通过仿真手段展示数据的方法和装置
技术领域
本发明属于手机数据取证领域,具体涉及一种通过仿真手段展示数据的方法和装置。
背景技术
随着社会的不断发展,智能手机的普及,大量手机APP的出现,大众对手机的持有率越来越高,手机中的个人信息也越来越多。通过使用手机,可获取到的相关信息可以说包含了使用者的所有生活信息。
传统的手机提取技术采用直接操作使用者的手机进行信息提取,但如果在无法获取手机密码的情况下这样的提取方式将无法进行。
另外,采用传统的取证方式,需要花费较长的时间来对各类APP进行分析,但随着发展,手机APP越来越多,取证过程中需要分析的APP数目也越来越多,严重制约了取证的效率,并且在人工操作手机获取信息时,存在将手机中的原始数据破坏的风险。
发明内容
本发明针对现有技术的不足,提供了一种通过仿真手段展示数据的方法和装置,以解决现有技术无法方便、高效、安全地提取手机数据的问题。
为了实现以上发明目的,本发明采取的技术方案如下:一种通过仿真手段展示数据的方法,包括以下步骤:
S1:将等待数据展示的终端系统即目标终端系统进行完整的镜像操作;
S2:采用仿真技术加载镜像文件;
S3:在展示终端模拟目标终端系统,并采用第一人称方式操作目标终端系统,直接查看目标终端系统内的所有数据信息。
作为优选,所述的目标终端为智能手机或者平板设备,所述的展示终端为电脑。
作为优选,所述的S1具体方法如下:
S11:扫描获取目标终端系统信息,包括操作系统类型、版本信息、访问权限和安装的软件列表;
S12:根据S11中获取得到的详细系统信息,搭建与目标终端系统相匹配的模拟环境,创建出对应的仿真系统雏形;
S13:分析目标终端系统安装的所有软件的版本信息;
S14:在仿真系统中安装分析所得的所有软件。
作为优选,所述的S2具体方法如下:
S21:对目标终端系统进行信号屏蔽;
S22:安装目标终端系统对应的驱动程序;
S23:获取目标终端系统的使用权限;
S24:对目标终端内所有系统软件及安装软件进行数据提取,获取使用痕迹。
作为优选,还包括以下方法:将提取的所有软件痕迹信息导入已配置完成的仿真系统中,提取包含的软件与仿真系统中所安装的软件列表必须保持一致;完成数据导入后,启动仿真系统上相对应的程序软件,直接查看目标终端使用者的痕迹信息。
作为优选,所述的S11具体包括以下方法:
S111:通过各目标终端系统的连接通道将目标终端与展示终端连接;
S112:通过各操作系统内核的Shell命令扫描系统分区中的系统信息。
作为优选,所述的S13具体包括以下方法:
S131:通过各目标终端系统的连接通道将目标终端与展示终端连接;
S132:通过各操作系统内核的Shell命令扫描系统分区中的系统信息、安装软件列表和软件版本号,扫描数据分区得到安装软件的使用痕迹;
S133:获取需要的软件信息;
S134:在搭建的仿真环境类安装所有需要的软件。
作为优选,所述的S22的具体包括以下方法:
S221:将目标终端连接至展示终端,这里目标终端为智能手机,展示终端为电脑;
S222:以Android系统为例,在设置中将手机调试模式打开;
S223:电脑通过Android ADB识别智能手机的连接,安装对应的驱动程序。
作为优选,所述S24的具体方法下面以提取短信信息为例:
a.通过访问权限,确定短信数据的存储位置:data/data/com.providers.telephony/databases/mmssms.db;
b.解析mmssms数据库文件的表结构;
c.从数据库中获取短信联系人号码、短信内容和短息发送时间信息。
为了实现以上发明目的,本发明还采取了以下的技术方案:一种通过仿真手段展示数据的装置,包括通信单元,数据提取单元、仿真单元和取证单元;其中,通信单元用于与目标终端进行连接;数据提取单元用于对目标终端内所有系统软件和安装软件进行数据提取,仿真单元用于搭建仿真系统,取证单元用于查看系统内所有信息数据,并进行提取。
本发明的有益效果:
1.相较于传统的取证方式,采用仿真技术可直接在不对原始数据产生任何破坏的前提下,以第一人称方式访问目标手机系统;
2.在使用手机过程中,习惯对一些常用密码进行登录保存,采用仿真技术模拟操作系统,可对这些数据进行直接查看;
3.采用传统的取证方式,需要花费较长的时间来对各类APP进行分析。但随着发展,手机APP越来越多,取证过程中需要分析的APP数目也越来越多,严重制约了取证的效率,采用仿真系统进行取证则可以有效的解决这一问题,无需分析APP数据,采用第一人称的方式对数据进行查看;
4.对于进行加密处理的APP数据,采用传统分析提取方式,在分析APP数据的同时,需要对其进行分析解密。在解密过程中大大增加了取证的难度,也具有一定的技术局限性,采用仿真技术模拟操作系统则无需对数据进行解密;
5.在传统的取证中,受到提取数据的局限性,无法对手机内的一些重要缓存数据进行提取查看,采用仿真技术模拟手机操作系统以第一人称的方式访问手机可快速解决这个问题。
附图说明
图1为手机系统仿真主流程图;
图2为手机仿真实现详细流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
一种通过仿真手段展示数据的方法,包括以下步骤:
S1:将等待数据展示的终端系统即目标终端系统进行完整的镜像操作;
S2:采用仿真技术加载镜像文件;
S3:在展示终端模拟目标终端系统,并采用第一人称方式操作目标终端系统,直接查看目标终端系统内的所有数据信息。
所述的目标终端为智能手机或者平板设备,所述的展示终端为电脑。
所述的S1具体方法如下:
S11:扫描获取目标终端系统信息,包括操作系统类型、版本信息、访问权限和安装的软件列表;
S12:根据S11中获取得到的详细系统信息,搭建与目标终端系统相匹配的模拟环境,创建出对应的仿真系统雏形;
S13:分析目标终端系统安装的所有软件的版本信息;
S14:在仿真系统中安装分析所得的所有软件。
所述的S2具体方法如下:
S21:对目标终端系统进行信号屏蔽;
S22:安装目标终端系统对应的驱动程序;
S23:获取目标终端系统的使用权限;
S24:对目标终端内所有系统软件及安装软件进行数据提取,获取使用痕迹。
还包括以下方法:将提取的所有软件痕迹信息导入已配置完成的仿真系统中,提取包含的软件与仿真系统中所安装的软件列表必须保持一致;完成数据导入后,启动仿真系统上相对应的程序软件,直接查看目标终端使用者的痕迹信息。
所述的S11具体包括以下方法:
S111:通过各目标终端系统的连接通道将目标终端与展示终端连接;
S112:通过各操作系统内核的Shell命令扫描系统分区中的系统信息。
所述的S13具体包括以下方法:
S131:通过各目标终端系统的连接通道将目标终端与展示终端连接;
S132:通过各操作系统内核的Shell命令扫描系统分区中的系统信息、安装软件列表和软件版本号,扫描数据分区得到安装软件的使用痕迹;
S133:获取需要的软件信息;
S134:在搭建的仿真环境类安装所有需要的软件。
所述的S22的具体包括以下方法:
S221:将目标终端连接至展示终端,这里目标终端为智能手机,展示终端为电脑;
S222:以Android系统为例,在设置中将手机调试模式打开;
S223:电脑通过Android ADB识别智能手机的连接,安装对应的驱动程序。
所述S24的具体方法下面以提取短信信息为例:
a.通过访问权限,确定短信数据的存储位置:data/data/com.providers.telephony/databases/mmssms.db;
b.解析mmssms数据库文件的表结构;
c.从数据库中获取短信联系人号码、短信内容和短息发送时间信息。
为了实现以上发明目的,本发明还采取了以下的技术方案:一种通过仿真手段展示数据的装置,包括通信单元,数据提取单元、仿真单元和取证单元;其中,通信单元用于与目标终端进行连接;数据提取单元用于对目标终端内所有系统软件和安装软件进行数据提取,仿真单元用于搭建仿真系统,取证单元用于查看系统内所有信息数据,并进行提取。
具体实施例如下:
如图1所示:
101-用户将手机使用USB数据线、WIFI、蓝牙、红外或其他方式连入本装置后,由本装置建立于手机之间的连接;(手机驱动正确安装前提下)
102-本装置通过ADB命令连接手机,对手机内所有安装应用进行数据提取,ADB是一个客户端-服务器端程序, 其中客户端是用来操作的电脑, 服务器端是手机设备;
103-本装置将在102中获取得到的数据加载入已完成搭建配置的仿真系统内,进行仿真运行;
104-本装置对载入成功后的系统进行操作,查看系统内所有信息数据,并进行提取。
如图2所示(详细流程):
201-装置扫描获取手机操作系统信息,如Andrid,IOS。全面获取系统信息:操作系统类型、版本信息、访问权限、安装APP列表;
1. 通过各手机系统的连接通道(如:Android通过ADB,iPhone通过iTunes)将手机与电脑连接;
2. 通过各操作系统内核的Shell命令扫描system系统分区中的系统信息;
2011-根据201中获取得到的详细系统信息,装置搭建与目标手机操作系统相匹配的模拟环境,创建出对应的仿真系统雏形;
20111-分析目标手机中安装的所有APP的版本信息;
1.通过各手机系统的连接通道(如:Android ADB,iPhone iTunes)将手机与电脑连接;
2.通过各操作系统内核的Shell命令扫描system系统分区中的系统信息、安装应用列表、应用版本号,扫描data数据分区得到安装应用的使用痕迹;
3. 获取需要的软件信息;
4. 在搭建的仿真环境类安装所有需要的软件;
201111-在仿真系统中安装分析所得的所有软件;
202-通过本装置对目标手机进行信号屏蔽,确保手机数据的完整性,不被破坏;
2021-安装目标手机的对应驱动,只有正确安装手机驱动,才能读取系统数据;
1. 通过USB数据线将目标手机连接至PC机;
2. 以Android系统手机为例,在设置中将手机调试模式打开;
3. 在手机调试模式打开前提下,电脑通过Android ADB识别手机的连接,安装对应的驱动程序;
20211-想要对操作系统文件进行读取,必须获取目标手机的相应使用权限。出于对系统安全的考虑,手机操作系统均对系统访问权限作出了限制。以Android系统为例,使用者需要获取root权限才能获取系统最高访问权限。这就需要利用生产厂家预留的接口或其他的系统漏洞取得系统控制权限,常规的获取root权限的方式有以下几种(此为现有技术):
1. 利用fastboot进入recovery模式取得root权限;
2. 利用WiFi漏洞获取root权限;
3. 利用第三方工具进行解锁获取root权限;
4. 通过telnet获取root权限;
202111-获取手机系统使用权限后,则可对手机内所有系统应用及安装应用进行数据提取,获取使用痕迹。所有的痕迹数据均绝大部分都以sqlite数据库文件方式进行存储,数据提取的过程实际上就是提取sqlite数据库文件,解析文件中表结构的过程。下面以提取短信信息为例:
1. 通过访问权限,确定短信数据的存储位置:data/data/com.providers.telephony/databases/mmssms.db;
2. 解析mmssms数据库文件的表结构;
3. 从mmssms数据库中获取短信联系人号码、短信内容、短息发送时间等信息;
203-将提取的所有软件痕迹信息导入已配置完成的仿真系统中,提取包含的软件与仿真系统中所安装的应用列表必须保持一致;
204-完成数据导入后,则可以启动仿真系统上相对应的程序软件,可直接查看目标手机使用者的痕迹信息。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。