CN106506478B - 一种针对移动终端Zello应用的数据取证方法 - Google Patents
一种针对移动终端Zello应用的数据取证方法 Download PDFInfo
- Publication number
- CN106506478B CN106506478B CN201610940392.9A CN201610940392A CN106506478B CN 106506478 B CN106506478 B CN 106506478B CN 201610940392 A CN201610940392 A CN 201610940392A CN 106506478 B CN106506478 B CN 106506478B
- Authority
- CN
- China
- Prior art keywords
- data
- zello
- application
- account
- friends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Evolutionary Computation (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种针对移动终端Zello应用的数据取证方法,其包括:获取智能终端中的数据;获取智能终端中Zello应用数据,该数据至少包括账号,好友,频道以及聊天消息;提取账号,好友以及频道,并通过计算关联标识,建立好友,频道以及账号之间的关系;提取聊天消息,并在原始的私有数据格式上进行分析,构造出可以直接支持的标准格式。本发明提供的取证方案,完善了处理智能终端的手段,提高了取证的速度,对Zello应用中的联系人和消息,进行了分析,可以将账户、好友、频道进行关联,并且支持发送的图片、语音重组还原,直接查看和播放。
Description
技术领域
本发明涉及电子数据取证技术,具体涉及移动终端应用的数据取证技术。
背景技术
随着计算机和互联网技术的迅速发展,电子商务、电子政务、网络教育和各类网络服务在社会生产和人民生活中被大量应用。随之各类纠纷、民事案件和刑事案件也是有出现,而在判定或处置纠纷和案件过程中,涉及到计算机或互联网的电子数据已经成为一种重要的证据。其中即时通信类软件存储的用户信息越来越多,QQ和微信中分别存储了远超过通信录和短信数据量的关系信息以及聊天记录,因此对即时通信软件进行专门的取证分析非常必要。Zello Walkie Talkie Loudtalks是一款可以在手机之间或者手机和PC之间进行即时语音聊天的软件,支持多种操作系统。
参见图1,其所示为现有取证技术针对Zello应用的数据取证流程。由图给出的取证流程可知,在拿到一个IOS或Android系统的智能终端后,当IOS已经越狱或者Android已经Root的情况下,获取智能终端中的所有信息,再从所有的数据中筛选出Zello应用数据,对Zello数据进行分析,分析后的结果直接展示。
从图1中可以看出,现有的这种取证技术存在以下问题:
其一,当待取证智能终端处于非越狱(IOS系统)或非Root(Android系统)状态时,没有采用其他获取数据的方法或没有更好的获取数据的方法;
其二,分析Zello应用数据前,需要首先获取所有的手机数据,等待时间较长;
其三,直接获取的Zello数据内容中的账号、好友、频道等,未与消息进行有效关联;
其四,无法将消息中语音或图片内容分析并重组,用户不能够直接听取传输的语音内容,也无法看到发送的图片。
发明内容
针对现有Zello应用数据取证技术所存在的问题,需要一种新的针对Zello应用数据的取证方案。
为此,本发明所要解决的技术问题是提供一种针对移动终端Zello应用的数据取证方法,该取证方法能够在非Root或非越狱的智能终端下对Zello应用数据进行高效、全面的获取,取证效率更高,数据还原度更准确,消息显示更直观。
为了达到上述目的,本发明提供的针对移动终端Zello应用的数据取证方法包括:
获取智能终端中的数据;
获取智能终端中Zello应用数据,该数据至少包括账号,好友,频道以及聊天消息;
提取账号,好友以及频道,并通过计算关联标识,建立好友,频道以及账号之间的关系;
提取聊天消息,并在原始的私有数据格式上进行分析,构造出可以直接支持的标准格式。
优选的,所述取证方法中通过对智能终端进行备份来获得数据。
优选的,针对Android智能终端还可通过JTAG接口获取Android镜像,由此来获得智能终端中数据。
优选的,所述取证方法中通过计算账号的Hash值,并以此作为账号,好友以及频道之间关联标识。
优选的,对于聊天消息中的文本消息,直接从数据库中提取。
优选的,对于聊天消息中图片信息,通过账户的Hash值定位图片存储在本地的目录,再在该目录下提取名称以消息的historyId为前缀的图片。
优选的,对于聊天消息中语音信息,通过账户的Hash值定位语音信息的存储路径,对该路径下的amr格式数据,添加文件头即可;对该路径下的opus格式数据,首先构造出opus文件的公共头部,采用默认采样率计算出相关头部信息,再按照opus-ogg文件格式将所有分片长度和数据一次添加到文件中,完成标准语音格式的重新构造。
本发明提供的取证方案,完善了处理智能终端的手段,提高了取证的速度,对Zello应用中的联系人和消息,进行了分析,可以将账户、好友、频道进行关联,并且支持发送的图片、语音重组还原,直接查看和播放。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为现有Zello应用取证的流程图;
图2为本发明实例中进行Zello应用取证的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本实例中针对非越狱或非Root状态下的智能终端,通过对IOS或Android智能终端的备份来获取终端的相关数据。
其中针对Android系统通过Adb可以对数据进行备份,针对IOS系统可以通过itunes进行备份。
若针对Android系统备份有问题的话,还可以通过JTAG接口获取Android镜像,JTAG接口为智能终端调试接口,可通过连线直接将智能终端中所有的数据读出到存储介质里,在经过格式解析,获取其中的数据。但也可以直接在智能设备中定位Zello应用的相关目录和文件,只将有效的Zello数据进行获取,避免获取整个手机数据时的长时间等待。
本实例针对Zello应用中Zello账号,好友以及频道数据信息,通过对Zello账号进行运算,并对Zello文件中出现的标识进行对比分析,确定Zello账号、好友、频道之间通过账号的Hash值进行关联,本实例据此将不同用户的好友和频道等信息进行关联。
本实例针对Zello中聊天消息,Zello聊天消息中的多媒体附件主要包括语音和图片,图片的保存位置和消息的ID相关;语音的数据都保存在一个文件中,需要根据不同消息中语音数据的位置,从同一个文件中进行截取,再根据消息格式,构造为amr或opus文件,其中amr格式数据,只需简单的添加文件头即可;opus数据,实际上是分片存储的,每一片包括长度和数据,首先构造出opus文件的公共头部,采用默认采样率计算出相关头部信息,再按照opus-ogg文件格式将所有分片长度和数据一次添加到文件中,完成标准语音格式的重新构造。
针对上述技术原理,以下通过一具体的应用实例来说明一下本实例中针对智能终端中Zello应用的数据取证过程。
参见图2,其所示为本实例中对智能终端中Zello应用进行数据取证的流程图中。由图可知,本实例中首先,通过备份或JTAG的技术方案对待处理智能终端进行预处理,以提取智能终端的相关数据。
针对Zello应用,则可以通过定位不同的文件或目录,直接进行获取Zello应用数据。
对于不同Zello应用数据,进行不同的分析:可以分别获取账号、好友、频道、聊天消息等内容。
对获取到的账号,好友以及频道信息,可通过计算关联标识,建立好友、频道、账号之间的关系;
对获取到的聊天消息中的图片、语音内容,在原始的私有数据格式上进行分析,构造出可以直接支持的标准格式。
据此,具体的实现步骤如下:
一、数据提取阶段:
(1)使用USB线连接智能终端和计算机,判断智能终端类型为IOS或者Android;
(2)判断Android智能终端是否Root,或IOS智能终端是否越狱,若系统已Root或越狱,可以直接获取操作系统文件信息,直接提取Zello应用数据文件;
(3)若Android系统未Root,尝试通过Adb命令对Zello应用程序及其数据进行备份;
(4)若Android系统备份失败,尝试使用JTAG调试接口直接获取智能终端镜像,但是镜像后的数据需要根据相关格式进行解析;
(5)若IOS系统未越狱,尝试使用itunes进行应用数据的备份;
(6)Zell o应用的数据从智能终端、备份或镜像中复制到连接智能终端的计算机上:
若为Android智能终端,提取系统:/data/data/com.loudtalks/目录下的文件;
若为IOS智能终端,提取系统:/AppDomain/com.zello.client.main/目录下的文件。
二、数据分析阶段:
(8)从/data/data/com.loudtalks/或/AppDomain/com.zello.client.main/中获取账户,好友以及频道信息文件,该文件为Xml格式,可以直接进行解析;通过计算账号的Hash值,并以此作为关联表示和好友、频道信息相关联。
其中account节点存储了账号信息,*****.contacts节点存储了某个账户的好友信息和频道信息,其中*****为账户的Hash值表示;*****.recents节点存储了账户最新发送的消息。
(9)根据Zello账户的Hash值确定SQLite数据库的目录,并在该SQLite数据库中获取Zello应用聊天消息信息;
其中,Zello应用聊天消息信息存储在SQLite数据库中,数据库的目录在/sdcard/Zello/history/****/或者
/AppDomain/com.zello.client.main/Documents/Zello/history/****/下,其中****为Zello账户的Hash值。
(10)Zello中的聊天消息包括3种类型,文本消息、图片消息、语音消息,可以从消息数据库中的type字段进行区分;
针对消息中的文本消息,其存储在数据库中,直接从数据库中提取;
针对消息中的图片存储在本地的特定目录下,该目录和账户的Hash值相关联,图片的名称以该消息的historyId为前缀;通过账户的Hash值定位图片存储在本地的目录,再在该目录下提取名称以消息的historyId为前缀的图片;
针对消息中的语音信息,通过账户的Hash值定位语音信息文件的存储路径,其中语音分为amr和opus两种格式。
(11)针对Amr格式语音直接根据消息中的起始位置、长度获取消息内容数据,再通过添加文件头{0x23,0x21,0x41,0x4d,0x52,0x0a},另存为amr格式文件;
(12)针对Opus格式语音信息进行处理。
(12-1)需要对Zello语音信息进行重组,Zello中存储的opus音频数据信息为一个分片数据,一条消息中包含多少个数据片,通过消息中的长度来确定;
(12-2)提取所有数据长度和数据片内容;
(12-3)opus数据头的重组,即按照数据内容构造相应的区段位置和循环冗余校验码校验和,其中区段位置,由数据的总长度和标准采样率计算得出;而校验和,由Crc32算法计算得出;
(12-4)通过以上三步计算出重要的信息,再根据opus格式,重组成opus-oggs语音文件。
数据结果展示阶段:
(13)根据不同的类型展示消息信息。
由上可知,本实例中提供的针对移动智能终端中的Zello应用的取证方案,其功能更加强大,取证效率更高,数据还原度更准确,消息显示更直观。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (7)
1.一种针对移动终端Zello应用的数据取证方法,其特征在于,所述取证方法包括:
获取智能终端中的数据;
获取智能终端中Zello应用数据,该数据至少包括账号,好友,频道以及聊天消息;
提取账号,好友以及频道,并通过计算关联标识,建立好友,频道以及账号之间的关系;通过对Zello账号进行运算,并对Zello文件中出现的标识进行对比分析,确定Zello账号、好友、频道之间通过账号的Hash值进行关联,据此将不同用户的好友和频道信息进行关联;
提取聊天消息,并在原始的私有数据格式上进行分析,构造出可以直接支持的标准格式。
2.根据权利要求1所述的一种针对移动终端Zello应用的数据取证方法,其特征在于,所述取证方法中通过对智能终端进行备份来获得数据。
3.根据权利要求1所述的一种针对移动终端Zello应用的数据取证方法,其特征在于,针对Android智能终端还可通过JTAG接口获取Android镜像,由此来获得智能终端中数据。
4.根据权利要求1所述的一种针对移动终端Zello应用的数据取证方法,其特征在于,所述取证方法中通过计算账号的Hash值,并以此作为账号,好友以及频道之间关联标识。
5.根据权利要求1所述的一种针对移动终端Zello应用的数据取证方法,其特征在于,对于聊天消息中的文本消息,直接从数据库中提取。
6.根据权利要求1所述的一种针对移动终端Zello应用的数据取证方法,其特征在于,对于聊天消息中图片信息,通过账户的Hash值定位图片存储在本地的目录,再在该目录下提取名称以消息的historyId为前缀的图片。
7.根据权利要求1所述的一种针对移动终端Zello应用的数据取证方法,其特征在于,对于聊天消息中语音信息,通过账户的Hash值定位语音信息的存储路径,对该路径下的amr格式数据,添加文件头即可;对该路径下的opus格式数据,首先构造出opus文件的公共头部,采用默认采样率计算出相关头部信息,再按照opus-ogg文件格式将所有分片长度和数据一次添加到文件中,完成标准语音格式的重新构造。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610940392.9A CN106506478B (zh) | 2016-10-25 | 2016-10-25 | 一种针对移动终端Zello应用的数据取证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610940392.9A CN106506478B (zh) | 2016-10-25 | 2016-10-25 | 一种针对移动终端Zello应用的数据取证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106506478A CN106506478A (zh) | 2017-03-15 |
| CN106506478B true CN106506478B (zh) | 2019-12-10 |
Family
ID=58321884
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610940392.9A Active CN106506478B (zh) | 2016-10-25 | 2016-10-25 | 一种针对移动终端Zello应用的数据取证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106506478B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116483779A (zh) * | 2023-04-28 | 2023-07-25 | 上海弘连网络科技有限公司 | 基于Zalo应用的数据取证方法、系统、介质及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095700A (zh) * | 2013-01-10 | 2013-05-08 | 公安部第三研究所 | 基于虚拟桌面的电子数据取证系统及取证控制的方法 |
| CN103345419A (zh) * | 2013-07-25 | 2013-10-09 | 南京邮电大学 | 一种基于Android平台的动态取证方法 |
| CN103942054A (zh) * | 2014-04-25 | 2014-07-23 | 北京邮电大学 | 一种基于安卓的数据取证系统 |
-
2016
- 2016-10-25 CN CN201610940392.9A patent/CN106506478B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095700A (zh) * | 2013-01-10 | 2013-05-08 | 公安部第三研究所 | 基于虚拟桌面的电子数据取证系统及取证控制的方法 |
| CN103345419A (zh) * | 2013-07-25 | 2013-10-09 | 南京邮电大学 | 一种基于Android平台的动态取证方法 |
| CN103942054A (zh) * | 2014-04-25 | 2014-07-23 | 北京邮电大学 | 一种基于安卓的数据取证系统 |
Non-Patent Citations (1)
| Title |
|---|
| "新型智能终端取证技术研究";金波 等;《信息安全学报》;20160715;第1卷(第3期);第37-51页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106506478A (zh) | 2017-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10366055B2 (en) | Decreasing duplicates and loops in an activity record | |
| Alyahya et al. | Snapchat analysis to discover digital forensic artifacts on android smartphone | |
| WO2014067240A1 (zh) | 一种恢复移动终端已删除sqlite文件的方法及装置 | |
| WO2017054597A1 (zh) | 表情字符串的处理方法及装置 | |
| Odom et al. | Forensic inspection of sensitive user data and artifacts from smartwatch wearable devices | |
| CN112559463B (zh) | 压缩文件处理的方法及装置 | |
| CN108173747B (zh) | 信息交互方法及装置 | |
| CA3061623C (en) | File sending in instant messaging applications | |
| US20160171093A1 (en) | Email mining system | |
| Eriş et al. | Forensic analysis of popular social media applications on android smartphones | |
| CN107925609B (zh) | 针对增强的用户交互的对话修改 | |
| US20150149928A1 (en) | Method, system and device for implementing an instant messaging application | |
| CN106506478B (zh) | 一种针对移动终端Zello应用的数据取证方法 | |
| CN106878145B (zh) | 一种自定义图片的显示方法、显示装置及显示系统 | |
| US6714950B1 (en) | Methods for reproducing and recreating original data | |
| CN116610489A (zh) | 一种基于SQLite全文索引的数据恢复方法及其系统 | |
| CN111107443A (zh) | 一种dash分片文件合并方法、终端设备及存储介质 | |
| Carpene | Looking to iPhone backup files for evidence extraction | |
| CN110691024B (zh) | 收集对话相关数据的方法、计算机可读取存储介质、计算机装置及服务器系统 | |
| CN109214846B (zh) | 信息存储方法和装置 | |
| WO2021129849A1 (zh) | 日志处理方法、装置、设备和存储介质 | |
| CN115510012A (zh) | 业务数据处理方法、装置、计算机设备和存储介质 | |
| Orr et al. | Whatsapp Messenger on the Android platform: A forensic examination of a physical device | |
| CN111966506B (zh) | 基于不同应用程序的内容分享方法和计算机设备 | |
| WO2020211371A1 (zh) | 图像恢复方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |