[发明专利]一种对应用程序取证分析的方法和装置在审
| 申请号: | 202111615041.8 | 申请日: | 2021-12-27 |
| 公开(公告)号: | CN114297637A | 公开(公告)日: | 2022-04-08 |
| 发明(设计)人: | 王圣东;李亚洲;李小军 | 申请(专利权)人: | 奇安盘古(上海)信息技术有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/62 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 王宇杨 |
| 地址: | 201100 上海*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 应用程序 取证 分析 方法 装置 | ||
本发明提供一种对应用程序取证分析的方法和装置,该方法包括:获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件;通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥;基于所述解密密钥对所述数据库文件进行解密,获取所述历史登录账号对应的记录信息,完成对所述应用程序的取证分析。实现了在不联网的情况下,能够对应用程序进行取证分析。
技术领域
本发明涉及计算机技术领域,尤其涉及一种对应用程序取证分析的方法和装置。
背景技术
现有技术中,在应用程序进行取证分析的方法中对数据库文件进行解密,获取解密密钥都是通过连接互联网,在联网的状态下实现对应用程序的取证分析。这样的取证方法就限制了一些在没有网络状态下的取证场景的要求,导致在不联网的应用场景下,无法对应用程序进行取证分析。
发明内容
本发明提供一种对应用程序取证分析的方法和装置,实现了在不联网的情况下,能够对应用程序进行取证分析。
第一方面,本发明实施例提供了一种对应用程序取证分析的方法,包括:
获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件;
通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥;
基于所述解密密钥对所述数据库文件进行解密,获取所述历史登录账号对应的记录信息,完成对所述应用程序的取证分析。
根据本发明实施例提供的对应用程序取证分析的方法,所述获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件包括:
依据视窗操作系统版本的应用程序并将所述应用程序下载到本地,从本地的存储目录中获取应用程序的历史登录账号以及历史登录账号对应的数据库文件。
根据本发明实施例提供的对应用程序取证分析的方法,所述通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥包括:
通过逆向分析的方法对所述应用程序进行解析,并在所述应用程序对应的内存中获取所述数据库文件的解密密钥特征;
基于所述解密密钥特征,在所述应用程序对应的内存镜像文件中查找目标解密密钥特征,并通过目标解密密钥特征确定所述数据库文件的解密密钥。
根据本发明实施例提供的对应用程序取证分析的方法,所述基于所述解密密钥特征,在所述应用程序对应的内存镜像文件中查找目标解密密钥特征,并通过目标解密密钥特征确定所述数据库文件的解密密钥包括:
基于所述解密密钥特征,在所述应用程序的内存镜像文件中查找与所述解密密钥特征相同的目标解密密钥特征;
通过所述目标解密密钥特征的前缀标识确定所述数据库文件的解密密钥。
根据本发明实施例提供的对应用程序取证分析的方法,所述基于所述解密密钥对所述数据库文件进行解密,获取所述历史登录账号对应的记录信息包括:
基于所述解密密钥对所述数据库文件进行解密,生成所述数据库文件对应的用明文标识的数据库文件;
对所述用明文标识的数据库文件进行解析,获取数据表信息;
根据所述数据表信息,获取所述历史登录账号对应的记录信息。
第二方面,本发明实施例提供了一种对应用程序取证分析的装置,包括:
获取模块,用于获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件;
解析模块,用于通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于奇安盘古(上海)信息技术有限公司,未经奇安盘古(上海)信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111615041.8/2.html,转载请声明来源钻瓜专利网。
