针对安卓移动终端设备的数据取证技术研究
2017-03-12傅纬球
傅纬球
(广东天波信息技术股份有限公司,广东 佛山 528251)
针对安卓移动终端设备的数据取证技术研究
傅纬球
(广东天波信息技术股份有限公司,广东 佛山 528251)
由于安卓移动终端设备的应用越来越广泛,在获取司法证据及鉴定时,对安卓移动终端设备中数据的提取、处理及分析十分必要,这已是获取证据时不可忽略的途径。文章旨在对安卓的数据取证进行分析,不仅对移动终端数据恢复的逻辑及物理技术进行了介绍,而且还对文件系统、时间序列、字符串匹配等相关的数据分析技术提出了意见。
安卓系统;移动终端设备;数据取证技术;司法证据;司法鉴定
当今社会,现代计算机、移动硬盘、手机等电子设备发展迅速,日常生活中人们对电子设备十分依赖,运用也极为广泛,从而推动了社会信息化的发展。需要通过司法鉴定来证明社会上的民事纠纷、刑事案件等客观事件的真实性。数字取证这一技术正在高速发展,如对公司内部调查分析、刑事调查、民事诉讼、情报收集,与国家安全相关等方面影响巨大。
数字取证领域发展迅速,移动取证不仅挖掘了巨大的商机还发起了严峻的挑战,安卓的取证分析无论是对取证分析师还是对安全工程师来说都会使业界呈高速的增长的状态。取证时的电子数据信息采用二进制数据表示,存在的方式为数字信号,若出现其他差错或故意的变更、删减、剪接、删除、截收数字证据等,均将导致数据被篡改。因此,应结合磁盘、内存数据恢复、数据挖掘、加密技术、反向工程、解决技术等理论和技术将证据进行安全保障。但是由于取证分析师及信息安全工程师们对相应的设备及手持终端的知识、技术不够了解,在解决问题时会比较困难。本文中,针对安卓移动终端设备的数字取证问题,从技术的层面对相关技术进行了分析。
1 关于取证
1.1 物理数据技术
可进行存储数据的物理介质即为物理技术的目标,数据的访问并不是依靠文件系统来实现,可以对大部分被删除的数据进行访问是物理技术的主要优点。采用某种手段对安卓设备的存储区域直接进行镜像处理,并将生成的数据镜像文件做进一步分析的技术即为安卓系统的物理数据恢复技术。若能成功避开口令的保护,从而使获得被修复的数据根据指数的数量级不断增加即获取目标数据存储的物理映像取证技术。这除了对已删除的数据可进行访问之外,还可对系统认为不再重复使用而丢弃的数据进行访问。物理数据恢复就结构上来说低于逻辑数据恢复一层,即为逻辑数据恢复的基础。由于采用的镜像手段各有不同,可以是硬件为基础的物理数据恢复技术及以软件为基础的物理数据恢复技术,硬件即连接硬件与终端设备的方法或是指在物理上获取终端设备部件的方法;软件即在可访问root的条件下可使终端设备中的软件开始运行的技术,从而可在数据分区获得完整的物理映像。以硬件的方法为基础,则需要专门的较为昂贵的仪器及对取证人员进行培训,可有效地作用于无法获得root访问权限的终端设备中。而以软件为基础的物理技术可直接地获取数据,以此为起始点较为理想,但只有能对终端设备上的root进行访问,才能更好地运用以软件为基础的技术。
1.2 逻辑数据技术
以对文件系统的访问来挖掘所分配的数据即为逻辑技术。所分配的数据主要是指可在文件系统中获得且没被删除的数据。于当前文件目录中获取数据文件并对其进行逻辑分析技术指的就是安卓系统的逻辑数据恢复技术。目前,在使用安卓操作系统的移动终端设备时,在data/data/目录下储存与应用程序相关的信息及数据,同时为更好区分,应将不同的应用程序于该目录下采用多个子目录将该程序中的数据文件进行存放。如在data/ data/com.Android.Contacts的目录下存放与联系人相关的文件、在data/data/com.Android.mms的目录下存放与手机彩信相关的文件等。而databases目录存在于上述的每个目录下,这个目录中是存储对与该应用程序的SQLite数据库相关的文件。采用调试工具adb,由Google官方提供,可对所有目录中所存储的文件进行查看,并提取需要进行逻辑分析的SQLite数据库文件到运行adb工具的PC机上,后可采用SQLite expert此类数据库文件查看器查看并分析所获取的数据库文件。
这种获取并分析数据方式操作较为简单且易于实现,于SQLite数据库文件中可获取大量的信息,如联系人、短信记录及浏览器的浏览记录等。但是这种方式也有较为明显的缺点,各应用程序正在使用的SQLite数据库中当前的文件内容就是利用该方法进行数据取证的唯一途径,若有些应用程序被卸载,则该类的数据库文件将不复存在或者数据库中的某些程序的内容在应用程序中已被做了删除处理,因此无法在数据库中获取这些信息。此外,若SQLite数据库的某些文件的数据库记录被删除,将不会再有显示。对比传统的逻辑技术,在安卓取证中配合特殊的工具与技术,依靠内容提供商内置于安卓平台、软件开发套件中的技术,通过所获取的逻辑数据,将被删除的数据库数据恢复。
2 数据分析技术
2.1 获取数据
数据获取模块包括有4个子模块,即为Ingest数据获取模块、Android安卓模块、E01模块和EXIF模块。Ingest模块所发挥的功能是数据源以及相关文件的获取;Android模块所发挥的功能是获取终端数字;E01模块所发挥的作用是识别该类型的文件并获取相关数据;EXIF模块所发挥的作用是识别EXIF图像,并对有关文件进行分析。
2.2 传输数据
传输数据的模块所采用的是通信技术对相关数据进行传输,包括有4个子模块,即为Services提供服务的模块、Core Component Inter Faces核心组成构件的接口模块、Core Utils核心通用模块、Key word Search Service搜索关键字的模块。其中,Services模块所发挥的作用是为模块直接的信息传递提供必要的服务;Core Component Inter Faces模块所发挥的作用是建立信息传递所需要的通信接口,使得组件之间的信息可以顺利传输;Core Utils模块功能所发挥的作用是为信息传输提供通用工具;Key word Search Service模块所发挥的作用是为搜索关键字提供必要的服务。
2.3 分析数据
分析数据的模块包括有9个子模块,即为File typeid处理文件的模块、Seven Zip处理压缩包的模块、Data Model数据模块、File Ext Mismatch识别不匹配扩展名的模块、Core核心模块、Key word Search搜索关键字的模块、File Search搜索文件的模块、Core libs核心库模块、Recent Activity近期活动的模块。其中,File type模块所发挥的作用是判断文件的类型并对相关问题进行分析;Seven Zip模块所发挥的作用是识别压缩包文件并对相关问题进行分析;Data Model模块所发挥的作用是建立数据模块并对相关问题进行分析;File Ext Mismatch模块是导入扩展名并对相关问题进行分析;Core核心模块所发挥的作用是加载核心库并对相关问题进行分析;Key word Search模块所发挥的作用是搜索关键字并对相关问题进行分析;File Search模块所发挥的作用是搜索文件并对相关问题进行分析;Core libs模块所发挥的作用是加载核心库并对相关问题进行分析;Recent Activity模块所发挥的作用是提取各项活动任务并对相关问题进行分析。
2.4 处理数据
处理数据的模块包括有5个子模块,即为Hash Data base哈希数据校验的模块、Content Viewers浏览内容的模块、Report报告模块、Directory Tree目录树模块、Time line时间轴模块。Content Viewers模块所发挥的作用是浏览元数据、Hash Data base模块所发挥的作用是采用哈希校验的方法对数据进行取证;Directory Tree模块所发挥的作用是将建立数据树目录、Report模块所发挥的作用是将符合用户需求的取证报告制定出来、Time line模块所发挥的作用是分析时间、事件以及行为之间所存在的相关性。
2.5 其他
在取证的过程中,以物理获取数据为基础后进行逻辑获取及分析即可得到足够的案件信息。而有些案件需要更进一步的分析,将被删除的文件与未知的文件的结构之间进行联系,这将会涉及到其他如XML解析技术、数据库技术和数据挖掘技术等与之的相关的技术,上述技术均是安卓取证中不可或缺的;若办案人员想准确地了解储存的数据,可采用十六进制编辑器进行查看,找到其模式或可将被删除的数据结构识别出来。
3 防范方法
注意安全使用网络。当今社会是网络时代,日常生活中网络无处不在,家庭宽带、无线网络及手机的4G功能均为人们常用来上网的方式,但是当我们处于室外及一些公共场所时,常会使用公共网络,因此我们要注意我们的私密信息是否会泄露,若有不安全的网络切勿随意使用,尽量避免个人信息被拦截或遭到窃取。若有信息泄露,应尽快将有关财产及重要的信息挂失冻结。
在安装APP时应时刻注意系统所提示的权限信息。在安装时,系统所提示的系统权限信息如“访问通讯录、获取相册、获取位置信息”等,很多用户通常不会注意到这些权限信息是否应该通行还是阻止,这需要用户结合所安装的此款软件的使用来决定是否需要通行这些权限。若应用的基本功能与权限信息不符合,则对此款软件应用的真实性持怀疑的态度。
4 发展趋势
(1)会有大量恶意软件对移动设备构成威胁。忽略设备的更新或是设备没有系统更新的提示等情况均可将相关安全服务市场的发展推动,该安全服务市场不仅可对传统PC电脑的安全问题进行解决,而且还可解决移动设备的安全问题;(2)越来越多的手机制作商、移动运营商正在找寻可将移动设备中所存在的安全漏洞进行快速修复的方法。该项工作的发展较为缓慢,仍需要较长的时间进行研究及开发;(3)移动支付系统正在稳步发展。现在人们常使用的支付宝的在线支付功能、微信的面对面收钱功能等,且还有Apple Pay等移动支付功能正被广泛应用中,在使用相关的间接支付功能时,均要求移动设备具有较高的安全性及用户同样要具有较高的安全意识;(4)目前恶意软件还是较少的出现泄露用户数据、信息等情况,但不排除在今后会大量出现数据泄露类移动恶意软件,也是因如今处于数据时代可轻易地获取大量的数据信息。因此,在这个广泛应用云技术的网络时代,我们应高度关注此类问题。
5 结语
本文以介绍安卓的移动终端数据恢复的逻辑技术、物理技术及数据分析技术为主。在公安、法院等侦探及执法部门中,为获取与涉案人员相关的信息,如其使用的智能手机、移动终端设备中的通讯录、通话记录、短信、彩信、相册及文件等相关信息及数据,且为尽量恢复已被删除上述信息和数据,提供了在案件中进行调查和审理所需的技术支持。此外,采用相关方法对人们的信息及数据进行保护,使人们对相关信息及数据的保护意识极大增强。
[1]吴绍兵.云计算环境下的电子证据取证关键技术研究[J].计算机科学,2012,39(11).
[2]周敏,龚箭.分布式计算机取证模型研究[J].微电子学与计算机,2012,29(2).
[3]张俊,麦永浩.云计算环境下仿真计算机取证研究[J].信息网络安全,2011,(10).
[4]武鲁,王连海,顾卫.基于云的计算机取证系统研究[J].计算机科学,2012,5(39).
(责任编辑:黄银芳)
TP393
1009-2374(2017)12-0013-03
10.13535/j.cnki.11-4406/n.2017.12.007
A