针对安卓移动终端设备的数据取证技术研究
走私犯罪案件中手机电子数据的提取依据及辩护律师的质证要点
走私犯罪案件中手机电子数据的提取依据及辩护律师的质证要点作者:梁栩境律师广强律师事务所高级合伙人律师金牙大状律师网走私犯罪辩护研究中心主任随着智能手机功能的日渐完善,现阶段不少进出口业务都能通过手机进行操作及完成。
笔者近期在办理多起走私犯罪案件时均发现,办案部门除对犯罪嫌疑人、被告人的手机进行扣押外,亦会视案件情况而将手机中的相关信息进行提取、固定证据。
现笔者就手机内的电子数据信息的提取以及辩护律师在其中的质证要点进行分析、说明。
一、涉及手机等通讯设备的电子数据提取的法律法规及依据法律、司法解释对于电子数据的提取以及审查,有相关详细的规定,如2016年最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》;2014年最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》;2012年最高人民法院《关于适用刑事诉讼法若干问题的解释》等。
另外,针对手机进行电子数据提取的相关依据主要有三个国家标准以及多个公共安全行业标准,具体如下:国家标准1.《电子物证数据恢复检验规程》(标准编号:GB/T 29360-2012);2.《电子物证文件一致性检验规程》(标准编号:GB/T 29361-2012)3.《电子物证数据搜索检验规程》(标准编号:GB/T 29362-2012)。
公共安全行业标准1.《电子数据存储介质复制工具要求及检测方法》(标准编号:GA/T754-2008);2.《数字化设备证据数据发现提取固定方法》(标准编号:GA/T756-2008);3.《法庭科学电子物证手机检验技术规范》(标准编号:GA/T1069-2013)。
在对相关法律法规、行业标准进行了解后,笔者认为,对涉及走私犯罪案件中的手机中所提取的相关证据,应综合法律及行业的规定、标准,进行分别质证。
二、根据相关法律的规定,对证据进行质证笔者认为,在依据法律对涉案手机所提取的证据进行质证时,可现行参考《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(下简称《规定》),进行分析。
网络犯罪案件中智能手机取证的应用
随着网络技术的不断创新与发展,新的犯罪手法和犯罪 趋势不断涌现,智能家居、物联网等新兴技术产业面临着严 峻的网络安全威胁。伴随着 5G 时代的来临,人们在出行、 支付、购物、通信时更多的依赖智能手机。智能手机给人们
收稿日期:2020-09-21 基金项目:安徽公安职业学院校内科研项目 (XN2019YB043)
摘 要:互联网已经越来越深地融入了人们的日常生活、工作中,移动支付已经深刻地改变了人们的生活方式,智能手机
已经成为人们日常生活中必不可少的物品,利用智能手机进行网络犯罪的案件也不断增多。智能手机的厂商、型号及版本系统各
不相同,数据存储方式也不同,给取证人员进行电子数据取证增加了难度。对网络犯罪案件中智能手机的取证流程以及涉案手机
2.3 智能手机取证时注意事项 第一,在现场勘验阶段,办案取证人员应首先确认目标 手机安全,比如在一些案件中,手机是爆炸的引爆器;第二, 待检测的智能手机在进行取证之前应当放在电磁信号屏蔽环 境中或者关机,在取证过程中应当将 SIM 卡移除或者开启 飞行模式,保证智能手机的初始状态不发生改变,原始数据 不被污染;第三,仔细勘验现场,关联现场中出现的其他物 证、书证与智能手机使用者和智能手机之间的关系。
遵循这个步骤:首先对待取证手机进行 USB 调试模式,USB 调试模式是 Android 提供的一个用于开发工作的功能,使用该 功能可在计算机和 Android 设备之间复制数据、读取数据等 等。在 Android 手机中,用户获取 root 权限后可以对手机中 的文件数据进行备份。一般在手机设置中会有“权限管理”
数据包信息进行研究,为公安机关在网络犯罪案件中智能手机取证方面提供参考。
关键词:网络犯罪;智能手机;电子数据;取证
基于云架构的手机取证仿真平台研究
目前,针对计算机操作系统的仿真取证已经相 对比较成熟,可以实现对原始磁盘介质以及证据文 件的自动仿真。但手机系统中数据存储介质与硬件 有着紧密的相关性,难以实现对被调查手机逻辑提 取或镜像提取后的自动仿真。因此,其仿真过程中 环境的重建需要手动完成,同时,对于数据经由硬件 加密的手机,比如苹果、华为Mate8等机型,需要在 先破解的技术的基础上才能进行仿真。手机仿真取
可直接架构在大量廉价的物理硬件上。分布式平台 层是以多单位租用、集中管理和多级级联为特征的 软件平台的基础支撑,主要为独立软件开发商和软
查变得异常缓慢。在对介质进行分析的过程中,其 大部分时间都耗费在了漫长的介质挂载和数据查询 等待中,严重影响了取证效率。 因此,本文提出一个基于云构架的手机取证仿 真实验平台,利用大数据和云计算技术,解决取证效 率和资源共享难题。在保证操作真实性的前提下, 利用手机仿真技术摆脱实验平台对设备的依赖性, 实现实验环境的快速搭建。
模拟安卓系统。目前这些手机仿真软件均可在微软
公司的Windows操作系统平台上运行。在手机取
证领域,通过构建手机仿真,可以在PC上实现对手
机的操作系统进行仿真并对其上的应用程序痕迹进
随着数据的集中,建立数据仓储。
云平台关键技术也是在高层对数据中心进行虚 拟化,即为实验室一个部门级的虚拟数据中心,这种 虚拟数据中心技术具有很强的可扩展性。虚拟数据
行前后的状态再进行比对。而通过仿真系统,可以
方便地创建一个或多个快照,为应用程序的分析提 供了极大的便利。
(6)虚拟身份利用。由于手机基本上都是个人
使用的,且输入密码比较麻烦,所以大部分人都会把 自己的帐号的状态设成保存密码,这时利用手机仿 真就可以利用对象保存的密码,登录对象的帐号,利 用对象的虚拟身份进行各种取证调查工作。 3.3手机仿真取证的步骤
智能手机数据提取浅析
1 手机检验基本流程该文的操作流程,仅针对线索的提取,如果需要取证,注意应先做镜像。
(1)与送检人员或熟悉案件的侦查员充分沟通,了解受检手机获取时现场情况,包括手机为何人持有,该人在案件中角色,案件涉及手机的可能关键时间点、是否获得手机开机密码等。
制作手机基本信息记录表,详细记录以上沟通所得信息。
(2)制订手机数据提取调查详单,做好详细的步骤,指导我们的取证工作,以确保不遗漏任何细节。
(3)准备检测取证的设备及软件。
为满足基本检验需要,需配备一台专用计算机,安装自动手机取证软件,如美亚的手机取证软件DC4500及ROOT大师、豌豆夹、itune等常用手机连接电脑软件。
必要时可配备国外手机镜像工具套。
(4)根据手机型号,准备相关驱动程序,通过USB连接线将手机连接到电脑。
这里有几点需要注意:①确保手机电量,切勿因手机电量不足而意外关机造成数据不必要的损坏。
避免方法可以准备手机电源线,及时对手机进行充电。
例如采用Android系统的手机有些数据在删除后并不会立即清除,只有在下次重启以后,才会被完全清除掉,这是因为An-droid系统手机在数据处理上与传统手机存在差异。
②将手机设置为飞行模式,防止取证过程中有电话打入或短信接收,造成手机原始数据的破坏。
无线网连接需断开,因为如果手机在取证过程中连上网络,也可能造成数据破坏。
进入开发人员选项,勾选USB调制模式。
③首先对手机SIM卡、SD卡和内存的原始数据进行备份。
④针对Iphone手机,开机后,为避免数据污染,在取证前,进入Iphone之后,将syncing设置为不自动同步。
因为当Iphone与电话同步连接时,Iphone可能复制电脑中的电话本、照片、音乐及其它数据,电脑也可能将它的数据复制给Iphone。
(5)先使用国产自动取证设备进行自动取证,以期在最短的时间内快速提取数据,形成报告。
同时查看安装的程序,特别是通联工具,如QQ、微信、微博、skype、T、V、DIDI等,因为目前手机主要的功能还是用来通信联系,从手机的通联信息中能获许多有利于案件侦查的线索。
安卓手机调查取证
安卓手机调查取证於跃;潘程;陈潮【摘要】Due to the rapid development of science and technology in society, the smart phone is also widely used in the daily life. With the popularity of smart phones, online shopping, money payments can done using a mobile phone, and thus gave the criminals an opportunity. Android system as the most widely used in the life of the mobile phone system, the ability to grasp the essential Android mobile phone forensics.%由于社会中科技的高速发展,智能手机也普遍运用在平时生活中.随着智能手机的普及,网上购物、钱财收支都能用手机完成,也因此给了不法分子可乘之机.安卓系统作为居民生活中使用率最广的手机系统,掌握安卓手机取证能力必不可少.【期刊名称】《电子测试》【年(卷),期】2016(000)008【总页数】2页(P112-113)【关键词】安卓手机;密码破解;电子证据;证据恢复【作者】於跃;潘程;陈潮【作者单位】浙江警察学院,浙江杭州,310053;浙江警察学院,浙江杭州,310053;浙江警察学院,浙江杭州,310053【正文语种】中文智能手机的普及使绝大多数的一般群众都开始使用智能手机。
而且随着智能手机功能的不断优化和发展,老百姓的生活更是和智能手机息息相关。
鉴于智能手机操作的方便快捷,人们会倾向于将照片、个人信息、亲友联络方式乃至更加私密的内容存储于手机内。
安卓手机系统作为主要的手机操作系统,区别于IOS是单独系统,更加兼容各类应用程序。
基于MTP下的智能手机数据恢复及其取证技术
基于MTP下的智能手机数据恢复及其取证技术作者:叶志刚来源:《电子技术与软件工程》2018年第22期摘要本文对基于MTP模式下智能收集数据恢复及取证技术进行了分析,针对支持MTP 连接模式的安卓智能手机,提出了完整的数据恢复取证方法与流程,对仅支持MTP模式不支持外插SD卡的手机恢复提取方法进行了验证。
【关键词】MTP模式智能手机数据恢复取证智能手机是现代社会的重要通讯工具,移动互联网的崛起与智能移动终端广泛使用,使智能手机应用程序进行隐私窃取及恶意攻击等犯罪活动不断增多。
研究智能手机数据恢复取证技术对遏制不法行为具有重要意义。
手机运营商更加注重手机文件的安全性,大量的智能手机采用MTP等新型连接模式,避免了直接读取文件的风险,但MTP模式下手机无法识别为盘符,传统数据恢复软件无法恢复不能拔插SD卡的手机所删除信息。
本文通过研究基于安卓智能手机MTP模式的数据恢复方法。
1 MTP模式及其体系结构MTP模式是一种新型的USB连接模式,该协议允许用户在移动设备上线性访问媒体文件。
MTP可支持数字音频播放器的音乐文件与媒体文件,及个人信息的传输。
传统的USB模式下,电脑操作内存设备粒度的设备块。
智能手机通过USB将内存卡挂载到电脑,电脑拥有对其绝对控制权。
导致内存卡重新挂载到手机后不能被识别。
智能手机通过MTP协议向电脑构建了虚拟文件系统,电脑操作文件时通过MTP协议向智能手机发起请求,使文件更安全。
C++层包括Mtp Request负责从USB驱动读取数据,MTP data负责结构化手机要返回给PC数据包,MTP Response负责结构化手机为返回的Response,MTP server负责解析PC命令调用相应的接口函数处理。
Java层包括Usb Receiver等对象,Usbrecelver用来监视UDB事件,MTp servicer与加载存储设备信息到数据库,Media Provide负责查询更新数据库,MTP Server负责启动停止MTp Server,处理STorage添加删除。
数字取证技术追踪与分析网络犯罪证据培训课件
实际操作演示及注意事项
确保操作环境安全
在进行取证操作时,要确保操作 环境的安全性和稳定性,避免数
据泄露或损坏。
遵循法律程序
在取证过程中,要严格遵守法律 程序和相关规定,确保取证活动
的合法性和有效性。
记录详细操作步骤
在取证过程中,要详细记录每一 步操作过程和结果,以便后续复
查和验证。
05
法律法规与伦理道德考量
者的行为轨迹。
网络流量数据
捕获网络传输过程中的数据包 ,通过分析可发现异常流量和 恶意行为。
文件和数据库
存储着大量的用户信息和业务 数据,可能成为网络犯罪的攻 击目标或留下犯罪痕迹。
社交媒体和通讯记录
犯罪嫌疑人在社交媒体上的发 言和通讯记录可能成为关键证
据。
网络犯罪证据特点分析
隐蔽性
网络犯罪证据往往隐藏 在大量的正常数据中,
电子数据已被广泛认可为 一种有效的法律证据,对 于打击网络犯罪具有重要 意义。
易于篡改
电子数据易于被篡改且不 留痕迹,因此确保其完整 性和真实性至关重要。
技术依赖性
电子数据的收集、保存和 分析需要依赖特定的技术 手段和工具。
常见网络犯罪证据类型
系统日志
记录计算机系统或网络设备的 操作和活动,可用于追踪攻击
难以被直接发现。
易逝性
电子数据容易被覆盖或 删除,因此及时收集和
保存证据至关重要。
多样性
网络犯罪证据类型多样 ,包括文本、图像、音 频、视频等多种形式。
跨地域性
网络犯罪往往涉及多个 国家和地区,证据的收 集和分析需要跨国合作
。
03
数字取证技术方法与实践
数据恢复与提取技术
数据恢复技术
案件侦办中手机电子数据取证难点及解决方法
收稿日期:2018-04-15 基金项目:2017 年度广西壮族自治区中青年教师基础能力提升项目(2017KY0882) 作者简介:李刚(1978— ),男,广西博白人,广西警察学院信息与网络安全系副教授,主要从事网络犯罪侦查和电子数据取证研究。
68
李刚
案件侦办中手机电子数据取证难点及解决方法
嫌疑人已经掌握了高精尖的互联网通讯技术,他们 利用通讯网络实施了许多新型犯罪,如网络诈骗、网 络传销、网络贩毒以及网络恐怖犯罪活动等,打击这 些犯罪势必需要政策、法律以及技术的支持。然而在 案件侦办实践中,公安机关技术执法人员遇到了许 多影响甚至阻碍案件侦办的难题。例如,美国国家安 全部门在调查一起恐怖袭击案件中,需要获取犯罪 嫌疑人 iPhone 手机中的信息,但由于核心技术掌握 在苹果公司手中而未能实现。司法部随后发出一项 动议,试图强制苹果公司配合法庭的要求,提供技术 参数以解锁犯罪嫌疑人的 iPhone 手机,但苹果公司 以保护客户隐私权为由拒绝,此事因涉及侦查权与 隐私权的冲突而引发全球关注。又如,在我国,电子 数据通常存储于网络或商业运营商的数据库内,属 于公司商业机密。公安机关在调取相关数据时一般 应取得对方的同意,其中涉及国家法定调查权和企 业经营自主权、公民个人数据安全以及个人隐私权 的复杂矛盾,而我国目前的法律规定存在许多模糊 地带,致使公安机关在案件侦办中缺乏强而有力的 获取手机电子数据的手段,这些问题已成为制约公 安机关调查取证的瓶颈,因而解决这些问题将成为 案件侦破工作的关键突破口之一。
通过合法程序提取分析手机电子数据并从中获取情 报成为公安机关技术侦查部门案件侦办中的常用手 段。如在许多重特大案件中,针对手机所采取的技术 侦查措施屡建奇功,已成为案件侦破的重要方法。
2.手机电子数据成为证据的重要形式 在公安机关侦办的许多案件中,通过犯罪嫌疑 人手机提取的短信、QQ 或微信聊天记录、电子邮 件、网页浏览 Cookie、支付宝、微信及银行卡进出是案件证据链的重要 一环。这些手机数据通过固定、保全及履行相关法定 手续后即可成为案件强有力的证据。2012 年 《刑事 诉讼法》 的修改让电子数据成为我国刑事诉讼的法 定证据形式,尤其是 2016 年最高人民法院、最高人 民检察院和公安部联合发布的 《关于办理刑事案件 收集提取和审查判断电子数据若干问题的规定》,对 电子数据的提取、审查及判断等环节予以明确,为公 安机关案件侦办中手机电子数据的提取利用提供了 直接法律依据。可以预见的是,未来手机电子数据在 公安行政管理和刑事诉讼中的证据价值将无限放 大,公安机关必须认清形势并做好应对准备。 (二)手机电子数据获取成为决定部分案件侦办 成功的关键 在以大数据为代表的信息网络时代,许多犯罪
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2017年第12期 (总第399期) 攀南季 誊 NO.12.2017 (CumulativetyNO
.399)
针对安卓移动终端设备的数据取证技术研究 傅纬球 (广东天波信息技术股份有限公司,广东佛山528251)
摘要:由于安卓移动终端设备的应用越来越广泛,在获取司法证据及鉴定时,对安卓移动终端设备中数据的 提取、处理及分析十分必要,这已是获取证据时不可忽略的途径。文章旨在对安卓的数据取证进行分析,不 仅对移动终端数据恢复的逻辑及物理技术进行了介绍,而且还对文件系统、时间序列、字符串匹配等相关的 数据分析技术提出了意见。 关键词:安卓系统;移动终端设备;数据取证技术;司法证据;司法鉴定 文献标识码:A 中图分类号:TP393 文章编号:1009—2374(2017)12—0013—03 DOI:10.13535/j.cnki.11—4406/n.2017.12.007
当今社会,现代计算机、移动硬盘、手机等电子设 备发展迅速,日常生活中人们对电子设备十分依赖,运 用也极为广泛,从而推动了社会信息化的发展。需要通 过司法鉴定来证明社会上的民事纠纷、刑事案件等客观 事件的真实性。数字取证这一技术正在高速发展,如对 公司内部调查分析、刑事调查、民事诉讼、情报收集, 与国家安全相关等方面影响巨大。 数字取证领域发展迅速,移动取证不仅挖掘了巨大 的商机还发起了严峻的挑战,安卓的取证分析无论是对 取证分析师还是对安全工程师来说都会使业界呈高速的 增长的状态。取证时的电子数据信息采用二进制数据表 示,存在的方式为数字信号,若出现其他差错或故意的 变更、删减、剪接、删除、截收数字证据等,均将导致 数据被篡改。因此,应结合磁盘、内存数据恢复、数据 挖掘、加密技术、反向工程、解决技术等理论和技术将 证据进行安全保障。但是由于取证分析师及信息安全工 程师们对相应的设备及手持终端的知识、技术不够了 解,在解决问题时会比较困难。本文中,针对安卓移动 终端设备的数字取证问题,从技术的层面对相关技术进 行了分析。 l关于取证 1.1物理数据技术 可进行存储数据的物理介质即为物理技术的目标, 数据的访问并不是依靠文件系统来实现,可以对大部分 被删除的数据进行访问是物理技术的主要优点。采用某 种手段对安卓设备的存储区域直接进行镜像处理,并将 生成的数据镜像文件做进一步分析的技术即为安卓系统 的物理数据恢复技术。若能成功避开口令的保护,从而 使获得被修复的数据根据指数的数量级不断增加即获取 目标数据存储的物理映像取证技术。这除了对己删除的 数据可进行访问之外,还可对系统认为不再重复使用而 丢弃的数据进行访问。物理数据恢复就结构上来说低于 逻辑数据恢复一层,即为逻辑数据恢复的基础。由于采 用的镜像手段各有不同,可以是硬件为基础的物理数据 恢复技术及以软件为基础的物理数据恢复技术,硬件即 连接硬件与终端设备的方法或是指在物理上获取终端设 备部件的方法;软件即在可访问root的条件下可使终端 设备中的软件开始运行的技术,从而可在数据分区获得 完整的物理映像。以硬件的方法为基础,则需要专门的 较为昂贵的仪器及对取证人员进行培训,可有效地作用 于无法获得root访问权限的终端设备中。而以软件为基 础的物理技术可直接地获取数据,以此为起始点较为理 想,但只有能对终端设备上的root进行访问,才能更好 地运用以软件为基础的技术。 1.2逻辑数据技术 以对文件系统的访问来挖掘所分配的数据即为逻辑 技术。所分配的数据主要是指可在文件系统中获得且没 被删除的数据。于当前文件目录中获取数据文件并对其 进行逻辑分析技术指的就是安卓系统的逻辑数据恢复技 术。目前,在使用安卓操作系统的移动终端设备时,在 data/data/目录下储存与应用程序相关的信息及数据, 同时为更好区分,应将不同的应用程序于该目录下采用 多个子目录将该程序中的数据文件进行存放。如在data/ data/com.Android.Contacts的目录下存放与联系人相关 的文件、在data/data/com.Android.mms的目录下存放 与手机彩信相关的文件等。而databases目录存在于上 述的每个目录下,这个目录中是存储对与该应用程序的 SQLite数据库相关的文件。采用调试工具adb,由Google 官方提供,可对所有目录中所存储的文件进行查看,并 提取需要进行逻辑分析的SQLite数据库文件到运行adb工 具的Pc机上,后可采用SQLite expert此类数据库文件查 看器查看并分析所获取的数据库文件。 这种获取并分析数据方式操作较为简单且易于实 现,于SQLite数据库文件中可获取大量的信息,如联系 人、短信记录及浏览器的浏览记录等。但是这种方式也 有较为明显的缺点,各应用程序正在使用的SQLite数据 库中当前的文件内容就是利用该方法进行数据取证的唯 一途径,若有些应用程序被卸载,则该类的数据库文件
13— 将不复存在或者数据库中的某些程序的内容在应用程序 中已被做了删除处理,因此无法在数据库中获取这些信 息。此外,若SQLite数据库的某些文件的数据库记录被 删除,将不会再有显示。对比传统的逻辑技术,在安卓 取证中配合特殊的工具与技术,依靠内容提供商内置于 安卓平台、软件开发套件中的技术,通过所获取的逻辑 数据,将被删除的数据库数据恢复。 2数据分析技术 2.1 获取数据 数据获取模块包括有4个子模块,即为IngeSt数据 获取模块、AndroidR卓模块、E01模块和ExIF模块。 Ingest模块所发挥的功能是数据源以及相关文件的获 取;Android模块所发挥的功能是获取终端数字;EO1模 块所发挥的作用是识别该类型的文件并获取相关数据; EXIF模块所发挥的作用是识 ̄EXIF图像,并对有关文件 进行分析。 2.2传输数据 传输数据的模块所采用的是通信技术对相关数据进 行传输,包括有4个子模块,即为Services提供服务的 模块、Core Component Inter Faces核心组成构件的接 口模块、Core Utiis核心通用模块、Key word Search Service搜索关键字的模块。其中,Services模块所发挥 的作用是为模块直接的信息传递提供必要的服务;Core Component Inter Faces模块所发挥的作用是建立信息传 递所需要的通信接口,使得组件之间的信息可以顺利传 输;Core Utils模块功能所发挥的作用是为信息传输提 供通用工具:Key word Search Service模块所发挥的作 用是为搜索关键字提供必要的服务。 2.3分析数据 分析数据的模块包括有9个子模块,即为Fi1 e typeid处理文件的模块、Seven Zip处理压缩包的模块、 Data Model数据模块、File Ext Mismatch识别不匹配扩 展名的模块、Core核心模块、Key word Search搜索关键 字的模块、File Search搜索文件的模块、Core libs核 心库模块、Recent Activity近期活动的模块。其中, Fi le type模块所发挥的作用是判断文件的类型并对相关 问题进行分析;Seven Zip模块所发挥的作用是识别压 缩包文件并对相关问题进行分析;Data Model模块所发 挥的作用是建立数据模块并对相关问题进行分析;Fi1e Ext Mi smatch模块是导入扩展名并对相关问题进行分 析;Core核心模块所发挥的作用是加载核心库并对相关 问题进行分析;Key word Search模块所发挥的作用是搜 索关键字并对相关问题进行分析;File Search模块所发 挥的作用是搜索文件并对相关问题进行分析;Core 1ibs 模块所发挥的作用是加载核心库并对相关问题进行分 析;Recent Activity模块所发挥的作用是提取各项活动 任务并对相关问题进行分析。 2.4处理数据 处理数据的模块包括有5个子模块,即为Hash Data base哈希数据校验的模块、Content Viewers浏览内容的 14 模块、ReportSg告模块、Directory Tree目录树模块、 Time line时间轴模块。Content Viewers模块所发挥的 作用是浏览元数据、Hash Data base模块所发挥的作 用是采用哈希校验的方法对数据进行取证:Directory Tree模块所发挥的作用是将建立数据树目录、Report模 块所发挥的作用是将符合用户需求的取证报告制定出 来、Time line模块所发挥的作用是分析时间、事件以及 行为之间所存在的相关性。 2.5其他 在取证的过程中,以物理获取数据为基础后进行逻 辑获取及分析即可得到足够的案件信息。而有些案件需 要更进一步的分析,将被删除的文件与未知的文件的结 构之间进行联系,这将会涉及到其他如xML解析技术、数 据库技术和数据挖掘技术等与之的相关的技术,上述技 术均是安卓取证中不可或缺的;若办案人员想准确地了 解储存的数据,可采用十六进制编辑器进行查看,找到 其模式或可将被删除的数据结构识别出来。 3防范方法 注意安全使用网络。当今社会是网络时代,日常生 活中网络无处不在,家庭宽带、无线网络及手机的4G功 能均为人们常用来上网的方式,但是当我们处于室外及 一些公共场所时,常会使用公共网络,因此我们要注意 我们的私密信息是否会泄露,若有不安全的网络切勿随 意使用,尽量避免个人信息被拦截或遭到窃取。若有信 息泄露,应尽快将有关财产及重要的信息挂失冻结。 在安装APP时应时刻注意系统所提示的权限信息。在 安装时,系统所提示的系统权限信息如“访问通讯录、 获取相册、获取位置信息”等,很多用户通常不会注意 到这些权限信息是否应该通行还是阻止,这需要用户结 合所安装的此款软件的使用来决定是否需要通行这些权 限。若应用的基本功能与权限信息不符合,则对此款软 件应用的真实性持怀疑的态度。 4发展趋势 (I)会有大量恶意软件对移动设备构成威胁。忽略 设备的更新或是设备没有系统更新的提示等情况均可将 相关安全服务市场的发展推动,该安全服务市场不仅可 对传统PC电脑的安全问题进行解决,而且还可解决移动 设备的安全问题; (2)越来越多的手机制作商、移动运 营商正在找寻可将移动设备中所存在的安全漏洞进行快 速修复的方法。该项工作的发展较为缓慢,仍需要较长 的时间进行研究及开发; (3)移动支付系统正在稳步发 展。现在人们常使用的支付宝的在线支付功能、微信的 面对面收钱功能等,且还有Apple Pay等移动支付功能正 被广泛应用中,在使用相关的间接支付功能时,均要求 移动设备具有较高的安全性及用户同样要具有较高的安 全意识; (4)目前恶意软件还是较少的出现泄露用户数 据、信息等情况,但不排除在今后会大量出现数据泄露 类移动恶意软件,也是因如今处于数据时代可轻易地获 取大量的数据信息。因此,在这个广泛应用云技术的网 络时代,我们应高度关注此类问题。