安卓手机取证技术.doc

安卓手机取证技术引言Android系统是近些年快速兴起的一款手机操作系统。其用户覆盖度在2011年已经以27%的占比排在智能手机的第一位。Android系统的取证系统的需求迫在眉睫。本项目主要针对Android手机的软件数据及硬件数据两部分提取。充分覆盖Android手机的全部数据。1总休设计1.1系统整体流程本取证项目主要包括两个部分，一个部分为软件数据的提取，另一部分为硬件数据的提取。两个部分组成完整的取证系统。同时，由于数据提取的速度的限制，本系统将两个部分分开实现。取证人员可根据需要选择取证类型。1-2系统结构本取证系统主要从软件数据取证和硬件数据取证2方面进行、在软件数据取证中包括了程序数据、用户数据，在硬件数据取证中包括了芯片数据。1.3系统子功能概述1.3.1通讯录数据的提取。通讯录的提取主要包括SIM卡里的号码和手机里面的号码。当SIM卡中的电话号码被删除后，要想恢复是不大可能的，这是因为电话号码在SIM卡中是以十六进制的编码方式存储的，每个存储空间包含一个名字和个号码。删除W后十六进制的FF就会覆盖存储空间的信息*不过由于SIM卡存储空间是循环分配的，我们可以通过识别用过的空间之间的空闲空间来判断存储的号码是否被删除过。其提取设计流程简单的说就是先进行取证系统初始化，然后Android手机数据线连接PC,启动手机连接，系统驱动扫描接口，判断连接是否成功，若成功则创建Android手机连接，启动数据提取模块，加载通讯录提取子模块，启用Android手机连接，连接Android手机数据接口，随后分别启动手机通讯录管理模块或者手机SIM卡管理模块，连接Android通讯录数据库或者SIM卡，进行手机及SIM卡通讯录数据的提取。将提取到的数据下载到PC，最后通过对通讯录的解析并提取数据进行界面显示。1.3.2短信数据的提取。SIM卡提供了存储文本信息的空间，每个SMS空间占176字节，由第一个字节Status(状态字节）和第2-176字节TPDU组成。Status的值定义为：00000000表示该空间未被使用，00000001表示接收到的短信息已读，00000011表示接收到的短消息未读，00000101表示发送的短信息已发送，00000111表示发送的短消息未发送。不同品牌的手机删除SIM卡短信的机制是不同的，有的手机在删除短信时只是将短信存储E的第一个字节Status的值改为00000000，剩余字节中的内容不作任何修改，这样它里面的内容其实是可以恢复的。而另一些手机在进行短信删除时除了将短信存储区的Status字节的值改为00000000外，其余字节中的内容全部修改为FF,这样实际上短信的内容已经不复存在，因此无法将其内容恢复。短信数据的提取分为短信数据和彩信数据，这部分的数据具体存储在发件箱，收件箱和草稿箱。具体的设计流程和上述通讯录数据的流程没什么大的区别，不过是在创建Android手机连接后启动短信数据提取码命令，之后同样要对提取到的数据进行解析，并进行界面显示。1.3.3通话记录数据的提取。SIM卡也能存储最近的已拨号码，这些号码是以二进制的编码方式存储的。大多数的手机会把已拨电话存在手机的存储器中，调查人员也应该调查手机里的呼叫日志。通讯录数据的提取主要包括已接电话，未接电话，已拨电话数据。及具体的提取流程和上面的流程类似，这里和下面将不再赘述。1.3.4SIM卡信息提取。SIM卡是GSM网手机的基本单元，包含了特定用户的信息。它是一种特殊的智能卡，通常包含了16K到64K的内存、一个处理器、一个操作系统，在移动通信网络中，手机与SIM卡共同构成移动通信终端设备。SIM卡即为http:/www_/rlzygllw/客户识别模块，也被称为用户身份识别卡，它记录着IMEI、密钥Ki、PIN码、加密算法和其他用户相关的信息，移动通信网络通过此卡来对用户身份进行鉴别以及对用户通话时的语音信息进行加密。一个SIM卡惟一的标识出用户，决定电话的号码，包含一个授权用户连上网络的算法。SIM卡文件系统的组织是为了存放姓名和电话号码，发送和接收文本信息，和进行网络配置，这些信息也可以共存于电话的内存中。因此，SIM卡包含着大量有价值的潜在电子证据。1.3.5所有程序信息数据提取。该部分主要用来读取系统本身的程序跟用户自己安装的程序信息。1.3.6浏览器上网记录提取。该部分用来读取用户上网地址记录的信息。1.3.7日程管理信息的提取。该设计说明取证软件读取用户的日程管理数据，该数据包括了日程的标题，日程的描述，日程的时间等。1.3,8手机当前运行数据的提取。1.3.9手机用户数据提取。如手机QQ记录提取、Gmail邮箱数据、相册数据、音乐数据、视频数据、文本数据等的提取。1.3.10手机硬件参数数据提取。硬件数据取证系统主要提取手机芯片的数据，将手机芯片的数据按位进行复制。复制后的数据将被取证系统加密并标定。主要有包括手机用电量、CPU信息、内存类型等信息。在传统工业生产经营模式的影响下，很多IT企业很难做快速地做出转变。IT企业存在着单一地追求眼前效益，对环境保护和社会长远利益考虑缺乏考虑，绿色意识薄弱的问题。虽然绝大部分企业承认“绿色”很重要，但在IT产品的绿色节能与环保方面，有想法，却没有行动起来，没有将“绿色”付诸实施。与系统安全、软件升级、服务器更新等问题相比，绝大多数IT管理层对环保的重视程度不够。3.2技改成本剧增在绿色环保方面，我国作为一个发展中国家，绿色环保意识起步比较晚，和西方发达国家存在着较大的差距。在IT制造业差距显得更为明显，我国企业研发能力落后、手中的自主知识产权少、产品能耗高、排污严重超标、检测技术落后，这些问题都使得我国企业发展绿色IT面临严峻挑战。生产绿色产品，技术必须先行。要想解决技术方面的问题，无非是两种手段，自主研发或者引进国外先进技术。自主研发，面临着研发周期长，短期回报低的问题。引进国外先进技术又面临着巨额的专利转让费用的问题。这些问题无疑给IT企业的绿色转型带来一定程度上的压力。3.3市场监管不严在我国，绿色标识是识别绿色产品的唯一依据。当下，“绿色产品”和“环保产品”已经成为市场上炙手可热的消费商品，消费者对此类商品具有相当高的认可度。但是，我国现行的绿色产品认证服务宣传力度低、推广落后，使得很多企业难以完成绿色认证。而且，市场缺乏统一的绿色IT认证标准，使得市场缺乏监管标准，造成市场处于一种无序的状态。一些未取得绿色认证的经营者也打着绿色IT产品的旗号，欺骗消费者。这种做法会降级消费者对绿色IT产品的产品的信任，给绿色IT产品的未来发展带来严重的负面影响3.4消费者盲目消费目前，部分消费者已经具有“绿色”消费观念，并且在部分曰常用品的消费上，也体现出了较好的绿色消费意识。但是在处理IT消费问题上，绝大多数消费者缺乏相关消费知识，对绿色IT的认识比较肤浅，没有有效的判别绿色IT产品的方法，绿色IT消费行为不够理性成熟，造成盲目地绿色消费现象。4绿色IT发展对4.1加强制度建设，引导扶持绿色IT发展加强制度建设是推进我国绿色IT健康发展的重要工作。政府相关部门已经意识到绿色IT的重要作用，并出台了相关规定引导扶持绿色IT,要求各级政府部门坚决杜绝能耗大的IT产品，并且在财政、税收、价格等方面给予一定的优惠。但是，关于绿色IT产品的参数标准尚未明确制定，这给政府采购带来一定麻烦。所以相关部门应该尽快完善绿色IT产品的认证方法，建立统一的认证标准，使得政府的绿色IT产品釆购有章可循。同时电子垃圾也是发展绿色IT进程中的重大问题之一，面对与日俱增的电子垃圾，政府企业应该根据相关规定做好电子垃圾的妥善处理，避免对环境造成污染。4.2树立绿色观念.积极打造绿色产品在全球经济危机的背景下，IT企业要想在激烈的竞争下存活，就必须要尽快转换观念，化被动为主动，化消极为积极，开展技术创新，创造新的商机。其中，推行绿色IT是非常好的技术创新选择，虽然短期内不会取得很大的经济效应，但是，从长远角度来看，实行绿色IT能体现企业的社会责任感，提升企业的社会形象，给企业带来全新的商机。4.3强化监督机制，净化绿色IT市场环境要使得绿色IT健康发展，就政府就必须为绿色IT提供良好和规范的市场秩序，保障合法经营企业的利益和消费者的利益。首先，要抓紧完善我国的绿色IT标识制度。加快建设绿色IT的评价标准，加强绿色IT标识的宣传和推广。其次，要规范市场秩序。加大对绿色IT产品标识的管理，建立完善并且行之有效的市场监督机制。再次，要完善消费者保障体系。建立绿色IT消费管理机构，对经营失信企业单位予以严惩。4.4实施绿色教育，宣传绿色IT理念目前，公众对于绿色IT缺乏相关知识，对绿色I