返回
基于adb调试的非root安卓手机取证技术研究

基于adb调试的非root安卓手机取证技术研究

ID:27031069

大小:53.50 KB

页数:6页

时间:2018-11-30

基于adb调试的非root安卓手机取证技术研究_第1页
基于adb调试的非root安卓手机取证技术研究_第2页
基于adb调试的非root安卓手机取证技术研究_第3页
基于adb调试的非root安卓手机取证技术研究_第4页
基于adb调试的非root安卓手机取证技术研究_第5页
资源描述:

《基于adb调试的非root安卓手机取证技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于adb调试的非root安卓手机取证技术研究摘要:安卓手机的取证技术主要包括在线和离线两种,但是都有各自局限性。该文提出了一种改良的基于adb调试的非root手机取证技术,折中离线和在线取证方法的优缺点,能够很好地满足实际安卓手机取证的需求。中国8/vie  关键词:安卓取证;adb备份  中图分类号:TP393文献标识码:A:1009-3044(2016)34-0035-02  随着移动通信技术的迅猛发展,智能终端设备已经成为人们必不可少的工具。智能终端设备类似于PC,具备独立的智能操作系统,可以由用户自行安装

2、软件等第三方服务程序,通过第三方软件不断扩充终端的能力,并支持通过移动互联网接入,是一个功能强大,集通信、影视娱乐、存储为一体的综合性设备。其中Google公司推出的Android操作系统,由于其开源、免费等特点,使其迅速占领巨大的市场份额。  与此同时,利用安卓手机进行犯罪的行为也越来越多。例如通过浏览器、电子邮件、即时通信工具、短信等APP进行诈骗,性骚扰,涉黄涉毒交易等。针对安卓手机的取证将能够有效地打击这类案件,通过对安卓手机、备份以及镜像的数据提取、保护和分析将能够获取破获案件所需要的重要线索。其中基础信

3、息(通话记录、通讯录、短信、GPS等)、即时通信记录、邮件信息、浏览器的历史记录和书签都是线索的重要来源。  1安卓手机的取证技术  安卓取证技术从本质上分为在线取证和离线取证两类。  1.1安卓在线取证技术  在线取证技术也叫逻辑全局取证技术[1-3],通过adb调试器连接手机,访问手机的文件系统,实现对现有文件系统中文件的获取和数据解析。安卓操作系统的数据主要存储在/data/data/和/sdcard两个目录下,后者为数据共享区域,即可以直接通过adb命令进行访问,主要为音乐、视频、文档等多媒体文件,而/da

4、ta/data/目录主要存储的是手机基础信息和所有第三方APP的数据,由于数据的重要性,该目录的访问需要ROOT权限。每一个APP的数据对应/data/data/目录下的一个文件夹,且每个问你件下都有一个名为database目录,该目录下存储的是SQLite数据库文件,如下表:  手机在线的状态有两种,一种是正常开机状态,此状态需要手机以USB调试的模式连接取证设备;另一种是Recovery模式,该模式下,可以挂载手机相应分区,然后连接取证设备。两种状态下都可以采用adb调试接口进行数据的查询和导出,但是在正常开机

5、状态下需要手机具有root权限。在线取证存在一些问题主要表现为:  1)Recovery模式需要第三方具有分区挂载功能的Recovry包,对于大部分手机第三方Recovery包的获取难度很大。  2)正常开机状态下,需要手机取得root权限,但是最新版的安卓系统和手机获取root权限的难度大,只有很少一部分能获取root权限。  3)手机在线取证无法对手机已删除的数据进行删除恢复。  1.2安卓离线取证技术  安卓离线取证技术以称为物理取证技术[4-7],主要是针对安卓手机的备份文件或者物理镜像进行取证分析。通过对

6、备份或者镜像文件的不同分区格式进行对应的文件系统解析,可以获取到安卓手机的原始数据。镜像文件可以获取安卓手机的全部原始数据,包括/data/data目录下的所有数据以及SD卡下的数据。备份文件(安卓4.0以后通过adb接口获取),由于软件的支持的程度不同,数据不完全,通讯录、通话记录等基础信息无法获取,另外有些第三方应用程序的数据无法获取,同时备份文件中的路径做了相应的变化,例如database缩写为db,需要一一对应。  安卓镜像的获取方式有三种:  1)硬件方式:通过jtag接口或者直接拆解存储芯片进行存储物理

7、镜像的获取。  2)adb调试方式:在获得root权限的情况下,利用adbshell运行dd命令,对手机的各个分区做dd镜像文件。  3)recovery备份:依次进入“备份还原”、“选择备份格式”,执行“备份到外置卡”,获取对应分区的镜像文件[8]。  针对镜像文件的离线取证,可以对已经删除的文件进行删除恢复。  但是安卓手机离线取证技术同样存在一定的问题:镜像的获取条件比较苛刻,需要root权限、第三方recovery或者物理拆解,难度都很大,且存在一定的危险;adb备份的方式下,可取的数据有限。  2基于ad

8、b调试的非root取证技术  针对于一般在线取证和离线取证的一些问题,对基于adb备份的取证进行改良,从而能够较为方便的获取非root手机较多的可用数据。其基本流程如图1所示。  2.1基本信息的获取  在非root情况下,安装MobileData.apk,该程序具有通讯录、通话记录、短信获取权限。在手机上启动该软件利用安卓系统的API接口获取手机的基本信息

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。