CN108319519A - 一种基于Android手机的证据收集和固定方法 - Google Patents
一种基于Android手机的证据收集和固定方法 Download PDFInfo
- Publication number
- CN108319519A CN108319519A CN201711371516.7A CN201711371516A CN108319519A CN 108319519 A CN108319519 A CN 108319519A CN 201711371516 A CN201711371516 A CN 201711371516A CN 108319519 A CN108319519 A CN 108319519A
- Authority
- CN
- China
- Prior art keywords
- evidence
- backup
- mobile phone
- gathering
- android
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/1417—Boot up procedures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于Android手机的证据收集和固定方法,本方法不仅可以通过ADB对设备的基本信息、应用程序信息、多媒体等信息进行常规备份取证获取证据,也可以针对不同的取证场景给出不同的取证解决方案,其中记忆卡备份方案解决了无法识别设备情况下的取证获取问题;利用恢复模式备份解决了ADB命令不可用(例如设备调试模式关闭且手机锁屏)情况下的取证获取问题;植入第三方程序备份在无法获得ROOT权限的情况下仍然可以获得可观的信息。取证人员可以根据实际情况对Android设备进行最大限度的取证,具有一定的综合创新性和实用性。同时采用细粒度的数据完整性检验方法对证据进行固定,使证据更具有可信性和法律效益。
Description
技术领域
本发明涉及一种基于Android手机的证据收集和固定方法,属于数字取证中手机取证领域。
背景技术
智能手机取证在刑事侦查中的应用也将越来越多,对刑事侦查的支持也越来越强。因而对智能手机取证这一领域相关理论和实践研究也显得尤为重要。
在取证人员对Android手机取证实践中常会遇到这样一些困难,比如,嫌疑人调试模式关闭情况下手机处于锁屏状态,此时取证人员无法通过正常的ADB命令获取数据;取证过程中会因硬件损坏或者无法安装设备驱导致取证设备无法识别该手机;无法通过现有的方式获取ROOT权限导致只能获取SD卡和设备内存中少量信息等等。以上情况的出现阻碍了取证过程的顺利进行,严重影响了取证以及之后取证分析的效果。
在获取手机内存镜像过程中,多种动态性因素会导致前后两次镜像Hash值不一致。人们往往以此为由怀疑内存镜像的可靠性、获取证据的真实性,从而减弱了证据的证明力,在法庭上对证据的可采性产生一定的负面影响。
发明内容
本发明所要解决的技术问题是提供一种基于Android手机的证据收集和固定方法,结合Android设备的特点和机制以及取证现场的实际情况给出不同的解决方案,具体可以分解为四种不同情况的备份方案,每种方案在证据获取完毕之后,根据不同的案情需要进行不同粒度的完整性检验以保证证据的完整性和合法性。本发明适用于取证人员在获得Android手机情况下通过多种工具对设备基本信息,敏感信息进行取证,实现对目标Android设备的全面证据收集和固定。
本发明为解决上述技术问题采用以下技术方案:
一方面,本发明提供一种基于Android手机的证据收集方法,该收集方法根据Android设备的特点和机制以及取证现场的实际情况,具体分解为四种不同情况:
1)手机物理可识别、ADB命令可用、可获得ROOT权限情况下,通过常规备份的方式完成证据收集;
2)手机物理可识别、ADB命令可用、但无法通过现有方法获得ROOT权限情况下,通过植入第三方程序备份的方式完成证据收集;
3)手机物理可识别、ADB命令不可用情况下,通过恢复模式备份的方式完成证据收集;
4)手机物理不可识别且无屏幕锁情况下,通过记忆卡备份的方式完成证据收集。
作为本发明的进一步技术方案,常规备份遵循连接手机—获取ROOT权限—数据备份的逻辑流程:
连接手机,首先,确认调试模式已开启;然后,判断手机是否已经具有ROOT权限,如果没有则通过破解程序对ROOT权限进行提取;然后,用ADB命令获取信息,进行数据备份。
作为本发明的进一步技术方案,ADB命令模式为“adbpullsPathdPath”,其中,sPath指取证人员想要获取的数据在手机中存放的位置,dPath指取证人员获取的数据在电脑上存放的位置。
作为本发明的进一步技术方案,多条ADB命令执行时采用bat批处理的方式,且在数据传输时采用打包传输方式。
作为本发明的进一步技术方案,植入第三方程序备份:植入利用AndroidSDK开发的带有取证功能的APK应用程序,利用AndroidAPI接口,在没有ROOT权限的工况下读取联系人、通话记录和短信信息,并保存到新建的Sqlite数据库文件中,通过记忆卡导出Sqlite数据库文件,完成备份。
作为本发明的进一步技术方案,恢复模式备份:通过替换恢复镜像的方式获取权限后间接开启调试模式,获取ROOT权限,从而转换到常规备份,其中,新的恢复镜像是在原恢复镜像的基础上修改init.cr文件和镜像initrd字段中default.prop文件,其中,通过升级default.prop文件开启ADB服务,修改init.rc文件赋予su可执行性,再通过开启Shell,执行su来获得系统ROOT权限。
作为本发明的进一步技术方案,记忆卡备份是利用向设备记忆卡中植入取证工具对手机进行证据获取,若没有配备记忆卡则装入事先准备好的用于取证的记忆卡,之后按照以下方法执行:取证人员手动将实现备份逻辑的Linux脚本crack.sh移动到一个系统可执行的位置并执行,此时会判断设备是否具有ROOT权限,如果不具有ROOT权限则通过破解程序对ROOT权限进行提取;然后根据取证配置项,将相应数据复制到记忆卡。
作为本发明的进一步技术方案,取证工具包括取证项配置文件BackupItems.xml、实现备份逻辑的Linux脚本crack.sh以及psneuter、busybox破解工具。
另一方面,本发明还提供一种基于Android手机的证据固定方法,对收集到的原始证据隔离保存,根据证据的具体情况生成相应Hash码固定证据,再将证据划分为不同粒度的数据对象,引入细粒度完整性检验方法对数据对象按照细粒度分别进行完整性检验,完成对证据的固定。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
1)本发明的收集方法解决了现有取证过程中出现的困难,可以获取目标Android手机中的设备信息(设备型号、系统版本、内存信息、IMEI码等)和设备包含的嫌疑人敏感信息(短信、联系人、通话记录等),从而实现对Android手机的证据获取;
2)本发明的固定方法可以有效地隔离不同数据对象,使得在内存镜像变化难以避免的情况下,验证了取证镜像过程的可靠性,证明目标数据对象的完整性,从而保证作为证据的数据对象能够被法庭接受。
附图说明
图1是Android手机取证方案流程图;
图2是Android取证关键数据和对应数据存放位置对照图;
图3是Android手机内存数据粒度划分关系图。
具体实施方式
下面结合附图对本发明的技术方案做进一步的详细说明:
本发明提供给了一种Android手机证据获取和固定方法,适用于取证人员在获得Android手机情况下通过多种工具对设备基本信息,敏感信息进行取证,实现对目标Android设备的全面证据收集和固定。
本发明结合Android设备的特点和机制以及取证现场的实际情况给出不同的解决方案,具体可以分解为四种不同情况的备份方案,每种方案在证据获取完毕之后,根据不同的案情需要进行不同粒度的完整性检验以保证证据的完整性和合法性。
四种不同情况的备份方案为:
1)适用于手机物理可识别、ADB可用、可获得ROOT权限情况的证据获取的常规备份;
2)适用于手机物理可识别、ADB命令可用、但无法通过现有方法获得ROOT权限情况的证据获取的植入第三方程序备份;
3)适用于手机物理可识别、ADB命令不可用情况下的证据获取的利用恢复模式备份;
4)适用于手机物理不可识别、无屏幕锁情况下的证据获取的记忆卡备份。
一、Android手机证据获取
常规备份是四种方案中最基本也是最常见的备份方案,其他三种方案由此衍生。植入第三方程序备份是在常规备份中ROOT权限无法获取情况下,在系统植入APK程序,利用Android系统API进而获取信息;利用恢复模式备份实际上是利用恢复模式越过锁屏和ADB不可用的障碍,间接获取系统权限使ADB可用,之后过程和常规备份类似;记忆卡备份是常规备份在设备物理不可识别情况下的应用,其通过植入Shell脚本程序以记忆卡作为中介对设备进行取证;总体流程图如图1所示。
1.1常规备份
常规备份适用于Android手机物理可识别,ADB可用,可获得ROOT权限情况下获取手机证据,可获得设备信息、通联信息、应用程序信息、SD卡信息、多媒体信息等。设备物理可识别意味着取证电脑可以通过数据线正常识别到手机,不会因为设备的硬件接口损坏或者无法成功安装设备驱动等情况无法与电脑正常通信。
在取证准备工作完成之后,遵循连接手机—获取ROOT权限—数据备份的逻辑流程。连接手机时首先确认调试模式已开启,因为ADB在该模式下才能正常工作,若在命令行下输入“adb devices”反馈正确的设备信息说明调试模式已开,ADB命令可以正常使用。之后判断设备是否已经具有ROOT权限,如果没有,尝试通过破解程序对ROOT权限进行提取。
最关键的步骤就是用ADB命令获取信息,ADB上是Android程序的调试工具,可用于电脑和Android设备间数据传输。从Android设备拷贝数据的命令模式通常为“adbpullsPath dPath”。sPath指数据在设备中存放的位置即取证人员想要获取的数据存放位置,如图2所示;dPath指数据在电脑上存放的位置即所取数据保存位置。多条ADB命令执行采用bat批处理的方式执行,另外,内存文件多且文件大小有限,逐一传输效率过低,故对应用程序文件等多且琐碎文件夹采用打包传输方式,获取到本地后再进行解包还原。
1.2植入第三方程序备份
适用于Android手机物理可识别,ADB命令可用,但无法通过现有方法获得ROOT权限情况对手机的取证,可获得设备联系人、短信、通话记录等信息。第三方程序是指利用Android SDK开发的带有取证功能的APK应用程序,它的优点在于利用AndroidAPI接口,在没有ROOT权限的其工况下仍能读取联系人、通话记录和短信信息,并保存到新建的Sqlite数据库文件中,备份完成只需通记忆卡导出数据库文件,之后可利用SQLite查看工具查看或者对数据库文件进一步的分析处理。
具体来讲,在编译植入程序时,只有在程序AndroidManifest.xml文件中声明相应的权限后程序才可以调用系统相应的系统API。比如,声明对联系人API的调用需要在配置文件中仅添加ANDROID.PERMISSION.READ_CONTACTS的声明,此时,APK程序就具有对系统联系人数据库的只读功能(不能写操作,保留数据原始性),在具体代码中能通过PhoneLookup.DISPLAY_NAME,PhoneLookup.NUMBER两个属性获得联系人名称和手机号码。
备份结束后,取证人员卸载植入的APK程序,删除应用数据文件和Log日志以及记忆卡中生成的数据库文件,清理痕迹。
1.3利用恢复模式备份
恢复模式(RecoveryMode)是Android系统的一个特殊工作模式,系统可以在未开机的状态下通过加载恢复镜像实现系统更新、还原出厂设置、清除手机缓存等功能。在嫌疑人Android设备锁屏、设置密码且调试模式关闭情况下,不能通过ADB命令利用漏洞获取ROOT权限,但可以通过替换恢复镜像方式获取权限后间接开启调试模式,获取ROOT权限,从而转换到常规备份。
利用恢复模式备份需要制作一个用于取证的恢复镜像,新镜像在原恢复镜像的基础上主要修改init.cr文件和镜像initrd字段中default.prop文件。其中通过升级default.prop文件可以开启ADB服务,修改init.rc可以赋予su可执行性,再通过开启Shell,执行su来最终获得系统ROOT权限。取证人员需要用特殊工具将手机连接到电脑(例如,HTC的Fastboot工具,三星的Odin工具)接着把新的恢复镜像刷到手机的恢复分区,再通过组合键的方式(如摩托手机电源键和取消键组合)载入新的恢复镜像,进入新的恢复模式。刷机之后的设备ADB可使用,并且可以获得ROOT权限,转换成常规备份情况。
1.4记忆卡备份
取证过程中会因硬件损坏或者无法安装设备驱动等情况导致无法识别Android设备,从而无法对设备证据采集,此时应采用记忆卡备份方案,可获得设备信息、通联信息、应用程序信息、SD卡信息、多媒体信息等。
记忆卡备份是利用向设备记忆卡中植入取证工具对手机进行证据获取,如果Android手机没有配备记忆卡,则装入事先准备好的用于取证的记忆卡。工具包括取证项配置文件BackupItems.xml、实现备份逻辑的Linux脚本crack.sh,以及psneuter、busybox等破解工具。
取证人员需手动将工具中的crack.sh移动到一个系统可执行的位置并执行(如/data/local/tmp)。程序会判断设备是否具有ROOT权限,如果设备未ROOT,将尝试ROOT设备,接着根据取证配置项,将相应数据复制到SD卡,最后复制SD卡将数据归档保存。整个过程不需要连接设备,且备份结束后,程序会清除临时文件,并由取证人员删除取证文件夹,清除中间文件和取证痕迹。
实践证明,通过以上四种方案作为一个综合方案,解决了现有取证过程中出现的困难,可以获取目标Android手机中的设备信息(设备型号、系统版本、内存信息、IMEI码等)和设备包含的嫌疑人敏感信息(短信、联系人、通话记录等),从而实现对Android手机的证据获取。
二、Android手机证据的数据固定
电子证据固定是司法鉴定工作的开始,同时也是后续所有鉴定工作的基础,因此电子证据的固定工作是否能使电子证据可信是至关重要的。
手机取证过程中的多种动态性因素都会导致前后两次内存镜像不一致,从而影响获取证据的真实性和可采性。本方法结合各种案例选取不同数据对象作为证据的需求,将手机内存镜像数据划分为不同粒度的数据对象,引入细粒度完整性检验方法对手机内存镜像中的数据对象按照细粒度分别进行完整性检验。
如图3所示,取证人员可以针对不同的案件隔离目标数据对象,提取数据镜像作为证据。例如,诈骗案件需要手机的证据信息是短消息和通话记录,那么取证人员就会根据划分模型,在生成整体镜像Hash值之后,针对获取的内存中短信和通话记录两个部分,分别生成并保存Hash值,从而达到与其它已经发生变动的数据隔离的目的。因此,尽管从犯罪现场到呈送法庭的过程,手机内存整体镜像会发生变化,但是短消息和通话记录依然可以被证明其完整性并被法庭接受。
该方法可以有效地隔离不同数据对象,使得在内存镜像变化难以避免的情况下,验证了取证镜像过程的可靠性,证明目标数据对象的完整性,从而保证作为证据的数据对象能够被法庭接受。
在实际的手机取证证据获取过程中需要遵循取证规范,在取证开始之前做足取证准备工作。应成立专门的取证小组,首先确保手机电量是否充足,如电量不足,应立即使用专用电源线对其进行充电,防止其因电量不足自动关机;屏蔽信号同时切断网络连接;镜像备份手机内存及扩展卡中的原始数据;之后再获取证据。下面分别具体介绍取值证据获取的执行步骤:
1、常规备份
(1)将手机调试模式打开,连接到取证电脑,待电脑成功识别手机后,在命令行环境下,用ADB命令对手机进行备份。
(2)对获取的原始证据隔离保存,根据具体情况生成相应Hash码固定证据供以后进行细粒度的数据完整性检测。
2、植入第三方程序备份
(1)将手机调试模式打开,连接到取证电脑,待电脑成功识别手机后,用adbinstall命令安装取证程序ToSqlite.apk,安装完成后点击运行。
(2)根据程序提示,备份完成,导出生成的记载证据的数据库文件,卸载程序和记忆卡中生成的中间数据库,清理痕迹。
(3)将导出的数据库文件作为原始证据隔离保存,生成Hash码固定证据并进行完整性检测。
3、利用恢复模式备份
(1)首先手机是否包含记忆卡,如果没有,用事先准备好的用于取证的记忆卡替代。如果有,将用于取证的恢复镜像放在记忆卡中,连接到取证电脑,用厂商使用的特殊软件将恢复镜像刷入手机恢复分区内,利用组合键,载入新的恢复镜像。
(2)重启手机后,系统将开启调试模式,待电脑成功识别手机后,在命令行环境下,用ADB命令对手机进行备份。
(3)对获取的原始证据隔离保存,根据具体情况生成相应Hash码固定证据供以后进行细粒度的数据完整性检测。
4、记忆卡备份
(1)制作取证文件夹,包括备份配置文件BackupItems.xml、主程序脚本文件crack.sh,以及收集psneuter、busybox等破解工具,将文件放入SD卡中。
(2)利用系统自带的文件浏览工具将记忆卡中的取证文件夹中crack.sh文件移动到内存/data/local/tmp位置,点击执行。
(3)据提示,备份完毕后,将记忆卡取出,把数据转移到电脑,将取证文件夹删除,清理痕迹。
(4)对获取的原始证据隔离保存,根据具体情况生成相应Hash码固定证据供以后进行细粒度的数据完整性检测。
本发明根据Android手机的特性和在取证过程中遇到的实际问题,提出了一种综合的Android手机证据获取和证据固定的方法。方法不仅可以通过ADB对设备的基本信息、应用程序信息、多媒体等信息进行常规备份取证获取证据,也可以针对不同的取证场景给出不同的取证解决方案,其中记忆卡备份方案解决了无法识别设备情况下的取证获取问题;利用恢复模式备份解决了ADB命令不可用(例如设备调试模式关闭且手机锁屏)情况下的取证获取问题;植入第三方程序备份在无法获得ROOT权限的情况下仍然可以获得可观的信息。取证人员可以根据实际情况对Android设备进行最大限度的取证,具有一定的综合创新性和实用性。同时采用细粒度的数据完整性检验方法对证据进行固定,使证据更具有可信性和法律效益。
以上所述,仅为本发明中的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可理解想到的变换或替换,都应涵盖在本发明的包含范围之内,因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (9)
1.一种基于Android手机的证据收集方法,其特征在于,该收集方法根据Android设备的特点和机制以及取证现场的实际情况,具体分解为四种不同情况:
1)手机物理可识别、ADB命令可用、可获得ROOT权限情况下,通过常规备份的方式完成证据收集;
2)手机物理可识别、ADB命令可用、但无法通过现有方法获得ROOT权限情况下,通过植入第三方程序备份的方式完成证据收集;
3)手机物理可识别、ADB命令不可用情况下,通过恢复模式备份的方式完成证据收集;
4)手机物理不可识别且无屏幕锁情况下,通过记忆卡备份的方式完成证据收集。
2.根据权利要求1所述的一种基于Android手机的证据收集方法,其特征在于,常规备份遵循连接手机—获取ROOT权限—数据备份的逻辑流程:
连接手机,首先,确认调试模式已开启;然后,判断手机是否已经具有ROOT权限,如果没有则通过破解程序对ROOT权限进行提取;然后,用ADB命令获取信息,进行数据备份。
3.根据权利要求2所述的一种基于Android手机的证据收集方法,其特征在于,ADB命令模式为“adb pull sPath dPath”,其中,sPath指取证人员想要获取的数据在手机中存放的位置,dPath指取证人员获取的数据在电脑上存放的位置。
4.根据权利要求2所述的一种基于Android手机的证据收集方法,其特征在于,多条ADB命令执行时采用bat批处理的方式,且在数据传输时采用打包传输方式。
5.根据权利要求1所述的一种基于Android手机的证据收集方法,其特征在于,植入第三方程序备份:植入利用Android SDK开发的带有取证功能的APK应用程序,利用AndroidAPI接口,在没有ROOT权限的工况下读取联系人、通话记录和短信信息,并保存到新建的Sqlite数据库文件中,通过记忆卡导出Sqlite数据库文件,完成备份。
6.根据权利要求1所述的一种基于Android手机的证据收集方法,其特征在于,恢复模式备份:通过替换恢复镜像的方式获取权限后间接开启调试模式,获取ROOT权限,从而转换到常规备份,其中,新的恢复镜像是在原恢复镜像的基础上修改init.cr文件和镜像initrd字段中default.prop文件,其中,通过升级default.prop文件开启ADB服务,修改init.rc文件赋予su可执行性,再通过开启Shell,执行su来获得系统ROOT权限。
7.根据权利要求1所述的一种基于Android手机的证据收集方法,其特征在于,记忆卡备份是利用向设备记忆卡中植入取证工具对手机进行证据获取,若没有配备记忆卡则装入事先准备好的用于取证的记忆卡,之后按照以下方法执行:取证人员手动将实现备份逻辑的Linux脚本crack.sh移动到一个系统可执行的位置并执行,此时会判断设备是否具有ROOT权限,如果不具有ROOT权限则通过破解程序对ROOT权限进行提取;然后根据取证配置项,将相应数据复制到记忆卡。
8.根据权利要求7所述的一种基于Android手机的证据收集方法,其特征在于,取证工具包括取证项配置文件BackupItems.xml、实现备份逻辑的Linux脚本crack.sh以及psneuter、busybox破解工具。
9.一种基于Android手机的证据固定方法,其特征在于,对收集到的原始证据隔离保存,根据证据的具体情况生成相应Hash码固定证据,再将证据划分为不同粒度的数据对象,引入细粒度完整性检验方法对数据对象按照细粒度分别进行完整性检验,完成对证据的固定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711371516.7A CN108319519A (zh) | 2017-12-19 | 2017-12-19 | 一种基于Android手机的证据收集和固定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711371516.7A CN108319519A (zh) | 2017-12-19 | 2017-12-19 | 一种基于Android手机的证据收集和固定方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108319519A true CN108319519A (zh) | 2018-07-24 |
Family
ID=62891781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711371516.7A Pending CN108319519A (zh) | 2017-12-19 | 2017-12-19 | 一种基于Android手机的证据收集和固定方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108319519A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110121172A (zh) * | 2019-05-15 | 2019-08-13 | 上海良相智能化工程有限公司 | 一种应用于Android手机的远控系统 |
| CN110191176A (zh) * | 2019-05-28 | 2019-08-30 | 辽宁瑞思科技有限公司 | 一种快速电子取证方法及系统 |
| CN112000344A (zh) * | 2020-08-25 | 2020-11-27 | 南京烽火星空通信发展有限公司 | 一种基于Android平台的无痕数据获取方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582106A (zh) * | 2009-06-19 | 2009-11-18 | 重庆邮电大学 | 细粒度数据完整性检验方法 |
| CN103793298A (zh) * | 2014-03-03 | 2014-05-14 | 公安部第三研究所 | 实现Android手机信息读取的方法 |
| CN105005514A (zh) * | 2015-07-02 | 2015-10-28 | 四川效率源信息安全技术有限责任公司 | 基于安卓系统的设备的数据取证方法 |
| CN105141784A (zh) * | 2015-10-14 | 2015-12-09 | 公安部第三研究所 | 基于recovery的手机取证方法 |
-
2017
- 2017-12-19 CN CN201711371516.7A patent/CN108319519A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582106A (zh) * | 2009-06-19 | 2009-11-18 | 重庆邮电大学 | 细粒度数据完整性检验方法 |
| CN103793298A (zh) * | 2014-03-03 | 2014-05-14 | 公安部第三研究所 | 实现Android手机信息读取的方法 |
| CN105005514A (zh) * | 2015-07-02 | 2015-10-28 | 四川效率源信息安全技术有限责任公司 | 基于安卓系统的设备的数据取证方法 |
| CN105141784A (zh) * | 2015-10-14 | 2015-12-09 | 公安部第三研究所 | 基于recovery的手机取证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刘善军: "基于adb调试的非root安卓手机取证技术研究", 《电脑知识与技术》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110121172A (zh) * | 2019-05-15 | 2019-08-13 | 上海良相智能化工程有限公司 | 一种应用于Android手机的远控系统 |
| CN110191176A (zh) * | 2019-05-28 | 2019-08-30 | 辽宁瑞思科技有限公司 | 一种快速电子取证方法及系统 |
| CN112000344A (zh) * | 2020-08-25 | 2020-11-27 | 南京烽火星空通信发展有限公司 | 一种基于Android平台的无痕数据获取方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107220142B (zh) | 执行数据恢复操作的方法及装置 | |
| CN102314561B (zh) | 基于api hook的恶意代码自动分析方法和系统 | |
| CN108319519A (zh) | 一种基于Android手机的证据收集和固定方法 | |
| Bhat et al. | Can computer forensic tools be trusted in digital investigations? | |
| CN107015908A (zh) | 一种计算机应用软件测试系统及方法 | |
| CN105550073A (zh) | 数据库备份方法及其系统 | |
| CN111835756B (zh) | App隐私合规检测方法、装置、计算机设备及存储介质 | |
| CN2917099Y (zh) | 用于关键任务计算机系统的“三容”式数字黑匣子 | |
| CN102841824B (zh) | 一种回滚方法和回滚装置 | |
| CN114116322B (zh) | 数据恢复方法、装置、设备及存储介质 | |
| CN109614203A (zh) | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 | |
| CN108092936A (zh) | 一种基于插件架构的主机监控系统 | |
| Srivastava et al. | Logical acquisition and analysis of data from android mobile devices | |
| CN112650688B (zh) | 自动化回归测试方法、关联设备以及计算机程序产品 | |
| CN112860645A (zh) | 一种离线压缩文件的处理方法、装置、计算机设备及介质 | |
| Gehani et al. | Scaling SPADE to" Big Provenance". | |
| CN104135483A (zh) | 一种网络安全自动配置管理系统 | |
| CN106778136B (zh) | 一种甄别绕行登录事件的审计方法 | |
| Duncan et al. | Detection and recovery of anti-forensic (vault) applications on android devices | |
| CN111581639B (zh) | 一种Android加壳应用程序通用自动化脱壳方法及系统 | |
| GB2546567A (en) | Method of associating a person with a digital object | |
| CN108287986B (zh) | 一种权限瞬时授予与收回方法及装置 | |
| CN111061593A (zh) | 一种电子取证系统及方法 | |
| CN116756092B (zh) | 系统下载文件打标方法、装置、计算机设备及存储介质 | |
| CN114327588A (zh) | 一种代码提交日志的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200929 Address after: 211161, No. 739, Ann Sheng Road, Binjiang Economic Development Zone, Jiangning District, Jiangsu, Nanjing Applicant after: NANJING FENGHUO TIANDI COMMUNICATION TECHNOLOGY Co.,Ltd. Address before: 210019, A building 26F, beacon technology building, 88 Yunlong Road, Jianye District, Jiangsu, Nanjing Applicant before: NANJING FIBERHOME SOFTWARE TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180724 |
|
| RJ01 | Rejection of invention patent application after publication |