[发明专利]基于内存分析的安卓App历史屏恢复与取证系统

权利要求书

1.基于内存分析的安卓App历史屏恢复与取证系统，其特征在于：所述系统包括安卓内存提取子系统、内存证据存储子系统和安卓App历史屏恢复与取证子系统；

安卓内存提取子系统用于对目标App的内存空间进行完整提取；

内存证据存储子系统用于对安卓内存提取子系统提取的文件内存证据进行存储；

安卓App历史屏恢复与取证子系统用于根据安卓内存提取子系统提取的目标App的内存空间和内存证据存储子系统存储的文件内存证据，利用MVC架构中的模型来实现App历史屏恢复与取证。

2.根据权利要求1所述基于内存分析的安卓App历史屏恢复与取证系统，其特征在于：所述安卓内存提取子系统包括配置模块、PROC虚拟文件模块、基于PTRACE的远程注入模块和内存提取与线程空间提取模块；

配置模块用于支持完整内存镜像获取策略和App特定进程获取策略；

完整内存镜像获取策略针对目标手机中的所有App进行取证的场景；

App特定进程获取策略针对目标App进行取证的场景；

PROC虚拟文件模块是Linux系统中的一个虚拟文件，用于通过使用PROC在Linux内核空间和用户间之间进行通信；

基于PTRACE的远程注入模块用于实现安卓系统的进程跟踪，监听并控制特定进程的运行；

内存提取与线程空间提取模块用于实现对安卓内存栈空间进行提取，提取的内存包括MEM镜像文件和MAPS映射文件；

MEM镜像文件和MAPS映射文件包括：堆段、数据段，代码段，以及栈段；

MAPS映射文件用于查看进程内存映射，用于查看每一段内存的权限属性，以及文件路径信息，实现内存提取。

3.根据权利要求1或2所述基于内存分析的安卓App历史屏恢复与取证系统，其特征在于：所述内存证据存储子系统包括内存镜像文件模块、内存映射文件模块和内存证据描述信息模块；

内存镜像文件模块用于对MEM镜像文件内存进行分段访问；

内存映射文件模块用于对MAPS映射文件内存进行分段访问；

内存证据相关描述信息模块用于对访问文件的信息进行存储。

4.根据权利要求3所述基于内存分析的安卓App历史屏恢复与取证系统，其特征在于：所述安卓App历史屏恢复与取证子系统包括历史屏幕绘制APP模块、运行时环境生成模块、运行时状态管理引擎模块、视图标记模块和历史屏恢复模块；

历史屏幕绘制APP模块用于进行历史屏幕的绘制，实现历史屏幕恢复；

运行时环境生成模块用于利用内存提取模块中的MEM镜像文件和MAPS映射文件为屏幕绘制App进程生成执行环境；

运行时状态管理引擎模块用于利用内存提取模块获得的目标App的内存空间为屏幕绘制App进程生成执行环境；

视图标记模块用于通过遍历目标App内存空间中加载的所有类，判断是否为视图，找到顶层视图类并对顶层视图进行标记，作为历史屏幕恢复的起点；

历史屏恢复模块用于在确定了所有顶层视图之后，启动历史屏恢复模块开始屏幕绘制，在完成屏幕绘制后，历史屏幕绘制App模块将当前屏幕缓冲区内容保存到目标文件夹，并对重新绘制的屏幕进行排序恢复时间序列。

5.根据权利要求4所述基于内存分析的安卓App历史屏恢复与取证系统，其特征在于：所述PROC虚拟文件模块内若要创建一个虚拟文件，使用create_PROC_entry函数；

create_PROC_entry函数的参数为：待添加文件的文件名、一个权限对象以及用户要创建的文件位置，返回值是一个PROC_dir_entry指针，当PROC_dir_entr指针为NULL值时，表示在生成文件时发生了错误。

6.根据权利要求5所述基于内存分析的安卓App历史屏恢复与取证系统，其特征在于：所述PROC虚拟文件模块内若要删除一个虚拟文件，使用remove_PROC_entry函数；

remove_PROC_entry函数的参数为：待删除文件的文件名，以及待删除的文件在/PROC虚拟文件模块中的位置。