基于Android平台的智能手机取证关键技术研究

作     者：张艳姣 

作者单位：战略支援部队信息工程大学 

学位级别：硕士

导师姓名：曾光裕

授予年度：2018年

学科分类：08[工学] 0835[工学-软件工程] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：Android 手机取证 数据镜像 SQLite 删除记录恢复 可视化分析 

摘      要：随着移动通信技术的高速发展以及智能手机的快速普及,利用智能手机进行诈骗、网络谣言传播、毒品交易等犯罪活动日益猖獗,给人们的日常生活及社会的和谐发展带来了严重影响,智能手机取证可以有效地打击这些违法犯罪活动,其作为一种重要的数字取证手段已成为电子取证领域的研究热点。但智能手机取证在证据提取、数据恢复以及用户数据的可视化分析等问题上还存在诸多不足。为此,本文针对Android智能手机数据取证的几个关键问题进行了深入研究,主要工作和贡献如下:(1)针对现有的手机用户数据镜像提取方法实现过程复杂、通用性不强等问题,提出了一种基于Recovery模式的用户数据镜像提取方法。首先通过分析研究现有的Android智能手机数据镜像提取方法的特点及优缺点,找到了改进提取方法的依据;然后从Android内置存储器和文件系统的结构出发,分析了文件系统分区的特点、分区挂载的相关特性以及Recovery模式下存储器的读写方式,讨论了用户权限提升的方法,并基于此设计实现了用户数据镜像获取的方法,本方法可保证提取过程不破坏用户数据分区的完整性;最后从逻辑提取和物理提取两方面进行实验测试,结果表明使用该方法进行提取,数据分区的完整性优于已有的几种方法且具有较好的通用性。(2)针对现有删除记录恢复方法的恢复粒度大、恢复率低等问题,提出了一种基于SQLite内部结构的删除记录恢复方法。首先研究了SQLite数据库文件的文件头、Btree页及单元内容区,并基于此从逻辑和物理两方面对SQLite数据记录(以QQ聊天记录为例)的结构进行深入分析;然后通过对比删除记录前后单元结构的变化,找到SQLite记录删除后的存储原理;之后通过采用层次递归算法,遍历以自由块组成的空闲区域,并根据其数据记录是否被覆盖及覆盖的部位进行细粒度的恢复;最后对本方法进行了实验测试,结果表明该方法可以恢复出未被覆盖的自由块、部分被覆盖的自由块和未使用空间中残存的已删除数据记录,与已有几种恢复方法相比,恢复范围更广、恢复性能更好。(3)针对现有证据可视化关联分析方法手段单一、呈现效果不佳等问题,提出了一种基于可视化的用户数据分析取证方法。首先对Android手机用户数据进行基础分析,筛选出有用的表字段及关键信息;然后通过定义统一数据结构,对这些信息进行预处理,去掉冗余字段和无效信息,设计和创建了综合信息数据库;之后利用所构建的时间序列图和社交网络关系拓扑图,对综合信息数据库中的数据进行可视化关联分析;最后完成了两种可视化分析方法的实现并利用实际的案例数据进行了测试,结果表明呈现效果良好。