本文選題：Android取證　切入點(diǎn)：易失性?xún)?nèi)存　出處：《南京郵電大學(xué)》2016年碩士論文　論文類(lèi)型：學(xué)位論文

【摘要】：隨著移動(dòng)終端市場(chǎng)的蓬勃發(fā)展,手機(jī)犯罪現(xiàn)象作為高科技犯罪的一種,智能手機(jī)的普及使對(duì)手機(jī)取證技術(shù)的研究邁向新的高度,對(duì)移動(dòng)終端Android平臺(tái),取證專(zhuān)家大多是通過(guò)轉(zhuǎn)儲(chǔ)非易失的安卓物理內(nèi)存和文件系統(tǒng),這兩種方法雖然可以提取大量隱私數(shù)據(jù),但對(duì)于加密和刪除的數(shù)據(jù)往往收效甚微。因此需要采取更加先進(jìn)有效的取證技術(shù)來(lái)獲取移動(dòng)終端數(shù)據(jù)。與此同時(shí),得益于數(shù)據(jù)分析技術(shù)的發(fā)展和研究,將數(shù)據(jù)挖掘,關(guān)聯(lián)分析等經(jīng)典理論應(yīng)用到取證分析技術(shù)中,也慢慢成為趨勢(shì)。本文通過(guò)對(duì)安卓?jī)?nèi)存的研究,介紹了如何轉(zhuǎn)儲(chǔ)安卓的物理內(nèi)存,主要是易失性?xún)?nèi)存,并采用一些方法分析安卓物理內(nèi)存,主要是羅列進(jìn)程列表,搜索敏感信息,解析應(yīng)用聊天記錄等,并利用關(guān)聯(lián)挖掘和聚類(lèi)分析算法深入挖掘內(nèi)存數(shù)據(jù)。最后通過(guò)實(shí)驗(yàn)分析表明,基于安卓物理內(nèi)存分析技術(shù)結(jié)合數(shù)據(jù)挖掘算法,可以提取手機(jī)大部分重要機(jī)密信息并能夠關(guān)聯(lián)分析用戶(hù)的行為。主要內(nèi)容包括:(1)調(diào)研分析內(nèi)存取證技術(shù),總結(jié)現(xiàn)階段安卓?jī)?nèi)存取證相關(guān)研究成果和方法。(2)對(duì)比安卓?jī)?nèi)存采集幾種方法,采取對(duì)內(nèi)存損失度最小的方法進(jìn)行內(nèi)存采集。(3)研究安卓?jī)?nèi)存分析技術(shù),從底層進(jìn)程信息,上層應(yīng)用數(shù)據(jù)等不同角度挖掘數(shù)據(jù)內(nèi)容從而挖掘用戶(hù)打開(kāi)的相關(guān)進(jìn)程,端口,網(wǎng)絡(luò)連接等底層信息,用戶(hù)在應(yīng)用程序中輸入的賬號(hào)口令等敏感信息,以及社交類(lèi)應(yīng)用程序中用戶(hù)與好友間的聊天記錄。(4)采用具體關(guān)聯(lián)挖掘和聚類(lèi)分析算法,對(duì)安卓?jī)?nèi)存數(shù)據(jù)進(jìn)行深入的挖掘分析,包括對(duì)安卓手機(jī)用戶(hù)在某個(gè)時(shí)間段的行為關(guān)聯(lián)進(jìn)行分析,并結(jié)合用戶(hù)與好友的親密度,對(duì)用戶(hù)的微信好友進(jìn)行聚類(lèi)分析。在系統(tǒng)模塊實(shí)現(xiàn)和實(shí)驗(yàn)分析階段,內(nèi)存分析各模塊正確地獲取用戶(hù)敏感信息和微信聊天記錄;同時(shí),通過(guò)改進(jìn),關(guān)聯(lián)規(guī)則挖掘和K-means聚類(lèi)算法都能夠有效對(duì)內(nèi)存數(shù)據(jù)進(jìn)行深入分析,從而挖掘出數(shù)據(jù)背后的信息。
[Abstract]:With the vigorous development of mobile terminal market, the phenomenon of mobile phone crime as a kind of high-tech crime, the popularity of smart phones make the research of mobile phone forensics technology to a new height, the mobile terminal Android platform, Forensic experts mostly dump nonvolatile Android physical memory and file systems, both of which can extract large amounts of private data. However, data encrypted and deleted often have little effect. Therefore, more advanced and effective forensics technology is needed to obtain mobile terminal data. At the same time, thanks to the development and research of data analysis technology, data mining, This paper introduces how to dump the physical memory of Android, which is mainly volatile memory, through the research of Android memory. Some methods are used to analyze Android physical memory, such as listing processes, searching sensitive information, analyzing chat records, and mining memory data by association mining and clustering analysis. Based on Android physical memory analysis technology and data mining algorithm, it can extract most of the important confidential information of mobile phone and analyze the behavior of users. The main contents include: 1) Research and analysis of memory forensics technology. Summarizing the current research results and methods of Android memory forensics. (2) comparing with several methods of Android memory acquisition, adopting the method of minimum memory loss to do memory acquisition. (3) studying Android memory analysis technology, from the bottom process information. The upper application data and other different angles mining data content in order to mining users open related processes, ports, network connections and other underlying information, user input in the application account password and other sensitive information, And the chat record between users and friends in social application. 4) using specific association mining and clustering analysis algorithms, the Android memory data mining in-depth analysis, Including the analysis of Android mobile phone users' behavior association in a certain period of time, and combined with the user and friends' affinity, the user's WeChat friends cluster analysis. In the system module implementation and experimental analysis stage, Each module of memory analysis correctly acquires user sensitive information and chat records of WeChat. At the same time, association rules mining and K-means clustering algorithm can effectively analyze the memory data, so that the information behind the data can be mined.
【學(xué)位授予單位】：南京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類(lèi)號(hào)】：TP311.13;D918.2

【相似文獻(xiàn)】

相關(guān)期刊論文 前1條

1 羅文華;湯艷君;;基于Volatility的內(nèi)存信息調(diào)查方法研究[J];中國(guó)司法鑒定;2012年04期

相關(guān)會(huì)議論文 前2條

1 張然;董曉恒;羅修波;;反射內(nèi)存網(wǎng)絡(luò)在實(shí)時(shí)信號(hào)傳輸中的應(yīng)用[A];2007系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2007年

2 趙齊;黎鐵軍;邢座程;;DDR3內(nèi)存系統(tǒng)錯(cuò)誤及檢錯(cuò)研究[A];第十五屆計(jì)算機(jī)工程與工藝年會(huì)暨第一屆微處理器技術(shù)論壇論文集（A輯）[C];2011年

相關(guān)重要報(bào)紙文章 前10條

1 胡軍;添加內(nèi)存真能讓“本本”飛起來(lái)？[N];中國(guó)消費(fèi)者報(bào);2007年

2 山東 郭振海;內(nèi)存六種異常故障排除法[N];中國(guó)電腦教育報(bào);2001年

3 周雙仁;內(nèi)存故障排除六法[N];中國(guó)電腦教育報(bào);2004年

4 馮小民;內(nèi)存神醫(yī)[N];電腦報(bào);2001年

5 安徽 劉勇;內(nèi)存異常故障的排除法[N];中國(guó)電腦教育報(bào);2005年

6 郝曉波;內(nèi)存錯(cuò)誤不用慌[N];中國(guó)計(jì)算機(jī)報(bào);2003年

7 均兒;內(nèi)存X檔案[N];電腦報(bào);2006年

8 屈健;尖峰時(shí)刻[N];電腦報(bào);2001年

9 ;實(shí)現(xiàn)低開(kāi)銷(xiāo)和高速度的RDMA[N];網(wǎng)絡(luò)世界;2003年

10 北京 成兆義;劣質(zhì)內(nèi)存被Win2000“拿下”[N];電腦報(bào);2004年

相關(guān)博士學(xué)位論文 前6條

1 李磊;網(wǎng)格化內(nèi)存服務(wù)體系結(jié)構(gòu)研究[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2008年

2 王紹剛;基于分離設(shè)計(jì)方法的硬件事務(wù)內(nèi)存系統(tǒng)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2009年

3 朱宗衛(wèi);基于系統(tǒng)時(shí)空行為特征的內(nèi)存功耗優(yōu)化研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2014年

4 朱素霞;面向多核處理器確定性重演的內(nèi)存競(jìng)爭(zhēng)記錄機(jī)制研究[D];哈爾濱工業(yè)大學(xué);2013年

5 張揚(yáng);基于操作語(yǔ)義的弱內(nèi)存模型描述及程序邏輯研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2015年

6 王睿伯;面向NUMA結(jié)構(gòu)的軟件事務(wù)內(nèi)存關(guān)鍵技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 孝瑞;內(nèi)存動(dòng)態(tài)安全監(jiān)測(cè)及防范研究[D];華北電力大學(xué);2015年

2 董步云;Windows平臺(tái)基于數(shù)據(jù)關(guān)聯(lián)的內(nèi)存取證分析技術(shù)研究[D];南京大學(xué);2014年

3 朱國(guó)梁;存儲(chǔ)類(lèi)內(nèi)存模擬器的設(shè)計(jì)與實(shí)現(xiàn)[D];國(guó)防科學(xué)技術(shù)大學(xué);2013年

4 吳鴻遠(yuǎn);基于共享內(nèi)存的域間通信優(yōu)化方法研究[D];杭州電子科技大學(xué);2015年

5 高士翔;基于內(nèi)存頁(yè)流驗(yàn)證的ROP防御方案[D];南京大學(xué);2016年

6 周帆;基于安卓?jī)?nèi)存的證據(jù)挖掘與關(guān)聯(lián)分析[D];南京郵電大學(xué);2016年

7 陳丹丹;用軟件實(shí)現(xiàn)局域網(wǎng)中的內(nèi)存共享[D];南京航空航天大學(xué);2002年

8 薛長(zhǎng)英;內(nèi)存容限測(cè)試的分析及優(yōu)化方案[D];上海交通大學(xué);2012年

9 桑廳;內(nèi)存取證工具的研究與實(shí)現(xiàn)[D];上海交通大學(xué);2013年

10 鄭偉德;軟件內(nèi)存錯(cuò)誤的主動(dòng)容忍機(jī)制研究[D];華中科技大學(xué);2012年

，

本文編號(hào)：1560793