安卓设备的常规收集方法.doc

常州大学本科生毕业设计（论文）外文翻译 毕业设计（论文）外文翻译toward a general collection methodology for android devices安卓设备的常规收集方法 学 生 学 院 专 业 班 级 校内指导教师 专业技术职务 校外指导老师 专业技术职务 安卓设备的常规收集方法 timothy vidas a,*, chengye zhang b, nicolas christin b a carnegie mellon ece/cylab, usa b carnegie mellon ini/cylab, usa 摘要关键词：安卓构架 移动设备 数字取证 采集 获得 如今，各种各样的设备上搭载的都是安卓平台，尤其是在手机上，它为各种设备装置增添了前所未有的通用软件功能，从而不用再依赖于经销商和制造商。现代数字取证过程将收集和分析加以区分，其中收集仅在理想状态下出现一次，而随后的分析则依赖于收将收集和分析加以区分，其中收集仅在理想状态下出现一次，而随后的分析则依赖于收集适当与否。在研究了特殊设备的启动模式和安卓的分区架构后，我们详细介绍了安卓可启动图象的构成，并讨论了如何创建此类图象来进行取证收集。本文的主要贡献是阐述了安卓设备数据收集的一般进程，以及在几种特定设备上进行了试验，并获取了相关结果。1.介绍 传统上，移动取证需要根据设备制造商和型号来进行收集和分析。智能手机不但采用了多种电缆、界面和形状因素，而且该种设备也搭载了特殊软件、内存布局器和储存技术。这神奇的多样化功能导致数字取证从业者遭受到混合套件的攻击，包括多余电缆和收据手机技术（yates, 2010）。如今，移动设备和移动电话更是必不可少，它包含了大量信息以供分析。 2010年底，31%的美国移动手机消费者使用的是智能手机，而排在销量榜前十名的也都是智能手机（报道文件）。作为谷歌支持的移动软件构架，安卓享有着巨大的市场份额和成长因子，更胜apple的iphone一筹（安卓，2010；meeker等人, 2010），迅速成为移动市场上的中坚力量。如今，许多制造商都生产安卓 系统的设备，而且许多重要经销商都出售上述设备。事实上，现如今安卓系统随处可见，包括客厅的google tv，即将上市的雪佛兰和福特汽车，索尼的新款游戏手机：xperia play。智能手机的价格正在排挤和降低功能弱小的“功能手机”的市场份额，而它们也逐渐装载了免费的安卓软件。 安卓构架设备的普及促进了公共财产的开发，极度降低了数字取证工具所需的多样性，同时，大大增加了音频数据收集的潜力。制造商和经销商更倾向于在移动设备上添加额外功能并提供附加服务来保持竞争优势，但是安卓设备享有我们所常用的公共构架来进行采集（有时我们称“获得”）。据我们所知，这篇论文则意味着安卓设备常规采集方法的第一份工作已经完成。2.相关工作 随着智能手机用户的不断增长，移动电话本身也不再是一项新奇的技术。如今，各色移动电话和定价方案反映了用户群的广泛欲望和需求，而且必须要由数字取证从业者处理。在本章中，我们介绍了从当下公认为廉价的“功能电话”发展到其他特别针对现代智能手机的移动设备的数字取证的相关连续工作。 willassen（2003）概括了gsm移动手机分析相关项目：位置，sms，联系方式等（参考附录1中有关安卓数据的简述）。2006年，该作者还探究了常用移动电话的手机方法，尤其是进入到线路板界面的物理途径的使用（如jtag端口）或者通过芯片程序设计人员物理移动存储芯片，用作后续的数据收集。同样在2006年，casadei等（2006）介绍了现场收集技术，被称为simbrush，其促进了整个文件系统收集（对于未保护文件）尤其是sim设备。2007年，al-zarouni （2007）研究了移动手机flashing工具在数字取证方面的使用情况。作者得出结论，在取证可靠时，工具的初始使用写入了设备，而不是从设备读出。不同品牌和型号的设备阅读能力各有不同，因此，flashing工具在采集方法方面是不确定的。同样在2007年，mokhonoana和olivier（2007）详细介绍了塞班osv7设备的采集方法，而distenfano在2008年探索了塞班osv8采集方法（distefano和我，2008）。实际上，由于移动空间的多样性，几个特定的操作软件或硬件平台也经常被用作研究，如：黑莓（fairbanks等人，2009），cdma（murphy，2009），iphone 3gs（bader和baggili，2010），nokia（williamson等人，2006）等。 手机取证需求与手机市场多样性衍生了大量手机取证工具。2006年ayers等（2007）根据他们的收购、检验以及报告功能与现有工具相比，总结出几种典型的手机信息如imei和短信/彩信都是可以被现有工具搜索到的。同年，williamson等（2006）研究了手机取证性能尤其诺基亚手机。2007年，jansen和ayers再次利用当代工具检测手机并将研究结果记录在美国国家标准技术研究所报告中。随后，在2010年，yates（2010）指出，手机设备市场的多样性及复杂性促进了从业人员选择适当的电子取证工具。此处提及的对比文件为：cell seizure, gsm.xry，mobiledit! forensic，tulp 2g，forensic cardreader，forensicsim，simcon，simis和oxygen phone manager。 针对安卓设备，hoog(2009)研究了安卓取证信息，包括安卓移动电话的采集办法，如使用安卓sdk的应用程序调试功能在活跃电话上检索文件，并且使用商业工具如paraben设备检取和“固定”htc g1。“固定”为设备获取管理（根源）权限的通用语言，该处用户仅拥有最低权限，如移动电话。笔者将在第5.2节进一步研究“固定”。 2010年，thing等（2010）探索对安卓活动内存的取证，收集程序内存。thing利用了ptra-ce_attach的调用进程跟踪来跟踪现有程序。该技术通常用于调试（sarma and vaddagiri, 2002），但也经常用于恶意软件分析（burdach，2006）。3.背景 在linux内核的基础上，安卓系统使用操作系统基元(如进程和用户名)以及一个java虚拟机(dalvik)来开发程序，以提供一个安全沙盒(shin等， 2009)。 安卓应用通常用java编写，并通过完美设定的应用程序界面与安卓系统结构链接。出于性能考虑，开发人员可以创建本地硬盘自动运行软件来避免java虚拟机所产生的费用。应用开发（不用于低水平开发如内核修改）可以使用sdk（软件开发工具箱）和ndk（本地开发工具箱）。sdk通过提供功能完善的模拟器、针对安卓的eclipse（优选的集成开发环境）扩展以及特殊的安卓调试网桥（adb），使得模拟器或usb接口的实体装置（安卓开发人员）的调试信息进入优先命令状态，从而开发出极易操作的高级软件。 安卓调试网桥由设备上（如模拟器）和开发商机器上的软件组件构成，通过usb或tcp连接。使用该功能，开发商不仅能够观察调试信息，而且还能执行其他操作的分类，如安装软件（分路市场应用）重新启动装置，甚至打开交互式远程壳体。注意在生产设备中通常不能开启adb，但用户必须能够开启。对于低级试验来说，安卓是开放性资源，可以轻易获得并编撰其代码（安卓资源）。 某些供应商，如g1手机的生产商htc，为开发人员提供了丰富了网络站点，不仅包括文件编制，而且还有预定制工具甚至电话图像（htc开发人员中心）。反之，其它公司从未向公众公布此类信息，而且将电话图像这一令人垂涎的知识产权进行了严密保护。 在本文的其它章节中，我们假定了更加严格的实例，即当设备被屏锁装置“妨碍”的情形，jansen和ayers（2007）对此进行了定义。然而，本文中描述的技术同样也能在“无障碍”的设备上工作，而且能胜任更为复杂的收集，它极其简单，可以简单地在无障碍设备上运行adb并执行无特权的、逻辑收集。此种收集包括信息较少，因为其未分配的存储位置不可存取，以及运行中的安卓系统强制执行的权限（adb程序不以特权执行）。4.收集目标因为我们的数据收集主要用于取证，因此我们必须考虑技术上的多种限制条件及合意的性能。理想上，设备和其数据都可“精确的复制”，即使通过简单地与设备互动，我们多少能改变其状态，努力获得一个精确副本（dobell）。在这我们列举收集进程的适用标准。数据存储. 数据存储位置的头等重任就是储存用户数据，因为这种数据类型相比众多设备公用的系统文件在研究调查方面更有价值。这一观点不能完全低估存储收集，最不可能的是存储用户数据，其仅在用户数据中添加更多价值。事实上，获取系统信息的能力可以与用户数据有效串联。虽然完全可能是很少见的，但是具体案例可支配高速缓存信息、固件和内核碰撞信息等至关重要的信息。和上述情形一样，在理想状态下，任何事物都能作为“精确副本”收集。原子收集.设备应该收集，而其数据也应尽可能的以原子形式采集。如设备当前执行指令并操作存储，其收集状态可能无效。考虑到磁盘正在清理碎片，而同时外部程序正在复制相同的磁盘。而复制将花费一些时间，该文件将通过碎片整理移动到早已被外部程序复制的群集，这个方案非常合理。在这种情况下，复件中奖不包含文件！最简单的办法就是复制磁盘，但同时磁盘上不能进行其它操作。当元信息，如在复制过程中改变分配表等，可能会出现与文件系统的有效性有关的类似情形。正确性.至于上述提到的原子性标准，其对正确性有着明显的需求。即便考虑到在设备上原子复制的能力，数据必须正确复制。软件应当从来源处真实的复制数据到目的地，并且在运输途中应保持完整性。确定性.程序必须是可重复的，这样从业者可以期望程序在考虑中收集数据。在同等状态下，随后在同样设备上的收集在理想上应产生同等结果。可用性.程序必须可用，并且在可行时间内出现。根据设备的硬件特性，可以采用其它预防措施。比如说，可以采用一定程度上的干扰或其它方法来防止移动电话接收网络，这是因为进入的数据将会在某种程度上改变手机的状态，从而可能删除有价值的数据。5.收集过程 我们的技术重新规划了恢复分区以及安卓设备的相关恢复模式用于收集。对于许多设备来说，收集是一个多步完成的程序，需要恢复影像采集。第5.3节中概述了如何创建这种影像。一旦图象恢复，它将使用下列第6节中所述的设备专用指令将其闪存到设备中。在设备装载好收集恢复影像后，设备将重新启动进入恢复模式，并连接到装有adb（来自安卓sdk）的电脑上。随后，可以使用adb程序验证设备是否连接（./adb设备），并远程执行正在设备上进行的影像恢复（./adb壳体）。 在这一点上，推荐的收集程序端口映射使用adb设备上的tcp端口，开始在电脑上运行接收程序并将数据从存储设备中转移到本地设备tcp端口，使用数据转储程序和将数据转储程序的输出写入槽口的简易程序。作者编写的tcp传送软件也可计算整合的散列信息，并将其作为数据编写入槽口。完整散列的显示是通过检查adb壳体中显示的散列考虑到了正确转移的验证，其中一个已在计算机的影像收集上独立计算出。 数据转储程序的使用在一定程度上取决于设备的特性。许多安卓设备使用配置存储设备（mtd）。mtd系统是“原始flash设备的抽象层”（mtd），允许软件使用单一界面访问各种flash技术。在mtd设备中，可以用nand转储来收集nand数据，不受存储器上使用的高级文件系统的支配。而那些没有使用mtd的设备，它们则采用了其它收集技术。譬如，可以使用dd程序来复制数据。还有一件非常要注意的事是：不是所有的数据都需要储存在携带的储存器上。安卓设备通常支持1个或多个sd卡。用户不仅能在该设备上存储一些应用程序，而且还能储存数据，某些制造商可能会选择在该设备上储存整个用户数据分区。5.1.安卓分区 安卓设备通常由多个分区构成，且映射到mtd设备上。确切的分区架构取决于卖方的安装启用，但是在表1中能够找到其典型架构。安卓设备中一般有六个分区，最常用的为系统、用户数据、高速缓存、启动和恢复。在该图标中还可看到，许多安卓设备使用yaffs2（另一种flash文件系统2）文件系统，专门设计用于闪速存储器。表1 安卓设备典型分区信息路径 名称 文件系统 安装点 产品描述/dev/mtd/mtd0 pds yaffs2 /config configuration data/dev/mtd/mtd1 misc - n/a memory partitioning data/dev/mtd/mtd2 boot bootimg n/a bootable(typical boot)/dev/mtd/mtd3 recovery bootimg n/a bootable(recovery mode)/dev/mtd/mtd4 system yaffs2 /system system files,applications,vendor additions,read-only,/dev/mtd/mtd5 cache yaffs2 /cache cache files/dev/mtd/mtd6 user data yaffs2 /data user data(applications)/dev/mtd/mtd7 kpanic - n/a crash log可以发现，在最新款设备上使用了ext4文件系统（paul，2010）。有人可能认为，表1中所述“启动”是指“可启动图象”，这在第5.3节中有进一步的说明。sd卡的位置，有时定位为“内部”或“外部”，通常都由/dev/ block/mmcblkxpy确定，其中x是指id卡，而y则为卡上的分区id。sd卡一般安装在sdcard或/mnt/sdcard上。 那些有兴趣研究安卓设备缺陷并进行分析的人士对用户数据和系统分区的兴趣更浓。值得注意的是在正常运行期间，恢复分区中不会储存任何数据，所以，在该分区上数据的讹误或重写不可能改变设备上的内容，随后，其可能会依赖于法庭。恢复分区和相关恢复启动模式对本文中研究的收集技术至关重要。5.2. 升级权限或不升级权限 一些学者在演示文稿（hoog，2009）、博客帖子（电脑取证）、或者移动电话“改装”论坛（安卓rooting）上提出了数据收集方法，即升级设备权限。通常情况下，设备升级rooting权限包含了开发安全脆弱性（通常为设备和软件版本），其意在设备上安装无支持的软件。升级设备权限的动机包括思想上渴望、控制用户持有的设备、绕过设备特定控制装置拦截特定软件的使用、升级到安卓的最新版本，超过设备目前的支持限度（一些设备的更新周期很长），还有其他原因就不在这一一列举。出于多种原因，用于取证收集的设备权限升级并不可仿效，其中：a.通常升级设备权限平衡了软件的缺陷，尤其是设备上特定的型号和软件版本。如果设备被锁，研究者就不能验证在设备上运行的软件版本。无法验证软件版本不仅降低了设备权限升级的成功率，还增加了设备和/或者收集数据受损的几率。b.升级设备权限改变了设备用于存储用户数据空间的比例。如果可以避免，收集方法不应改变设备上的内容，即“随后，可能依赖于法庭（jansen和ayers，2007）”。在数字取证的某些区域这是不可避免的，比如从运行设备上收集存储器（vidas，2006）。当收集工作在不需要修改已收集数据的情形下就能完成时，应采取这种方法来进行收集（farmer和venema，2005）。c.升级设备权限破坏了安卓的安全模式。一个升级了的设备经常允许不断获得最高权限。当设备进入正常运行模式时，逐渐扩大的权限以及典型应用程序的运行和常规网络权限会导致其运行恶意遥控代码，如图（reisinger，2009年11月）iphone上所示。5.3.恢复分区 个人电脑通常允许用户配置bios密码或更强大的安全保护可信平台模块（tpm），现可运用在2亿5千万多个系统中（t.c. group，2009）。安卓架构一般应用于小型设备，如移动电话、平板电脑和电视等，它们都没有享受到任何形式的保护启动。安卓设备装载了分区方案，与表1（包括恢复分区）相似。恢复分区有特殊性能，能在表面上用于恢复。将设备权限升级到“恢复模式”，则会绕过正常的启动过程，而且启动目标在当前恢复分区中启动。如图1，制造商们都安装了通用功能，如恢复图象，包括擦拭用户数据和更新设备。与正常的运行模式相同，制造厂的恢复图象模式通常不支持adb，也不支持设备的rf组件。在此我们开始构思一个用于恢复启动的特殊系列。此类启动将能自由访问存储器，不受访问控制的限制，kim等（2007）或者多种存储访问功能al-zarouni（2007）。 安卓权限设置包括了标题、内核、内存盘（initrd）和每页对齐的任选次级图象。在安卓资源中可以找到定义为booting.h的权限标题，包含了美工签名“android!”，它是尺寸存储器位置的id域和元信息，其上加载了内核、内存盘和重像。图1e：恢复模式-摩托罗拉droid正在进行图像恢复内存盘启动部分为压缩（gzip或lmza格式）的备份文件，包括内核的初始内存盘（initrd）目