發(fā)布時(shí)間：2017-06-15 07:04

  本文關(guān)鍵詞：Android應(yīng)用取證分析研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著Android手機(jī)的普及,Android應(yīng)用程序的相關(guān)數(shù)據(jù)成為越來(lái)越多刑事案件、經(jīng)濟(jì)案件、政治案件以及高科技犯罪的重要證據(jù)。對(duì)于Android應(yīng)用程序的數(shù)據(jù)取證,現(xiàn)有的研究主要集中在存儲(chǔ)數(shù)據(jù)的取證分析上。但是隨著Android系統(tǒng)不斷改進(jìn)應(yīng)用程序存儲(chǔ)數(shù)據(jù)的防護(hù)手段,并提供底層的全盤數(shù)據(jù)加密功能,傳統(tǒng)的數(shù)據(jù)取證方法已無(wú)法獲取有效的數(shù)據(jù)證據(jù)。本文在分析現(xiàn)有Android應(yīng)用程序的存儲(chǔ)數(shù)據(jù)取證技術(shù)上,進(jìn)一步研究了Android應(yīng)用程序的內(nèi)存數(shù)據(jù)取證分析方法。在此基礎(chǔ)上開(kāi)發(fā)實(shí)現(xiàn)了Android應(yīng)用程序數(shù)據(jù)取證系統(tǒng),可對(duì)Android應(yīng)用程序的存儲(chǔ)數(shù)據(jù)和內(nèi)存數(shù)據(jù)進(jìn)行取證分析。本文的主要工作如下：1.在研究手機(jī)取證現(xiàn)有技術(shù)的基礎(chǔ)上,提出了符合現(xiàn)有國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)流程的Android應(yīng)用程序數(shù)據(jù)的取證方法及流程。根據(jù)Android應(yīng)用程序數(shù)據(jù)存儲(chǔ)方式將數(shù)據(jù)取證分為存儲(chǔ)數(shù)據(jù)取證和內(nèi)存數(shù)據(jù)取證：根據(jù)Android應(yīng)用程序數(shù)據(jù)存儲(chǔ)位置及存儲(chǔ)格式分為XML文件數(shù)據(jù)取證、SQLite數(shù)據(jù)庫(kù)文件數(shù)據(jù)取證以及二進(jìn)制文件數(shù)據(jù)取證,并提出相應(yīng)的取證方法；根據(jù)Linux內(nèi)核存儲(chǔ)空間以及內(nèi)存管理機(jī)制,提出應(yīng)用程序內(nèi)存數(shù)據(jù)取證方法。2.研究Android應(yīng)用存儲(chǔ)數(shù)據(jù)的取證方法：Android應(yīng)用數(shù)據(jù)主要以XML文件、SQLite數(shù)據(jù)庫(kù)文件以及二進(jìn)制文件形式存儲(chǔ)。首先對(duì)Android應(yīng)用進(jìn)行使用,通過(guò)向應(yīng)用中輸入關(guān)鍵信息,觀察和比較特殊文件,獲取其應(yīng)用數(shù)據(jù)存儲(chǔ)文件格式及存儲(chǔ)位置。對(duì)于XML文件,通過(guò)遍歷其樹(shù)形結(jié)構(gòu)格式,判斷屬性值的方法進(jìn)行數(shù)據(jù)證據(jù)的提取及分析；對(duì)于SQLite數(shù)據(jù)庫(kù)文件,通過(guò)SQL語(yǔ)言查詢相關(guān)數(shù)據(jù)庫(kù)的方法進(jìn)行數(shù)據(jù)證據(jù)的提取及分析；對(duì)于二進(jìn)制文件,通過(guò)遍歷二進(jìn)制文件查找特征值或者匹配固定格式數(shù)據(jù)的方法進(jìn)行數(shù)據(jù)證據(jù)的提取及分析,或者對(duì)Android應(yīng)用進(jìn)行逆向分析,通過(guò)向應(yīng)用反編譯產(chǎn)生的smali代碼注入特征代碼的方式,完成解析應(yīng)用數(shù)據(jù)存儲(chǔ)及加密方式,最終獲得解密數(shù)據(jù),從而完成二進(jìn)制文件數(shù)據(jù)證據(jù)的提取及分析。3.研究Android應(yīng)用內(nèi)存數(shù)據(jù)的取證方法：分析Android系統(tǒng)內(nèi)核及其內(nèi)存映射機(jī)制。利用Linux內(nèi)核運(yùn)行時(shí)可擴(kuò)展的特性,通過(guò)可加載內(nèi)核(LKM)的方式,加載驅(qū)動(dòng)程序到系統(tǒng)內(nèi)核態(tài)從而直接實(shí)時(shí)提取內(nèi)存數(shù)據(jù)；通過(guò)解析內(nèi)存中的iomem_resource結(jié)構(gòu),獲取實(shí)際系統(tǒng)內(nèi)存物理地址空間,通過(guò)地址偏移計(jì)算得到內(nèi)存當(dāng)中虛擬地址頁(yè)幀號(hào),從而計(jì)算獲得相應(yīng)頁(yè)結(jié)構(gòu)；在此基礎(chǔ)上通過(guò)高端映射獲取虛擬內(nèi)存空間線性地址,并從相應(yīng)地址讀取系統(tǒng)所有應(yīng)用進(jìn)程相關(guān)數(shù)據(jù)；內(nèi)存提取程序通過(guò)TCP連接與驅(qū)動(dòng)程序通信,存儲(chǔ)提取應(yīng)用程序內(nèi)存數(shù)據(jù)；對(duì)于所提取的應(yīng)用程序內(nèi)存數(shù)據(jù),通過(guò)查找分析特征值的方法對(duì)提取的內(nèi)存數(shù)據(jù)進(jìn)行相關(guān)分析。4.提出一種基于隱馬爾科夫模型(Hidden Markov Module, HMM)的Android應(yīng)用內(nèi)存數(shù)據(jù)分析方法：由于所提取的應(yīng)用內(nèi)存數(shù)據(jù)結(jié)構(gòu)未知且存在變化,難以獲取有效信息。本文提出一種基于HMM的有限概率狀態(tài)機(jī)的解析方法。通過(guò)觀察提取數(shù)據(jù)相應(yīng)特征,建立相關(guān)HMM模型結(jié)構(gòu),然后針對(duì)經(jīng)過(guò)預(yù)處理后的數(shù)據(jù),使用Viterbi算法提取出匹配模型且具有最大概率的信息序列,從而實(shí)現(xiàn)從內(nèi)存數(shù)據(jù)中自動(dòng)提取有效數(shù)據(jù)證據(jù)。5.設(shè)計(jì)并實(shí)現(xiàn)了符合國(guó)際國(guó)內(nèi)取證標(biāo)準(zhǔn)流程的Android應(yīng)用程序數(shù)據(jù)取證系統(tǒng)。該取證系統(tǒng)包括Android應(yīng)用程序數(shù)據(jù)獲取模塊、數(shù)據(jù)鑒定和分析模塊以及取證結(jié)果生成模塊：數(shù)據(jù)獲取模塊實(shí)現(xiàn)待取證目標(biāo)數(shù)據(jù)的提取；數(shù)據(jù)鑒定和分析模塊根據(jù)不同的取證類型對(duì)提取的數(shù)據(jù)進(jìn)行解析并提取有效數(shù)據(jù)證據(jù)；數(shù)據(jù)結(jié)果生成模塊實(shí)現(xiàn)數(shù)據(jù)證據(jù)的展示。本文從地理位置類、微博社交類以及即時(shí)通訊類應(yīng)用中選取了攜程旅行、新浪微博以及QQ聊天等常見(jiàn)應(yīng)用程序?qū)Ρ鞠到y(tǒng)進(jìn)行功能性測(cè)試。測(cè)試表明該系統(tǒng)可有效針對(duì)Android應(yīng)用的存儲(chǔ)數(shù)據(jù)和內(nèi)存數(shù)據(jù)進(jìn)行取證分析,具有較強(qiáng)的實(shí)用價(jià)值,并且可以適用于主流的即時(shí)通訊類、地理位置類、微博社交、瀏覽器類、電子郵箱類、云客戶端以及電子支付類等應(yīng)用程序。
【關(guān)鍵詞】：Android應(yīng)用 數(shù)據(jù)取證 存儲(chǔ)取證 內(nèi)存取證
【學(xué)位授予單位】：東南大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP316;D918.2
【目錄】：

• 摘要5-7
• Abstract7-15
• 第一章 緒論15-23
• 1.1 研究背景15-18
• 1.1.1 移動(dòng)終端取證技術(shù)15
• 1.1.2 取證相關(guān)標(biāo)準(zhǔn)15-16
• 1.1.3 數(shù)字取證準(zhǔn)則16-17
• 1.1.4 取證鑒定過(guò)程17-18
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀18-21
• 1.3 論文研究?jī)?nèi)容及意義21-22
• 1.4 論文組織結(jié)構(gòu)22-23
• 第二章 Android應(yīng)用及其數(shù)據(jù)23-37
• 2.1 Android應(yīng)用概述23-28
• 2.1.1 Android系統(tǒng)23-25
• 2.1.2 Android應(yīng)用架構(gòu)25-27
• 2.1.3 Android應(yīng)用管理機(jī)制27-28
• 2.2 Android應(yīng)用存儲(chǔ)數(shù)據(jù)28-31
• 2.2.1 XML文件數(shù)據(jù)28-29
• 2.2.2 SQLite文件數(shù)據(jù)29-31
• 2.2.3 二進(jìn)制文件數(shù)據(jù)31
• 2.3 Android應(yīng)用內(nèi)存數(shù)據(jù)31-36
• 2.3.1 內(nèi)存數(shù)據(jù)管理32
• 2.3.2 進(jìn)程地址空間32-33
• 2.3.3 Linux虛擬地址空間33-34
• 2.3.4 虛擬地址轉(zhuǎn)譯機(jī)制34-35
• 2.3.5 進(jìn)程內(nèi)存管理35-36
• 2.4 本章小結(jié)36-37
• 第三章 Android應(yīng)用存儲(chǔ)數(shù)據(jù)取證37-51
• 3.1 存儲(chǔ)數(shù)據(jù)獲取37-39
• 3.2 存儲(chǔ)數(shù)據(jù)鑒定和分析39-48
• 3.2.1 XML數(shù)據(jù)鑒定和分析39-41
• 3.2.2 數(shù)據(jù)庫(kù)數(shù)據(jù)鑒定和分析41-43
• 3.2.3 二進(jìn)制數(shù)據(jù)鑒定和分析43-48
• 3.3 本章小結(jié)48-51
• 第四章 Android應(yīng)用內(nèi)存數(shù)據(jù)取證51-63
• 4.1 內(nèi)存數(shù)據(jù)提取51-57
• 4.1.1 內(nèi)存地址映射51-53
• 4.1.2 內(nèi)存數(shù)據(jù)訪問(wèn)和獲取53-56
• 4.1.3 內(nèi)核模塊導(dǎo)入56-57
• 4.2 Android內(nèi)存數(shù)據(jù)鑒定和分析57-62
• 4.2.1 應(yīng)用進(jìn)程信息提取58-60
• 4.2.2 應(yīng)用進(jìn)程數(shù)據(jù)分析60-62
• 4.3 本章小結(jié)62-63
• 第五章 基于隱馬爾科夫模型的內(nèi)存數(shù)據(jù)分析63-77
• 5.1 隱馬爾科夫模型(HMM)63-66
• 5.2 基于HMM的內(nèi)存數(shù)據(jù)分析66-73
• 5.2.1 數(shù)據(jù)預(yù)處理67-68
• 5.2.2 HMM模型結(jié)構(gòu)學(xué)習(xí)68-71
• 5.2.3 Viterbi算法應(yīng)用71-73
• 5.3 結(jié)果評(píng)估73-74
• 5.4 本章小結(jié)74-77
• 第六章 Android應(yīng)用程序數(shù)據(jù)取證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)77-97
• 6.1 整體架構(gòu)77-78
• 6.2 Android應(yīng)用數(shù)據(jù)保存78-80
• 6.2.1 Android應(yīng)用類型78-79
• 6.2.2 Android應(yīng)用數(shù)據(jù)搜集79-80
• 6.3 Android應(yīng)用數(shù)據(jù)獲取80-85
• 6.4 Android應(yīng)用數(shù)據(jù)鑒定和分析85-86
• 6.5 Android應(yīng)用數(shù)據(jù)取證結(jié)果生成86-89
• 6.6 系統(tǒng)測(cè)試與分析89-95
• 6.6.1 測(cè)試準(zhǔn)備89
• 6.6.2 系統(tǒng)測(cè)試及結(jié)果89-92
• 6.6.3 系統(tǒng)測(cè)試結(jié)果分析92-95
• 6.7 本章小結(jié)95-97
• 第七章 總結(jié)與展望97-99
• 7.1 全文工作總結(jié)97-98
• 7.2 進(jìn)一步研究方向98-99
• 致謝99-101
• 參考文獻(xiàn)101-105
• 碩士期間發(fā)表的論文及參與的科研項(xiàng)目105

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 姚偉;沙晶;;Android智能手機(jī)的取證[J];中國(guó)司法鑒定;2012年01期

2 楊衛(wèi)軍;張佩軍;溫萬(wàn)造;;Android手機(jī)短信獲取與恢復(fù)方法[J];警察技術(shù);2013年03期

3 秦海權(quán);王晨;尹丹;;基于Android系統(tǒng)的惡意軟件分析平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J];警察技術(shù);2013年06期

4 董春江;彭勁榮;;Android軟件許可證及其商用法律風(fēng)險(xiǎn)研究[J];科技與法律;2011年04期

5 沐澤;;Android技術(shù)撬動(dòng)兩岸IT市場(chǎng)新支點(diǎn)——首屆海峽兩岸Android技術(shù)及產(chǎn)業(yè)合作發(fā)展研討會(huì)側(cè)記[J];臺(tái)聲;2010年02期

6 鐘華;繆紅;李進(jìn);;面向Android智能手機(jī)的電子數(shù)據(jù)取證分析[J];信息安全與通信保密;2014年07期

7 錢偉;陳小兵;;Android屏幕鎖解鎖在取證上的應(yīng)用[J];中國(guó)司法鑒定;2013年06期

8 張輝極;薛艷英;;基于Android系統(tǒng)的取證技術(shù)分析[J];信息網(wǎng)絡(luò)安全;2012年04期

9 ;信息博覽[J];僑園;2011年06期

10 王希貝;;Android開(kāi)源手機(jī)與知識(shí)產(chǎn)權(quán)保護(hù)淺析[J];中國(guó)發(fā)明與專利;2010年11期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前10條

1 萬(wàn)曉燕;徐國(guó)慶;;一種Android系統(tǒng)多待機(jī)方案設(shè)計(jì)[A];2011年全國(guó)電子信息技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2011年

2 鮑軒;章堅(jiān)武;;基于Android的音視頻監(jiān)控軟件的設(shè)計(jì)[A];浙江省信號(hào)處理學(xué)會(huì)2012學(xué)術(shù)年會(huì)論文集[C];2012年

3 Di Jiaqi;Wang Jianhua;Zhang Long;;The Research in Mobile Learning Based on Android Smartphone Platform Application[A];2012年計(jì)算機(jī)應(yīng)用與系統(tǒng)建模國(guó)際會(huì)議論文集[C];2012年

4 Xin Li;Yumei Zhai;Xiong Li;;Research and Implementation of Face Detection System on Android Smart Phone[A];2013年中國(guó)智能自動(dòng)化學(xué)術(shù)會(huì)議論文集（第二分冊(cè)）[C];2013年

5 符易陽(yáng);周丹平;;Android安全機(jī)制分析[A];第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

6 金潔;張琳;;基于Android平臺(tái)的校園街景的研究和實(shí)現(xiàn)[A];2010年通信理論與信號(hào)處理學(xué)術(shù)年會(huì)論文集[C];2010年

7 張立;韓銀和;袁小龍;;Android系統(tǒng)網(wǎng)絡(luò)模塊功耗的評(píng)估和分析[A];第十四屆全國(guó)容錯(cuò)計(jì)算學(xué)術(shù)會(huì)議(CFTC'2011)論文集[C];2011年

8 Cheng Chen;Li Liu;Jianguo Chen;Cheng Zhang;;Extracting Language Strings from XML Based on Android[A];Proceedings of 2011 International Conference on Computer Science and Information Technology(ICCSIT 2011)[C];2011年

9 Zhe Chen;Pei-Luen Patrick Rau;Dennis Schumacher;Osama Khan;Poom Laupattarakasem;Cherry Yu;Nam Wahrenberg;;Development of an Android Mobile Application for International Students[A];第八屆和諧人機(jī)環(huán)境聯(lián)合學(xué)術(shù)會(huì)議（HHME2012)論文集CHCI[C];2012年

10 魏寧;王金海;;基于Android平臺(tái)的多生理參數(shù)檢測(cè)系統(tǒng)研究與設(shè)計(jì)[A];天津市生物醫(yī)學(xué)工程學(xué)會(huì)第三十四屆學(xué)術(shù)年會(huì)論文集[C];2014年

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前10條

1 ;Strategy Analytics:明年Android操作系統(tǒng)將占智能手機(jī)2%份額[N];電子資訊時(shí)報(bào);2007年

2 技術(shù)在線;高通明確表示“將增強(qiáng)對(duì)Android的支持”[N];中國(guó)電子報(bào);2008年

3 李睿;高通：將增強(qiáng)對(duì)Android的支持[N];電子資訊時(shí)報(bào);2008年

4 ;今年Android手機(jī)銷量將增長(zhǎng)9倍[N];計(jì)算機(jī)世界;2009年

5 中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院培訓(xùn)中心 潘藩;Android撬動(dòng)通信市場(chǎng)的新支點(diǎn)[N];通信產(chǎn)業(yè)報(bào);2009年

6 本報(bào)記者 連曉東;Android機(jī)遇無(wú)窮 兩岸攜手1+1>2[N];中國(guó)電子報(bào);2010年

7 本報(bào)記者 林劍;國(guó)內(nèi)廠商角逐Android平臺(tái)優(yōu)勢(shì)與挑戰(zhàn)并存[N];通信信息報(bào);2010年

8 本報(bào)記者 李敬;“安卓”Android之亂[N];計(jì)算機(jī)世界;2010年

9 韓勖;Android變身“大眾機(jī)”[N];計(jì)算機(jī)世界;2010年

10 ;Android手機(jī)今年出貨量預(yù)計(jì)突破5500萬(wàn)部[N];計(jì)算機(jī)世界;2010年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前3條

1 楊歡;協(xié)議漏洞挖掘及Android平臺(tái)惡意應(yīng)用檢測(cè)技術(shù)研究[D];西安電子科技大學(xué);2014年

2 尹國(guó)偉;基于Android的農(nóng)技推廣數(shù)據(jù)可靠采集系統(tǒng)研究[D];中國(guó)農(nóng)業(yè)科學(xué)院;2014年

3 曾述可;基于靜態(tài)分析的Android操作系統(tǒng)隱私保護(hù)機(jī)制評(píng)估方法研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2014年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 翟宇;基于Android系統(tǒng)下的校園三維地圖的開(kāi)發(fā)和研究[D];山西農(nóng)業(yè)大學(xué);2015年

2 劉斌;基于Android平臺(tái)的個(gè)人記賬理財(cái)設(shè)計(jì)與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

3 文霞;Android應(yīng)用程序測(cè)試方法研究[D];華南理工大學(xué);2015年

4 曹龍海;基于Android的人物照片分類軟件的設(shè)計(jì)與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

5 陳鵬;基于Android應(yīng)用的性能監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

6 劉暢;基于Android系統(tǒng)的移動(dòng)監(jiān)測(cè)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D];西安石油大學(xué);2015年

7 王宇寧;基于Android的長(zhǎng)輸管道巡線系統(tǒng)的研發(fā)[D];西安石油大學(xué);2015年

8 鄒吉軒;基于Android的移動(dòng)學(xué)習(xí)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];內(nèi)蒙古大學(xué);2015年

9 董文軒;基于Android平臺(tái)攜程結(jié)伴L(zhǎng)BS的研究與實(shí)現(xiàn)[D];長(zhǎng)春工業(yè)大學(xué);2015年

10 趙美丹;基于Android的PKM系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];內(nèi)蒙古大學(xué);2015年

  本文關(guān)鍵詞：Android應(yīng)用取證分析研究，，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：451736