CN118012707A - 一种面向批量制作的小众移动应用的快速自动化取证系统及方法 - Google Patents
一种面向批量制作的小众移动应用的快速自动化取证系统及方法 Download PDFInfo
- Publication number
- CN118012707A CN118012707A CN202410165913.2A CN202410165913A CN118012707A CN 118012707 A CN118012707 A CN 118012707A CN 202410165913 A CN202410165913 A CN 202410165913A CN 118012707 A CN118012707 A CN 118012707A
- Authority
- CN
- China
- Prior art keywords
- data
- sample
- evidence obtaining
- application
- mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000004519 manufacturing process Methods 0.000 title claims abstract description 20
- 241000565357 Fraxinus nigra Species 0.000 claims abstract description 48
- 238000004458 analytical method Methods 0.000 claims abstract description 34
- 238000000605 extraction Methods 0.000 claims abstract description 27
- 238000007405 data analysis Methods 0.000 claims abstract description 11
- 238000001514 detection method Methods 0.000 claims description 63
- 230000006399 behavior Effects 0.000 claims description 16
- 230000003993 interaction Effects 0.000 claims description 13
- 238000013075 data extraction Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 2
- 230000009467 reduction Effects 0.000 claims description 2
- 238000005065 mining Methods 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 10
- 230000006837 decompression Effects 0.000 description 4
- 244000035744 Hura crepitans Species 0.000 description 3
- 238000010835 comparative analysis Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 239000004071 soot Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000009429 electrical wiring Methods 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种面向批量制作的小众移动应用的快速自动化取证系统及方法,本方案建立黑灰产样本引擎,在基础上,针对需要取证小众移动应用进行对比分析,在样本引擎库中搜索相似度最高的样本;接着基于所搜索到的样本对应的数据采集、数据解密、数据解析手段来形成自动取证方案,由此来对该小众移动应用进行自动取证。本发明方案能够实现针对批量制作的小众应用进行快速自动化取证,并且所取证数据全面,可用性高,可以对数据进行深度挖掘与分析,可有效克服现有技术通过手动分析、屏幕固定等方法进行提取固定所存在的问题。
Description
技术领域
本发明涉及数据取证技术,具体涉及面向移动应用的数据取证技术。
背景技术
批量制作的小众移动应用通常是指专门以犯罪为目的而批量、快速制作生成的移动应用。这一类应用大多使用同一类应用模板代码通过简单的定制化修改服务器地址、APP包名、APP Logo、界面图案等参数快速生成。
但面对这类批量制作的小众移动应用,目前还不具有成熟的电子数据提取和固定方法,存在支持率不足的问题,出于实际需求的急迫性,针对这类批量制作的小众移动应用通常采用图片截屏、录制视频等方式进行数据提取固定,而这类数据提取方式存在数据提取不全面的问题,此外,非结构化数据不利于案件数据的积累和串联。因此如何有效的实现面向批量制作的小众应用的快速自动化取证,以能够对未知的移动应用进行自动化取证,为本领域亟需解决的问题。
众所周知,对移动应用进行取证时,则需要分析该移动应用数据的提取、解密、解析方法,而当前的移动应用取证软件仅能支持部分主流应用的取证。
由于,对移动应用的取证包括数据提取、数据解密、数据解析还原等多个阶段的工作,数据提取即把移动应用运行产生的数据从移动设备中提取到取证系统中,该阶段可以通过获取移动应用超级权限、移动设备镜像、备份手机数据等多种方法来实现,数据解密阶段需要针对不同品牌的移动设备与不同的应用使用相应配套的解密方法进行解密,数据解析还原阶段需要针对不同的移动应用解析其数据的特定的含义。因此对移动应用取证时,需要投入大量的人力与时间针对该应用进行分析调研,而当前移动应用有数百万款之多,而当前的取证软件最多仅支持数百款移动应用的取证,因而目前的取证软件仅能支持部分主流移动应用的取证与分析。
故而,现有方案中针对小众移动应用只能通过手动分析、屏幕固定等方法进行提取固定。其中,手动分析时先需要研究所针对小众移动应用的数据从手机中提取出来的方法;获得数据移动应用数据后,则需要研究提取出来的数据解密方法;在数据解密后,则需要研究该移动应用数据的解析方法,最终获得完整的可读数据。屏幕固定是指对关键证据进行截屏、录屏等方式对证据进行固定的方法。
现有通过手动分析、屏幕固定等方法来对小众移动应用取证时,存在如下的问题的:
1.技术要求高:通过手动分析的方式对小众移动应用进行取证时技术要求较高,需要能够从移动设备中提取特定数据,并能够对移动应用数据进行解密分析和数据关联分析,这种方式对于取证人员的技术要求非常高,大部分的取证人员并不具备这种能力。
2.分析耗时长:通过手动分析的方式对小众移动应用进行取证时在面对复杂的移动应用时分析难度会大幅提升,进而导致需要耗费更久的时间和精力去分析,并且分析的成功率也会大幅下降。
3.数据不完整:通过屏幕固定的方式进行取证时,由于数据量可能很大,无法对所有的数据都进行固定,仅仅能固定当前认为比较关键的证据。
发明内容
针对现有小众移动应用取证方案所面临的操作技术要求高、耗时长以及数据不完整的问题,本发明的目的在于提供一种面向批量制作的小众移动应用的快速自动化取证系统,能够对小众移动应用进行自动且全面的数据取证;在此基础上,本发明进一步提供面向批量制作的小众移动应用的快速自动化取证方法。
为了达到上述目的,本发明提供的面向批量制作的小众移动应用的快速自动化取证系统包括:
应用检测模块,所述应用检测模块配置成能够检测出移动终端中的小众移动应用信息;
黑灰产样本引擎,所述黑灰产样本引擎配置成与应用检测模块数据交互;所述黑灰产样本引擎根据应用检测模块确定的小众移动应用信息,对移动应用进行对比分析,在样本引擎库中搜索出相似度最高的样本;
取证模块,所述取证模块配置成与所述黑灰产样本引擎以及应用检测模块进行数据交互,基于黑灰产样本引擎搜索出的样本所对应的数据采集、数据解密、数据解析方式来形成取证方案来对应用检测模块确定的小众移动应用进行自动取证作业。
进一步地,所述应用检测模块配置成能够检测出移动终端中所有应用信息。
进一步地,所述应用检测模块配置成通过人机交互确定待取证的小众移动应用。
进一步地,所述黑灰产样本引擎由特征提取模块、样本库、智能匹配模块以及取证算法库配合构成;
特征提取模块配置成与应用检测模块进行数据交互,并用于处理应用检测模块提交的样本数据;
黑灰产样本库中存储有的黑灰产程序样本的特征数据;
智能匹配模块配置成与特征提取模块以及黑灰产样本库进行数据交互,获取特征提取模块所提取到的样本数据特征,并据此基于智能匹配算法从黑灰产样本库中通过多个维度与提取到的应用特征进行对比分析;
取证算法库包含与黑灰产样本库中的样本相对应的取证算法。
进一步地,所述取证模块配置成调取黑灰产样本引擎对样本进行特征提取,通过智能匹配算法在黑灰产样本库中检测小众移动应用的相似、相同的样本,并根据匹配到的样本,查询取证算法库,获取到特定的取证算法后,通过该取证算法对移动设备进行数据提取、数据解密以及数据解析还原。
为了达到上述目的,本发明提供的面向批量制作的小众移动应用的快速自动化取证方法包括:
应用检测阶段:检测出移动终端中的小众移动应用信息;
样本搜索阶段:通过黑灰产样本引擎根据应用检测模块确定的小众移动应用信息,对移动应用进行对比分析,在样本引擎库中搜索出相似度最高的样本;
自动取证阶段:基于搜索出的样本所对应的数据采集、数据解密、数据解析方式来形成取证方案来对应用检测模块确定的小众移动应用进行自动取证作业。
进一步地,所述快速自动化取证方法在应用检测阶段,将检测出移动终端所有的所有应用信息,在基础上通过人机交互确定待取证的小众移动应用。
进一步地,所述快速自动化取证方法在样本搜索阶段,基于程序行为、代码特征或数据特征方式来在样本引擎库中搜索出相似度最高的样本。
进一步地,所述快速自动化取证方法在样本搜索阶段,依次对样本基于程序行为、代码特征、数据特征进行检测,并分别计算置信度,并根据检测算法的权重得出最终置信度。
进一步地,所述快速自动化取证方法在自动取证阶段,通过搜索到的样本的数据采集方式将移动设备中小众移动应用的数据提取出来,然后对提取出来数据进行解密,其后对解密的数据进行解析,最后按照样本的展示方式将数据展示出来。
本发明提供的面向批量制作的小众移动应用的快速自动化取证方案,能够实现针对批量制作的小众应用进行快速自动化取证,并且所取证数据全面,可用性高,可以对数据进行深度挖掘与分析,可有效克服现有技术通过手动分析、屏幕固定等方法进行提取固定所存在的问题。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中面向批量制作的小众移动应用的快速自动化取证系统的系统框图;
图2为本发明实例中黑灰产样本引擎的构成示例图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
通过对批量制作的小众移动应用进行研究分析,确定批量制作的小众移动应用之间通常具备相同的程序行为、代码特征、数据特征等特点。
根据这些特征,本发明方案通过建立黑灰产样本引擎来根据确定的小众移动应用信息,对移动应用进行对比分析,并在样本引擎库中搜索出相似度最高的样本,以便进行分析取证。
在基础上,针对需要取证小众移动应用进行对比分析,在样本引擎库中搜索相似度最高的样本;接着基于所搜索到的样本对应的数据采集、数据解密、数据解析手段来形成自动取证方案,由此来对该小众移动应用进行自动取证。
基于上述方案,本发明给出一种面向批量制作的小众移动应用的快速自动化取证系统,参见图1,其所示为该快速自动化取证系统的系统构成示例图。
由图可知,该快速自动化取证系统110具体由应用检测模块110、黑灰产样本引擎120以及取证模块130相互配合构成。
其中,本系统中的应用检测模块110配置成能够检测出移动终端中的小众移动应用信息;
黑灰产样本引擎120配置成与应用检测模块110数据交互,同时该黑灰产样本引擎120根据应用检测模块确定的小众移动应用信息,对移动应用进行对比分析,在样本引擎库中搜索出相似度最高的样本;
取证模块130配置成与黑灰产样本引擎120以及应用检测模块110进行数据交互,基于黑灰产样本引擎搜索出的样本所对应的数据采集、数据解密、数据解析方式来形成取证方案来对应用检测模块确定的小众移动应用进行自动取证作业。
作为进一步说明,本系统方案可进一步通过如下方案来实现,并达到进一步的效果。
具体的,本系统中的应用检测模块110配置成能够检测出移动终端中所有应用信息,这样能够保证系统能够正确获取到需要取证的小众移动应用的相关信息。
作为举例,本应用检测模块110配置成将检测获取到的应用信息以列表的形式呈现,再通过人机交互确定待取证的小众移动应用,这样能够快速且准备的确定需要取证的应用,以保证后续取证数据的准确性。
作为进一步举例,本应用检测模块110优选通过移动设备调试接口获取设备中所有应用的信息,具体包括包名、安装路径、安装包文件等多方面的信息。
在此基础上,本应用检测模块110还可以通过配置实现,通过交互界面向用户展示获取到的信息,并根据用户的选择进一步获取所选择的应用的完整信息并推送给黑灰产样本检测引擎或取证模块。
本应用检测模块110在快速自动化取证系统应用初期构建黑灰产样本时,配置成将所获取的应用信息作为样本信息推送给黑灰产样本检测引擎,由推送给黑灰产样本检测引擎进行分析处理,以完善样本库122中的样本数据。
本应用检测模块110在快速自动化取证系统具体应用时,配置成将所获取的应用信息推送给取证模块130进行自动取证作业。
参见图2,本系统中的黑灰产样本引擎120具体由特征提取模块121、样本库122、智能匹配模块123以及取证算法库124配合构成。
其中,特征提取模块121配置成与应用检测模块110进行数据交互,并用于处理应用检测模块提交的样本数据。
作为进一步说明,这里的特征提取模块121能够对样本数据依次进行样本解压、文件提取、特征提取处理,由此完成针对样本数据的特征提取。
具体的,该特征提取模块121针对应用检测模块提交的样本数据,分析样本数据的构成特点,选用对应的解压方法对样本数据进行加压,形成若干独立的文件数据;接着对解压所得的文件进行分析,提取所需的文件数据;最后,针对所提取的文件,分析其数据特点,根据所形成的数据特点完成特征提取。
黑灰产样本库122中存储有大量的黑灰产程序样本的特征数据。另外,在实际应用过程中,该黑灰产样本库122中的黑灰产程序样本能够根据实际应用过程进行不断的自我更新维护,以维持足够数量且最新的黑灰产程序样本的特征数据。
智能匹配模块123配置成与特征提取模块121以及黑灰产样本库122进行数据交互,获取特征提取模块121所提取到的样本数据特征,并据此基于智能匹配算法从黑灰产样本库122中通过多个维度与提取到的应用特征进行对比分析,并得出对比结论。
这里对于具体的匹配算法不加以限定,可根据实际需求而定。同时,本智能匹配模块123针对样本数据特征通过匹配算法进行程序行为、代码特征、数据特征等多个维度的对比分析,由此能够匹配出相似度最高的样本。
取证算法库124包含与黑灰产样本库122中的样本相对应的取证算法,该取证算法库124配置成与取证模块130进行数据交互,能够向取证模块130提供相应的取证算法对应用进行取证分析。
由此形成的黑灰产样本引擎120在与应用检测模块110进行配合时,应用检测模块110通过配置,能够向黑灰产样本引擎120提供移动应用的安装包、应用产生的数据文件以及多媒体文件。而与之配合的,本黑灰产样本引擎120首先对采集到的样本进行快速处理,包括样本解压、文件提取、特征提取等,之后引擎会对样本基于程序行为、代码特征、数据特征等多个维度进行分析,在样本引擎库中搜索出相似度最高的样本。本黑灰产样本引擎具备高效的检索能力,使用智能匹配算法,并能够动态更新样本库。
本系统中的取证模块130具体配置成接收应用检测模块110推动的应用信息,并调取黑灰产样本引擎120对接收到的应用信息进行黑灰产样本对分析。这里的黑灰产样本引擎120针对取证模块130接收到的应用信息通过特征提取模块121进行解压、文件提取、特征提取等方式处理后,再通过智能匹配模块123基于程序行为、代码特征、数据特征在黑灰产样本库122中检测小众移动应用的相似、相同的样本。
若检测到与小众移动应用的相似、相同的样本,取证模块130则根据匹配到的样本查询取证算法库124,获取到特定的取证算法后,通过该取证算法对移动设备进行数据提取、数据解密以及数据解析还原。
本发明针对给出的面向批量制作的小众移动应用的快速自动化取证系统,进一步给出基于该快速自动化取证系统来对批量制作的小众移动应用进行快速自动化取证的方法。
本发明给出的快速自动化取证方法,主要由如下三个阶段配合构成:
应用检测阶段:检测出移动终端中的小众移动应用信息;
样本搜索阶段:通过黑灰产样本引擎根据应用检测模块确定的小众移动应用信息,对移动应用进行对比分析,在样本引擎库中搜索出相似度最高的样本;
自动取证阶段:基于搜索出的样本所对应的数据采集、数据解密、数据解析方式来形成取证方案来对应用检测模块确定的小众移动应用进行自动取证作业。
其中,在样本搜索阶段:依次对样本基于程序行为、代码特征、数据特征进行匹配检测,并分别计算置信度,并根据检测算法的权重得出最终置信度,由此保证样本搜索结果的准确性。
进一步地,在自动取证阶段,具体通过搜索到的样本的数据采集方式将移动设备中小众移动应用的数据提取出来,然后对提取出来数据进行解密,其后对解密的数据进行解析,最后按照样本的展示方式将数据展示出来。
由上可见,整个取证过程徐需要手动分析,自动完成小众移动应用检测、小众移动应用对应样本的搜索,以及基于搜索样本来构建相应的自动取证方案来对小众移动应用来完成数据取证及分析,不仅效率高而且数据可用性高。
针对本实例方案给出的面向批量制作的小众移动应用的快速自动化取证系统方案,在具体应用时,可构成相应的软件程序,形成相应的快速自动化取证系统统。该软件程序在运行时,将执行上述的快速自动化取证流程,同时存储于相应的存储介质中,以供处理器调取执行。
以下通过相应的实例说明本发明给出的面向批量制作的小众移动应用的快速自动化取证方案的应用过程以及相应的技术特点。
本实例中基于上述方案构建一套面向批量制作的小众移动应用的快速自动化取证软件,并运行在相应的PC中,形成相应的取证设备(以下简称电脑)。
由此,形成的取证设备能够对批量制作的小众移动应用进行自动化取证,并且整个取证过程如下:
1.选择待取证小众移动应用;
将目标移动设备(Android设备、IPhone等)通过数据线连接电脑,自动化取证软件检测移动设备中的应用并提供给取证人员移动应用列表供其选择,取证人员选择其中的小众移动应用后进入取证流程。
2.通过样本检测引擎检测相似、相同样本;
快速自动化取证软件基于选择确定的移动应用信息,从样本检测引擎中搜索相似、相同的移动应用样本。
本阶段中搜索的方式包括基于程序行为、代码特征、数据特征等多个方式:
1)基于程序行为
这里基于程序行为检测具体通过沙箱运行样本程序并监控、记录其运行时调用的API,并形成一个行为序列,通过样本库检索该行为序列查找相似或相同的样本。
如,通过运用沙箱集群,以多线程方式模拟用户行为以及移动应用运行场景,采集移动应用静态、动态特征并生成快照,通过对黑灰样本快照进行规则匹配,构建毫秒级、精准的多分类AI黑灰产分类引擎以及云检测引擎。
对未知移动应用,可通过云检测引擎进行历史库查询及本地动态沙箱集群自动检测,并依据返回结果进行确认。如果移动应用属于未知样本则通过实时鉴定进行动态特征分析,进行应用代码层、行为层、应用层的特征规则建模分析。
2)基于代码特征
这里基于代码特征检测是对程序进行逆向并进行静态分析,包括对其中的资源文件计算哈希值以及代码中的特征值并在样本库中搜索查找相似或相同的样本。
如,对于加壳的程序通过运用沙箱集群实现自动化脱壳,对于脱壳后或者未加壳的代码进行代码相似度对比。将dex文件还原为class文件并对class文件代码结构与代码内容进行逐一对比。
3)基于数据特征
这里基于数据特征检测是对样本产生的数据进行检测,通过分析其产生的一般文件以及数据库文件的数据库结构和内容进行对比分析,找出其中的特征值并在样本库中搜索查找相似或相同的样本。
如,将目前已经支持的APP提取关键数据特征,数据特征包括关键文件以及数据库中关键表,对关键文件以及关键表中的结构进行记录,最后形成已有APP特征库。将小众移动应用的数据提取出来之后对数据文件与特定数据的特征与特征库进行对比分析。
3.通过样本的取证方案对待取证小众移动引用进行取证
通过上述步骤获取小众移动应用的相似、相同的样本,通过提取样本对应的取证方法开始取证流程。
这样通过样本的采集手段将小众移动应用的数据提取到电脑中,然后对数据进行解密,其后对解密的数据进行解析,最后按照样本的展示方式将数据展示出来。
通过上述实例可知,本发明提供的面向批量制作的小众移动应用的快速自动化取证方案,在实际应用时,具有如下技术特点:
1.没有技术门槛,对小众移动应用进行自动化取证,不再需要手动分析,取证人员只需要通过软件对小众应用进行取证即可;
2.耗时短,通过自动化取证软件对小众移动应用取证,几十分钟甚至几分钟即可完成取证流程,而传统手动分析方式可能需要几天甚至几十天的时间;
3.数据完整,相对于传统屏幕固定方法,通过自动化取证软件得到的数据包含了小众应用所有的数据,数据可用性高,可以对数据进行深度挖掘与分析。
上述本发明的方法,或特定系统单元、或其部份单元,为纯软件架构,可以透过程序代码布设于实体媒体,如硬盘、光盘片、或是任何电子装置(如智能型手机、计算机可读取的储存媒体),当机器加载程序代码且执行(如智能型手机加载且执行),机器成为用以实行本发明的装置。上述本发明的方法与装置亦可以程序代码型态透过一些传送媒体,如电缆、光纤、或是任何传输型态进行传送,当程序代码被机器(如智能型手机)接收、加载且执行,机器成为用以实行本发明的装置。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.面向批量制作的小众移动应用的快速自动化取证系统,其特征在于,包括:
应用检测模块,所述应用检测模块配置成能够检测出移动终端中的小众移动应用信息;
黑灰产样本引擎,所述黑灰产样本引擎配置成与应用检测模块数据交互,并能够根据应用检测模块确定的小众移动应用信息,对移动应用进行对比分析,在样本引擎库中搜索出相似度最高的样本;
取证模块,所述取证模块配置成与所述黑灰产样本引擎以及应用检测模块进行数据交互,基于黑灰产样本引擎搜索出的样本所对应的数据采集、数据解密、数据解析方式来形成取证方案来对应用检测模块确定的小众移动应用进行自动取证作业。
2.根据权利要求1所述的快速自动化取证系统,其特征在于,所述应用检测模块配置成能够检测出移动终端中所有应用信息。
3.根据权利要求1所述的快速自动化取证系统,其特征在于,所述应用检测模块配置成通过人机交互确定待取证的小众移动应用。
4.根据权利要求1所述的快速自动化取证系统,其特征在于,所述黑灰产样本引擎由特征提取模块、样本库、智能匹配模块以及取证算法库配合构成;
特征提取模块配置成与应用检测模块进行数据交互,并用于处理应用检测模块提交的样本数据;
黑灰产样本库中存储有的黑灰产程序样本的特征数据;
智能匹配模块配置成与特征提取模块以及黑灰产样本库进行数据交互,获取特征提取模块所提取到的样本数据特征,并据此基于智能匹配算法从黑灰产样本库中通过多个维度与提取到的应用特征进行对比分析;
取证算法库包含与黑灰产样本库中的样本相对应的取证算法。
5.根据权利要求4所述的快速自动化取证系统,其特征在于,所述取证模块配置成调取黑灰产样本引擎对样本进行特征提取,通过智能匹配算法在黑灰产样本库中检测小众移动应用的相似、相同的样本,并根据匹配到的样本,查询取证算法库,获取到特定的取证算法后,通过该取证算法对移动设备进行数据提取、数据解密以及数据解析还原。
6.面向批量制作的小众移动应用的快速自动化取证方法,其特征在于,包括:
应用检测阶段:检测出移动终端中的小众移动应用信息;
样本搜索阶段:通过黑灰产样本引擎根据应用检测模块确定的小众移动应用信息,对移动应用进行对比分析,在样本引擎库中搜索出相似度最高的样本;
自动取证阶段:基于搜索出的样本所对应的数据采集、数据解密、数据解析方式来形成取证方案来对应用检测模块确定的小众移动应用进行自动取证作业。
7.根据权利要求6所述的快速自动化取证方法,其特征在于,包括:所述快速自动化取证方法在应用检测阶段,将检测出移动终端所有的所有应用信息,在基础上通过人机交互确定待取证的小众移动应用。
8.根据权利要求6所述的快速自动化取证方法,其特征在于,包括:所述快速自动化取证方法在样本搜索阶段,基于程序行为、代码特征或数据特征方式来在样本引擎库中搜索出相似度最高的样本。
9.根据权利要求6所述的快速自动化取证方法,其特征在于,包括:所述快速自动化取证方法在样本搜索阶段,依次对样本基于程序行为、代码特征、数据特征进行检测,并分别计算置信度,并根据检测算法的权重得出最终置信度。
10.根据权利要求6所述的快速自动化取证方法,其特征在于,包括:所述快速自动化取证方法在自动取证阶段,通过搜索到的样本的数据采集方式将移动设备中小众移动应用的数据提取出来,然后对提取出来数据进行解密,其后对解密的数据进行解析,最后按照样本的展示方式将数据展示出来。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410165913.2A CN118012707A (zh) | 2024-02-05 | 2024-02-05 | 一种面向批量制作的小众移动应用的快速自动化取证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410165913.2A CN118012707A (zh) | 2024-02-05 | 2024-02-05 | 一种面向批量制作的小众移动应用的快速自动化取证系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118012707A true CN118012707A (zh) | 2024-05-10 |
Family
ID=90957483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410165913.2A Pending CN118012707A (zh) | 2024-02-05 | 2024-02-05 | 一种面向批量制作的小众移动应用的快速自动化取证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118012707A (zh) |
-
2024
- 2024-02-05 CN CN202410165913.2A patent/CN118012707A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11657079B2 (en) | System and method for identifying social trends | |
| US8315430B2 (en) | Object recognition and database population for video indexing | |
| CN111046235B (zh) | 基于人脸识别的声像档案搜索方法、系统、设备及介质 | |
| CN105740707B (zh) | 恶意文件的识别方法和装置 | |
| US20130346412A1 (en) | System and method of detecting common patterns within unstructured data elements retrieved from big data sources | |
| CA2905654C (en) | Methods and systems for arranging and searching a database of media content recordings | |
| TWI436226B (zh) | 視訊串流上即時新事件偵測之裝置及方法 | |
| CN109408672B (zh) | 一种文章生成方法、装置、服务器及存储介质 | |
| US9390170B2 (en) | Methods and systems for arranging and searching a database of media content recordings | |
| CN105574089A (zh) | 知识图谱的生成方法及装置、对象对比方法及装置 | |
| CN103838754A (zh) | 信息搜索装置及方法 | |
| CN103440243A (zh) | 一种教学资源推荐方法及其装置 | |
| WO2020135756A1 (zh) | 视频段的提取方法、装置、设备及计算机可读存储介质 | |
| CN111508506A (zh) | 音频文件的原唱检测方法、装置、服务器及存储介质 | |
| CN112347464B (zh) | 基于案例匹配和工具动态调用的安卓智能设备root方法 | |
| CN118012707A (zh) | 一种面向批量制作的小众移动应用的快速自动化取证系统及方法 | |
| US9558449B2 (en) | System and method for identifying a target area in a multimedia content element | |
| CN112052248A (zh) | 一种审计大数据处理方法及系统 | |
| Le et al. | A large-Scale TV Dataset for partial video copy detection | |
| CN115866280A (zh) | 基于大数据的网络直播用户行为分析方法、装置和设备 | |
| CN115543951A (zh) | 一种基于起源图的日志采集、压缩、存储方法 | |
| CN114240663A (zh) | 数据对账方法、装置、终端及存储介质 | |
| CN111611477A (zh) | 一种用户数据统计管理系统 | |
| CN111259194A (zh) | 用于确定重复视频的方法和装置 | |
| CN109783692B (zh) | 一种快数据和慢数据结合的目标特征码比对方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |