CN116471290A - 一种基于协议仿真的移动终端云数据取证方法和系统 - Google Patents
一种基于协议仿真的移动终端云数据取证方法和系统 Download PDFInfo
- Publication number
- CN116471290A CN116471290A CN202310441072.9A CN202310441072A CN116471290A CN 116471290 A CN116471290 A CN 116471290A CN 202310441072 A CN202310441072 A CN 202310441072A CN 116471290 A CN116471290 A CN 116471290A
- Authority
- CN
- China
- Prior art keywords
- app
- target app
- server
- data
- mobile terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004088 simulation Methods 0.000 title claims abstract description 43
- 238000010276 construction Methods 0.000 claims abstract description 26
- 238000004891 communication Methods 0.000 claims abstract description 24
- 230000007246 mechanism Effects 0.000 claims abstract description 13
- 238000004458 analytical method Methods 0.000 claims abstract description 12
- 238000012544 monitoring process Methods 0.000 claims description 13
- 230000006855 networking Effects 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 244000062793 Sorghum vulgare Species 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- 235000019713 millet Nutrition 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72403—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
- H04M1/72409—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories
- H04M1/724092—Interfacing with an external cover providing additional functionalities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Technology Law (AREA)
- Computing Systems (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种基于协议仿真的移动终端云数据取证方法和系统,包括以下步骤:确定目标APP与服务器的通讯机制,建立初始请求构造模型;从取证手机中提取目标APP的必要要素信息;将获取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。采用本发明方法取证人员可以在不对源手机数据进行破坏的前提下获取APP云端数据。本发明可以广泛应用于数据处理领域。
Description
技术领域
本发明涉及一种基于协议仿真的移动终端云数据取证方法和系统,属于数据处理领域。
背景技术
智能家居设备多种多样,目前市面上已有智能音箱、智能门锁、智能灯光等,还有更多的新型智能设备正在设计生产和投入使用。为了便于用户对这些智能设备的管理,通常采用的方式是在手机上安装管理APP,利用相应的APP来对这些设备进行操作、设置和管理。大多数智能家居设备本身并不存储数据,或只存储最基本的数据,且由于封装接口协议和数据加密等原因,对其直接取证较为困难。因此大多数人会想到对手机端的管理APP进行取证。但是这类管理APP在手机上可以直接查看的大多数数据,如连接设备数量、名称、操作记录等,都存储在厂商的服务器中,需要手机和设备均连接互联网,通过向服务器发送请求,服务器再将这些数据返回到手机上进行呈现。也就是说,大多数重要的数据并不存储于手机上。
这就为检验人员提出了挑战。目前传统断网离线进行手机提取可能仅能获取到账户用户名信息,直接使用手机连接互联网查看显然会破坏手机中的数据,也违背了各类检验标准和要求的取证原则。目前的取证方法存在以下局限性:
(1)传统手机应用取证方法
现在对于安卓手机应用取证只局限于对其中数据进行解析恢复并在电脑上进行数据展示,如常见的微信聊天记录取证。目前主流的国产安卓手机都提供应用数据备份功能,使用其可以直接获取应用中的用户数据,对于支持应用数据备份的手机只需要在手机或者电脑上运行备份程序即可安全快捷的备份出需要获取的应用数据。
但是这种取证方法有很大的局限性,一是对于不知道应用登陆账号密码的情况下,只能获取当前数据,不能对继发数据进行实时监控追踪;二是对于不存在本地的云空间数据无法获取。
(2)其它云数据取证方法
目前传统断网离线进行手机提取无法获取有意义的数据,对这类数据进行取证通常采用几种方式:电脑模拟手机,利用手机卡接收登录短信用于身份验证,然后再拉取一些数据到本地。这种方式只能局限于使用手机号码进行注册的方式,使用其它形式的账号信息无法获取到的情况下无法使用。而且获取数据有限,很难完全还原APP真实使用场景。
发明内容
针对上述问题,本发明的目的是提供一种基于协议仿真的移动终端云数据取证方法和系统,该方法不需要事先了解该APP的登录账号密码等信息,也不需要源手机联网。只需要基于手机APP自身的备份数据,就可以通过构造仿真协议模型,来模拟APP与服务器间的数据收发,从而获取APP云端数据。采用本发明方法取证人员可以在不对源手机数据进行破坏的前提下获取APP云端数据。
为实现上述目的,本发明采取以下技术方案:
第一方面,本发明提供一种基于协议仿真的移动终端云数据取证方法,包括以下步骤:
确定目标APP与服务器的通讯机制,建立初始请求构造模型;
从取证手机中提取目标APP的必要要素信息;
将获取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;
利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。
进一步,所述确定目标APP与服务器的通讯机制,建立初始请求构造模型,包括:
在移动终端上联网模拟运行目标APP,并进行各种APP端的网络请求操作;
利用网络抓包工具对移动终端和服务器之间的网络请求信息进行网络抓包跟踪监听;
对抓包跟踪监听结果进行分析,并基于分析结果确定目标APP与服务器的通讯机制,建立初始请求构造模型。
进一步,所述网络抓包工具采用Fiddler。
进一步,所述利用网络抓包工具对移动终端和服务器端之间的网络请求信息进行网络抓包跟踪监听时,包括:
在移动终端中安装目标APP,并联网模拟运行该目标APP,同时打开网络抓包工具进行监听;
打开移动终端中的目标APP,向服务器发送网络请求;
网络抓包工具将目标APP发送的网络请求转发至服务器,并接收服务器返回的操作信息,与网络请求信息整合后得到抓包跟踪监听结果。
进一步,所述初始请求构造模型,为get或post请求构造模型。
进一步,所述从取证手机中提取目标APP的必要要素信息,包括:
对取证手机的APP数据进行备份;
基于取证手机的手机品牌、版本以及所用的备份方式,对得到的备份数据进行格式转换,得到能够直接展开的APP数据;
从展开的APP数据中提取目标APP的必要要素信息。
进一步,所述对取证手机的APP数据进行备份时,备份方式包括备份到外部存储、通过手机助手备份到PC端或通过互传应用备份到PC端。
第二方面,本发明提供一种基于协议仿真的移动终端云数据取证系统,包括:
模型建立模块,用于确定目标APP与服务器的通讯机制,建立初始请求构造模型;
本地搜索模块,用于从取证手机中提取目标APP的必要要素信息;
模型更新模块,用于将提取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;
云端数据获取模块,用于利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。
第三方面,本发明提供一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行所述方法中的任一方法。
第四方面,本发明提供一种计算设备,包括:一个或多个处理器、存储器及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为所述一个或多个处理器执行,所述一个或多个程序包括用于执行所述方法中的任一方法的指令。
本发明由于采取以上技术方案,其具有以下优点:本发明提出了一种应用模拟仿真方法,对于不能获取应用账号密码和检材不便联网获取最新数据的情况,可以在模拟器对应用进行仿真,仿真后的应用状态和检材一致,且可以联网获取最新数据。在同款APP的取证过程中就可以通过计算机联网直接采用以上方法构造网络数据收发请求与对应服务器进行通讯,以达到取证APP所在手机不联网的情况下,获取其云端数据的目的。这种方法可以保证手机不联网,从而避免了由于联网等操作造成的手机端数据的破坏。
因此,本发明可以广泛应用于数据处理领域。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。在整个附图中,用相同的附图标记表示相同的部件。在附图中:
图1是本发明实施例提供的基于协议仿真的APP运输局取证方法流程图;
图2是本发明实施例提供的华为备份文件目录;
图3是本发明实施例提供的解密后的部分华为APP数据文件结构;
图4是本发明实施例提供的vivo备份文件目录;
图5是本发明实施例提供的vivo APP数据文件结构(部分);
图6是本发明实施例提供的小米备份文件目录;
图7是本发明实施例提供的小米APP数据文件结构(部分);
图8是本发明实施例提供的将tar文件展开可得文件夹目录;
图9是本发明实施例提供的对小爱音箱APP进行监听的方法流程图;
图10是本发明实施例提供的对小爱音箱APP云端数据进行取证的方法流程图;
图11是本发明实施例提供的APP数据请求的具体内容;
图12是本发明实施例提供的使用网络抓包工具对APP进行监听过程的示意图;
图13是本发明实施例提供的基于要素userId的呢日用进行搜索的示意图;
图14是本发明实施例提供的搜索结果;
图15是本发明实施例提供的利用数据库查看软件打开搜索结果文件示意图;
图16是本发明实施例提供的比对结果示意图;
图17是本发明实施例提供的小爱音箱的相关数据;
图18是本发明实施例提供的服务器返回的小爱音箱的对话数据内容及其它信息;
图19是本发明实施例提供的小爱音箱APP云端数据取证工具界面;
图20是本发明实施例提供的小爱音箱APP对话记录示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
本发明的一些实施例中,提供一种基于协议仿真的移动终端云数据取证方法,对于不能获取应用账号密码和检材不便联网获取最新数据的情况,可以在实验手机或模拟器上对目标APP进行仿真,仿真后的应用状态和检材一致,且可以联网获取最新数据。在同款APP的取证过程中就可以通过计算机联网直接采用以上方法构造网络数据收发请求与对应服务器进行通讯,以达到取证APP所在手机不联网的情况下,获取其云端数据的目的。这种方法可以保证手机不联网,从而避免了由于联网等操作造成的手机端数据的破坏。
与之相对应地,本发明的另一些实施例中,提供一种基于协议仿真的移动终端云数据取证系统、设备和存储介质。
实施例1
如图1所示,本实施例提供一种基于协议仿真的移动终端云数据取证方法,包括以下步骤:
(1)确定目标APP与服务器的通讯机制,建立初始请求构造模型;
(2)从取证手机中提取目标APP的必要要素信息;
(3)将获取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;
(4)利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。
优选地,上述步骤(1),可以通过以下步骤实现:
(1.1)在移动终端上联网模拟运行目标APP,并进行各种APP端的网络请求操作;
(1.2)利用网络抓包工具对移动终端和服务器之间的网络请求信息进行网络抓包跟踪监听;
(1.3)对抓包跟踪监听结果进行分析,并基于分析结果确定目标APP与服务器的通讯机制,建立初始请求构造模型。
优选地,上述步骤(1.1)中,移动终端可以采用实验手机或模拟器。
优选地,上述步骤(1.2)中,网络抓包工具可以采用Fiddler。
优选地,上述步骤(1.2)中,利用网络抓包工具对移动终端和服务器端之间的网络请求信息进行网络抓包跟踪监听时,包括:
(1.2.1)在移动终端中安装目标APP,并联网模拟运行该目标APP,同时打开网络抓包工具进行监听;
(1.2.2)打开移动终端中的目标APP,向服务器发送网络请求;
(1.2.3)网络抓包工具将目标APP发送的网络请求转发至服务器,并接收服务器返回的操作信息,与网络请求信息整合后得到抓包跟踪监听结果。
优选地,上述步骤(1.3)中,建立的初始请求构造模型,可以为get或者post请求构造模型。
优选地,上述步骤(2)中,从取证手机中提取目标APP的必要要素信息时,包括以下步骤:
(2.1)对取证手机的APP数据进行备份;
(2.2)基于取证手机的手机品牌、版本以及所用的备份方式,对步骤(2.1)得到的备份数据进行格式转换,得到能够直接展开的APP数据;
(2.3)从展开的APP数据中提取目标APP的必要要素信息。
优选地,上述步骤(2.1)中,对取证手机的APP数据进行备份时,可以采用备份到外部存储、通过手机助手备份到PC端或通过互传应用备份到PC端等方式对APP数据进行备份。
优选地,上述步骤(2.2)中,对备份数据进行格式转换时,由于各品牌安卓手机APP的备份数据结构均不相同。他们有的是加密的,有的是进行了压缩或加头,这都造成了备份文件不能直接打开查看内容。本发明首要的目标是将备份文件转换为可以直接展开的形式。根据手机品牌、版本和所用的备份方式不同,它可能是不同的形式,比如zip或tar格式等。本发明中以展开成标准tar格式为例进行说明。
如图2所示,对于华为手机,通过华为手机助手将华为手机APP数据备份到PC端。图中,可以看到备份数据存放在一个以备份时间命名的文件夹中,该文件夹包含APP数据文件、APP安装包和配置文件等信息。我们需要的APP数据文件存储在“APP package name_appDataTar”文件夹中。这些文件虽然后缀名是tar,但他们的内容被加密了,对该文件进行解密,得到标准tar格式文件。
如图3所示,解密后的文件可以直接使用16进制查看工具(例如winhex)打开,通过TMAGIC“ustar”(标准tar包文件头标识)可以看出,我们已经得到了一个标准tar格式文件。
如图4所示,对于vivo手机,通过“互传”功能将vivo手机的APP数据备份到PC端。图中,备份文件的结构与华为手机类似,其备份文件也是保存在以备份时间建立的文件夹中,同样包含数据文件和描述文件等信息。找到我们需要的数据文件之后,使用16进制查看工具打开。通过TMAGIC“ustar”,该文件似乎也是tar格式。但不同的是,该文件头部添加了ANDROID BACKUP信息,如图5所示。这个头信息表示是Android系统自带的备份功能,这是从Android 2.2版本开始引入的机制,使用其可以对安卓手机进行数据备份,Android原生备份文件的详细结构可见开源项目去掉ANDROID BAKCUP信息后,就可以得到完全符合标准tar结构要求的文件。
如图6所示,对于小米手机,可以利用小米手机自带的备份功能将APP数据备份到外部存储上,再拷贝到PC端。它同样也是将备份文件存储在以备份时间命名的文件夹中。除了1个描述文件,后缀名为bak的文件即为APP数据文件。与vivo手机类似,用16进制查看工具查看,如图7所示。我们也能很快找到TMAGIC“ustar”,但却并不是一个标准tar format。其头部添加了ANDROID BACKUP标志,which我们在vivo手机APP数据备份中已经讨论过了。除此之外,在ANDROID BACKUP标志前还有一个MIUI BACKUP的标志,这是小米手机定制的操作系统MIUI备份功能添加的头信息。将以上头信息都去除后,即可得到后续工作中需要的标准tar格式。
相同的APP由不同品牌手机的不同方式备份的数据形式多种多样,但经过对应的解构处理之后得到的标准tar格式文件是相同的。
如图8所示,将tar文件展开可得文件夹目录,这里以小爱音箱APP为例,其包名为”com.xiaomi.mico”。
优选地,上述步骤(2.3)中,从展开的APP数据中提取目标APP的必要要素信息包括与用户相关的userID和serviceToken。
优选地,上述步骤(3)中,其他要素信息包括deviceId,sn和deviceSNProfile,与之前获取的服务器地址信息、userID,serviceToken共同用于构建协议仿真。
实施例2
本实施例以对小爱音箱的APP进行对话记录取证为例,对实施例1提供的基于协议仿真的移动终端云数据取证方法进行详细说明。该方法可以使用真实手机进行也可以通过模拟器进行。为了操作方便,本实施例中采用模拟器来进行。小爱音箱的APP进行对话记录取证分为两步。
如图9所示,首先,需要通过对真实APP进行此操作,同时对其与服务器端进行通讯的请求进行监听,以确定小爱音箱APP向服务器端请求对话记录数据的请求内容,同时截获服务器端返回给小爱音箱APP的对话内容,在获取到了小爱音箱APP向其服务器端的请求信息之后,在此基础之上构建请求框架模型,确定这个请求框架模型中需要的必要的要素信息。在电脑端安装用于数据收发请求监听的工具Progress Telerik Fiddler Classic,以下简称Fiddler。配置模拟器使用Fiddler来进行代理,这样模拟器中的一切网络数据收发都会被Fiddler截获并展示。
如图10所示,在构造完成请求框架和确定了必要的要素信息之后,需要获取足够多的要素信息。首先,通过本地搜索获取到部分要素信息,然后结合已知的请求框架模型,向设备服务器端发送请求,获取其它要素信息。然后,使用全部的要素信息,结合已知的请求框架模型,向服务器端发送请求,获取对话记录。
具体地,在利用网络抓包工具进行请求监听时,首先,打开模拟器需要连接到互联网,然后打开Fiddler进行监听;打开模拟器中的APP,点击获取对话记录;在Fiddler中查看对应的APP数据请求。
如图11所示,为APP数据请求的具体内容。这个GET请求前面是APP通讯的云服务器的地址,由请求发送时间点的时间戳构成,这个可以在模拟仿真时即时加入即可。requestID只需要保证为固定20位的信息,具体内容并不重要。除此之外,构建仿真协议的必要要素分别为userID,serviceToken,deviceId,sn和deviceSNProfile这几个信息。
根据请求信息中的数据内容在展开后的手机APP备份文件数据中进行本地搜索,比如选择要素userId的内容910036666进行搜索,如图13所示,在命中结果中发现该内容在miliaosdk文件中出现如图14所示,该文件是一个数据库文件。
如图15所示,使用数据库查看软件打开miliaosdk文件,在其中的USER_ACCOUNT表中,按照图11所示的要素内容进行比对,发现该表中的XIAOMI_ID内容与userId一致,SERVICE_TOKEN与serviceToken一致,如图16所示。
在找到userId和serviceToken之后,这两个要素是与用户相关的信息,所以在本地APP中是稳定存储的。但是其它的要素是与设备相关的信息,无法在手机本地进行稳定存储,即其在本地保存的时间较短,每次联网后APP都会连接其云服务器对这些数据进行获取和更新。因此需要以现有userId和serviceToken来构造仿真GET请求,从云服务器端获取其它要素。脚本如下所示:
这段代码以图11中截获的GET请求为框架,向小爱音箱服务器api2.mina.mi.com请求信息。首先通过time()函数获取请求发送当前时间并转换成时间戳形式用于构造发送请求的目标地址,其中requestId为20位数字或字母皆可,然后利用已知的userId和serviceToken进行数据请求,并将取得的数据存储在“设备id.txt”文件中。
从“设备id.txt”文件中可以看到,这个APP中同时绑定了多个小爱音箱,这些音箱的相关数据都会返回回来,如图17所示。从返回的数据找到对应的小爱音箱,从中获取到该音箱设备的deviceId,sn和deviceSNProfile要素信息。
在获取到全部要素信息之后,我们使用这些要素,通过以下脚本构造GET请求,向小爱音箱服务器发送,即可获取到其对话记录。这个脚本与上一段脚本类似,这次我们Cookie中的5个要素都是齐全的,然后对方服务器是userprofile.mima.mi.com,服务器返回的数据存储在“对话.txt文件中中”
如图18所示,为服务器返回的小爱音箱的对话数据内容及其它信息。
综上所述,本发明利用上述方式开发了一个工具软件,用于对小爱音箱APP中的对话记录进行取证。使用该软件可以通过手机直连电脑、备份文件解析、LOG日志解析等三种方式来获取小爱音箱APP中的对话记录并导出固定。该工具界面如图19。
通过本发明提供的基于协议仿真的移动终端云数据取证方法,对手机APP的云端数据进行获取和固定,以加快检验速度、增强数据分析便捷性、避免直接操作检材带来的风险,且无需获得应用账号密码即可对继发数据进行实时监控追踪。
实施例3
上述实施例1提供了一种基于协议仿真的移动终端云数据取证方法,与之相对应地,本实施例提供一种基于协议仿真的移动终端云数据取证系统。本实施例提供的系统可以实施实施例1的一种基于协议仿真的移动终端云数据取证方法,该系统可以通过软件、硬件或软硬结合的方式来实现。例如,该系统可以包括集成的或分开的功能模块或功能单元来执行实施例1各方法中的对应步骤。由于本实施例的系统基本相似于方法实施例,所以本实施例描述过程比较简单,相关之处可以参见实施例1的部分说明即可,本实施例提供的系统的实施例仅仅是示意性的。
本实施例提供的一种基于协议仿真的移动终端云数据取证系统,包括:
模型建立模块,用于确定目标APP与服务器的通讯机制,建立初始请求构造模型;
本地搜索模块,用于从取证手机中提取目标APP的必要要素信息;
模型更新模块,用于将提取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;
云端数据获取模块,用于利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。
实施例4
本实施例提供一种与本实施例1所提供的一种基于协议仿真的移动终端云数据取证方法对应的处理设备,处理设备可以是用于客户端的处理设备,例如手机、笔记本电脑、平板电脑、台式机电脑等,以执行实施例1的方法。
所述处理设备包括处理器、存储器、通信接口和总线,处理器、存储器和通信接口通过总线连接,以完成相互间的通信。存储器中存储有可在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行本实施例1所提供的一种基于协议仿真的移动终端云数据取证方法。
在一些实施例中,存储器可以是高速随机存取存储器(RAM:Random AccessMemory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。
在另一些实施例中,处理器可以为中央处理器(CPU)、数字信号处理器(DSP)等各种类型通用处理器,在此不做限定。
实施例5
本实施例1的一种基于协议仿真的移动终端云数据取证方法可被具体实现为一种计算机程序产品,计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本实施例1所述的一种基于协议仿真的移动终端云数据取证方法的计算机可读程序指令。
计算机可读存储介质可以是保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是但不限于电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意组合。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.一种基于协议仿真的移动终端云数据取证方法,其特征在于,包括以下步骤:
确定目标APP与服务器的通讯机制,建立初始请求构造模型;
从取证手机中提取目标APP的必要要素信息;
将获取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;
利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。
2.如权利要求1所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述确定目标APP与服务器的通讯机制,建立初始请求构造模型,包括:
在移动终端上联网模拟运行目标APP,并进行各种APP端的网络请求操作;
利用网络抓包工具对移动终端和服务器之间的网络请求信息进行网络抓包跟踪监听;
对抓包跟踪监听结果进行分析,并基于分析结果确定目标APP与服务器的通讯机制,建立初始请求构造模型。
3.如权利要求2所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述网络抓包工具采用Fiddler。
4.如权利要求2所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述利用网络抓包工具对移动终端和服务器端之间的网络请求信息进行网络抓包跟踪监听时,包括:
在移动终端中安装目标APP,并联网模拟运行该目标APP,同时打开网络抓包工具进行监听;
打开移动终端中的目标APP,向服务器发送网络请求;
网络抓包工具将目标APP发送的网络请求转发至服务器,并接收服务器返回的操作信息,与网络请求信息整合后得到抓包跟踪监听结果。
5.如权利要求2所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述初始请求构造模型,为get或post请求构造模型。
6.如权利要求2所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述从取证手机中提取目标APP的必要要素信息,包括:
对取证手机的APP数据进行备份;
基于取证手机的手机品牌、版本以及所用的备份方式,对得到的备份数据进行格式转换,得到能够直接展开的APP数据;
从展开的APP数据中提取目标APP的必要要素信息。
7.如权利要求6所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述对取证手机的APP数据进行备份时,备份方式包括备份到外部存储、通过手机助手备份到PC端或通过互传应用备份到PC端。
8.一种基于协议仿真的移动终端云数据取证系统,其特征在于,包括:
模型建立模块,用于确定目标APP与服务器的通讯机制,建立初始请求构造模型;
本地搜索模块,用于从取证手机中提取目标APP的必要要素信息;
模型更新模块,用于将提取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;
云端数据获取模块,用于利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。
9.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行如权利要求1至7所述方法中的任一方法。
10.一种计算设备,其特征在于,包括:一个或多个处理器、存储器及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为所述一个或多个处理器执行,所述一个或多个程序包括用于执行如权利要求1至7所述方法中的任一方法的指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310441072.9A CN116471290A (zh) | 2023-04-23 | 2023-04-23 | 一种基于协议仿真的移动终端云数据取证方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310441072.9A CN116471290A (zh) | 2023-04-23 | 2023-04-23 | 一种基于协议仿真的移动终端云数据取证方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116471290A true CN116471290A (zh) | 2023-07-21 |
Family
ID=87175017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310441072.9A Pending CN116471290A (zh) | 2023-04-23 | 2023-04-23 | 一种基于协议仿真的移动终端云数据取证方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116471290A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117061171A (zh) * | 2023-08-14 | 2023-11-14 | 上海弘连网络科技有限公司 | 基于云真机的网络取证方法、系统及介质 |
-
2023
- 2023-04-23 CN CN202310441072.9A patent/CN116471290A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117061171A (zh) * | 2023-08-14 | 2023-11-14 | 上海弘连网络科技有限公司 | 基于云真机的网络取证方法、系统及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111522922B (zh) | 日志信息查询方法、装置、存储介质及计算机设备 | |
CN110365491B (zh) | 业务处理方法、装置、设备、存储介质以及数据共享系统 | |
CN103259795B (zh) | 执行自动注册登录的方法、移动终端以及服务器 | |
CN111090615A (zh) | 混合资产的分析处理方法、装置、电子设备及存储介质 | |
CN114385759B (zh) | 配置文件的同步方法、装置、计算机设备及存储介质 | |
CN109614203B (zh) | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 | |
CN111885007B (zh) | 信息溯源方法、装置、系统及存储介质 | |
CN112597020A (zh) | 接口测试方法、装置、计算机设备及存储介质 | |
CN111400378A (zh) | 基于ElasticSearch的日志实时显示方法、装置、计算机设备和介质 | |
CN111182525A (zh) | 一种存储数据的方法和装置 | |
CN110704296A (zh) | 一种调用方法及装置 | |
CN112448969A (zh) | 链路追踪方法、装置、系统、设备及可读存储介质 | |
CN116471290A (zh) | 一种基于协议仿真的移动终端云数据取证方法和系统 | |
CN111324510B (zh) | 日志处理方法、装置及电子设备 | |
CN115086958A (zh) | 设备身份认证方法、装置、终端、认证节点和存储介质 | |
CN105592169B (zh) | 终端识别方法及装置 | |
CN113449339A (zh) | 日志收集方法、系统、计算机设备及计算机可读存储介质 | |
CN113434254B (zh) | 客户端部署方法、装置、计算机设备及存储介质 | |
CN107454080A (zh) | 一种基于互联网数据保全方法及系统 | |
CN111488286B (zh) | 一种Android模块独立开发的方法及装置 | |
CN111459577B (zh) | 应用安装来源跟踪方法、装置、设备及存储介质 | |
CN113129002A (zh) | 一种数据处理方法以及设备 | |
CN112214769A (zh) | 基于SGX架构的Windows系统的主动度量系统 | |
CN113326506B (zh) | 一种小程序监控方法及装置 | |
CN116074280B (zh) | 应用入侵防御系统识别方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |