安卓手机取证技术2
0引言
Android系统是近些年快速兴起的一款手机操作系统。其 用户覆盖度在2011年已经以27%的占比排在智能手机的第一 位。Android系统的取证系统的需求迫在眉睫。本项目主要针 对Android手机的软件数据及硬件数据两部分提取。充分覆盖 Android手机的全部数据。
1总休设计
1.1系统整体流程
本取证项目主要包括两个部分,一个部分为软件数据的提 取,另一部分为硬件数据的提取。两个部分组成完整的取证系 统。同时,由于数据提取的速度的限制,本系统将两个部分分 开实现。取证人员可根据需要选择取证类型。
1-2系统结构
本取证系统主要从软件数据取证和硬件数据取证2方面进 行、在软件数据取证中包括了程序数据、用户数据,在硬件数 据取证中包括了芯片数据。
1.3系统子功能概述
1.3.1通讯录数据的提取。通讯录的提取主要包括SIM卡 里的号码和手机里面的号码。当SIM卡中的电话号码被删除 后,要想恢复是不大可能的,这是因为电话号码在SIM卡中是 以十六进制的编码方式存储的,每个存储空间包含一个名字和 —个号码。删除W后十六进制的FF就会覆盖存储空间的信息* 不过由于SIM卡存储空间是循环分配的,我们可以通过识别用
(2012) 0710029-01
过的空间之间的空闲空间来判断存储的号码是否被删除过。
其提取设计流程简单的说就是先进行取证系统初始化,然 后Android手机数据线连接PC,启动手机连接,系统驱动扫描 接口,判断连接是否成功,若成功则创建Android手机连接, 启动数据提取模块,加载通讯录提取子模块,启用Android手 机连接,连接Android手机数据接口,随后分别启动手机通讯 录管理模块或者手机SIM卡管理模块,连接Android通讯录数据 库或者SIM卡,进行手机及SIM卡通讯录数据的提取。将提取到 的数据下载到PC,最后通过对通讯录的解析并提取数据进行界 面显示。
1-3.2短信数据的提取。SIM卡提供了存储文本信息的空 间,每个SMS空间占176字节,由第一个字节Status (状态字 节)和第2-176字节TPDU组成。Status的值定义为: 00000000表示该空间未被使用,00000001表示接收到的短信息 已读,00000011表示接收到的短消息未读,00000101表示发送 的短信息已发送,00000111表示发送的短消息未发送。
不同品牌的手机删除SIM卡短信的机制是不同的,有的手 机在删除短信时只是将短信存储E的第一个字节Status的值改 为00000000,剩余字节中的内容不作任何修改,这样它里面的 内容其实是可以恢复的。而另一些手机在进行短信删除时除了 将短信存储区的Status字节的值改为00000000外,其余字节中 的内容全部修改为FF,这样实际上短信的内容已经不复存在, 因此无法将其内容恢复。
短信数据的提取分为短信数据和彩信数据,这部分的数据 具体存储在发件箱,收件箱和草稿箱。具体的设计流程和上述 通讯录数据的流程没什么大的区别,不过是在创建Android手 机连接后启动短信数据提取码命令,之后同样要对提取到的数 据进行解析,并进行界面显示。
1.3.3通话记录数据的提取。SIM卡也能存储最近的已拨 号码,这些号码是以二进制的编码方式存储的。大多数的手机 会把已拨电话存在手机的存储器中,调查人员也应该调查手机 里的呼叫日志。
通讯录数据的提取主要包括已接电话,未接电话,已拨电 话数据。及具体的提取流程和上面的流程类似,这里和下面将 不再赘述。
1.3.4 SIM卡信息提取。SIM卡是GSM网手机的基本单元, 包含了特定用户的信息。它是一种特殊的智能卡,通常包含了 16K到64K的内存、一个处理器、一个操作系统,在移动通信网 络中,手机与SIM卡共同构成移动通信终端设备。加密算法和其他用户相关的信息,移动通信网络通过此卡来对 用户身份进行鉴别以及对用户通话时的语音信息进行加密。一 个SIM卡惟一的标识出用户,决定电话的号码,包含一个授权用 户连上网络的算法。SIM卡文件系统的组织是为了存放姓名和电 话号码,发送和接收文本信息,和进行网络配置,这些信息也 可以共存于电话的内存中。因此,SIM卡包含着大量有价值的潜 在电子证据。
1.3.5所有程序信息数据提取。该部分主要用来读取系统 本身的程序跟用户自己安装的程序信息。
1.3. 6浏览器上网记录提取。该部分用来读取用户上网地 址记录的信息。
1.3.7日程管理信息的提取。该设计说明取证软件读取用 户的日程管理数据,该数据包括了日程的标题,日程的描述,
日程的时间等。
1.3,8手机当前运行数据的提取。
1.3.9手机用户数据提取。如手机QQ记录提取、Gmail邮 箱数据、相册数据、音乐数据、视频数据、文本数据等的提
引导扶持绿色IT,要求各级政府部门坚决杜绝能耗大的IT产 品,并且在财政、税收、价格等方面给予一定的优惠。但是, 关于绿色IT产品的参数标准尚未明确制定,这给政府采购带来 一定麻烦。所以相关部门应该尽快完善绿色IT产品的认证方 法,建立统一的认证标准,使得政府的绿色IT产品釆购有章可 循。同时电子垃圾也是发展绿色IT进程中的重大问题之一,面 对与日俱增的电子垃圾,政府企业应该根据相关规定做好电子 垃圾的妥善处理,避免对环境造成污染。
4.2树立绿色观念.积极打造绿色产品
在全球经济危机的背景下,IT企业要想在激烈的竞争下存 活,就必须要尽快转换观念,化被动为主动,化消极为积极, 开展技术创新,创造新的商机。其中,推行绿色IT是非常好的 技术创新选择,虽然短期内不会取得很大的经济效应,但是, 从长远角度来看,实行绿色IT能体现企业的社会责任感,提升 企业的社会形象,给企业带来全新的商机。
4.3强化监督机制,净化绿色IT市场环境
要使得绿色IT健康发展,就政府就必须为绿色IT提供良好 和规范的市场秩序,保障合法经营企业的利益和消费者的利 益。首先,要抓紧完善我国的绿色IT标识制度。加快建设绿色 IT的评价标准,加强绿色IT标识的宣传和推广。其次,要规范 市场秩序。加大对绿色IT产品标识的管理,建立完善并且行之 有效的市场监督机制。再次,要完善消费者保障体系。建立绿 色IT消费管理机构,对经营失信企业单位予以严惩。
4.4实施绿色教育,宣传绿色IT理念
目前,公众对于绿色IT缺乏相关知识,对绿色IT消费还存 在一定的误E。政府相关部门应该广泛利用各种媒体,在大中 小学,街道社区积极宣传普及绿色IT知识,宣传实施绿色IT的 重要意义,提高公众的环保认识水平,使绿色观念真正深入到 公众心中,积极引导绿色IT消费。在企业内部,企业应该实行 绿色管理模式,积极培养员工的绿色IT意识,加强员工环保意 识,为企业节省开支。
Android系统是近些年快速兴起的一款手机操作系统。其 用户覆盖度在2011年已经以27%的占比排在智能手机的第一 位。Android系统的取证系统的需求迫在眉睫。本项目主要针 对Android手机的软件数据及硬件数据两部分提取。充分覆盖 Android手机的全部数据。
1总休设计
1.1系统整体流程
本取证项目主要包括两个部分,一个部分为软件数据的提 取,另一部分为硬件数据的提取。两个部分组成完整的取证系 统。同时,由于数据提取的速度的限制,本系统将两个部分分 开实现。取证人员可根据需要选择取证类型。
1-2系统结构
本取证系统主要从软件数据取证和硬件数据取证2方面进 行、在软件数据取证中包括了程序数据、用户数据,在硬件数 据取证中包括了芯片数据。
1.3系统子功能概述
1.3.1通讯录数据的提取。通讯录的提取主要包括SIM卡 里的号码和手机里面的号码。当SIM卡中的电话号码被删除 后,要想恢复是不大可能的,这是因为电话号码在SIM卡中是 以十六进制的编码方式存储的,每个存储空间包含一个名字和 —个号码。删除W后十六进制的FF就会覆盖存储空间的信息* 不过由于SIM卡存储空间是循环分配的,我们可以通过识别用
(2012) 0710029-01
过的空间之间的空闲空间来判断存储的号码是否被删除过。
其提取设计流程简单的说就是先进行取证系统初始化,然 后Android手机数据线连接PC,启动手机连接,系统驱动扫描 接口,判断连接是否成功,若成功则创建Android手机连接, 启动数据提取模块,加载通讯录提取子模块,启用Android手 机连接,连接Android手机数据接口,随后分别启动手机通讯 录管理模块或者手机SIM卡管理模块,连接Android通讯录数据 库或者SIM卡,进行手机及SIM卡通讯录数据的提取。将提取到 的数据下载到PC,最后通过对通讯录的解析并提取数据进行界 面显示。
1-3.2短信数据的提取。SIM卡提供了存储文本信息的空 间,每个SMS空间占176字节,由第一个字节Status (状态字 节)和第2-176字节TPDU组成。Status的值定义为: 00000000表示该空间未被使用,00000001表示接收到的短信息 已读,00000011表示接收到的短消息未读,00000101表示发送 的短信息已发送,00000111表示发送的短消息未发送。
不同品牌的手机删除SIM卡短信的机制是不同的,有的手 机在删除短信时只是将短信存储E的第一个字节Status的值改 为00000000,剩余字节中的内容不作任何修改,这样它里面的 内容其实是可以恢复的。而另一些手机在进行短信删除时除了 将短信存储区的Status字节的值改为00000000外,其余字节中 的内容全部修改为FF,这样实际上短信的内容已经不复存在, 因此无法将其内容恢复。
短信数据的提取分为短信数据和彩信数据,这部分的数据 具体存储在发件箱,收件箱和草稿箱。具体的设计流程和上述 通讯录数据的流程没什么大的区别,不过是在创建Android手 机连接后启动短信数据提取码命令,之后同样要对提取到的数 据进行解析,并进行界面显示。
1.3.3通话记录数据的提取。SIM卡也能存储最近的已拨 号码,这些号码是以二进制的编码方式存储的。大多数的手机 会把已拨电话存在手机的存储器中,调查人员也应该调查手机 里的呼叫日志。
通讯录数据的提取主要包括已接电话,未接电话,已拨电 话数据。及具体的提取流程和上面的流程类似,这里和下面将 不再赘述。
1.3.4 SIM卡信息提取。SIM卡是GSM网手机的基本单元, 包含了特定用户的信息。它是一种特殊的智能卡,通常包含了 16K到64K的内存、一个处理器、一个操作系统,在移动通信网 络中,手机与SIM卡共同构成移动通信终端设备。加密算法和其他用户相关的信息,移动通信网络通过此卡来对 用户身份进行鉴别以及对用户通话时的语音信息进行加密。一 个SIM卡惟一的标识出用户,决定电话的号码,包含一个授权用 户连上网络的算法。SIM卡文件系统的组织是为了存放姓名和电 话号码,发送和接收文本信息,和进行网络配置,这些信息也 可以共存于电话的内存中。因此,SIM卡包含着大量有价值的潜 在电子证据。
1.3.5所有程序信息数据提取。该部分主要用来读取系统 本身的程序跟用户自己安装的程序信息。
1.3. 6浏览器上网记录提取。该部分用来读取用户上网地 址记录的信息。
1.3.7日程管理信息的提取。该设计说明取证软件读取用 户的日程管理数据,该数据包括了日程的标题,日程的描述,
日程的时间等。
1.3,8手机当前运行数据的提取。
1.3.9手机用户数据提取。如手机QQ记录提取、Gmail邮 箱数据、相册数据、音乐数据、视频数据、文本数据等的提
引导扶持绿色IT,要求各级政府部门坚决杜绝能耗大的IT产 品,并且在财政、税收、价格等方面给予一定的优惠。但是, 关于绿色IT产品的参数标准尚未明确制定,这给政府采购带来 一定麻烦。所以相关部门应该尽快完善绿色IT产品的认证方 法,建立统一的认证标准,使得政府的绿色IT产品釆购有章可 循。同时电子垃圾也是发展绿色IT进程中的重大问题之一,面 对与日俱增的电子垃圾,政府企业应该根据相关规定做好电子 垃圾的妥善处理,避免对环境造成污染。
4.2树立绿色观念.积极打造绿色产品
在全球经济危机的背景下,IT企业要想在激烈的竞争下存 活,就必须要尽快转换观念,化被动为主动,化消极为积极, 开展技术创新,创造新的商机。其中,推行绿色IT是非常好的 技术创新选择,虽然短期内不会取得很大的经济效应,但是, 从长远角度来看,实行绿色IT能体现企业的社会责任感,提升 企业的社会形象,给企业带来全新的商机。
4.3强化监督机制,净化绿色IT市场环境
要使得绿色IT健康发展,就政府就必须为绿色IT提供良好 和规范的市场秩序,保障合法经营企业的利益和消费者的利 益。首先,要抓紧完善我国的绿色IT标识制度。加快建设绿色 IT的评价标准,加强绿色IT标识的宣传和推广。其次,要规范 市场秩序。加大对绿色IT产品标识的管理,建立完善并且行之 有效的市场监督机制。再次,要完善消费者保障体系。建立绿 色IT消费管理机构,对经营失信企业单位予以严惩。
4.4实施绿色教育,宣传绿色IT理念
目前,公众对于绿色IT缺乏相关知识,对绿色IT消费还存 在一定的误E。政府相关部门应该广泛利用各种媒体,在大中 小学,街道社区积极宣传普及绿色IT知识,宣传实施绿色IT的 重要意义,提高公众的环保认识水平,使绿色观念真正深入到 公众心中,积极引导绿色IT消费。在企业内部,企业应该实行 绿色管理模式,积极培养员工的绿色IT意识,加强员工环保意 识,为企业节省开支。
扫微信立即咨询:
