CN108182129B - 一种基于移动终端镜像还原数据信息的数字取证系统及方法 - Google Patents
一种基于移动终端镜像还原数据信息的数字取证系统及方法 Download PDFInfo
- Publication number
- CN108182129B CN108182129B CN201810069400.6A CN201810069400A CN108182129B CN 108182129 B CN108182129 B CN 108182129B CN 201810069400 A CN201810069400 A CN 201810069400A CN 108182129 B CN108182129 B CN 108182129B
- Authority
- CN
- China
- Prior art keywords
- application
- data
- file
- mobile terminal
- mirror image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1469—Backup restoration techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了基于移动终端镜像还原数据信息的数字取证系统及方法,该系统包括native层、系统framework层、应用克隆空间和本地应用空间,native层与系统framework层相连接,应用克隆空间和本地应用空间均与系统framework层相连接,native层内设有镜像挂载文件,系统framework层内设有克隆服务。该方法包括:(1)镜像文件的导出;(2)镜像文件解析挂载;(3)构建仿真服务;(4)应用克隆空间的创建。本发明通过构建一层虚拟设备映射真实设备,对当前所需处理的数据采用写时加密读时解密的方法,有效地加快了数据解析的效率。
Description
技术领域
本发明涉及一种基于移动终端镜像还原数据信息的数字取证系统及方法。
背景技术
随着各种移动终端的迅速发展,在为人们日常生活提供各种便利服务时,也导致了利用移动终端设备进行违法和犯罪的手段层出不穷,而为了有效打击这种违法犯罪行为,公共安全机构需要能够有针对性的对以移动终端为主的移动设备进行电子取证的实用设备。在传统的取证设备上,有一种是通过物理取证的专用设备,该设备的主要实现流程如图6所示:
各流程说明如下:
(1)提取物理镜像,该镜像是对移动终端磁盘数据的拷贝,然后生成镜像文件,该文件涵盖了目标移动终端系统上的所有数据信息。
(2)分解提取各分区,一个镜像文件通常按照存储信息的内容性质划分为不同的分区,如boot分区引导系统启动、system分区含有系统级别的关键资源与运行依赖库、data分区存储应用的数据信息,其中data分区与system分区是移动数字取证过程需重点分析的对象。
(3)如果目标数据分区已做过加密处理,则还需对数据作进一步分析解密。
(4)数据分区还需进一步提取出有价值的信息,一般数据存储的格式包含有数据库文件、视频、音频、文本、二进制文件等。
(5)数据的再拼装呈现,能够将数据以人能够辨识的方式呈现,中间过程中还包含有数据查找、解密、解析等处理过程。
具体具有以下缺点:
缺点1:如今随着移动终端的普及,其数据容量也呈爆发式增长,且市面上移动终端基本都采用全盘加密的形式,传统取证的方案是将整个分区数据一次性解密成明文再作进一步分析,这对于日益增长的数据容量,取证效率将变得更加缓慢。
对此本发明将基于系统本身的Device Mapper机制,为数据分区构建一层虚拟设备抽象层,当对数据进行读写时,及对虚拟设备进行读写操作,由虚拟设备映射到真实的存储设备,中间映射过程中将对读写的数据进行实时的加解密。
缺点2:对于提取并解密后的明文数据,需要根据不同应用程序定义的不同格式进行再拼装,以人能够理解的方式呈现。这其中随着移动终端应用频繁的更迭,所需分析应用的种类越加多样化,同一个应用往往会有许多不同版本,传统的取证方案需不断研究新型应用与应用自定义的数据内容,耗费大量时间,不能一劳永逸。且若应用本身对数据进行过加密处理,导致数据不能正常解析,也为移动数字取证带来了一定的困难。
对此缺点,本发明采用了目标移动终端环境仿真还原的方案,在取证设备上再现目标移动终端上应用,类似于克隆了目标移动终端,应用的运行状态及其数据都保持一致性,此时应用的所有数据如联系人、通话记录、消息记录等都可直接查看。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于移动终端镜像还原数据信息的数字取证系统及方法,本发明基于与目标移动终端同等类型的操作系统上,通过提取目标移动终端的存储芯片数据获取镜像,采取一定的仿真还原技术模拟出目标移动终端系统的运行环境,然后再现目标移动终端系统上所搭载的应用程序,保留程序运行的状态与原始数据。以此为移动数字取证提供有效快捷的解决途径。
为了解决上述技术问题,采用如下技术方案:
基于移动终端镜像还原数据信息的数字取证系统,包括native层、系统framework层、应用克隆空间和本地应用空间,native层与系统framework层相连接,应用克隆空间和本地应用空间均与系统framework层相连接,native 层内设有镜像挂载文件,系统framework层内设有克隆服务。
基于移动终端镜像还原数据信息的数字取证方法,包括以下步骤:
(1)镜像文件的导出:按照数据传输协议,进行芯片镜像的提取,导出存储芯片的数据生成镜像文件。
(2)镜像文件解析挂载:获取的镜像文件先通过解析其相关分区信息获取数据空间所在的分区段,然后进一步挂载在本系统上。
(3)构建仿真服务:应用的执行需依托于系统及设备相关的属性信息,通过建立仿真服务让应用克隆空间里运用的运行环境与目标设备一致。
(4)应用克隆空间的创建:应用克隆空间是建立在仿真服务基础上,还原目标移动终端所安装的应用。
进一步,在步骤(1)中,镜像文件的导出的具体步骤如下:
(1.1)目标移动设备基于移动终端芯片型号,进入download模式。
(1.2)识别目标移动设备的cpu型号,在download模式下烧写入与cpu 型号对应的mbn文件,然后通过与mbn文件交互向设备发起导出数据请求。
(1.3)首先读取存储芯片从0地址开始大小为256字节的GPT分区,通过解析该分区可获取整个磁盘的分区信息,根据数据总量导出镜像。
进一步,在步骤(2)中,镜像文件解析挂载的具体步骤如下:
(2.1)GPT分区解析。
(2.2)ramdisk挂载。
(2.3)fstab文件解析。
(2.4)加密data分区挂载。
进一步,在步骤(3)中,构建仿真服务的具体步骤如下:
(3.1)模拟文件环境。
(3.2)模拟属性服务。
(3.3)模拟位置服务。
(3.4)Framework层的虚拟实现。
进一步,在步骤(3.1)中,模拟文件环境的操作流程如下:
(3.1.1)当用户层调用open、create或rename函数时触发系统调用。
(3.1.2)VFS处理用户层发起的系统调用,优先执行路径查找。
(3.1.3)确定路径查找的起始位置,根据路径“/”开头的文件路径,将开头“/”替换为镜像挂载的文件路径。
(3.1.4)接下来当内核程序试图设置根文件路径时,将镜像挂载的文件路径设置为根路径。
(3.1.5)从根目录开始,逐层递归查找指定文件,获取文件inode节点。
进一步,在步骤(3.2)中,模拟属性服务的操作流程如下:
(3.2.1)优先启动property service服务,property service服务从挂载镜像的文件中找到文件default.prop、system/build.prop、 system/default.prop、data/local.prop,从中加载系统的关键属性。
(3.2.2)除了从系统持久化存储文件中获取属性内容,还需支持能够加载软件写入的属性,property setter将属性通过socket方式写入到property service。
(3.2.3)系统会创建属性共享内存区间,property service将属性写入内存区间,属性读取进程将直接从内存区间读取属性值。
进一步,在步骤(3.3)中,模拟位置服务的操作步骤如下:当本地空间运行时,可在输入界面设定指定需模拟的完整位置信息,位置信息将保存在指定的数据库里,当应用克隆空间运行时,定位服务将从数据库中获取位置信息上报给有在进行监听位置信息的应用。
进一步,在步骤(4)中,创建应用克隆空间的具体步骤如下:
(4.1)解析应用基本信息。
(4.2)AndroidManifest解析。
(4.3)应用列表呈现。
(4.4)克隆应用的执行。
进一步,在步骤(4.4)中,克隆应用的执行通过专属应用管理引擎,专属应用管理引擎负责克隆空间中Activity与Service的创建、管理、记录、销毁以及相互之间消息的传递通信;应用管理引擎为克隆空间的应用程序提供以下功能:
(1)Activity及其它三大组件的进程创建、运行状态管理以及内存管理。
(2)为应用当前的运行状态提供查询服务。
(3)作为不同应用组件的通信桥梁。
由于采用上述技术方案,具有以下有益效果:
本发明为基于移动终端镜像还原数据信息的数字取证系统及方法,本发明是为移动数字取证提供一种高效便捷的取证方案,它通过对移动设备的存储芯片进行数据拷贝,生成一个镜像文件,再对镜像文件进行解析,最终再现还原目标设备原生应用,能够克隆到取证设备中程序的运行状态与私有数据信息,且运行环境基本一致,达到一种“现场还原”的效果。移动手持机的所有数据 (包括搭载运行的操作系统以及其持有者使用过的痕迹)都是保留在存储芯片中,只要获取了芯片的镜像文件,就相当于获取了目标设备的一切信息。
本发明通过构建一层虚拟设备映射真实设备,对当前所需处理的数据采用写时加密读时解密的方法,有效地加快了数据解析的效率。
本发明将通过完整仿真应用所在目标设备的运行环境,以此保证应用的运行状态,只要原封不动的转移应用的私有数据,即可再现应用运行时所呈现的数据信息。
附图说明
下面结合附图对本发明作进一步说明:
图1为本发明中基于移动终端镜像还原数据信息的数字取证系统的结构示意图;
图2为本发明中镜像文件解析挂载的流程示意图;
图3为本发明中属性服务的基本架构图;
图4为本发明中模拟位置服务的整体流程示意图;
图5为本发明中创建应用克隆空间的整体流程示意图;
图6为现有技术的取证设备的实现流程示意图。
具体实施方式
如图1所示,基于移动终端镜像还原数据信息的数字取证系统,包括native 层、系统framework层、应用克隆空间和本地应用空间,native层与系统 framework层相连接,应用克隆空间和本地应用空间均与系统framework层相连接,native层内设有镜像挂载文件,系统framework层内设有克隆服务。
基于移动终端镜像还原数据信息的数字取证方法,包括以下步骤:
(1)镜像文件的导出:芯片镜像的提取是基于移动终端市场上不同的芯片平台出厂时内置得一种专用模式,通过该模式可进行数据下载、导出等工作。在该模式下,按照数据传输协议,导出存储芯片的数据生成镜像文件。
(2)镜像文件解析挂载:获取的镜像文件是按照存储芯片二进制流的格式进行存储,还需通过解析其相关分区信息获取主要数据空间所在的分区段,然后进一步挂载在本系统上,如果数据区已被加密,则还需对其作进一步解密处理。
(3)构建仿真服务:应用的执行需依托于系统及设备相关的一些属性信息如IMEI号、设备型号、版本号、CPU类型,通过建立仿真服务能够让克隆空间里运用的运行环境与目标设备一致。
(4)应用克隆空间的创建:应用克隆空间是建立在仿真服务基础上,还原目标移动终端所安装的应用,且该空间独立于本地应用空间,有一套属于自身的应用管理引擎。
镜像文件的导出:通常移动终端芯片厂家都会为其出厂的设备预制一种download模式,它是一种最底层的联机模式,通过该模式可刷入系统镜像进行系统升级,也可将数据从芯片中导出进行备份。基于此模式机制,本发明可对存储芯片进行全盘拷贝,生成镜像文件。具体步骤如下:
(1.1)基于不同移动终端芯片型号,按照不同方式进入download模式,主要有以下几种方法:
(a)部分移动终端需在关机后按住特定的组合热键然后连接数据线连接本取证设备,既可进入。
(b)有些移动终端需在拆机后,触碰短接主板特定的触点既可以进入
(c)有些移动终端可以直接通过ADB指令控制,一般指令为adb reboot edl
(1.2)识别目标设备的cpu型号,在download模式下烧写入与cpu型号对应的mbn文件,该文件是cpu在download模式下执行的代码程序,然后即可通过与该程序交互向设备发起导出数据请求。。
(1.3)首先读取存储芯片从0地址开始大小为256字节的GPT分区,通过解析该分区可获取整个磁盘的所有分区信息,根据数据总量导出镜像。
镜像文件解析挂载:移动终端镜像文件是对于存储芯片上所有数据的一个克隆,包含了已经分配的数据,也包含未分配使用的空间。镜像文件本身按照功能结构的不同分为几个不同的分区,有GPT分区、System分区、Data分区等。主要流程图如图2所示。
(2.1)GPT分区解析:存储芯片的镜像文件是由不同的数据分区组成,主要包含有GPT分区、system分区、data分区、ramdisk分区,不同的分区由于其文件格式的不同,挂载的方法也不尽相同。GPT分区里存放了所有分区的信息,通过解析GPT分区可获取各个分区的起始地址和大小。
(2.2)ramdisk挂载:ramdisk分区主要包含有系统的根文件分区,主要是移动终端根文件内容的封装,包含有系统主要配置信息、fstab文件等。 ramdisk的文件格式是zip格式,通过gunzip指令进行解压得到全部内容。
(2.3)fstab文件解析:fstab文件描述了移动终端上存储芯片及其文件系统的信息,通过解析fstab文件可知悉其他分区是如何整合到系统的文件中。如通过该文件可知system分区需按照ext4的格式挂载在/system目录,data 分区需是以加密的形式按照ext4格式挂载到/data分区,同时也告知了密钥的存储区域。
(2.4)加密data分区挂载:目前主流移动终端厂家为了加固系统安全,都采用了data分区加密的形式保护数据,data分区不能直接进行挂载。首先需建立一个dev-real设备关联data分区,然后创建一个对应的虚拟项 dev-virtual设备,通过dev-virtual设备将镜像挂载到文件系统/data目录下,当用户层向/data文件夹发起IO读写操作时,由内核转换成对dev-virtual设备的操作。当读写数据时,对dev-virtual指定读写的内容与地址,由加解密引擎对数据内容跟地址作进一步加解密映射,最终转化为对dev-real设备的所关联的data分区进行读写。
构建仿真服务在移动终端操作系统中运行着许多后台服务,这些服务为应用程序的运行提供了各种辅助功能,如设备信息获取、外设管理功能、位置服务功能与常用的接口调用等。为了能够准确还原目标移动终端程序的运行状态,需保证其程序运行时所依赖的服务与接口都能够与原目标移动终端相对应。仿真服务的构建主要基于以下几点:
(3.1)模拟文件环境:移动终端程序在运行时候,需要加载文件系统上的软件指令和软件数据,要再现出目标移动终端软件执行的应用空间,需要仿真出与目标移动终端相似的文件系统环境,模拟出来的文件系统将独立于本地文件系统,文件镜像的挂载将基于此文件系统上执行。
移动终端的一个进程在识别访问一个文件的时候,需将文件名传递给VFS 层(virtual file system虚拟文件系统),VFS会根据文件名查找到对应的文件索引节点inode,inode作为进程后续操作文件的句柄。通过文件名查找文件索引节点的过程叫做路径查找(path lookup)。在路径查找过程需判断当前运行空间是本地空间还是镜像空间,如果是镜像空间还需做进一步的路径映射。在镜像空间运行时,文件相关操作主要流程如下所示
(3.1.1)当用户层调用open、create或rename函数时触发系统调用。
(3.1.2)VFS处理用户层发起的系统调用,优先执行路径查找。
(3.1.3)确定路径查找的起始位置,根据路径“/”开头的文件路径,将开头“/”替换为镜像挂载的文件路径。
(3.1.4)接下来当内核程序试图设置根文件路径时,将镜像挂载的文件路径设置为根路径。
(3.1.5)从根目录开始,逐层递归查找指定文件,获取文件inode节点。
(3.2)模拟属性服务。属性服务是移动终端系统中的一个重要特性,它作为一个守护进程在后台运行,管理系统中各项功能配置和状态。这类似于 windows上的注册表,大多应用程序的运行过程都会访问到属性服务中获取相关配置信息,以此决定应用的运行状态。如当一些应用密码的生成是依赖于系统版本及型号,而系统版本与型号都是通过属性系统获取的,因此为了精确还原应用的运行状态,需模拟出一套与原生移动终端属性基本一致的属性服务。模拟的属性服务是以key-value键值对方式管理的,基本架构如图3所示:
模拟属性服务的操作流程如下:
(3.2.1)优先启动property service服务,property service服务从挂载镜像的文件中找到文件default.prop、system/build.prop、 system/default.prop、data/local.prop,从中加载系统的关键属性。
(3.2.2)除了从系统持久化存储文件中获取属性内容,还需支持能够加载软件写入的属性,property setter将属性通过socket方式写入到property service。
(3.2.3)系统会创建属性共享内存区间,property service将属性写入内存区间,属性读取进程将直接从内存区间读取属性值。
(3.3)模拟位置服务:位置服务的主要功能是为系统为应用程序提供定位功能,程序的运行往往跟位置服务信息相关联,因此本发明将通过人为方式注入定位信息来模拟位置服务。整体流程如图4所示:
当本地空间运行时,可在输入界面设定指定需模拟的完整位置信息,该信息可包括经度、纬度、速度、准确度、海拔及速度等。位置信息将保存在指定的数据库里,当应用克隆空间运行时,定位服务将从数据库中获取位置信息上报给有在进行监听位置信息的应用。
(3.4)Framework层的虚拟实现:在移动终端系统环境中,每个应用程序的运行都需要频繁地与系统Framework层打交道,大多数应用程序的实现都是基于Framework所提供的API接口进行实现的。目前移动终端系统的版本从最初的版本到目前最新的版本,已经过多次升级改动,各个版本的framework接口也会有所不一致。本发明重新对Framwork进行了规整,使其能够囊括所有版本Framework的接口,以适配不同类型移动终端程序上的接口调用需求。
创建应用克隆空间:应用的还原是指能够完整的克隆目标移动终端上所搭载运行的用户软件,而且需保证软件的运行状态以及其关联的数据与目标移动终端保持一致。为了完完整整地还原应用,本发明将会基于挂载的镜像文件,从中提取出应用的运行所需的程序指令文件与程序数据,实现应用的再组合。主要流程如图5所示:
具体步骤如下:
(4.1)解析应用基本信息:在镜像文件中,data/system/packages.list 与data/system/packages.xml记录着设备系统中APP的基本配置信息。系统所有安装的APP都能够从这两个配置文件获取。
当应用安装完后会向packages.list与packages.xml追加应用的基本信息,其中packages.list按信息列别排列了6列信息,每列信息用空格符号隔开,分别是应用包名、运行时的UID、是否为调试模式、数据的保存路径、SELinux 策略规则、用户组信息。packages.xml主要记录应用的权限签名信息。通过解析以上两个文件,可以快速为目标设备中所有的应用建立一个基本信息索引表,该索引表将为后续应用的处理提供快速查找接口。
(4.2)AndroidManifest解析:AndroidMniefst.xml是移动终端系统应用程序中最重要的文件之一,它是程序的全局配置文件,每一个程序都必须有一份属于自己的AndroidMniefst.xml文件。它主要为应用程序声明了在运行过程中所需的四大组件,及Activiy(单独的窗口)、Service(后台服务)、Content Provider(内容提供器)、BroadcastReceiver(广播接收者)。
通过步骤一建立的索引表,可以定位应用安装包APK具体位置,然后通过该APK文件提取AndroidManiest.xml的文件,进一步可获取应用的四大基本组件的详细信息。对于四大基本组件,需通过指定接口向系统进行注册,注册完后即可等待激活。
(4.3)应用列表呈现:在目标设备上,设备应用桌面上都会将所应用以可见的图标列表显示,通过触碰即可执行该应用程序。同样,本发明也需在应用克隆空间中建立一套可供用户启动应用的交互接口,通过触碰图标的方式来启动应用。
在步骤2解析AndroidManifest.xml后,会向系统注册四大组件的基本信息,而其中Activity是应用程序的一个窗口程序,其中带有属性包含有android.intent.action.MAIN与android.intent.category.LAUNCHER配置的属性,一般都是应用的为主窗口程序,即入口点。通过注册的信息中遍历所有该类型的Activity,然后以列表形式显示以供调用。
(4.4)克隆应用的执行:从本质上来讲,克隆空间里应用的执行需区别于本地系统的应用的执行,两者需运行在两个平行空间里,资源调用互不影响。因此本发明设计了一套应用空间的专属应用管理引擎,它负责克隆空间中 Activity与Service的创建、管理、记录、销毁以及相互之间消息的传递通信。应用管理引擎主要为克隆空间的应用程序提供以下几种功能:
(1)Activity及其它三大组件的进程创建、运行状态管理以及内存管理。
(2)能够为应用当前的运行状态提供查询服务。
(3)作为不同应用组件的通信桥梁。
传统的移动数字取证方案对数据解密是采取全部一次性解密再解析的方案,再面对爆发式增长的移动设备存储容量,效率上越加变得缓慢。本发明通过构建一层虚拟设备映射真实设备,对当前所需处理的数据采用写时加密读时解密的方法,有效地加快了数据解析的效率。
随着移动终端应用不断地更新换代,应用数据也愈加多样化,应用开发者也会为数据采取不同方式的加密举措,这加大了后续取证时解析应用数据的难度。本发明将通过完整仿真应用所在目标设备的运行环境,以此保证应用的运行状态,只要原封不动的转移应用的私有数据,即可再现应用运行时所呈现的数据信息。
以上仅为本发明的具体实施例,但本发明的技术特征并不局限于此。任何以本发明为基础,为解决基本相同的技术问题,实现基本相同的技术效果,所作出地简单变化、等同替换或者修饰等,皆涵盖于本发明的保护范围之中。
Claims (8)
1.基于移动终端镜像还原数据信息的数字取证系统,其特征在于:包括native层、系统framework层、应用克隆空间和本地应用空间,所述native层与所述系统framework层相连接,所述应用克隆空间和所述本地应用空间均与所述系统framework层相连接,所述native层内设有镜像挂载文件,所述系统framework层内设有克隆服务;
所述的基于移动终端镜像还原数据信息的数字取证系统的取证方法,包括以下步骤:
(1)镜像文件的导出:按照数据传输协议,进行芯片镜像的提取,导出存储芯片的数据生成镜像文件;
(2)镜像文件解析挂载:获取的镜像文件先通过解析其相关分区信息获取数据空间所在的分区段,然后进一步挂载在本系统上;
(3)构建仿真服务:应用的执行需依托于系统及设备相关的属性信息,通过建立仿真服务让应用克隆空间里运用的运行环境与目标设备一致;
(4)应用克隆空间的创建:应用克隆空间是建立在仿真服务基础上,还原目标移动终端所安装的应用;
其中在所述步骤(2)中,所述镜像文件解析挂载的具体步骤如下:
(2.1)GPT分区解析;
(2.2)ramdisk挂载;
(2.3)fstab文件解析;
(2.4)加密data分区挂载;
在步骤(2.4)中,首先需建立一个dev-real设备关联data分区,然后创建一个对应的虚拟项 dev-virtual设备,通过dev-virtual设备将镜像挂载到文件系统/data目录下,当用户层向/data文件夹发起IO读写操作时,由内核转换成对dev-virtual设备的操作;当读写数据时,对dev-virtual指定读写的内容与地址,由加解密引擎对数据内容跟地址作进一步加解密映射,最终转化为对dev-real设备的所关联 的data分区进行读写。
2.根据权利要求1所述的基于移动终端镜像还原数据信息的数字取证系统,其特征在于:在所述步骤(1)中,所述镜像文件的导出的具体步骤如下:
(1.1)目标移动设备基于移动终端芯片型号,进入download模式;
(1.2)识别目标移动设备的cpu型号,在download模式下烧写入与cpu型号对应的mbn文件,然后通过与所述mbn文件交互向设备发起导出数据请求;
(1.3)读取存储芯片从0地址开始大小为256字节的GPT分区,通过解析该分区可获 取整个磁盘的分区信息,根据数据总量导出镜像。
3.根据权利要求1所述的基于移动终端镜像还原数据信息的数字取证系统,其特征在于:在所述步骤(3)中,所述构建仿真服务的具体步骤如下:
(3.1)模拟文件环境;
(3.2)模拟属性服务;
(3.3)模拟位置服务;
(3.4)Framework层的虚拟实现。
4.根据权利要求3所述的基于移动终端镜像还原数据信息的数字取证系统,其特征在于:在所述步骤(3.1)中,所述模拟文件环境的操作流程如下:
(3.1.1)当用户层调用open、create或rename函数时触发系统调用;
(3.1.2)VFS处理用户层发起的系统调用,优先执行路径查找;
(3.1.3)确定路径查找的起始位置,根据路径“/”开头的文件路径,将开头“/”替换为镜像挂载的文件路径;
(3.1.4)接下来当内核程序试图设置根文件路径时,将镜像挂载的文件路径设置为根路径;
(3.1.5)从根目录开始,逐层递归查找指定文件,获取文件inode节点。
5.根据权利要求3所述的基于移动终端镜像还原数据信息的数字取证系统,其特征在于:在所述步骤(3.2)中,所述模拟属性服务的操作流程如下:
(3.2.1)优先启动property service服务,所述property service服务从挂载镜像的文件中找到文件default.prop、system/build.prop、system/default.prop、data/local.prop,从中加载系统的关键属性;
(3.2.2)除了从系统持久化存储文件中获取属性内容,还需支持能够加载软件写入的属性,property setter将属性通过socket方式写入到property service;
(3.2.3)系统创建属性共享内存区间,property service将属性写入所述内存区间,属性读取进程将直接从内存区间读取属性值。
6.根据权利要求3所述的基于移动终端镜像还原数据信息的数字取证系统,其特征在于:在所述步骤(3.3)中,所述模拟位置服务的操作步骤如下:当本地空间运行时,可在输入界面设定指定需模拟的完整位置信息,所述位置信息将保存在指定的数据库里,当应用克隆空间运行时,定位服务将从数据库中获取位置信息上报给有在进行监听位置信息的应用。
7.根据权利要求1所述的基于移动终端镜像还原数据信息的数字取证系统,其特征在于:在所述步骤(4)中,所述创建应用克隆空间的具体步骤如下:
(4.1)解析应用基本信息;
(4.2)AndroidManifest解析;
(4.3)应用列表呈现;
(4.4)克隆应用的执行。
8.根据权利要求7所述的基于移动终端镜像还原数据信息的数字取证系统,其特征在于:在所述步骤(4.4)中,所述克隆应用的执行通过专属应用管理引擎,所述专属应用管理引擎负责克隆空间中Activity与Service的创建、管理、记录、销毁以及相互之间消息的传递通信;应用管理引擎为克隆空间的应用程序提供以下功能:
(1)Activity、 Service、 Content Provide,以及Broadcast Receiver的进程创建、运行状态管理以及内存管理;
(2)为应用当前的运行状态提供查询服务;
(3)作为不同应用组件的通信桥梁。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810069400.6A CN108182129B (zh) | 2018-01-24 | 2018-01-24 | 一种基于移动终端镜像还原数据信息的数字取证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810069400.6A CN108182129B (zh) | 2018-01-24 | 2018-01-24 | 一种基于移动终端镜像还原数据信息的数字取证系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108182129A CN108182129A (zh) | 2018-06-19 |
| CN108182129B true CN108182129B (zh) | 2020-08-07 |
Family
ID=62551406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810069400.6A Active CN108182129B (zh) | 2018-01-24 | 2018-01-24 | 一种基于移动终端镜像还原数据信息的数字取证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108182129B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111290859B (zh) * | 2018-12-07 | 2023-08-18 | 成都鼎桥通信技术有限公司 | 一种双系统终端初始化属性同步的方法和终端 |
| CN109614203B (zh) * | 2018-12-08 | 2023-10-27 | 公安部第三研究所 | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 |
| CN112905248A (zh) * | 2021-01-29 | 2021-06-04 | 国电南瑞科技股份有限公司 | 一种基于OpenPOWER的带外系统部署方法、装置及存储介质 |
| CN115344313B (zh) * | 2022-08-22 | 2023-08-11 | 亿咖通(湖北)技术有限公司 | 安卓系统分区的挂载方法、电子设备和机器可读存储介质 |
| CN115695088B (zh) * | 2022-10-26 | 2024-08-06 | 中国第一汽车股份有限公司 | 一种Android系统划分VLAN的方法及车载Android系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645048A (zh) * | 2009-08-27 | 2010-02-10 | 公安部第三研究所 | 计算机虚拟化取证的实现方法 |
| CN103020537A (zh) * | 2011-09-22 | 2013-04-03 | 腾讯科技(深圳)有限公司 | 数据加密方法和装置、数据解密方法和装置 |
| CN103345419A (zh) * | 2013-07-25 | 2013-10-09 | 南京邮电大学 | 一种基于Android平台的动态取证方法 |
-
2018
- 2018-01-24 CN CN201810069400.6A patent/CN108182129B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645048A (zh) * | 2009-08-27 | 2010-02-10 | 公安部第三研究所 | 计算机虚拟化取证的实现方法 |
| CN103020537A (zh) * | 2011-09-22 | 2013-04-03 | 腾讯科技(深圳)有限公司 | 数据加密方法和装置、数据解密方法和装置 |
| CN103345419A (zh) * | 2013-07-25 | 2013-10-09 | 南京邮电大学 | 一种基于Android平台的动态取证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108182129A (zh) | 2018-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108182129B (zh) | 一种基于移动终端镜像还原数据信息的数字取证系统及方法 | |
| US10545775B2 (en) | Hook framework | |
| US9940330B2 (en) | System and method for converting a physical disk to a virtual disk | |
| US8209288B2 (en) | System and method for inspecting a virtual appliance runtime environment | |
| US8862633B2 (en) | System and method for efficiently building virtual appliances in a hosted environment | |
| Gilbert et al. | Pocket ISR: Virtual machines anywhere | |
| CN107346284B (zh) | 一种应用程序的检测方法及检测装置 | |
| CN109614203B (zh) | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 | |
| Tamma et al. | Practical Mobile Forensics: Forensically investigate and analyze iOS, Android, and Windows 10 devices | |
| Feng et al. | Logical acquisition method based on data migration for Android mobile devices | |
| CN109857520B (zh) | 一种虚拟机自省中的语义重构改进方法及系统 | |
| US9910662B2 (en) | Selectively migrating applications during an operating system upgrade | |
| CN115604256A (zh) | 基于源数据仿真的手机app取证方法、系统及存储介质 | |
| US9910667B2 (en) | Segregating a monolithic computing system into multiple attachable application containers based on application boundaries | |
| Tzvetanov et al. | A first look at forensic analysis of sailfishos | |
| Horsman et al. | A forensic exploration of the Microsoft Windows 10 timeline | |
| CN110046317A (zh) | Ios应用的页面信息记录方法、终端及存储介质 | |
| CN113900893B (zh) | 一种日志获取方法及其相关设备 | |
| Pollei | Debian 7: System administration best practices | |
| KR102122968B1 (ko) | 애플리케이션 설치 정보 분석 시스템 및 방법 | |
| Tang et al. | Basic Knowledge of Firmware | |
| CN115454827B (zh) | 兼容性检测方法、系统、设备和介质 | |
| Lin et al. | Android Forensics | |
| Khattar | Lowering the Technological Barrier in Developing, Sharing and Installing Web GIS Applications | |
| Αναγνωστόπουλος | iOS forensics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |