CN107391364A - 一种基于虚拟机和实体机结合的移动终端取证方法及系统 - Google Patents
一种基于虚拟机和实体机结合的移动终端取证方法及系统 Download PDFInfo
- Publication number
- CN107391364A CN107391364A CN201710533880.2A CN201710533880A CN107391364A CN 107391364 A CN107391364 A CN 107391364A CN 201710533880 A CN201710533880 A CN 201710533880A CN 107391364 A CN107391364 A CN 107391364A
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- evidence
- virtual
- setting key
- key message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3612—Software analysis for verifying properties of programs by runtime analysis
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于虚拟机和实体机结合的移动终端取证方法及系统。本方法为:1)取证服务器从该待取证移动终端获取设定的关键信息和该待取证移动终端的系统镜像;其中,关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息;2)取证服务器根据系统镜像通过虚拟机构建一虚拟移动终端,并将提取的设定应用关键信息加载到该虚拟移动终端;然后对该虚拟移动终端进行操作完成证据的提取;3)如果该虚拟移动终端无法加载该设定应用关键信息,则取证服务器将关键信息加载到一真实移动终端,然后对该真实移动终端进行操作完成证据的提取。本发明能够在保证原始移动终端的证据完整性的前提下,实现对应用数据的取证、展示和分析。
Description
技术领域
本发明属于IT技术领域,涉及一种移动终端取证方法及系统,特别涉及一种基于虚拟机和实体机结合的移动终端取证方法及系统。
背景技术
移动终端操作系统中留存了用户的大量私密信息,以Android系统为例,近年来,Android系统作为一个开源的移动设备操作系统,其装机量达20亿部,已经超越Windows,成为全球使用最多最广泛的操作系统,Android系统的普及和应用已经深深融入到人们的生活中。Android系统中留存了用户的大量私密信息,甚至包括犯罪人员的犯罪活动相关信息,通过取证手段,科学有效地获取这些信息,对于案情的分析,有着重要的意义。
传统对于Android系统取证分析的方法是通过ADB(Android Debug Bridge)的方式获取Android系统镜像,或者通过在Android系统中安装Agent软件获取信息,再通过对获取信息的解析和分析,在PC客户端上进行展示。
现有的取证分析方法,在进行诸多应用程序的取证分析时,面临应用程序更新频繁、程序文件结构和内容复杂等问题,在文件结构和内容解析时,在工作量和工作难度双方面,面临着较大的挑战。另外,在PC客户端上进行操作时,也面临着操作界面不友好等问题。
发明内容
为了克服现有技术的不足,本发明的目的在于提供了一种基于虚拟机和实体机结合的移动终端取证方法及系统,该方法能够在保证原始移动终端的证据的完整性的前提下,充分利用虚拟机和真实移动终端的应用数据操作及展示友好的特点,实现对原始移动终端中的应用数据的取证、展示和分析。
为了实现上述目的,本发明提供的技术方案如下:
一种基于虚拟机和实体机结合的移动终端取证系统,以Android系统为例,其中,物理资源包括PC机(即取证服务器)、待取证Android移动终端、虚拟Android移动终端和真实Android移动终端。如图1所示,其中待取证Android移动终端是原始的Android移动终端,也是被取证的对象;PC机用于通过数据线连接待取证Android移动终端,获取其中的待取证数据信息;虚拟Android移动终端通过虚拟机运行在PC机中;真实Android移动终端则通过数据线连接PC,加载从待取证Android移动终端中提取的应用数据信息。具体包括以下步骤:
步骤1,使用数据线连接待取证Android移动终端和PC,使用ADB或者在终端安装Agent客户端软件的方式,从Android移动终端获取Android移动终端的系统镜像和终端相关的数据信息。
步骤2,在PC机中,对提取的Android移动终端的数据进行分析,提取Android移动终端的关键信息和终端中的应用关键信息,Android移动终端的关键信息包括Android移动终端的型号信息、IMEI信息、Android系统版本、存储器信息等,终端中的应用关键信息包括应用程序名称、版本和具体数据文件内容等信息。大部分现有的取证分析软件,一般只支持取证分析到这一步,即对提取的关键信息进行分析操作,包括数据读取、分析、解析和展现等。
步骤3,根据提取的系统版本关键信息,与虚拟机提供的镜像的Android系统版本信息进行对比,判断提取的Android移动终端的系统是否可以通过虚拟机进行构建,应用数据内容是否可以在虚拟机中进行有效加载。如果可以进行有效对虚拟机进行构建,有效对应用数据进行加载,则跳转到步骤4;如果无法对从移动终端中提取的Android系统进行构建,或无法有效加载应用数据,则跳转到步骤5。
步骤4,在PC机中生成虚拟Android移动终端,并将提取Android移动终端的关键信息和终端中的应用关键信息,加载到虚拟Android移动终端,通过对虚拟Android移动终端中相应的应用程序进行数据和文件的替换,以保证虚拟Android移动终端中相应的应用程序可以正确加载应用信息,从而规避应用程序更新频繁、程序文件结构和内容复杂等问题带来的文件结构和内容解析过程中的工作量和工作难度方面的问题,并通过在虚拟Android移动终端进行更为方便、直观的数据搜索和查看操作,实现对Android移动终端中证据信息的提取,同时可以解决只在PC客户端中通过开发的应用进行操作时带来操作界面不友好的问题;结合在PC机中对提取的数据的处理和分析,作为取证分析的补充,完成后续的取证分析操作。
步骤5,如果只是由于无法构建与移动终端相同版本的虚拟Android系统的原因,则根据Android移动终端的版本号,和PC机中保存的多个虚拟Android镜像的版本进行比较,尝试使用PC机生成版本号相近或相同的虚拟Android移动终端,并将提取Android移动终端的关键信息和终端中的应用关键信息,加载到生成的虚拟Android移动终端中。
步骤6,如果是虚拟Android移动终端无法有效加载应用程序数据的原因,可能是有应用程序在加载时检测到运行环境为虚拟环境,进而导致的加载应用程序数据失败。此时,使用真实Android移动终端连接到PC机,加载提取Android移动终端的关键信息和终端中的应用关键信息。如果未出现无法有效加载应用数据的情况,则不需要使用真实Android移动终端。
步骤7,通过使用虚拟Android移动终端或真实Android移动终端进行数据查看和分析,可以不需要对应用数据的文件结构和内容进行深入分析,只需要确保应用数据在虚拟Android移动终端或真实Android移动终端进行有效加载;另外,可以保证操作界面的友好。结合在PC机中对提取的数据的处理和分析,作为取证分析的补充,完成后续的取证分析操作。
与国内现有技术方案相比,本发明技术方案具有下述明显优点:
1、不需要深入分析系统和应用数据的详细信息,就可以还原和加载待取证Android移动终端的情况,减少对应用版本和数据格式处理的工作量。
2、在虚拟Android移动终端或真实Android移动终端进行原生系统和应用的取证操作,使用更加友好、便捷。
3、使用虚拟Android移动终端和真实Android移动终端,保证系统和应用数据能有效加载。
附图说明
图1为本发明系统图。
具体实施方式
下面结合附图和实施例对本发明进行进一步详细描述。
本发明系统如图1所示,包括PC机、待取证Android移动终端、虚拟Android移动终端和真实Android移动终端;其中,待取证Android移动终端是原始的Android移动终端,也是被取证的对象;PC机用于通过数据线连接待取证Android移动终端,获取其中的待取证数据信息;虚拟Android移动终端通过虚拟机运行在PC机中;真实Android移动终端则通过数据线连接PC,加载从待取证Android移动终端中提取的应用数据信息。本发明方法具体包括以下步骤:
1、待取证分析的移动终端为华为荣耀3C(H30-U10),需要提取的移动终端关键信息有照片、短信、通话记录,需要提取的应用程序相关的关键信息有微信、手机QQ等;
2、从华为荣耀3C中提取Android移动终端的系统镜像和华为荣耀3C相关的数据信息,镜像数据通过ADB的方式进行提取;移动终端主机相关的数据信息通过从ADB命令和通过提取镜像中的数据文件获取;
3、提取华为荣耀3C的系统为Emotion UI 2.0(一种基于Android4.3版本系统的Android定制系统),其中Android的版本为4.3,PC机中虚拟机并没有Emotion UI 2.0的虚拟镜像版本,尝试使用虚拟机中原生的Android4.3系统对华为荣耀3C移动终端的关键信息和终端中的微信、手机QQ等关键信息的加载;
4、在加载微信、手机QQ等信息时,观察到无法在虚拟Android系统中运行微信、手机QQ软件,应用程序微信、手机QQ在安装和运行时,会检测运行的Android系统环境,如果是在虚拟机中,则停止运行;
5、将应用程序微信、手机QQ的数据加载到真实Android移动终端——另外一台Android手机Nexus 4,通过对Nexus4中相应的应用程序进行数据和文件的替换,以保证Nexus4中相应的应用程序可以有效加载原应用程序的数据,并且支持与原生应用程序相同的查询和搜索等操作,进而直接在Android移动终端中进行取证操作,从而可以避免应用程序更新频繁、程序文件结构和内容复杂等问题。应用程序更新频繁、程序文件结构和内容复杂等问题会带来的文件结构和内容解析过程中的工作量和工作难度方面,传统基于文件和内容解析的PC取证分析应用开发需要投入大量的精力和人力,最终开发的应用也会遇到操作界面不友好等问题,直接在真实Android移动终端进行原移动终端数据的加载,可以有效规避以上的问题,同时基于原始应用的取证操作更加友好。
Claims (9)
1.一种基于虚拟机和实体机结合的移动终端取证方法,其步骤包括:
1)取证服务器从该待取证移动终端获取设定的关键信息和该待取证移动终端的系统镜像;其中,所述关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息;
2)取证服务器根据提取的系统镜像通过虚拟机构建一虚拟移动终端,并将提取的设定应用关键信息加载到该虚拟移动终端;然后对该虚拟移动终端进行操作完成证据的提取;
3)如果该虚拟移动终端无法加载该设定应用关键信息,则取证服务器将所述关键信息加载到一真实移动终端,然后对该真实移动终端进行操作完成证据的提取。
2.如权利要求1所述的方法,其特征在于,所述关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息。
3.如权利要求2所述的方法,其特征在于,所述移动终端的设定关键信息包括移动终端的型号信息、IMEI信息、操作系统版本、存储器信息;所述移动终端中的设定应用关键信息包括应用程序名称、版本和数据文件内容。
4.如权利要求1所述的方法,其特征在于,所述步骤2)中,如果取证服务器根据提取的系统镜像通过虚拟机无法构建与该待取证移动终端相同版本的虚拟移动终端,则根据该待取证移动终端的操作系统的版本号与取证服务器中保存的操作系统版本进行比较,生成操作系统版本号相近的虚拟移动终端。
5.如权利要求1所述的方法,其特征在于,通过ADB或者在该待取证移动终端安装Agent客户端方式,从该待取证移动终端获取设定的关键信息和该待取证移动终端的系统镜像。
6.如权利要求1~5任一所述的方法,其特征在于,所述移动终端的操作系统为Android系统或基于Android系统的定制系统。
7.一种基于虚拟机和实体机结合的移动终端取证系统,其特征在于,包括一取证服务器以及与该取证服务器连接的真实移动终端;其中,所述取证服务器,用于从该待取证移动终端获取设定的关键信息和该待取证移动终端的系统镜像;其中,所述关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息;然后根据提取的系统镜像通过虚拟机构建一虚拟移动终端,并将提取的设定应用关键信息加载到该虚拟移动终端;然后对该虚拟移动终端进行操作完成证据的提取;如果该虚拟移动终端无法加载该设定应用关键信息,则取证服务器将所述关键信息加载到一真实移动终端,然后对该真实移动终端进行操作完成证据的提取。
8.如权利要求7所述的系统,其特征在于,所述关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息;所述移动终端的设定关键信息包括移动终端的型号信息、IMEI信息、操作系统版本、存储器信息;所述移动终端中的设定应用关键信息包括应用程序名称、版本和数据文件内容。
9.如权利要求7所述的系统,其特征在于,所述移动终端的操作系统为Android系统或基于Android系统的定制系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710533880.2A CN107391364A (zh) | 2017-07-03 | 2017-07-03 | 一种基于虚拟机和实体机结合的移动终端取证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710533880.2A CN107391364A (zh) | 2017-07-03 | 2017-07-03 | 一种基于虚拟机和实体机结合的移动终端取证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107391364A true CN107391364A (zh) | 2017-11-24 |
Family
ID=60334191
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710533880.2A Pending CN107391364A (zh) | 2017-07-03 | 2017-07-03 | 一种基于虚拟机和实体机结合的移动终端取证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107391364A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109614203A (zh) * | 2018-12-08 | 2019-04-12 | 公安部第三研究所 | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 |
| CN110245020B (zh) * | 2019-06-21 | 2022-02-15 | 真相网络科技(北京)有限公司 | 基于多个取证设备的手机内容取证方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103345419A (zh) * | 2013-07-25 | 2013-10-09 | 南京邮电大学 | 一种基于Android平台的动态取证方法 |
| CN104461695A (zh) * | 2014-12-24 | 2015-03-25 | 四川效率源信息安全技术有限责任公司 | 通过仿真手段展示数据的方法和装置 |
| CN105022949A (zh) * | 2015-07-02 | 2015-11-04 | 盘石软件(上海)有限公司 | 一种对安卓手机进行证据固定的手持设备以及固定方法 |
| US20160170666A1 (en) * | 2012-03-30 | 2016-06-16 | Emc Corporation | System and method for full virtual machine backup using storage system functionality |
-
2017
- 2017-07-03 CN CN201710533880.2A patent/CN107391364A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160170666A1 (en) * | 2012-03-30 | 2016-06-16 | Emc Corporation | System and method for full virtual machine backup using storage system functionality |
| CN103345419A (zh) * | 2013-07-25 | 2013-10-09 | 南京邮电大学 | 一种基于Android平台的动态取证方法 |
| CN104461695A (zh) * | 2014-12-24 | 2015-03-25 | 四川效率源信息安全技术有限责任公司 | 通过仿真手段展示数据的方法和装置 |
| CN105022949A (zh) * | 2015-07-02 | 2015-11-04 | 盘石软件(上海)有限公司 | 一种对安卓手机进行证据固定的手持设备以及固定方法 |
Non-Patent Citations (1)
| Title |
|---|
| 黄志炜: "《手机仿真取证系统浅析——Android系统仿真实战》", 《信息网络安全》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109614203A (zh) * | 2018-12-08 | 2019-04-12 | 公安部第三研究所 | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 |
| CN110245020B (zh) * | 2019-06-21 | 2022-02-15 | 真相网络科技(北京)有限公司 | 基于多个取证设备的手机内容取证方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111813516B (zh) | 资源管控方法、装置、计算机设备及存储介质 | |
| CN103312850B (zh) | 一种手机自动化测试系统及工作方法 | |
| CN103473509A (zh) | Android平台恶意软件自动检测方法 | |
| CN110177139B (zh) | 一种可公开的移动app数据抓取方法 | |
| CN102724322B (zh) | 一种实现远程操控的方法及装置 | |
| CN103092866B (zh) | 数据监控方法及监控装置 | |
| CN103729292A (zh) | 一种跨主机、跨平台的远程命令调用方法和系统 | |
| CN107391364A (zh) | 一种基于虚拟机和实体机结合的移动终端取证方法及系统 | |
| CN108804082A (zh) | 一种插件化JSBridge的实现方法 | |
| CN111866158A (zh) | 路由方法、装置、计算机设备和存储介质 | |
| CN111639000B (zh) | 一种安卓移动终端备份数据快速提取的方法及自动化备份系统 | |
| CN103024023B (zh) | 电子阅览室网络审计方法 | |
| CN106272481A (zh) | 一种机器人服务的唤醒方法及装置 | |
| CN103501372A (zh) | 智能手机电流与事件信息的同步监测方法 | |
| CN103905861A (zh) | 触屏设备模拟鼠标控制电视系统及控制方法 | |
| CN103902906A (zh) | 基于应用图标的移动终端恶意代码检测方法及系统 | |
| Yang et al. | Kernelgpt: Enhanced kernel fuzzing via large language models | |
| CN102855064A (zh) | 一种快速显示应用程序的功能控件帮助文档的方法 | |
| CN103220662B (zh) | 一种应用程序的处理方法和移动终端 | |
| CN103369532B (zh) | 一种移动终端恶意软件行为的黑盒检测方法 | |
| CN104424198A (zh) | 一种页面显示速度的获取方法及装置 | |
| CN115238280A (zh) | 一种基于物联网固件漏洞测试及利用靶标构建系统和方法 | |
| CN105302557A (zh) | 线程建立及处理的方法及装置 | |
| CN102739461A (zh) | 基于flex的获取后台数据的方法 | |
| KR101530530B1 (ko) | 모바일단말의 악성 프로세스 실행 탐지 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171124 |