CN109614203B - 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 - Google Patents
一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 Download PDFInfo
- Publication number
- CN109614203B CN109614203B CN201811499140.2A CN201811499140A CN109614203B CN 109614203 B CN109614203 B CN 109614203B CN 201811499140 A CN201811499140 A CN 201811499140A CN 109614203 B CN109614203 B CN 109614203B
- Authority
- CN
- China
- Prior art keywords
- android
- data
- file
- application
- application software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004088 simulation Methods 0.000 title claims abstract description 43
- 238000000034 method Methods 0.000 title claims abstract description 18
- 238000004458 analytical method Methods 0.000 claims abstract description 20
- 238000004374 forensic analysis Methods 0.000 claims description 10
- 238000009434 installation Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009429 electrical wiring Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45579—I/O management, e.g. providing access to device drivers or storage
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于应用数据仿真的安卓应用云数据取证分析系统及方法,本方案通过获取目标证据中应用软件的用户数据及对应的关键设备信息;根据关键设备信息,对安卓虚拟仿真机系统进行配置;将获取的用户数据导入经过配置的安卓虚拟仿真机中进行云数据的取证分析。本发明提供的方案能支持对多种目标证据的应用软件用户数据及对应设备信息获取,确保待仿真数据的获取。
Description
技术领域
本发明涉及移动互联网的安全技术,具体涉及针对移动终端应用的证据固定保全技术。
背景技术
随着移动智能终端技术的不断发展和普及,人们越来越多地使用移动智能终端进行网络社交、信息传递、文件传输以及各种金融活动等。一些违法犯罪分子利用智能终端进行犯罪活动的策划或违法交易等活动,因此,对智能终端中的软件数据进行取证成为电子取证中必不可少的重要环节之一。
如今,移动智能终端应用软件的普及越来越广,类似微信,支付宝等软件已成为人们装机必备的软件之一,其应用覆盖生活中的方方面面,包括犯罪分子的一些犯罪活动亦离不开这些软件的使用。因此,对这些应用软件的用户数据进行取证分析,将对犯罪案件提供有力的线索。
而由于网络安全意识的提高以及应用软件的不断升级,软件对用户数据的加密保护也越来越强,直接对软件的用户数据进行分析,难度也越来越大。加之,应用软件不同的版本,其数据库及加密方式可能存在差异,这也为数据的分析增加了难度。特别地,为保证智能终端的电子数据不被破坏,通常需开启飞行模式,而如何在此状态下,获取应用软件的云端数据,更是成为了技术难点之一。
对此,可通过仿真的方式,将移动智能终端软件中的用户数据直接复制迁移至虚拟安卓仿真机中,即可在仿真机中,查看用户数据甚至是用户的云端在线数据。目前,类似的取证产品,如美亚的安卓仿真机,其可实现应用软件数据的仿真,但存在局限性,需首先获取移动智能终端的ROOT权限,此操作将有可能对目标手机的数据产生破坏。且由于安卓智能手机操作系统的不断更新,目前最新的大部分安卓智能终端都已不支持获取ROOT权限。且仿真系统环境配置的不完全性,导致部分软件并未仿真成功,无法正常登陆。
发明内容
针对智能终端中软件数据进行取证时所面临的问题,需要一种新的智能终端中软件数据取证技术。
为此,本发明的目的在于提供一种基于应用数据仿真的安卓应用云数据取证分析系统,并基于该系统还提供一种取证分析方法。
为了达到上述目的,本发明提供的基于应用数据仿真的安卓应用云数据取证分析系统,包括处理器,以及存储有计算机程序的计算机可读介质,所述计算机程序被处理器执行时:
获取目标证据中应用软件的用户数据及对应的关键设备信息;
根据关键设备信息,对安卓虚拟仿真机系统进行配置;
将获取的用户数据导入经过配置的安卓虚拟仿真机中进行云数据的取证分析。
进一步的,所述取证分析系统包括:
数据采集模块,用于对目标证据中的应用软件,应用软件的用户数据及对应的设备信息进行提取;
仿真环境配置模块,根据数据采集模块采集的设备信息来配置安卓仿真机的系统设置;
仿真数据配置模块,将数据采集模块采集的用户数据导入到经过仿真环境配置模块配置的安卓仿真机中,并对文件的属性和读写权限进行修改;
仿真分析模块,在连接网络的情况下,确保安装在安卓仿真机中的应用软件可无密码登陆用户使用界面,并实现在线查看云端数据。
进一步的,所述目标证据包括已ROOT的安卓智能手机,未ROOT的安卓智能手机,安卓备份文件及安卓镜像文件。
为了达到上述目的,本发明提供的基于应用数据仿真的安卓应用云数据取证分析方法,包括:
S1:针对给定目标证据,根据目标证据类型,获取对应应用软件的安装程序、用户数据及对应的设备配置文件;
S2:将S1中获取的配置文件导入安卓虚拟仿真机中,并依据配置文件中的配置信息,对安卓虚拟仿真机操作系统中的设备信息进行修改;
S3:将S1中获取的应用软件安装程序及用户数据导入经过S2配置的安卓虚拟仿真机中;
S4:在安卓虚拟仿真机中运行S3导入的应用软件安装程序,安装完成后运行应用软件,并在应用软件数据目录下产生数据文件;
S5:完全关闭S4中运行的应用软件,记录该应用软件的用户数据文件夹下各文件的属性及读写权限;
S6:将S1获取的应用软件用户数据覆盖S5中形成的用户数据;
S7:修改应用软件的用户数据各文件的属性及读写权限,将属性和读写权限设置为S5中记录的属性及读写权限;
S8:在安卓虚拟仿真机联网的情况下,再次运行应用软件,并在免输入登陆密码的情况下直接进入用户界面,查看用户登陆后的在线数据,对重要线索数据界面进行截图,保存证据。
进一步的,所述步骤S1针对目标证据为安卓智能终端时,包括:
S11:将作为目标证据的安卓智能终端进行网络信号屏蔽或开启飞行模式;
S12:对安卓智能终端中指定应用软件的安装程序及用户数据进行备份;
S13:对S12中获取的安装程序及用户数据进行固定保全,计算摘要;
S14:获取安卓智能终端中的设备信息,并形成配置文件。
进一步的,所述步骤S1针对目标证据为安卓智能终端备份文件时,对备份文件进行解析,恢复备份数据的原始文件结构,获取指定应用软件安装程序,并查找文件名为UBT.db、DENGTA_META、beacon的文件,对文件进行解析,获取备份文件对应的设备信息,并形成配置文件。
进一步的,所述步骤S1针对目标证据为安卓智能终端的镜像文件时,对镜像文件进行解析,恢复原始文件结构,获取指定软件安装程序,并查找文件名为UBT.db、DENGTA_META、beacon的文件,对文件进行解析,获取镜像文件对应的设备信息,并形成配置文件。
本发明提供的方案能支持对多种目标证据的应用软件用户数据及对应设备信息获取,确保待仿真数据的获取。
同时,本方案通过安卓仿真机系统环境和数据进行配置,使得应用软件用户数据能够在安卓仿真机中仿真成功,同时,能成功实现免密码登陆软件用户使用界面,查看用户的云端在线数据。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中安卓应用云数据取证分析系统的系统框图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本实例基于应用数据仿真技术来实现对安卓应用的云数据取证分析,由此来克服现有技术所存在的问题。
本方案可基于安卓智能终端直连、备份文件以及镜像文件的数据提取方式,获取对应的安卓智能终端应用软件的用户数据及对应的关键设备信息;再结合关键设备信息,对安卓虚拟仿真机的系统配置进行修改;最后将获取到用户数据导入安卓仿真机进行云数据的取证分析,从而协助取证人员查找可疑线索,为犯罪案件取证提供一定辅助和支持。
参见图1,其所示为本实例基于上述原理给出了安卓应用云数据取证分析系统的系统组成示例图。
该安卓应用云数据取证分析系统主要包括安卓应用云数据取证分析程序,该安卓应用云数据取证分析程序存储在相应的计算机可读介质中,并可运行在相应的计算机设备中,由计算机设备中的处理器调用执行,实现对多种目标证据的应用软件用户数据及对应设备信息获取,并据此完成取证分析。
由图可知,该系统10主要由数据采集模块11、仿真环境配置模块12、仿真数据配置模块13及仿真分析模块14配合构成。
其中,数据采集模块11,用于提取目标证据中的应用软件安装程序,应用软件用户数据及对应的设备信息。本实例中的目标证据包括已ROOT和未ROOT的安卓智能手机、安卓备份文件及安卓镜像文件。
该模块主要基于安卓API端口的调用以及对指定文件的解析,获取对应的设备信息。通过API端口的调用,能够直接获取安卓智能手机中的设备信息,而通过对指定文件的解析,能够提取出安卓备份文件以及安卓镜像文件中隐含的设备信息。
这里的安卓备份文件包括使用adb命令备份的备份文件以及各手机品牌厂家系统自带的备份程序备份出来的备份文件。其中,使用adb命令备份的备份文件,采用统一的备份格式,因此可以根据标准备份格式解析出备份文件中的应用程序对应的安装包及应用数据。而各手机品牌厂家系统自带的备份程序使用的是不同备份格式来备份数据,由此可根据不同厂家的备份格式来解析对应的备份文件,从而解析出应用程序对应的安装包及应用数据。
对于镜像文件,本模块主要对镜像的文件格式进行解析,根据镜像的文件格式件,逐步的从里面将整个文件系统恢复出来,从而得到指定应用软件的安装程序以及应用数据。
关于备份文件及镜像文件的设备信息的获取,本模块通过遍历从备份文件或镜像文件中解析出来的文件系统,解析特定文件,获取对应的设备信息,并将这些设备信息按照一定的格式,存储成文本文件,即配置文件,并保存在手机特定的位置。
仿真环境配置模块12,该模块与数据采集模块11进行数据通信,根据数据采集模块11中提取到设备信息来配置安卓仿真机的系统设置,确保后续应用软件应用数据能够成功仿真。
该模块主要通过截获仿真机中访问系统信息的API接口,向所有调用该接口的程序返回模块11中提取的设备信息,以此达到,篡改仿真机的设备信息。由此可以在不重启安卓仿真机的前提下,根据提取的不同的设备信息,间接篡改仿真机的系统信息。
仿真数据配置模块13,该模块与数据采集模块11进行数据通信,将数据采集模块11提取到的应用软件的应用数据导入经过仿真环境配置模块12配置的安卓仿真机中,并对文件的属性和读写权限进行修改。
该模块通过adb命令进行所有的操作,首先通过adb命令连接上安卓仿真机系统,然后,将数据采集模块11提取到的应用软件相关数据导入安卓仿真机中;在仿真机中,安装导入的应用软件安装包,安装成功后,需运行一次应用程序,再退出应用程序,此时,应用程序对应的应用数据目录下已产生用户数据,记录当前应用软件应用数据目录下,所有文件的属性及读写权限。将导入的应用数据覆盖掉当前应用软件的应用数据,修改覆盖后的应用数据目录下的文件属性及读写权限,使其与之前记录的属性以及读写权限保持一致。此时,仿真数据准备完成。
由此能使数据采集模块11中提取的应用数据顺利导入安卓仿真机中并保证应用数据能成功运行,数据不会丢失。
仿真分析模块14,用于连接网络,实现应用软件可无密码登陆用户使用界面,在线查看云端数据,并支持界面截图功能。
该模块主要基于仿真环境配置模块12和仿真数据配置模块13的安卓仿真机系统环境以及应用数据来准备工作,由于安卓仿真机主要采用Nat网络连接方式,可直接通过电脑主机连接网络。当在虚拟机运行应用软件并联网时,应用软件会对当前的系统环境进行检测,由于当前系统的设备信息与导入的应用软件在原设备运行时检测到的设备信息一致,因此,应用软件会将当前仿真环境识别成原运行的设备环境,从而,可以无需输入密码,应用程序运行后,将直接进入上一次用户使用的界面,查看到在线数据。本模块还提供基于adb命令的仿真机界面截图功能。
据此构成的安卓应用云数据取证分析系统,能够实现如下功能:
能在安卓智能终端处于飞行模式的情况下,获取终端中软件的用户数据,并可在安卓仿真机中仿真,实现免密码,直接登录软件的用户使用界面,查看用户的云端在线数据,并取证。
能支持目标证据为安卓智能终端(包括已获取ROOT权限和未获取ROOT权限的手机)的软件用户数据及设备信息仿真。
能支持目标证据仅为安卓备份文件的情况下,获取用户数据及对应的设备信息进行仿真。
能支持目标证据仅为安卓镜像文件的情况下,获取用户数据及对应的设备信息进行仿真;
针对应用软件的安全性提升,通过对安卓仿真机的系统环境进行定制化配置,保证软件的仿真成功。
以下具体说明一下,本安卓应用云数据取证分析系统实现上述功能的实施过程。
应用本系统前,需在主机上安装虚拟软件,确保系统中的安卓仿真机能过成功运行。需关闭主机中的相关杀毒软件以及手机助手等软件,确保adb连接端口不会被占用。
据此,本实例基于应用数据仿真技术对安卓应用云数据取证分析的实施过程,包括如下步骤:
步骤S1:针对给定目标证据,根据目标证据类型,获取对应软件的安装程序、用户数据及相关的配置文件,具体内容如下:
步骤S11:若给定的目标证据为安卓智能手机,则对智能手机网络信号进行屏蔽或开启飞行模式,确保智能手机上的应用软件用户数据不会产生变化,电子证据不会遭到破坏,否则进入步骤S15;
步骤S12:检测安卓智能手机是否已获取ROOT权限,根据不同情况,获取软件用户数据,具体步骤如下:
步骤S121:若安卓智能手机为已获取ROOT权限,查找指定应用软件的安装程序及用户数据存放位置,通过ADB指令,将数据导出到PC端指定位置,为之后的数据仿真做准备。进入步骤S13;
步骤S122:若安卓智能手机为未获取ROOT权限,则检测智能手机型号,通过智能手机自带的备份功能对指定应用软件的安装程序及用户数据进行备份,并将备份文件导出到PC端指定位置,为之后的数据仿真做准备。进入步骤S13;
步骤S123:若安卓智能手机无自带的备份功能,则使用第三方工具对智能手机中指定应用软件的安装程序及用户数据进行备份,并将备份文件存放在PC端指定位置,为之后的数据仿真做准备;这里的第三方工具,如应用宝,系统将提供应用宝的安装包并安装,取证人员可自行通过应用宝对智能手机进行备份;
步骤S13:对S12中获取的安装程序及用户数据进行固定保全,计算摘要;
步骤S14:通过在目标安卓智能手机上安装自定义APK,以获取智能手机中的WifiAddress、IMEI,Android ID等设备信息,并形成配置文件,进入步骤S2;
这里的自定义APK即为自终端设备获取程序(数据采集模块)对应的安装包,在连接上安卓智能手机后,会向智能手机中安装该apk,安装成功后,运行终端设备获取程序,该程序会调用手机设备中的API,获取手机中的IMEI等设备信息,并将这些设备信息按照一定的格式,存储成文本文件,即配置文件,并保存在手机特定的位置;
步骤S15:若给定的目标证据为某安卓智能手机的备份文件B,对备份文件B进行解析,恢复备份数据的原始文件结构,获取指定软件安装程序,并查找文件名为UBT.db、DENGTA_META、beacon的文件;对文件进行解析,获取备份文件B对应的设备信息(包括WifiAddress、IMEI以及Android ID),并形成配置文件;
由于不同手机厂家的备份工具的差异性,备份出来的文件格式也存在差异,因此,本步骤中根据不同的备份格式,将备份文件解析出来;由于,应用软件的应用数据中,隐含部分运行时运行环境的设备信息,因此,通过解析应用数据中特定文件,能够获取系统设备信息;当备份文件解析成功后,系统将遍历备份文件中所有应用软件的应用数据,解析特定文件,获取该备份文件对应的设备信息,并将这些设备信息按照一定的格式,存储成文本文件,即配置文件,并保存在手机特定的位置,并进入步骤S2;
步骤S16:若给定的目标证据为某安卓智能手机的镜像文件D,对镜像文件D进行解析,恢复原始文件结构,获取指定软件安装程序,并查找文件名为UBT.db、DENGTA_META、beacon的文件;对文件进行解析,获取镜像文件D对应的设备信息(包括Wifi Address、IMEI以及Android ID),并形成配置文件;
由于,应用软件的应用数据中,隐含部分运行时运行环境的设备信息,因此,通过解析应用数据中特定文件,能够获取系统设备信息;当系统从镜像中解析出对应的文件系统后,将继续遍历文件系统中所有应用软件的应用数据,解析特定文件,获取该备份文件对应的设备信息,并将这些设备信息按照一定的格式,存储成文本文件,即配置文件,并保存在手机特定的位置,进入步骤S2;
步骤S2:将S1中获取的配置文件导入安卓虚拟仿真机固定位置中,并依据配置文件中的配置信息,对安卓虚拟仿真机操作系统中的Wifi Address、IMEI以及Android ID等设备信息进行修改;
步骤S3:将S1中获取的应用软件安装程序及用户数据导入安卓虚拟仿真机中的指定位置;
步骤S4:在安卓虚拟仿真机中运行S1中的应用软件安装程序,安装完成后运行应用软件,确保在应用软件数据目录下产生数据文件;运行应用软件后,应用软件的应用数据目录下,会自动产生用户数据文件,由此便于获取这些用户数据文件的属性及读写权限,方便后面覆盖数据后,属性的恢复;
步骤S5:完全关闭S4中运行的应用软件,记录应用软件的用户数据文件夹下各文件的属性及读写权限;
步骤S6:将S1中提取的应用软件用户数据覆盖步骤S4中产生的用户数据;本步骤通过adb命令,将步骤S1中提取的应用数据直接复制到步骤S4中的用户数据目录下,直接覆盖相同的文件,这样既能够保证要运行的应用软件用户数据为需要导入的用户数据,也可以在运行应用软件时,在应用软件界面上查看到用户历史数据,从而可实现无密码登录;
步骤S7:修改应用软件的用户数据各文件(如对覆盖后的文件进行修改属性)的属性及读写权限,将属性和读写权限设置为步骤S5中记录的属性及读写权限,由此避免应用程序会运行失败,或者应用数据会被初始化、被清空;
由于在覆盖后,覆盖的文件本身不带有被覆盖的文件的属性,而应用程序在运行时,其应用数据中和文件都有特定的属性及权限,若不和覆盖前文件的属性权限保持一致,应用程序会运行失败,或者应用数据会被初始化、被清空;
步骤S8:确保安卓虚拟仿真机已联网,再次运行应用软件,此时,可实现免输入登陆密码直接进入用户界面,查看用户登陆后的云端在线数据,如交易信息,订单信息等,对重要线索数据界面进行截图,保存证据。
本步骤中,当在虚拟机运行应用软件并联网时,应用软件会对当前的系统环境进行检测,由于当前系统的设备信息与导入的应用软件在原设备运行时检测到的设备信息一致,因此,应用软件会将当前仿真环境识别成原运行的设备环境,从而,可以无需输入密码,应用程序运行后,将直接进入上一次用户使用的界面,查看到在线数据。
最后需要指出的,上述本发明的方法,或特定系统单元、或其部份单元,为纯软件架构,可以透过程序代码布设于实体媒体,如硬盘、光盘片、或是任何电子装置(如智能型手机、计算机可读取的储存媒体),当机器加载程序代码且执行(如智能型手机加载且执行),机器成为用以实行本发明的装置。上述本发明的方法与装置亦可以程序代码型态透过一些传送媒体,如电缆、光纤、或是任何传输型态进行传送,当程序代码被机器(如智能型手机)接收、加载且执行,机器成为用以实行本发明的装置。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (7)
1.基于应用数据仿真的安卓应用云数据取证分析系统,包括处理器,以及存储有计算机程序的计算机可读介质,其特征在于,所述计算机程序被处理器执行时:
首先,基于API端口调用直接获取目标证据中的设备信息,同时对指定文件的解析提取出安卓备份文件以及安卓镜像文件中隐含的设备信息,针对镜像文件,进行文件格式解析,根据镜像的文件格式件,逐步的从里面将整个文件系统恢复出来,并通过遍历从备份文件或镜像文件中解析出来的文件系统,解析特定文件,获取对应的设备信息,并将获取设备信息按照一定的格式,存储成文本文件,形成配置文件;
接着,根据提取到设备信息来对安卓虚拟仿真机系统进行配置,确保后续应用软件应用数据能够成功仿真;在完成安卓虚拟仿真机系统配置后,通过截获仿真机中访问系统信息的API接口,向所有调用该接口的程序返回所获取到的关键设备信息,由此在不重启安卓仿真机的前提下来篡改仿真机的设备信息;
再者,针对完成系统配置的安卓虚拟仿真机系统,通过adb命令连接上安卓虚拟仿真机系统;然后,提取目标证据中的应用软件安装程序与应用软件用户数据,并将提取到的应用软件相关数据导入安卓虚拟仿真机系统中;并在安卓虚拟仿真机系统中,安装导入的应用软件安装包,安装成功后,运行一次应用程序,再退出应用程序,用于在应用程序对应的应用数据目录下产生相应的用户数据,记录当前应用软件应用数据目录下,所有文件的属性及读写权限;接着将导入的应用数据覆盖掉当前应用软件的应用数据,修改覆盖后的应用数据目录下的文件属性及读写权限,使其与之前记录的属性以及读写权限保持一致;
最后将获取的用户数据导入经过配置的安卓虚拟仿真机系统中进行云数据的取证分析。
2.根据权利要求1所述的安卓应用云数据取证分析系统,其特征在于,所述取证分析系统包括:
数据采集模块,用于对目标证据中的应用软件,应用软件的用户数据及对应的设备信息进行提取;
仿真环境配置模块,根据数据采集模块采集的设备信息来配置安卓仿真机的系统设置;
仿真数据配置模块,将数据采集模块采集的用户数据导入到经过仿真环境配置模块配置的安卓仿真机中,并对文件的属性和读写权限进行修改;
仿真分析模块,在连接网络的情况下,确保安装在安卓仿真机中的应用软件可无密码登陆用户使用界面,并实现在线查看云端数据。
3.根据权利要求2所述的安卓应用云数据取证分析系统,其特征在于,所述目标证据包括已ROOT的安卓智能手机,未ROOT的安卓智能手机,安卓备份文件及安卓镜像文件。
4.基于应用数据仿真的安卓应用云数据取证分析方法,其特征在于,基于权利要求1-3中任一项所述的安卓应用云数据取证分析系统,包括:
S1:针对给定目标证据,根据目标证据类型,获取对应应用软件的安装程序、用户数据及对应的设备配置文件;
S2:将S1中获取的配置文件导入安卓虚拟仿真机中,并依据配置文件中的配置信息,对安卓虚拟仿真机操作系统中的设备信息进行修改;
S3:将S1中获取的应用软件安装程序及用户数据导入经过S2配置的安卓虚拟仿真机中;
S4:在安卓虚拟仿真机中运行S3导入的应用软件安装程序,安装完成后运行应用软件,并在应用软件数据目录下产生数据文件;
S5:完全关闭S4中运行的应用软件,记录该应用软件的用户数据文件夹下各文件的属性及读写权限;
S6:将S1获取的应用软件用户数据覆盖S5中形成的用户数据;
S7:修改应用软件的用户数据各文件的属性及读写权限,将属性和读写权限设置为S5中记录的属性及读写权限;
S8:在安卓虚拟仿真机联网的情况下,再次运行应用软件,并在免输入登陆密码的情况下直接进入用户界面,查看用户登陆后的在线数据,对重要线索数据界面进行截图,保存证据。
5.根据权利要求4所述的安卓应用云数据取证分析方法,其特征在于,所述步骤S1针对目标证据为安卓智能终端时,包括:
S11:将作为目标证据的安卓智能终端进行网络信号屏蔽或开启飞行模式;
S12:对安卓智能终端中指定应用软件的安装程序及用户数据进行备份;
S13:对S12中获取的安装程序及用户数据进行固定保全,计算摘要;
S14:获取安卓智能终端中的设备信息,并形成配置文件。
6.根据权利要求4所述的安卓应用云数据取证分析方法,其特征在于,所述步骤S1针对目标证据为安卓智能终端备份文件时,对备份文件进行解析,恢复备份数据的原始文件结构,获取指定应用软件安装程序,并查找文件名为UBT.db、DENGTA_META、beacon的文件,对文件进行解析,获取备份文件对应的设备信息,并形成配置文件。
7.根据权利要求4所述的安卓应用云数据取证分析方法,其特征在于,所述步骤S1针对目标证据为安卓智能终端的镜像文件时,对镜像文件进行解析,恢复原始文件结构,获取指定软件安装程序,并查找文件名为UBT.db、DENGTA_META、beacon的文件,对文件进行解析,获取镜像文件对应的设备信息,并形成配置文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811499140.2A CN109614203B (zh) | 2018-12-08 | 2018-12-08 | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811499140.2A CN109614203B (zh) | 2018-12-08 | 2018-12-08 | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109614203A CN109614203A (zh) | 2019-04-12 |
CN109614203B true CN109614203B (zh) | 2023-10-27 |
Family
ID=66006801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811499140.2A Active CN109614203B (zh) | 2018-12-08 | 2018-12-08 | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109614203B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111522625B (zh) * | 2020-04-23 | 2023-02-28 | 公安部第三研究所 | 一种云端数据在线取证系统及方法 |
CN111638916B (zh) * | 2020-06-03 | 2023-03-31 | 公安部第三研究所 | 一种用于数据取证的通用安卓移动终端驱动系统及方法 |
CN111639000B (zh) * | 2020-06-03 | 2023-03-24 | 公安部第三研究所 | 一种安卓移动终端备份数据快速提取的方法及自动化备份系统 |
CN112000344A (zh) * | 2020-08-25 | 2020-11-27 | 南京烽火星空通信发展有限公司 | 一种基于Android平台的无痕数据获取方法 |
CN113052729B (zh) * | 2021-03-16 | 2024-06-18 | 公安部第三研究所 | 一种手机取证能力验证样品的构建平台及方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051707A (zh) * | 2012-12-20 | 2013-04-17 | 浪潮集团有限公司 | 一种基于动态用户行为的云取证方法及系统 |
CN103345419A (zh) * | 2013-07-25 | 2013-10-09 | 南京邮电大学 | 一种基于Android平台的动态取证方法 |
CN103853933A (zh) * | 2014-03-27 | 2014-06-11 | 北京工业大学 | 面向Android数字取证的用户行为分析方法及系统 |
CN105307191A (zh) * | 2015-11-12 | 2016-02-03 | 武汉虹旭信息技术有限责任公司 | 基于gsm软件无线电的msisdn采集设备及其方法 |
WO2016207899A1 (en) * | 2015-06-25 | 2016-12-29 | Capester Ltd | System and method for secured capturing and authenticating of video clips |
CN106599714A (zh) * | 2016-11-15 | 2017-04-26 | 厦门市美亚柏科信息股份有限公司 | Android终端全盘加密数据的还原方法及装置 |
CA3014603A1 (en) * | 2016-03-31 | 2017-10-05 | Dexcom, Inc. | Systems and methods for inter-app communications |
CN108182129A (zh) * | 2018-01-24 | 2018-06-19 | 杭州字节信息技术有限公司 | 一种基于移动终端镜像还原数据信息的数字取证系统及方法 |
US10033747B1 (en) * | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8458805B2 (en) * | 2003-06-23 | 2013-06-04 | Architecture Technology Corporation | Digital forensic analysis using empirical privilege profiling (EPP) for filtering collected data |
WO2011097294A1 (en) * | 2010-02-02 | 2011-08-11 | Legal Digital Services | Digital forensic acquisition kit and methods of use thereof |
CN103942054A (zh) * | 2014-04-25 | 2014-07-23 | 北京邮电大学 | 一种基于安卓的数据取证系统 |
CN104461695A (zh) * | 2014-12-24 | 2015-03-25 | 四川效率源信息安全技术有限责任公司 | 通过仿真手段展示数据的方法和装置 |
CN107391364A (zh) * | 2017-07-03 | 2017-11-24 | 中国科学院信息工程研究所 | 一种基于虚拟机和实体机结合的移动终端取证方法及系统 |
-
2018
- 2018-12-08 CN CN201811499140.2A patent/CN109614203B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051707A (zh) * | 2012-12-20 | 2013-04-17 | 浪潮集团有限公司 | 一种基于动态用户行为的云取证方法及系统 |
CN103345419A (zh) * | 2013-07-25 | 2013-10-09 | 南京邮电大学 | 一种基于Android平台的动态取证方法 |
CN103853933A (zh) * | 2014-03-27 | 2014-06-11 | 北京工业大学 | 面向Android数字取证的用户行为分析方法及系统 |
WO2016207899A1 (en) * | 2015-06-25 | 2016-12-29 | Capester Ltd | System and method for secured capturing and authenticating of video clips |
US10033747B1 (en) * | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
CN105307191A (zh) * | 2015-11-12 | 2016-02-03 | 武汉虹旭信息技术有限责任公司 | 基于gsm软件无线电的msisdn采集设备及其方法 |
CA3014603A1 (en) * | 2016-03-31 | 2017-10-05 | Dexcom, Inc. | Systems and methods for inter-app communications |
CN106599714A (zh) * | 2016-11-15 | 2017-04-26 | 厦门市美亚柏科信息股份有限公司 | Android终端全盘加密数据的还原方法及装置 |
CN108182129A (zh) * | 2018-01-24 | 2018-06-19 | 杭州字节信息技术有限公司 | 一种基于移动终端镜像还原数据信息的数字取证系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109614203A (zh) | 2019-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109614203B (zh) | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 | |
US11687645B2 (en) | Security control method and computer system | |
CN106133743B (zh) | 用于优化预安装应用程序的扫描的系统和方法 | |
Mahalik et al. | Practical mobile forensics | |
Zdziarski | iPhone forensics: recovering evidence, personal data, and corporate assets | |
CN111695156A (zh) | 业务平台的访问方法、装置、设备及存储介质 | |
US10216510B2 (en) | Silent upgrade of software with dependencies | |
Tamma et al. | Practical Mobile Forensics: Forensically investigate and analyze iOS, Android, and Windows 10 devices | |
CN101777062A (zh) | 场境感知的实时计算机保护系统和方法 | |
CN111563015A (zh) | 数据监控方法及装置、计算机可读介质及终端设备 | |
CN111176755A (zh) | 云上安全的策略配置方法、系统、电子设备及存储介质 | |
CN109120584B (zh) | 基于UEFI和WinPE的终端安全防范方法及系统 | |
CN111563257A (zh) | 数据检测方法及装置、计算机可读介质及终端设备 | |
WO2022078366A1 (zh) | 应用保护方法、装置、设备及介质 | |
CN106845208A (zh) | 异常应用控制方法、装置和终端设备 | |
CN115150261A (zh) | 告警分析的方法、装置、电子设备及存储介质 | |
CN110858247A (zh) | 安卓恶意应用检测方法、系统、设备及存储介质 | |
CN115576600A (zh) | 基于代码变更的差异处理方法、装置、终端及存储介质 | |
CN113360379B (zh) | 程序测试环境创建方法和程序测试环境创建装置 | |
CN111930346B (zh) | 人工智能信息的处理方法、装置、电子设备和存储介质 | |
CN111290747B (zh) | 一种创建函数钩子的方法、系统、设备及介质 | |
WO2023151397A1 (zh) | 应用程序部署方法、装置、设备及介质 | |
CN113434217B (zh) | 漏洞扫描方法、装置、计算机设备及介质 | |
CN113420288B (zh) | 一种容器镜像敏感信息检测系统及方法 | |
CN114117434A (zh) | 检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |