[发明专利]一种基于Android平台的动态取证方法

说明书

技术领域

本发明涉及数字取证中的手机取证技术领域，特别一种基于Android平台的动态取证方法。

背景技术

随着移动通信技术的不断发展，作为当今最为普及的信息技术产品，各种手持设备发展日新月异。其中手机成为人们工作生活中必备的通讯工具，又以智能手机为主导。IDC最近公布了全球最新的智能手机市场份额数据，从数据表格中我们可以看到Android开始占据超过大半的江山。和去年36.1%的份额相比较而言，今年第一季度Android份额已经达到59%，直接跨过一半的分水岭。也就是说，Google已经摄取了其它智能手机近三分之二的市场份额。与此同时，手机犯罪现象不断扩大，各类刑事案件中涉及到手机的比例也越来越高。因此，手机取证在刑事侦查中的应用也将越来越多，对刑事侦查的支持也越来越强。手机取证是现代高科技在侦查取证工作中的体现，符合现代侦查取证工作向高科技方向发展的趋势。

智能手机不同于一般的手机，它有操作系统，用户可以安装软件、游戏、程序，扩充它的功能，还可以用无线网络接入上网，获得更多的资源，无异于一台微型电脑。其中手机应用程序也在飞速增长，应用程序（即时通讯类、邮箱类、社交网络类等）产生的数据直接与用户相关，包含了大量的隐私数据（聊天记录、邮件内容等）。这些数据可能成为手机取证中的关键因素，传统的方法只是针对手机应用程序进行静态分析，由于某些应用程序进行加密，因此很难通过静态分析来获取。而本发明能够很好地解决上面的问题。

发明内容

本发明目的是针对Android手机应用程序静态取证的局限性，利用Android操作系统本身的机制，通过应用程序仿真，获取使用痕迹（上网记录、聊天记录、邮件内容等）。由于应用程序在手机中产生的数据比较有限，因此可以利用用户保存在手机上的密码，通过网页或者相应工具获取远程信息（以往邮件内容，QQ空间内容、网盘中存储的文件等），实现对手机应用程序的动态获取，直接获取手机应用程序的数据，得到更多潜在有价值数据。

本发明解决其技术问题所采用的技术方案是：本发明提供了一种基于Android平台的动态取证方法，该方法的实现是在Android SDK环境中提供一种对手机应用程序进行动态取证方法。

方法流程：

步骤1：准备阶段

相关取证人员在拿到嫌疑人的设备后，第一时间对设备进行隔离，确保数据的安全性和合法性。在确保证据安全性与合法性的前提下，将设备与电脑连接，设置设备连接模式确保安装相应的驱动程序，电脑能够正确访问设备的数据。取证人员按照取证规范进行操作，打开设备中的设置选项，查看相应android版本，确保android仿真的一致性与正确性。利用手机取证系统工具进行相应模拟器环境的搭建，创建出与目标设备一致的仿真环境。所述步骤1包括如下步骤：

1）取证人员获得目标设备，按照相关取证规范进行操作，将目标设备调成飞行模式或者关闭目标设备的网络功能。

2）将手机通过USB数据线连接到电脑，打开USB调试模式，安装驱动。

3）打开目标设备中设置选项，查看系统版本。

4）根据目标设备的系统版本，创建相应版本的模拟器。

步骤2：仿真阶段

仿真模拟器环境搭建完毕后，需要在仿真环境中进行搭建相应应用程序的软件环境。基于Android安全机制的保护，在获取手机应用程序以及数据时，必须先获取最高权限，因此需要先对目标设备进行权限提取，确保可以获得相关仿真数据。由于应用程序繁多，获得相应应用程序以及相关数据后，进行软件关联性筛选，对相关软件进行版本分析。安装相应软件到模拟器中，搭建与目标设备相同的软件环境，确保仿真的一致性与可靠性。利用取证系统工具将相应应用程序的数据导入到仿真系统中应用程序的文件存储位置，实现仿真。所述步骤2包括如下步骤：

1）提取目标设备权限，获取应用程序以及数据。

2）对应用程序进行分析，过滤无价值程序。

3）安装相应程序，搭建仿真系统。

4）利用取证系统工具将数据导入，进行仿真。

步骤3：分析阶段

由于不同应用程序调用自身文件的机制不同，在数据导入后，运行仿真系统中的程序时，无法查看程序中的数据。需要重启仿真系统，再次运行程序，便可以查看应用程序的使用痕迹等，对相应应用程序进行分析。通过分析应用程序相关的使用痕迹，获取程序自身的价值信息；通过分析应用程序中的网络远程信息，获取更多潜在价值信息。所述步骤3包括如下步骤：

1）重启仿真系统，运行应用程序，分析使用痕迹。