基于Android平台的手机取证技术研究

摘要

伴随着以电子计算机和互联网技术为主的各项电子信息技术的深入发展和广泛应用，司法领域中各类“电子化”案件开始不断出现，各种形式的电子数据或许将成为潜在的电子证据。智能手机的发展极大丰富人们的生活，同时智能手机的普及使得利用手机从事的违法行为也越来越多，如何快速挖掘系统中的敏感信息对于手机安全具有重要的预防和监督意义。
　　在智能手机平台中，Android系统使用最为广泛，本文针对Android取证展开研究，首先分析了目前Android系统取证的研究现状，根据Android系统特性着重对Android系统应用数据及文件存储情况进行了详细说明。针对手机存储的文件，通常采用对比文件Hash值方法判断文件是否为恶意文件，而当文件Hash值不同而内容相似，则无法判断该文件是否为恶意文件，本文提出一种根据文件内容特征来判断文件相似性的方法，该方法通过获取文件内容特征值并根据特征值匹配相似文件，测试结果表明，此方法对于被篡改的文件及文件片段的识别具有较大价值;文中根据文件Hash值、文件内容特征值、网络特征等方面建立文件特征值数据库。除了对本地数据进行检测，本文针对网络数据流进行实时分析，通过引入Libpcap库在Android平台上获取网络数据报文并进行特征值匹配分析，能够捕获含有特征值信息的违法数据报文，从而实现对Android系统正在联网信息的监控。
　　本文通过PC服务端及手机客户端结合实现手机取证平台，服务端进行特征库及取证结果的汇总，手机客户端在本地及网络端进行数据取证，并将采集数据结果上传至服务端存储。

目录

声明

摘要

第一章 绪论

1．1 引言

1．2 国内外研究现状

1．3 文章内容安排

1．4 本章小结

第二章 相关基础技术

2．1 手机取证概述

2．2 Android系统相关概念

2．2．1 A Android系统架构

2．2．2 Android四大组件介绍

2．2．3 Android数据存储

2．3 Libpcap库

2．4 系统设计思想

2．5 本章小结

第三章 Android手机信息提取

3．1 基础信息提取

3．1．1 通讯录信息提取

3．1．2 通话记录信息提取

3．1．3 短信记录提取

3．2 其他应用信息提取

3．2．1 便签记录提取

3．2．2 浏览器信息提取

3．2．3 邮箱信息提取

3．2．4 即时通讯软件信息分析

3．2．5 其他

3．3 手机存储卡信息提取

3．4 本章小结

第四章 文件特征值获取方法研究

4．1 文件Hash值

4．1．1 MD5值

4．1．2 SHA-1值

4．2 文件特征值

4．2．1 文件内容特征

4．2．2 网络特征

4．2．3 特征库

4．3 模式匹配算法

4．4 本章小结

第五章 Android取证系统实现

5．1 网络信息监控

5．1．1 Tcpdump工具

5．1．2 Android抓包实现

5．2 本地数据取证

5．3 系统验证及测试

5．3．1 Android本地数据扫描

5．3．2 Android网络数据匹配

5．4 本章小结

第六章 总结与展望

6．1 总结

6．2 展望

参考文献

附录

致谢

攻读学位期间的研究成果