CN114465738A - 应用程序的取证方法、系统、设备及存储介质 - Google Patents
应用程序的取证方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN114465738A CN114465738A CN202011133028.4A CN202011133028A CN114465738A CN 114465738 A CN114465738 A CN 114465738A CN 202011133028 A CN202011133028 A CN 202011133028A CN 114465738 A CN114465738 A CN 114465738A
- Authority
- CN
- China
- Prior art keywords
- application program
- evidence obtaining
- data
- application
- forensics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000012795 verification Methods 0.000 claims abstract description 42
- 230000008569 process Effects 0.000 claims abstract description 37
- 238000009434 installation Methods 0.000 claims description 42
- 238000004590 computer program Methods 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 13
- 238000004458 analytical method Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 8
- 238000013475 authorization Methods 0.000 claims description 6
- 238000011835 investigation Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 10
- 238000007667 floating Methods 0.000 description 5
- 230000003068 static effect Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 230000002411 adverse Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 208000001613 Gambling Diseases 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Evolutionary Computation (AREA)
- Stored Programmes (AREA)
Abstract
本申请实施例提供一种应用程序的取证方法、系统、设备及存储介质。在应用程序的取证方法中,存在取证需求时,终端设备可获取取证验证信息,并在取证验证信息通过验证之后,启动本地安装的待取证的应用程序,以供用户操作。应用程序在用户的操作下运行时,终端设备可获取应用程序的网络访问请求产生的数据包,该数据包可用于解析得到应用程序的动态取证数据。这种取证方式,可灵活地在终端设备上对应用程序进行取证,不需要将安装有应用程序的终端设备连接在其他设备上,也不需要人工介入网络流量的抓包过程,极大提升了应用程序相关案件的勘验效率。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种应用程序的取证方法、系统、设备及存储介质。
背景技术
随着互联网技术的发展,基于互联网的诈骗手段层出不穷。现有的针对互联网诈骗的勘验手段,无法便捷地对不良应用程序进行取证,进而导致无法提升相关不良案件的勘验效率。因此,有待提出一种新的解决方案。
发明内容
本申请的多个方面提供一种应用程序的取证方法、系统、设备及存储介质,用以提升对应用程序进行取证的灵活度。
本申请实施例提供一种应用程序的取证方法,适用于终端设备,包括:响应取证请求,获取至少一种取证验证信息;若所述至少一种取证验证信息通过验证,则从本地安装的应用程序中确定待取证的应用程序;启动所述应用程序以供用户操作,并在所述应用程序的运行过程中,获取所述应用程序的网络访问请求产生的数据包;所述数据包,用于解析所述应用程序的动态取证数据。
本申请实施例还提供一种应用程序的取证系统,包括:第一终端设备、服务器以及第二终端设备;其中,所述第一终端设备,用于:响应取证请求,获取至少一种取证验证信息;若所述至少一种取证验证信息通过验证,则从本地安装的应用程序中确定待取证的应用程序;启动所述应用程序以供用户操作,并在所述应用程序的运行过程中,获取所述应用程序的网络访问请求产生的数据包;对所述数据包进行解析,得到所述应用程序的动态取证数据,并将所述动态取证数据发送至所述服务器;所述第二终端设备,用于:响应查看所述应用程序的取证线索的请求,从所述服务器获取所述应用程序的动态取证数据,并展示所述动态取证数据。
本申请实施例还提供一种终端设备,包括:存储器和处理器;所述存储器用于存储一条或多条计算机指令;所述处理器用于执行所述一条或多条计算机指令以用于:执行本申请实施例提供的应用程序的取证方法中的步骤。
本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被处理器执行时能够实现本申请实施例提供的应用程序的取证方法中的步骤。
本申请实施例提供的应用程序的取证方法中,存在取证需求时,终端设备可获取取证验证信息,并在取证验证信息通过验证之后,启动本地安装的待取证的应用程序,以供用户操作。应用程序在用户的操作下运行时,终端设备可获取应用程序的网络访问请求产生的数据包,该数据包可用于解析得到应用程序的动态取证数据。这种取证方式,可灵活地在终端设备上对应用程序进行取证,不需要将安装有应用程序的终端设备连接在其他设备上,也不需要人工介入网络流量的抓包过程,极大提升了应用程序相关案件的勘验效率。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一示例性实施例提供的应用程序的取证方法的流程示意图;
图2a、图2b以及图2c为本申请实施例提供的终端设备的界面显示示意图;
图3为本申请实施例提供的应用程序的取证结果查看界面的示意图;
图4为本申请一示例性实施例提供的应用程序的取证系统的结构示意图;
图5为本申请一示例性实施例提供的终端设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,在对互联网上的不良网站或者恶意APP(Application,应用程序)进行勘验取证时,通常是针对静态信息,如通讯录、短信、图片、视频等静态文件进行采集,无法获取到不良APP、网站流量等在线动态线索。进而,针对网络诈骗,无法获取资金流线索。同时,现有的取证手段通常基于截图的方式来固定证据,无法直接进行线索分析。
针对上述技术问题,在本申请一些实施例中,提供了一种解决方案,以下将结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请一示例性实施例提供的应用程序的取证方法的流程示意图,如图1所示,该方法包括:
步骤101、终端设备响应取证请求,获取至少一种取证验证信息。
步骤102、若所述至少一种取证验证信息通过验证,则从本地安装的应用程序中确定待取证的应用程序。
步骤103、启动所述应用程序以供用户操作,并在所述应用程序的运行过程中,获取所述应用程序的网络访问请求产生的数据包;所述数据包,用于解析所述应用程序的动态取证数据。
其中,终端设备可实现为用户侧的手机、平板电脑、计算机设备、智能电视等。终端设备上安装有待取证的应用程序。
在本实施例中,待取证的应用程序,可包括:待取证的恶意应用程序或者其他合规运行的任一应用程序,本实施例不做限制。在一些场景下,待取证的应用程序还可包括通过浏览器访问的网站,本实施例包含但不限于此。
其中,恶意应用程序指的是带有欺诈意图、攻击意图等可能对用户造成伤害的网络应用程序,例如:提供非法或者违规投资理财服务的APP或网站、提供赌博服务的APP或网站、提供色情服务的APP或网站、恶意盗取用户信息的APP或网站等等。
在本实施例中,终端设备上可安装有取证工具,取证工具可实现为插件、应用程序或者可通过浏览器启动的网页工具等等。取证工具运行在安装有应用程序的终端设备上,进而,可在终端设备本地完成对应用程序的取证操作,而不需依赖其他的电子设备。例如,可在网络诈骗受害者的手机上运行取证工具,以对该手机上安装的网络诈骗APP进行取证。
其中,取证请求可以是取证人员发送的。在终端设备上安装取证工具后,取证人员可在终端设备上启动该取证工具。检测到启动取证工具的操作时,终端设备可认为检测到了取证请求。在另一些实施例中,终端设备可检测用户的语音指令或者指定的按键指令,并识别检测到的指令。在确定上述指令指示对终端设备上的应用程序进行取证时,终端设备可认为检测到了取证请求。
在本实施例中,为确保取证过程的安全性,在检测到取证请求后,终端设备可获取至少一种取证验证信息。其中,该至少一种取证验证信息,用于对取证过程进行约束,以在合规、合法的情况下,对安装在用户的终端设备上的应用程序进行取证。
在一些实施例中,该至少一种取证验证信息,可至少包括持有该终端设备的用户的授权信息。例如,可包括该用户的授权承诺书、该用户的生物识别特征(例如面部、指纹、虹膜等)、该用户的签名确认信息等等。
在另一些实施例中,该至少一种取证验证信息,可至少包括取证人员的身份认证信息,例如取证人员的身份标识、申请取证的证明信息、登录账号、身份识别码等等。例如,在一些实施例中,可使得终端设备扫描取证人员的身份识别二维码来获取取证人员的身份认证信息。
在又一些实施例中,该至少一种取证验证信息,可至少包括持有终端设备的用户的授权信息以及取证用户的身份认证信息。通常,可在获取到持有终端设备的用户的授权信息后,进一步获取取证人员的身份认证信息,以确保取证过程的安全性。
在上述至少一种取证验证信息通过验证后,可确定待取证的应用程序。其中,该待取证的应用程序可以是用户或者取证人员指定的,也可以是终端设备自动识别到的,本实施例不做限制。确定应用程序的可选实施方式将在后续实施例进行详细说明,此处不赘述。
确定应用程序之后,可启动该应用程序,以供用户操作。其中,操作应用程序的用户可以是取证人员,也可以是持有终端设备的用户。当持有终端设备的用户操作应用程序时,可按照常规的使用习惯及使用流程,对应用程序进行操作。当取证人员在操作应用程序时,可按照用户正常使用该应用程序的流程或者方式使用应用程序提供的各种功能。例如,登录服务器的功能、查看商品的功能、购买商品的功能等等。针对不同类型的应用程序,可具有不同的操作方式,此处不赘述。
应用程序在用户的操作下运行的过程中,应用程序可产生网络访问请求。此时,终端设备可获取应用程序的网络访问请求产生的数据包。对该数据包进行解析,即可得到应用程序在动态使用过程中产生的相关数据。为描述方便,在本实施例中,将解析数据包得到的取证数据描述为动态取证数据。
其中,对数据包进行解析得到动态取证数据的操作,可以是终端设备执行的,也可以是服务器执行的。当解析操作由终端设备执行时,终端设备可在捕捉到数据包之后,按照设定的解析方式,直接对数据包进行解析。当解析操作由服务器执行时,终端设备可将捕捉到的数据包发送至服务器,由服务器进行解析得到动态取证数据,本实施例不做限制。
在本实施例中,存在取证需求时,终端设备可获取取证验证信息,并在取证验证信息通过验证之后,启动本地安装的待取证的应用程序,以用户操作。应用程序在用户的操作下运行时,终端设备可获取应用程序的网络访问请求产生的数据包,该数据包可用于解析得到应用程序的动态取证数据。这种取证方式,可灵活地在终端设备上对应用程序进行取证,不需要将安装有应用程序的终端设备连接在其他设备上,也不需要人工介入网络流量的抓包过程,极大提升了应用程序相关案件的勘验效率。
在一些示例性的实施例中,在终端设备上安装取证工具后,终端设备可提供多种不同类型的证据的取证操作入口,例如,图2a所示的不良短信取证操作入口、图片取证操作入口、录音取证操作入口、视频取证操作入口、资金转账记录取证操作入口、不良网站取证操作入口、不良APP程序取证操作入口、聊天软件记录添加入口等等。
其中,终端设备可响应针对不良短信取证操作入口的触发操作,对终端设备本地的短信进行扫描,以主动发现可疑的不良短信,并展示可疑的不良短信,以供用户选择。或者,终端设备可展示终端设备上的短信列表,以便于取证人员手动添加不良短信作为短信取证数据。
其中,终端设备可响应针对图片取证操作入口的触发操作,展示终端设备上的相册,以便于取证人员从相册中添加图片取证数据。
其中,终端设备可响应针对录音取证操作入口的触发操作,展示终端设备上指定路径下的录音文件,以便于取证人员添加可作为取证线索的录音取证数据。
其中,终端设备可响应于针对视频取证操作入口的触发操作,展示终端设备上指定路径下的视频文件,以便于取证人员添加可作为取证线索的视频取证数据。
其中,终端设备可响应针对资金转账记录取证操作入口的操作,展示终端设备上的转账记录短信、线上支付工具的转账界面、转账截图等,以便于取证人员添加可作为取证线索的资金流动取证数据。
其中,终端设备可响应针对不良网站取证操作入口的触发操作,展示网站地址输入界面,以供取证人员输入不良网站的地址;或者,可启动终端设备上安装的浏览器,并查看历史浏览记录,并从历史浏览记录中获取不良网站的地址。
其中,终端设备可响应针对聊天软件记录添加入口的触发操作,启动终端设备上安装的即时通信或者社交工具,以在取证用户的操作下添加聊天记录相关的取证数据,不再赘述。
其中,取证用户可触发不良APP程序取证操作入口,以添加待取证的应用程序。
在一些实施例中,终端设备可根据取证人员指定应用程序的操作,确定待取证的应用程序。可选地,响应针对该不良APP程序取证操作入口的触发操作,终端设备可展示应用程序添加图标;响应针对该应用程序添加图标的触发操作,终端设备可展示本地安装的至少一种应用程序;响应对该至少一种应用程序的选择操作,确定被选择的应用程序作为待取证的应用程序。如图2b所示,取证人员可从终端设备展示的多个APP中选择APP4作为待取证的APP。
在另一些实施例中,待取证的应用程序实现为恶意应用程序时,终端设备可自动识别终端设备上的恶意应用程序,并可主动确定待取证的恶意应用程序。例如,在一些实施例中,取证工具可存有应用程序黑名单,应用程序黑名单上记录有多种不同的恶意应用程序的名称、安装包名称、应用程序图标等识别信息。响应针对该不良APP程序取证操作入口的触发操作,取证工具可对终端设备上的所有应用程序进行扫描,并获取终端设备上安装的每一个应用程序的上述识别信息,并与应用程序黑名单上的识别信息进行匹配。若终端设备上的某一应用程序的识别信息与应用程序黑名单上的识别信息匹配,则确定该应用程序为待取证的恶意应用程序。
在本申请的上述以及下述各实施例中,解析应用程序的数据包得到的动态取证数据,可包括:应用程序所在的服务器的IP(Internet Protocol,网际互连协议)地址、端口号、归属地、URL(Uniform Resource Locator,统一资源定位符)、访问状态以及网站类型中的至少一种。
当然,在一些情况下,当应用程序通过终端设备与服务器之外的其他设备进行通信交互时,可基于网络访问请求产生的数据包,解析得到该其他设备的相关数据,例如设备的IP地址、MAC地址(Media Access Control Address,媒体访问控制地址)等等,不再赘述。
其中,访问状态,可包括:当前可访问或者当前不可访问。若应用程序为网站,且网站的访问状态为不可访问,则可获取静态网页作为取证数据。
其中,网站类型,可包括:赌博、传销、贷款、非法集资、色情等等类型。在一些实施例中,可预先根据经验建立网站域名与网站类型的对应关系。在获取到网站域名后,基于上述对应关系,可确定网站的类型。在另一些实施例中,终端设备可从对该网站进行关键字抓取,并根据抓取到的关键字确定网站类型。例如,当关键字包含收益、投资、买入、卖出等关键词时,可确定网站类型为理财类型。又例如,当关键字包含贷款利息、额度、抵押等关键词时,可确定网站类型为贷款类型,不再赘述。
在一些示例性的实施例中,除了对应用程序的网络访问请求进行抓包之外,终端设备可基于取证工具,进一步采集应用程序的运行过程,得到动态的取证数据。
可选地,确定待取证的所述应用程序之后,取证工具可启动终端设备的录屏功能,以录制所述应用程序在取证人员的操作下的运行过程。在本实施例中,为便于描述,将对应用程序的运行过程进行录屏得到的数据描述为录屏取证数据。基于本实施例,在取证人员对应用程序进行操作的过程中,终端设备可一边获取应用程序的网络访问请求产生的数据包,一边对用户的操作过程进行录屏,既确保了取证过程的安全性,又能够获取到动态的线索信息。
继续参考图2b的示意,终端设备展示本地安装的应用程序时,可展示每个应用程序对应的录制控件。取证人员可触发应用程序对应的录制控件,进入应用程序的取证过程。以图2b的示意为例,终端设备可响应针对APP4对应的录制控件的触发操作,启动APP4以供取证人员操作,同时,调用终端设备的录屏功能进行屏幕录制,如图2c中的左侧图所示。在录屏的过程中,取证人员可对应用程序进行操作以使用应用程序的各个功能。终端设备可在应用程序运行的过程中,对应用程序的网络请求产生的数据包进行抓包并且分析。
可选地,在录屏的过程中,终端设备可在界面上悬浮展示录屏控件,如图2c所示。当取证人员结束对应用程序的操作时,可通过录屏控件结束录屏操作。
在一些可选的实施例中,当检测到结束录屏的操作时,终端设备可返回至应用程序添加页面,在该页面展示已添加的应用程序,并自动添加应用程序对应的录屏取证数据,如图2c所示。
在另一些可选的实施例中,当检测到结束录屏的操作时,终端设备可将应用程序的录屏取证数据保存在终端设备本地,并返回至应用程序添加页面。该应用程序添加页面可展示录屏取证数据添加按钮。响应针对录屏取证数据添加按钮的触发操作,终端设备可展示本地保存的录屏文件,并根据取证人员对本地保存的录屏文件的选择操作,添加应用程序对应的录屏取证数据,不再赘述。
在一些示例性的实施例中,终端设备每次基于应用程序的数据包解析得到的动态取证数据时,可在应用程序的界面上悬浮展示该动态取证数据。基于这种方式,一方面,可以展示每种动态取证数据的获取时机;另一方面,在对应用程序的运行过程进行录制时,可同时录制得到悬浮展示的动态取证数据。
继续以图2c为例,获取到APP4的动态取证数据后,可在APP4的操作页面上悬浮展示取证数据显示窗口,并在该取证数据显示窗口内展示获取到的动态取证数据,如图2c所示的URL和IP地址等等。
基于这种实施方式,既能对操作APP或网站的过程进行录屏,又能对操作过程中产生的流量抓包信息进行录屏,有利于更全面、更清晰地呈现取证过程,避免取证结果遭到篡改。
在一些示例性的实施例中,终端设备还可在确定待取证的应用程序之后,在终端设备上检测应用程序的安装包。在获取到应用程序的安装包之后,对该应用程序的安装包进行反编译处理,得到该应用程序的配置文件;基于该配置文件,终端设备可解析得到应用程序的安装包取证数据。例如,针对以Android开发语言开发的应用程序而言,可从对安装包进行反编译得到的文件中,获取AndroidManifest.xml等配置文件,并解析配置文件以获取安装包取证数据。
其中,该安装包取证数据可包括:应用程序的安装包信息、签名信息、域名信息以及应用程序身份标识信息(APPID)中的至少一种,本实施例不做限制。
在一些可选的实施例中,在每次获取到安装包取证数据后,终端设备可在应用程序的界面上悬浮展示该安装包取证数据,如图2c所示的APPname(应用程序名称)以及APK_MD5(安装包的MD5值)。进而,在对应用程序的运行过程进行录制时,可同时录制得到悬浮展示的安装包取证数据,以更清晰地呈现取证过程。
基于上述各实施例,可获取应用程序的动态取证数据、录屏取证数据以及安装包取证数据中的一种。在一些实施例中,终端设备可基于上述至少一种取证数据,为应用程序生成取证线索。
可选地,终端设备可进一步在取证线索查看页面展示应用程序对应的至少一种取证线索查看图标,以供用户查看。其中,该至少一种取证线索查看图标可包括:录屏取证数据预览图标、流量文件查看图标、流量文件解析结果查看图标、安装包数据查看图标、配置文件查看图标、安装包解析结果查看图标。
响应对所述至少一种取证线索查看图标中的目标线索查看图标的触发操作,终端设备可展示目标线索查看图标对应的取证线索数据;其中,取证线索数据可包括:动态取证数据、录屏取证数据或者安装包取证数据。
例如,如图3所示,终端设备可响应针对“点击预览”图标的触发操作,播放APP4对应的录屏取证数据或者截图。终端设备可响应针对“流量文件”图标的触发操作,查看APP4对应的流量文件的存放地址。终端设备可响应针对“流量黑要素提取”图标的触发操作,展示APP4对应的动态取证数据。终端设备可响应针对“APK安装包”图标的触发操作,展示APP4的APK(Android application package,Android应用程序包)的相关数据。终端设备可响应针对“配置文件”图标的触发操作,展示对APP4的安装包进行反编译得到的配置文件。终端设备还可响应针对“安装包黑要素提取”图标的触发操作,展示根据基于配置文件解析得到的安装包取整数据,不再赘述。
在一些示例性的实施例中,终端设备获取到应用程序的取证线索后,可将取证线索提交至服务器,以供与服务器连接的其他远端设备对该取证线索进行访问或使用。
基于此,本申请实施例还提供一种应用程序的取证系统,如图4所示,该应用程序取证系统400包括:第一终端设备401、服务器402以及第二终端设备403。
其中,第一终端设备401指的是用户持有的安装有应用程序的终端设备,第二终端设备403可以是取证人员或者案件勘验人员的终端设备。其中,服务器是能够提供数据支持、存储服务、计算服务以及一些管理服务的设备。在一些实施例中,服务器可实现为常规服务器、云服务器、云主机、虚拟中心等服务器等设备,本实施例对此不做限制。其中,服务器设备的构成主要包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似,不再赘述。
其中,第一终端设备401,用于:响应取证请求,获取至少一种取证验证信息;若该至少一种取证验证信息通过验证,则从本地安装的应用程序中确定待取证的应用程序;启动该应用程序以供用户操作,并在该应用程序的运行过程中,获取该应用程序的网络访问请求产生的数据包;对该数据包进行解析,得到该应用程序的动态取证数据,并将该动态取证数据发送至服务器402。
第二终端设备403,用于:响应查看该应用程序的取证线索的请求,从服务器402获取应用程序的动态取证数据,并展示该动态取证数据。基于此,持有第二终端设备403可通过访问服务器,快速准确地获取应用程序的一种或者多种取证数据。
当然,除动态取证数据之外,若第一终端设备401获取到应用程序对应的录屏取证数据或安装包取证数据,则可将录屏取证数据或安装包取证数据发送至服务器402,以供与服务器402建立通信连接的第二终端设备403访问。
可选地,第二终端设备402获取到应用程序的取证线索后,可进一步在取证线索查看页面展示应用程序对应的至少一种取证线索查看图标,以供用户查看。可选地,该至少一种取证线索查看图标可包括:录屏取证数据预览图标、流量文件查看图标、流量文件解析结果查看图标、安装包数据查看图标、配置文件查看图标、安装包解析结果查看图标。
响应对所述至少一种取证线索查看图标中的目标线索查看图标的触发操作,第二终端设备403可展示目标线索查看图标对应的取证线索数据;其中,取证线索数据可包括:动态取证数据、录屏取证数据或者安装包取证数据。
例如,第一终端401设备实现为手机时,第二终端设备403可实现为电脑。取证工具可安装在手机上,并对手机上的不良APP进行取证。取证工具基于上述各实施例获取到取证线索后,可将取证数据发送至服务器进行保存。相关人员可通过电脑访问服务器,并查看不良APP的取证线索,以便于对不良APP导致的恶性事件进行勘验。
在这种实施方式中,当用户遭遇终端设备上安装的APP的伤害后,在终端设备上安装可实现本申请各实施例的取证工具,即可快速灵活地对APP进行取证,降低了取证所需的人力成本,提升了取证效率。
需要说明的是,本申请各实施例所提供方法的各步骤的执行主体均可以是同一设备,或者,该方法也由不同设备作为执行主体。比如,步骤101至步骤104的执行主体可以为设备A;又比如,步骤101和102的执行主体可以为设备A,步骤103的执行主体可以为设备B;等等。
另外,在上述实施例及附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如101、102等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。
需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
图5是本申请一示例性实施例提供的终端设备的结构示意图,如图5所示,该终端设备包括:存储器501、处理器502、通信组件503以及显示组件504。
存储器501,用于存储计算机程序,并可被配置为存储其它各种数据以支持在终端设备上的操作。这些数据的示例包括用于在终端设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
其中,存储器501可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器502,与存储器501耦合,用于执行存储器501中的计算机程序,以用于:响应取证请求,获取至少一种取证验证信息;若所述至少一种取证验证信息通过验证,则从本地安装的应用程序中确定待取证的应用程序;启动所述应用程序以供用户操作,并在所述应用程序的运行过程中,获取所述应用程序的网络访问请求产生的数据包;所述数据包,用于解析所述应用程序的动态取证数据。
进一步可选地,处理器502还用于:对所述数据包进行解析,得到所述应用程序的动态取证数据;或者,将所述数据包发送至服务器,以使所述服务器解析所述数据包,得到所述动态取证数据。
进一步可选地,所述至少一种取证验证信息包括:持有所述终端设备的用户的授权信息,和/或,取证人员的身份认证信息;其中,所述第一用户为持有所述终端设备的用户,所述第二用户为取证人员。
进一步可选地,处理器502在确定待取证的所述应用程序时,具体用于:展示应用程序添加图标;响应针对所述应用程序添加图标的触发操作,展示所述终端设备上安装的至少一种应用程序;响应对所述至少一种应用程序的选择操作,确定被选择的应用程序作为待取证的所述应用程序。
进一步可选地,处理器502在确定待取证的所述应用程序之后,还用于:启动所述终端设备的录屏功能,以录制所述应用程序在用户操作下的运行过程,得到所述应用程序的录屏取证数据。
进一步可选地,处理器502还用于:在每次解析得到动态取证数据时,在所述应用程序的界面上悬浮展示所述动态取证数据,以对所述动态取证数据进行录制。
进一步可选地,处理器502在确定待取证的所述应用程序之后,还用于:在所述终端设备上检测所述应用程序的安装包;对所述应用程序的安装包进行反编译处理,得到所述应用程序的配置文件;基于所述配置文件,解析得到所述应用程序的安装包取证数据;其中,所述安装包取证数据包括:所述应用程序的安装包信息、签名信息、域名信息以及应用程序身份标识信息中的至少一种。
进一步可选地,处理器502还用于:将所述动态取证数据、所述录屏取证数据以及所述安装包取证数据中的至少一种,作为所述应用程序的取证线索数据发送至服务器,以供与所述服务器建立通信连接的终端设备访问。
进一步可选地,处理器502还用于:在取证线索查看页面,展示所述应用程序对应的至少一种取证线索查看图标;响应对所述至少一种取证线索查看图标中的目标线索查看图标的触发操作,展示所述目标线索查看图标对应的取证线索数据;其中,所述取证线索数据包括:所述动态取证数据、所述录屏取证数据或者所述安装包取证数据。
进一步可选地,所述应用程序的动态取证数据包括:所述应用程序所在的服务器的IP地址、端口号、归属地、URL、访问状态以及网站类型中的至少一种。
进一步可选地,所述应用程序包括:恶意应用程序。
进一步,如图5所示,该终端设备还包括:电源组件505、音频组件506等其它组件。图5中仅示意性给出部分组件,并不意味着终端设备只包括图5所示组件。
其中,通信组件503被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络,如WiFi,2G、3G、4G或5G,或它们的组合。在一个示例性实施例中,通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件可基于近场通信(NFC)技术、射频识别(RFID)技术、红外数据协会(IrDA)技术、超宽带(UWB)技术、蓝牙(BT)技术和其他技术来实现。
其中,显示组件504包括屏幕,其屏幕可以包括液晶显示组件(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
其中,电源组件505,为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源,及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。
本实施例中,存在取证需求时,终端设备可获取取证验证信息,并在取证验证信息通过验证之后,启动本地安装的待取证的应用程序,以供用户操作。应用程序在用户的操作下运行时,终端设备可获取应用程序的网络访问请求产生的数据包,该数据包可用于解析得到应用程序的动态取证数据。这种取证方式,可灵活地在终端设备上对应用程序进行取证,不需要将安装有应用程序的终端设备连接在其他设备上,也不需要人工介入网络流量的抓包过程,极大提升了应用程序相关案件的勘验效率。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被处理器执行时能够实现上述方法实施例中可由终端设备执行的各步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (14)
1.一种应用程序的取证方法,适用于终端设备,其特征在于,包括:
响应取证请求,获取至少一种取证验证信息;
若所述至少一种取证验证信息通过验证,则从本地安装的应用程序中确定待取证的应用程序;
启动所述应用程序以供用户操作,并在所述应用程序的运行过程中,获取所述应用程序的网络访问请求产生的数据包;所述数据包,用于解析所述应用程序的动态取证数据。
2.根据权利要求1所述的方法,其特征在于,还包括:
对所述数据包进行解析,得到所述应用程序的动态取证数据;或者,
将所述数据包发送至服务器,以使所述服务器解析所述数据包,得到所述动态取证数据。
3.根据权利要求1所述的方法,其特征在于,所述至少一种取证验证信息包括:持有所述终端设备的用户的授权信息,和/或,取证人员的身份认证信息。
4.根据权利要求1所述的方法,其特征在于,确定待取证的所述应用程序,包括:
展示应用程序添加图标;
响应针对所述应用程序添加图标的触发操作,展示所述终端设备上安装的至少一种应用程序;
响应对所述至少一种应用程序的选择操作,确定被选择的应用程序作为待取证的所述应用程序。
5.根据权利要求1所述的方法,其特征在于,确定待取证的所述应用程序之后,还包括:
启动所述终端设备的录屏功能,以录制所述应用程序在用户操作下的运行过程,得到所述应用程序的录屏取证数据。
6.根据权利要求5所述的方法,其特征在于,还包括:
在每次解析得到动态取证数据时,在所述应用程序的界面上悬浮展示所述动态取证数据,以对所述动态取证数据进行录制。
7.根据权利要求5所述的方法,其特征在于,确定待取证的所述应用程序之后,还包括:
在所述终端设备上检测所述应用程序的安装包;
对所述应用程序的安装包进行反编译处理,得到所述应用程序的配置文件;
基于所述配置文件,解析得到所述应用程序的安装包取证数据;其中,所述安装包取证数据包括:所述应用程序的安装包信息、签名信息、域名信息以及应用程序身份标识信息中的至少一种。
8.根据权利要求7所述的方法,其特征在于,还包括:
将所述动态取证数据、所述录屏取证数据以及所述安装包取证数据中的至少一种,作为所述应用程序的取证线索数据发送至服务器,以供与所述服务器建立通信连接的终端设备访问。
9.根据权利要求7所述的方法,其特征在于,还包括:
在取证线索查看页面,展示所述应用程序对应的至少一种取证线索查看图标;
响应对所述至少一种取证线索查看图标中的目标线索查看图标的触发操作,展示所述目标线索查看图标对应的取证线索数据;
其中,所述取证线索数据包括:所述动态取证数据、所述录屏取证数据或者所述安装包取证数据。
10.根据权利要求1-9任一项所述的方法,其特征在于,所述应用程序的动态取证数据包括:所述应用程序所在的服务器的IP地址、端口号、归属地、URL、访问状态以及网站类型中的至少一种。
11.根据权利要求1-9任一项所述的方法,其特征在于,所述应用程序,包括:恶意应用程序。
12.一种应用程序的取证系统,其特征在于,包括:
第一终端设备、服务器以及第二终端设备;
其中,所述第一终端设备,用于:响应取证请求,获取至少一种取证验证信息;若所述至少一种取证验证信息通过验证,则从本地安装的应用程序中确定待取证的应用程序;启动所述应用程序以供用户操作,并在所述应用程序的运行过程中,获取所述应用程序的网络访问请求产生的数据包;对所述数据包进行解析,得到所述应用程序的动态取证数据,并将所述动态取证数据发送至所述服务器;
所述第二终端设备,用于:响应查看所述应用程序的取证线索的请求,从所述服务器获取所述应用程序的动态取证数据,并展示所述动态取证数据。
13.一种终端设备,其特征在于,包括:存储器和处理器;
所述存储器用于存储一条或多条计算机指令;
所述处理器用于执行所述一条或多条计算机指令以用于:执行权利要求1-10任一项所述的方法中的步骤。
14.一种存储有计算机程序的计算机可读存储介质,其特征在于,计算机程序被处理器执行时能够实现权利要求1-10任一项所述的方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011133028.4A CN114465738A (zh) | 2020-10-21 | 2020-10-21 | 应用程序的取证方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011133028.4A CN114465738A (zh) | 2020-10-21 | 2020-10-21 | 应用程序的取证方法、系统、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114465738A true CN114465738A (zh) | 2022-05-10 |
Family
ID=81403974
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011133028.4A Pending CN114465738A (zh) | 2020-10-21 | 2020-10-21 | 应用程序的取证方法、系统、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114465738A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115550926A (zh) * | 2022-10-08 | 2022-12-30 | 杭州市公安局刑事科学技术研究所 | 一种电子取证方法、系统、装置、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104715196A (zh) * | 2015-03-27 | 2015-06-17 | 北京奇虎科技有限公司 | 智能手机应用程序的静态分析方法及系统 |
CN107688754A (zh) * | 2017-10-20 | 2018-02-13 | 国信嘉宁数据技术有限公司 | 一种电子证据取证方法和装置 |
CN109766725A (zh) * | 2018-12-19 | 2019-05-17 | 重庆华龙艾迪信息技术有限公司 | 一种数据处理方法、设备、智能终端及计算机可读介质 |
-
2020
- 2020-10-21 CN CN202011133028.4A patent/CN114465738A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104715196A (zh) * | 2015-03-27 | 2015-06-17 | 北京奇虎科技有限公司 | 智能手机应用程序的静态分析方法及系统 |
CN107688754A (zh) * | 2017-10-20 | 2018-02-13 | 国信嘉宁数据技术有限公司 | 一种电子证据取证方法和装置 |
CN109766725A (zh) * | 2018-12-19 | 2019-05-17 | 重庆华龙艾迪信息技术有限公司 | 一种数据处理方法、设备、智能终端及计算机可读介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115550926A (zh) * | 2022-10-08 | 2022-12-30 | 杭州市公安局刑事科学技术研究所 | 一种电子取证方法、系统、装置、设备及存储介质 |
CN115550926B (zh) * | 2022-10-08 | 2024-02-20 | 杭州市公安局刑事科学技术研究所 | 一种电子取证方法、系统、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109743315B (zh) | 针对网站的行为识别方法、装置、设备及可读存储介质 | |
US10148675B1 (en) | Block-level forensics for distributed computing systems | |
EP3176719B1 (en) | Methods and devices for acquiring certification document | |
US9215245B1 (en) | Exploration system and method for analyzing behavior of binary executable programs | |
CN111221625B (zh) | 文件检测方法、装置及设备 | |
US11055408B2 (en) | Endpoint detection and response attack process tree auto-play | |
CN110933103B (zh) | 反爬虫方法、装置、设备和介质 | |
US10496696B2 (en) | Search method and apparatus | |
CN106598677A (zh) | 下载安装包的方法及装置 | |
JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
US9400727B2 (en) | Agentless recording for virtual machine consoles | |
WO2016197827A1 (zh) | 一种恶意捆绑软件的处理方法和装置 | |
CN114465738A (zh) | 应用程序的取证方法、系统、设备及存储介质 | |
CN112714351A (zh) | 一种取证方法、取证装置及服务器 | |
CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
US10162488B1 (en) | Browser-based media scan | |
JP5851311B2 (ja) | アプリケーション検査装置 | |
WO2017129068A1 (zh) | 事件执行方法和装置及系统 | |
CN111371643B (zh) | 验证方法、设备及存储介质 | |
US11361328B2 (en) | Reduced network footprint customer behavior analytics | |
CN111752656A (zh) | 信息显示方法、装置、电子设备及存储介质 | |
CN111338946A (zh) | 安卓模拟器检测方法及装置 | |
JP2014123298A (ja) | 情報管理プログラム及び情報管理方法 | |
WO2024142030A1 (en) | Method and system for extracting privileged information from a mobile device and determining proof of secure erasure | |
Cahyani et al. | Event Reconstruction of Indonesian E-Banking Services on Windows Phone Devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |