载的操作系统及版本进行详细分析以得到准确的操作系统类型再根据得到的操作系统类型制定相应的仿真方案。
2.4权限提升进行手机仿真时需要对手机操作系统文件进行读取由于考虑到手机操作系统的安全问题不少手机操作系统都对系统访问权限作出了限制。
以
Android系统为例因为Google认为手机使用者并非都是专业的Linux玩家所以将
Android系统的root权限给移除了。
为了可以顺利对手机进行取证我们需要获取到对手机系统进行访问的权限这就需要利用厂家预留的接口或是其它一些系统漏洞来对操作系统的访问权限进行提升如在
Android操作系统里就有多种方法可以取得系统权限1利用Telnet取得root权限2利用fastboot进入recovery模式取得root权限3利用wifi漏洞取得root权限4利用一键解锁软件获取root权限。
2.5 系统创建获取到待调查手机的操作系统、版本信息及系统访问权限后就可以利用手机软件的开发工具搭建与待调查手机操作系统相匹配的模拟环境在电脑上创建出对应的仿真系统。
2.6 软件分析由于手机上安装的软件版本众多这就需要我们了解等调查机器上所安装的具体软件及软件版本号并从中整理出我们所关注的软件对其进行仿真。
2.7 软件安装根据软件分析的结果在创建好的仿真系统上添加对应的应用程序构建与待仿真手机操作系统上相同的软件环境。
2.8 数据提取仿真环境搭建完成后还需要获取到待仿真手机上的应用程序痕迹以进行相应的分析由于我们已经将手机连接到电脑并获取到手机系统数据的读取权限现在就可以直接或利用相关工具将数据从手机获取到电脑上。
2.9 数据导入提取到应用程序痕迹后由于仿真系统中已经安装了相应的应用程序直接或利用相关工具将数据导入到仿真系统中相关应用程序痕迹存储的相应位置并替换即可。
2.10 取证分析启动仿真系统上相应的程序这时我们就可以直接查看到所关注的相关数据并进行分析。
3 结束语本文首先提出了手机操作系统应用程序的仿真需求接下来介绍了手机仿真的意义及在取证中的作用最后以
Android系统为例制定出一套手机系统的仿真方案。
本文只是一个初步的系统分析提出一种手机仿真的方案在后续研究中我们还会通过对手机操作系统进行进一步的分析以开发出更简单有效的仿真解决方案作为对手机静态取证的有效补充。
责编 程斌参考文献1宗雯. 2010年手机发展十大趋势J. 上海信息化201003.2魏秉国邢建红. 手机信号屏蔽器原理剖析与使用J. 家电检修技术200916.3杨文志. Google
Android程序设计指南M. 北京电子工业出版社2009.
相关文章
2013-9-18
