CN115604256A - 基于源数据仿真的手机app取证方法、系统及存储介质 - Google Patents

基于源数据仿真的手机app取证方法、系统及存储介质 Download PDF

Info

Publication number
CN115604256A
CN115604256A CN202211253002.2A CN202211253002A CN115604256A CN 115604256 A CN115604256 A CN 115604256A CN 202211253002 A CN202211253002 A CN 202211253002A CN 115604256 A CN115604256 A CN 115604256A
Authority
CN
China
Prior art keywords
mobile phone
data
application
simulator
backup
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211253002.2A
Other languages
English (en)
Inventor
赵露
康艳荣
张倩
龙源
郭丽莉
鲍梦湖
张耀国
王博
姜贤波
杨昆林
邢桂东
楚川红
周冬林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Forensic Science Ministry of Public Security PRC
Original Assignee
Institute of Forensic Science Ministry of Public Security PRC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Forensic Science Ministry of Public Security PRC filed Critical Institute of Forensic Science Ministry of Public Security PRC
Priority to CN202211253002.2A priority Critical patent/CN115604256A/zh
Publication of CN115604256A publication Critical patent/CN115604256A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • H04M1/72406User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by software upgrading or downloading

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种基于源数据仿真的手机APP取证方法、系统及存储介质,其包括:利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。本发明可以在模拟器环境中仿真运行待检验应用,以加快检验速度、增强数据分析便捷性、避免直接操作检材带来的风险,且无需获得应用账号密码即可对继发数据进行实时监控追踪。

Description

基于源数据仿真的手机APP取证方法、系统及存储介质
技术领域
本发明涉及一种手机APP取证,特别是关于一种基于源数据仿真的手机APP取证方法、系统及存储介质。
背景技术
智能家居是指以住宅为平台,利用物联网(IoT)设备、网络通信技术、安全防范技术、自动控制技术、音视频技术等将家居生活有关的设施集成,构建高效的住宅设施与家庭日程事务的管理系统。随着智能家居设备越来越多地应用到日常生活环境中,它们给人们生活带来便利的同时,也为数字取证调查带来机遇。在智能家居中,物联网设备会收集和处理与运动,温度,照明控制和其他因素相关的数据,并存储更多样化和复杂的用户数据。该数据在案件侦办过程中可能很有用,但是从各种智能家居设备中提取有意义的数据是一个挑战,因为它们具有不同的数据存储方法。因此,从不同的智能家居设备收集数据以及识别和分析可用于数字取证的数据至关重要。
现在对于安卓手机应用取证只局限于对其中数据进行解析恢复并在电脑上进行数据展示,如常见的微信聊天记录取证。目前主流的国产安卓手机都提供应用数据备份功能,使用其可以直接获取应用中的用户数据,对于支持应用数据备份的手机只需要在手机或者电脑上运行备份程序即可安全快捷的备份出需要获取的应用数据。
但是这种取证方法有很大的局限性,一是对于不知道应用登陆账号密码的情况,只能获取当前数据,不能对继发数据进行实时监控追踪,二是无不存在本地的云空间数据无法获取。本文提出了一种应用模拟仿真方法,对于不能获取应用账号密码和检材不便联网获取最新数据的情况,使用本方法可以在模拟器对应用进行仿真,仿真后的应用状态和检材一致,且可以联网获取最新数据。
发明内容
针对上述问题,本发明的目的是提供一种基于源数据仿真的手机APP取证方法、系统及存储介质,其能有效避免由于联网等操作造成的手机端数据的破坏问题。
为实现上述目的,本发明采取以下技术方案:一种基于源数据仿真的手机APP取证方法,其包括:利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。
进一步,所述数据备份,包括:对手机备份文件结构进行解析,摘除仅做标识使用的文件头,并对手机备份文件摘取二次头部信息后,余下数据采用任意解压工具对其解压获得最终手机备份文件结构。
进一步,所述手机自带备份功能进行备份,采用adb命令对目标应用进行提取。
进一步,所述将备份的目标应用数据移植到取证模拟器,包括:
对获得的最终手机备份文件结构进行修复,以满足模拟器可用的原始数据路径结构;
利用取证模拟器环境进行APP仿真,实现在不使用应用登录账号密码的情况下直接查看其云端动态数据。
进一步,所述修复包括:采用文件结构对比工具对比手机备份文件解析后的文件路径结构和取证模拟器中应用文件路径结构,按照预设文件路径替换规则对手机备份文件数据路径进行结构修复。
进一步,所述利用取证模拟器环境进行APP仿真,包括:将进行结构解析和结构修复后的手机备份文件的文件夹与对应该应用的安装包,与adb命令行工具放在同一路径下,进行仿真。
进一步,所述APP仿真包括:
采用adb连接取证模拟器,并在取证模拟器中安装目标应用对应的安装包应用程序;
通过模拟点击方式运行安装好的目标应用程序,并强制结束正在运行的目标应用程序;
清除目标应用程序内产生的用户数据,只保留运行框架;
推送目标备份文件,并重新赋予修复备份文件的权限,保证应用正常运行;
运行取证模拟器环境中的仿真应用,该仿真应用无论在取证模拟器联网或断网状态下均保持登录状态,登录账号无退出异常,数据和原始手机保持一致无丢失现象;
在取证模拟器中运行仿真的目标应用,该仿真目标应用能正常连接服务器并实时获取最新数据。
一种基于源数据仿真的手机APP取证系统,其包括:备份模块,利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;数据移植提取模块,在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。
一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行上述方法中的任一方法。
一种计算设备,其包括:一个或多个处理器、存储器及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为所述一个或多个处理器执行,所述一个或多个程序包括用于执行上述方法中的任一方法的指令。
本发明由于采取以上技术方案,其具有以下优点:
本发明可以在模拟器环境中仿真运行待检验应用,以加快检验速度、增强数据分析便捷性、避免直接操作检材带来的风险,且无需获得应用账号密码即可对继发数据进行实时监控追踪。
附图说明
图1是本发明实施例中基于源数据仿真的手机APP取证方法整体流程图;
图2是本发明实施例中基于源数据仿真的手机APP取证方法详细流程图;
图3是本发明实施例中查看文件的底层数据首扇区数据示意图;
图4是本发明实施例中采用任意解压工具解压获得最终数据示意图;
图5是本发明实施例中手机备份文件解析后的文件路径结构图;
图6是本发明实施例中模拟器中应用文件架构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
在本发明的一个实施例中,提供一种基于源数据仿真的手机APP取证方法。本实施例中,如图1、图2所示,该方法包括以下步骤:
1)利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;
2)在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。
本发明使用时,可以保证手机不联网,从而避免了由于联网等操作造成的手机端数据的破坏。
上述步骤1)中,数据备份,包括:对手机备份文件结构进行解析,摘除仅做标识使用的文件头,并对手机备份文件摘取二次头部信息后,余下数据采用任意解压工具对其解压获得最终手机备份文件结构。
上述步骤1)中,手机自带备份功能进行备份,采用adb命令对目标应用进行提取。
在本实施例中,利用手机自带的备份应用进行数据备份,这种数据提取方式简化了以往需要手机进行root提权,刷写第三方recovery以及更加复杂的通过CPU工厂模式才能获得手机数据的流程,规避了有损坏检材风险的jtag及chipoff方法。本实施例以安卓手机市场占有率较大的小米手机为例进行说明。
小米手机备份数据分为描述文件和数据文件两类。描述文件中主要记录了备份的应用名称、app包名称、备份文件大小等。因为需要进行app模拟仿真,所以主要对备份的数据文件进行解析。以备份小爱音箱APP数据为例,该应用备份文件名为com.xiaomi.mico.bak,直接打开该文件无法查看其中数据,因此需要进一步对该文件结构进行解析。
采用winhex等16进制查看工具查看该文件的底层数据首扇区数据如图3所示,在其文件头部发现“MIUI BACKUP”和“ANDROID BACKUP”字符串,对这两串字符的由来进行了深入分析。
(1)“MIUI BACKUP”字符串来源分析:根据“MIUI BACKUP”字符串可以判断真正备份该APP数据的是手机中的”com.miui.backup”应用,由于该应用为系统应用,无法采用第三方应用的使用手机自带备份功能进行备份,需要使用adb命令对其进行提取,本例中具体的命令为adb pull/system/priv-app/Backup/Bakup.apkcom.miui.backup.apk,命令运行为:
D:\adb>adb she11
cas:/$pm path com miui.bbackup
pm path com miui.backup
package:/system/priv-app/Backup/Backup.apk
cas:/$exit
exit
D:\adb>adb pu11/system/priv-app/Backup/Backup.apkcom.miui.backup.apk4731 KB/s(22168282 bytes in 4.574s)
对提取后的小米手机备份应用程序“com.miui.backup.apk”使用脱壳及反编译工具进行代码逆向分析,解析代码为:
Figure BDA0003888646860000051
在解析的代码中,发现该应用程序调用安卓系统原生备份接口进行应用数据备份,并对备份后的数据添加自定义的文件头“MIUI BACKUP”。
(2)“ANDROID BACKUP”字符串来源分析:通过“ANDROID BACKUP”字符串说明这是一个安卓原生备份文件,这是从安卓2.2版本开始引入的机制,使用其可以对安卓手机进行数据备份,安卓原生备份文件的详细结构可见开源项目,其头部数据解析代码为:
Figure BDA0003888646860000052
Figure BDA0003888646860000061
由上述分析可以发现“MIUI BACKUP”和“ANDROID BACKUP”字符串分别是miui自带备份功能和android操作系统备份加入的文件头,仅做标识使用,不属于备份文件结构类型,需要对这类信息进行摘除。对小米手机备份文件摘取二次头部信息后,余下数据为一个tar结构档案,使用任意解压工具均可对其解压获得最终数据,如图4所示。
上述步骤2)中,在对备份文件结构进行了完全的解析之后,需要在安卓模拟器中对备份出的应用数据进行仿真,实现不需要应用账号密码即可在模拟器中登录应用并浏览数据且可在线获取最新数据的目的。
在本实施例中,将备份的目标应用数据移植到取证模拟器,包括以下步骤:
2.1)对获得的最终手机备份文件结构进行修复,以满足模拟器可用的原始数据路径结构;
2.2)利用取证模拟器环境进行APP仿真,实现在不使用应用登录账号密码的情况下直接查看其云端动态数据。
上述步骤2.1)中,修复为:采用文件结构对比工具对比手机备份文件解析后的文件路径结构和取证模拟器中应用文件路径结构,按照预设文件路径替换规则对手机备份文件数据路径进行结构修复。
如图5、图6所示,两者包含的文件名称完全相同,但是文件所在的路径有些差别。比如同样db.lk文件在备份文件(如图5所示)中路径为“.\com.xiaomi.mico\f\mistat\”,在模拟器真实文件(如图6所示)中为“.\com.xiaomi.mico\files\mistat\”,也就是说手机中的文件夹“files”在备份文件中被替换成了“f”,其它的路径依此类推。其它可替换文件夹名分别为:备份文件中“f”文件夹和模拟器中“files”文件夹相同,以下简称为相同,“sp”与“shared_prefs”相同、“db”与“databases”相同,备份文件中“r”文件夹数据与模拟器中应用根目录文件夹相同。按照以上文件路径替换规则对手机备份文件数据路径进行结构修复,以满足模拟器可用的原始数据路径结构。
上述步骤2.2)中,利用取证模拟器环境进行APP仿真,具体为:将进行结构解析和结构修复后的手机备份文件的文件夹与对应该应用的安装包,与adb命令行工具放在同一路径下,进行仿真。
在本实施例中,将备份文件的结构修复之后,利用取证模拟器环境进行APP仿真。将经过结构解析和结构修复处理后的备份文件的文件夹和对应该应用的安装包,也就是apk文件,与adb命令行工具放在同一文件夹下。比如,在手机上备份“小爱音箱”的应用,其备份文件经过结构解析的头信息摘除操作并解压后,再经过结构修复后的文件夹名为“com.xiaomi.mico”,“小爱音箱”应用程序安装包文件名为“xiaoaiyinxiang.apk”,将“com.xiaomi.mico”和“xiaoaiyinxiang.apk”与adb命令行工具放在同一个文件夹下。也可以放在不同的文件夹下,但是都放在同一路径下的优势是在接下来的adb命令中不用反复输入这些文件或文件夹的路径,比较方便。
其中,以“小爱音箱”应用为例,APP仿真包括以下步骤:
2.2.1)采用adb连接取证模拟器,并在取证模拟器中安装目标应用对应的安装包应用程序;
本实施例中,采用网易Mumu模拟器,其端口号为7555,命令如下adbconnect127.0.0.1:7555;
安装“小爱音箱”应用程序,命令如下adb install xiaoaiyinxiang.apk;
2.2.2)通过模拟点击方式运行安装好的目标应用程序,例如,安装好的“小爱音箱”应用程序;并强制结束正在运行的目标应用程序;
本实施例中,通过模拟点击方式运行安装好的“小爱音箱”应用程序,命令如下adbshell monkey-p com.xiaomi.mico 1;
强制结束正在运行的“小爱音箱”应用程序,命令如下adb shell am force-stopcom.xiaomi.mico;
2.2.3)清除目标应用程序内产生的用户数据,只保留运行框架;
本实施例中,清除“小爱音箱”应用程序内产生的用户数据,只保留运行框架,命令如下adb shell pm clear com.xiaomi.mico。由于推送的备份文件数据无法实现完全覆盖,必须先将模拟器中对应应用中的数据全部清除,否则推送数据后应用无法正常运行。
2.2.4)推送目标备份文件,并重新赋予修复备份文件的权限,保证应用正常运行;
本实施例中,推送“小爱音箱”备份文件,命令如下adb push com.xiaomi.mico/data/data/com.xiaomi.mico;
2.2.5)运行取证模拟器环境中的仿真应用,该仿真应用无论在取证模拟器联网或断网状态下均保持登录状态,登录账号无退出异常,数据和原始手机保持一致无丢失现象;
本实施例中,由于模拟器采用的是android系统,也就是linux系统,而备份文件存储是windows系统,备份文件在windows上会丢失linux系统特有的一些用户属性和权限,所以从windows系统复制文件到linux系统后,需要重新赋予权限修复备份文件权限才能够保证应用正常运行,具体命令如下adb shell chmod-R 777/data/data/com.xiaomi.mico。
2.2.6)联网获取最新数据。在取证模拟器中运行仿真的目标应用,该仿真目标应用能正常连接服务器并实时获取最新数据。
本实施例中,在模拟器中运行仿真的“小爱音箱”应用,发现仿真应用可以正常连接小米服务器并实时获取最新数据。
综上,本发明的方法可以在取证模拟器环境中仿真运行待检验应用,以加快检验速度、增强数据分析便捷性、避免直接操作检材带来的风险,且无需获得应用账号密码即可对继发数据进行实时监控追踪。
在本发明的一个实施例中,提供一种基于源数据仿真的手机APP取证系统,其包括:
备份模块,利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;
数据移植提取模块,在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。
上述实施例中,在备份模块中,数据备份,包括:对手机备份文件结构进行解析,摘除仅做标识使用的文件头,并对手机备份文件摘取二次头部信息后,余下数据采用任意解压工具对其解压获得最终手机备份文件结构。
上述实施例中,在备份模块中,手机自带备份功能进行备份,采用adb命令对目标应用进行提取。
上述实施例中,在数据移植提取模块中,将备份的目标应用数据移植到取证模拟器,具体为:
对获得的最终手机备份文件结构进行修复,以满足模拟器可用的原始数据路径结构;
利用取证模拟器环境进行APP仿真,实现在不使用应用登录账号密码的情况下直接查看其云端动态数据。
其中,修复包括:采用文件结构对比工具对比手机备份文件解析后的文件路径结构和取证模拟器中应用文件路径结构,按照预设文件路径替换规则对手机备份文件数据路径进行结构修复。
上述实施例中,利用取证模拟器环境进行APP仿真,包括:将进行结构解析和结构修复后的手机备份文件的文件夹与对应该应用的安装包,与adb命令行工具放在同一路径下,进行仿真。
具体的,APP仿真包括:
采用adb连接取证模拟器,并在取证模拟器中安装目标应用对应的安装包应用程序;
通过模拟点击方式运行安装好的目标应用程序,并强制结束正在运行的目标应用程序;
清除目标应用程序内产生的用户数据,只保留运行框架;
推送目标备份文件,并重新赋予修复备份文件的权限,保证应用正常运行;
运行取证模拟器环境中的仿真应用,该仿真应用无论在取证模拟器联网或断网状态下均保持登录状态,登录账号无退出异常,数据和原始手机保持一致无丢失现象;
在取证模拟器中运行仿真的目标应用,该仿真目标应用能正常连接服务器并实时获取最新数据。
本实施例提供的系统是用于执行上述各方法实施例的,具体流程和详细内容请参照上述实施例,此处不再赘述。
在本发明一实施例中提供的计算设备结构,该计算设备可以是终端,其可以包括:处理器(processor)、通信接口(Communications Interface)、存储器(memory)、显示屏和输入装置。其中,处理器、通信接口、存储器通过通信总线完成相互间的通信。该处理器用于提供计算和控制能力。该存储器包括非易失性存储介质、内存储器,该非易失性存储介质存储有操作系统和计算机程序,该计算机程序被处理器执行时以实现一种基于源数据仿真的手机APP取证方法;该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、管理商网络、NFC(近场通信)或其他技术实现。该显示屏可以是液晶显示屏或者电子墨水显示屏,该输入装置可以是显示屏上覆盖的触摸层,也可以是计算设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。处理器可以调用存储器中的逻辑指令,以执行如下方法:利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员可以理解,上述计算设备的结构,仅仅是与本申请方案相关的部分结构,并不构成对本申请方案所应用于其上的计算设备的限定,具体的计算设备可以包括更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在本发明的一个实施例中,提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。
在本发明的一个实施例中,提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储服务器指令,该计算机指令使计算机执行上述各实施例提供的方法,例如包括:利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。
上述实施例提供的一种计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于源数据仿真的手机APP取证方法,其特征在于,包括:
利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;
在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。
2.如权利要求1所述基于源数据仿真的手机APP取证方法,其特征在于,所述数据备份,包括:对手机备份文件结构进行解析,摘除仅做标识使用的文件头,并对手机备份文件摘取二次头部信息后,余下数据采用任意解压工具对其解压获得最终手机备份文件结构。
3.如权利要求1所述基于源数据仿真的手机APP取证方法,其特征在于,所述手机自带备份功能进行备份,采用adb命令对目标应用进行提取。
4.如权利要求1所述基于源数据仿真的手机APP取证方法,其特征在于,所述将备份的目标应用数据移植到取证模拟器,包括:
对获得的最终手机备份文件结构进行修复,以满足模拟器可用的原始数据路径结构;
利用取证模拟器环境进行APP仿真,实现在不使用应用登录账号密码的情况下直接查看其云端动态数据。
5.如权利要求4所述基于源数据仿真的手机APP取证方法,其特征在于,所述修复包括:采用文件结构对比工具对比手机备份文件解析后的文件路径结构和取证模拟器中应用文件路径结构,按照预设文件路径替换规则对手机备份文件数据路径进行结构修复。
6.如权利要求4所述基于源数据仿真的手机APP取证方法,其特征在于,所述利用取证模拟器环境进行APP仿真,包括:将进行结构解析和结构修复后的手机备份文件的文件夹与对应该应用的安装包,与adb命令行工具放在同一路径下,进行仿真。
7.如权利要求6所述基于源数据仿真的手机APP取证方法,其特征在于,所述APP仿真包括:
采用adb连接取证模拟器,并在取证模拟器中安装目标应用对应的安装包应用程序;
通过模拟点击方式运行安装好的目标应用程序,并强制结束正在运行的目标应用程序;
清除目标应用程序内产生的用户数据,只保留运行框架;
推送目标备份文件,并重新赋予修复备份文件的权限,保证应用正常运行;
运行取证模拟器环境中的仿真应用,该仿真应用无论在取证模拟器联网或断网状态下均保持登录状态,登录账号无退出异常,数据和原始手机保持一致无丢失现象;
在取证模拟器中运行仿真的目标应用,该仿真目标应用能正常连接服务器并实时获取最新数据。
8.一种基于源数据仿真的手机APP取证系统,其特征在于,包括:
备份模块,利用手机自带的备份应用对手机中需要取证的目标应用进行数据备份;
数据移植提取模块,在电脑端的取证模拟器上安装目标应用对应的安装包,将备份的目标应用数据移植到取证模拟器中,通过取证模拟器打开目标应用,在不使用应用登录账号密码的情况下直接查看其云端动态数据。
9.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行如权利要求1至7所述方法中的任一方法。
10.一种计算设备,其特征在于,包括:一个或多个处理器、存储器及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为所述一个或多个处理器执行,所述一个或多个程序包括用于执行如权利要求1至7所述方法中的任一方法的指令。
CN202211253002.2A 2022-10-13 2022-10-13 基于源数据仿真的手机app取证方法、系统及存储介质 Pending CN115604256A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211253002.2A CN115604256A (zh) 2022-10-13 2022-10-13 基于源数据仿真的手机app取证方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211253002.2A CN115604256A (zh) 2022-10-13 2022-10-13 基于源数据仿真的手机app取证方法、系统及存储介质

Publications (1)

Publication Number Publication Date
CN115604256A true CN115604256A (zh) 2023-01-13

Family

ID=84847240

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211253002.2A Pending CN115604256A (zh) 2022-10-13 2022-10-13 基于源数据仿真的手机app取证方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN115604256A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117061171A (zh) * 2023-08-14 2023-11-14 上海弘连网络科技有限公司 基于云真机的网络取证方法、系统及介质
CN117215963A (zh) * 2023-11-08 2023-12-12 睿思芯科(深圳)技术有限公司 模拟器程序检查点保存和恢复的方法、系统及相关设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104461695A (zh) * 2014-12-24 2015-03-25 四川效率源信息安全技术有限责任公司 通过仿真手段展示数据的方法和装置
CN109614203A (zh) * 2018-12-08 2019-04-12 公安部第三研究所 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104461695A (zh) * 2014-12-24 2015-03-25 四川效率源信息安全技术有限责任公司 通过仿真手段展示数据的方法和装置
CN109614203A (zh) * 2018-12-08 2019-04-12 公安部第三研究所 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117061171A (zh) * 2023-08-14 2023-11-14 上海弘连网络科技有限公司 基于云真机的网络取证方法、系统及介质
CN117215963A (zh) * 2023-11-08 2023-12-12 睿思芯科(深圳)技术有限公司 模拟器程序检查点保存和恢复的方法、系统及相关设备
CN117215963B (zh) * 2023-11-08 2024-02-06 睿思芯科(深圳)技术有限公司 模拟器程序检查点保存和恢复的方法、系统及相关设备

Similar Documents

Publication Publication Date Title
US11169906B2 (en) Extraction of problem diagnostic knowledge from test cases
US9552249B1 (en) Systems and methods for troubleshooting errors within computing tasks using models of log files
Mahalik et al. Practical mobile forensics
CN111639000B (zh) 一种安卓移动终端备份数据快速提取的方法及自动化备份系统
Bommisetty et al. Practical mobile forensics
Tamma et al. Practical mobile forensics: Forensically investigate and analyze iOS, Android, and Windows 10 devices
CN115604256A (zh) 基于源数据仿真的手机app取证方法、系统及存储介质
US20160232065A1 (en) Preserving management services with self-contained metadata through the disaster recovery life cycle
CN108182129B (zh) 一种基于移动终端镜像还原数据信息的数字取证系统及方法
CN103973745B (zh) 一种移动终端操作系统升级的方法及装置
CN109614203A (zh) 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法
WO2014056371A1 (en) Method and apparatus for determining range of files to be migrated
US10061683B2 (en) Systems and methods for collecting error data to troubleshoot product errors
US9003483B2 (en) Uniformly transforming the characteristics of a production environment
JP7691463B2 (ja) コンピューティングデバイス上でアプリケーションを更新するための、メモリ効率のよいソフトウェアパッチング
CN112860645A (zh) 一种离线压缩文件的处理方法、装置、计算机设备及介质
Afonin et al. Mobile Forensics–Advanced Investigative Strategies
CN108647284B (zh) 记录用户行为的方法及装置、介质和计算设备
Agrawal et al. Forensic analysis of Google Allo messenger on Android platform
CN109634690A (zh) 一种基于WinPE系统的数据清除方法、装置、终端及存储介质
CN113900893B (zh) 一种日志获取方法及其相关设备
Iqbal et al. Forensic investigation of small-scale digital devices: a futuristic view
Varsalone Mac OS X, iPod, and iPhone forensic analysis DVD toolkit
CN107391364A (zh) 一种基于虚拟机和实体机结合的移动终端取证方法及系统
Mikhaylov Mobile Forensics Cookbook: Data acquisition, extraction, recovery techniques, and investigations using modern forensic tools

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination