[发明专利]一种基于固件更新协议的Android取证方法

说明书

本发明提出了一种基于固件更新协议的Android取证方法，获取Android固件更新协议中转储指令；逆向分析固件更新程序与设备的数据交互例程，发送步骤1获取的转储指令，从Android设备转储数据；基于字符串匹配算法从转储数据中提取信息。本发明基于固件更新模式获取数据，该模式下设备只引导fastboot分区，保证了数据分区的完整性；数据的转储不需要解除屏幕锁定，不需要root权限，适用性更广。

技术领域

本发明涉及数字取证技术，具体涉及一种基于固件更新协议的Android取证方法。

背景技术

随着Android智能设备的广泛应用，越来越多的犯罪分子使用Android设备从事违法行为。为了更好协助取证人员顺利地从证物设备中提取关键证据，面向Android系统的取证研究的需求也越加迫切。

数字取证是司法部门获取电子证据和案件线索的一种重要手段。传统的数字取证方法主要有逻辑获取、芯片拆除等方式，其中逻辑获取技术受限于操作系统逻辑层的控制，当移动设备处于非root权限下，或者USB调试没有开启、系统被密码锁定时，会导致逻辑获取方法不可用。而芯片拆除方式则须将移动设备中存储数据的芯片与主板分离，利用JTAG等与芯片直接通讯技术将其中的数据读取出来，然而，该方法按位读取的数据获取速度缓慢，且易于由于手工失误而导致证据被毁。

发明内容

本发明的目的在于提供一种基于固件更新协议的Android取证方法。

实现本发明目的的技术解决方案为：一种基于固件更新协议的Android取证方法，包括以下步骤：

步骤1、获取Android固件更新协议中转储指令；

步骤2、逆向分析固件更新程序与设备的数据交互例程，发送步骤1获取的转储指令，从Android设备转储数据；

步骤3、基于字符串匹配算法从转储数据中提取信息。

本发明与现有技术相比，其显著优点在：1)基于固件更新模式获取数据，该模式下设备只引导fastboot分区，保证了数据分区的完整性；2)数据的转储不需要解除屏幕锁定，不需要root权限，适用性更广。

附图说明

图1为本发明获取Android固件更新协议中内存转储指令的原理图。

图2为本发明涉及的Android固件更新模式引导流程示意图。

图3为本发明步骤3中涉及的Sunday算法示例图。

具体实施方式

基于固件更新协议的Android取证方法，包括以下步骤：

步骤1、获取Android固件更新协议中内存转储指令

Android设备通过固件更新程序对设备进行系统升级、固件更新以及漏洞修复，固件更新协议中隐藏的内存转储指令能够获取设备存储器中的原始数据。本发明通过监控固件刚更新程序的API调用，对usb通讯数据进行抓取分析，以及Fuzzing测试，提取固件更新协议中的内存转储指令。

如图1所示，所述步骤1包含以下3个子步骤，如下：

步骤1-1、控制Android设备进入download模式，然后进行固件更新升级；Android设备进入download模式有三种方式：(1)设备关机状态下使用组合键进入，不同型号的设备使用的组合键有所不同，如samsung手机使用组合键“电源键”+“音量键”进入。(2)通过adb指令“adb reboot fastboot”进入。(3)通过发送AT指令“AT+FUS？”进入。