山寨手機(jī)取證關(guān)鍵技術(shù)研究

發(fā)布時(shí)間：2017-09-21 05:23

本文關(guān)鍵詞：山寨手機(jī)取證關(guān)鍵技術(shù)研究

【摘要】：手機(jī)作為科技發(fā)展的產(chǎn)物已經(jīng)成為了人們生活、社交的必需品。由于存在著巨大的利益，以至于市場上存在著數(shù)百種山寨手機(jī)。山寨手機(jī)的出現(xiàn)對(duì)整個(gè)手機(jī)行業(yè)以及社會(huì)產(chǎn)生了重要的影響。低廉的價(jià)格和便捷的銷售渠道使得犯罪分子更傾向于使用這種手機(jī)來從事非法活動(dòng)，比如，竊取他人隱私，詐騙等。隨著法律的日漸完善，現(xiàn)實(shí)生活中的許多法律被引入到了數(shù)字世界中，同時(shí)也推動(dòng)了數(shù)字取證的發(fā)展。山寨手機(jī)的出現(xiàn)對(duì)數(shù)字取證構(gòu)成了新的挑戰(zhàn)。因?yàn)橄鄬?duì)于品牌手機(jī)而言，山寨手機(jī)缺乏行業(yè)標(biāo)準(zhǔn)，比較封閉，而且很少有公開的資料來描述其系統(tǒng)信息及存儲(chǔ)結(jié)構(gòu)。由于絕大部分山寨手機(jī)采用的是MediaTek(MTK)公司提供的基帶多媒體一體化芯片和全面解決方案(市面最流行的山寨手機(jī)平臺(tái))，所以本論文以該類山寨手機(jī)為例進(jìn)行取證介紹。論文首先分析了手機(jī)常用的兩種存儲(chǔ)Flash(NOR Flash和NAND Flash）的基本特性，通過對(duì)Flash特性的分析深入了解山寨機(jī)的基本存儲(chǔ)結(jié)構(gòu)、運(yùn)行原理，并為實(shí)驗(yàn)現(xiàn)象提供理論支撐。接著分析對(duì)比了現(xiàn)有幾種手機(jī)鏡像數(shù)據(jù)獲取方法的優(yōu)缺點(diǎn)，最終選用了Flasher tools方法獲取完整的底層手機(jī)鏡像數(shù)據(jù)，并針對(duì)MTK山寨機(jī)的系統(tǒng)存儲(chǔ)結(jié)構(gòu)以及Flash存儲(chǔ)特性對(duì)鏡像數(shù)據(jù)進(jìn)行預(yù)處理。鏡像數(shù)據(jù)包括用戶區(qū)數(shù)據(jù)和系統(tǒng)區(qū)數(shù)據(jù)，其中系統(tǒng)區(qū)數(shù)據(jù)難以直接提取，且維護(hù)并保存了大量與數(shù)字取證直接相關(guān)的用戶信息。由于這兩個(gè)邏輯區(qū)域的數(shù)據(jù)在物理存儲(chǔ)上是混合在一起的，因此從鏡像數(shù)據(jù)中分割出系統(tǒng)區(qū)數(shù)據(jù)是本章的一個(gè)難點(diǎn)。通過預(yù)處理將用戶區(qū)數(shù)據(jù)分離會(huì)減小后續(xù)數(shù)據(jù)處理的復(fù)雜度，提高取證分析的效率。在此基礎(chǔ)上，本論文分別對(duì)采用NOR Flash和NAND Flash的兩款主流的高低端的MTK山寨手機(jī)進(jìn)行了實(shí)驗(yàn)研究和分析。數(shù)字取證內(nèi)容包括較為簡單的基礎(chǔ)手機(jī)信息，如電話本、通話記錄、短信、彩信等；同時(shí)也包括了較為復(fù)雜的智能手機(jī)信息，如互聯(lián)網(wǎng)訪問內(nèi)容、互聯(lián)網(wǎng)搜索，基于web的電子郵件等。本論文首先采用逆向工程通過大量實(shí)驗(yàn)研究掌握了多種信息內(nèi)容的獲取技術(shù)和解析方法，并利用Flash存儲(chǔ)器的讀寫和擦除特性進(jìn)一步對(duì)已刪除內(nèi)容的殘留歷史快照碎片進(jìn)行恢復(fù)提取，進(jìn)而采用了圖論中的哈密爾頓路徑(Hamilton path)算法對(duì)獲取和恢復(fù)所得的多種信息內(nèi)容（如通話記錄、電話本、web信息等）在不同時(shí)間的多個(gè)歷史信息碎片進(jìn)行綜合分析，完成數(shù)字證據(jù)的時(shí)間線(TimeLine)分析和嘗試進(jìn)行罪案場景重構(gòu)。實(shí)驗(yàn)結(jié)果表明，本論文設(shè)計(jì)的獲取、分析和恢復(fù)方法，能夠有效地幫助取證人員針對(duì)MTK平臺(tái)的山寨手機(jī)進(jìn)行數(shù)字證據(jù)提取、證據(jù)鏈分析以及案情分析，解決了司法部門在數(shù)字取證上的一個(gè)實(shí)際問題。不僅如此，論文提出的研究方法、技術(shù)路線以及分析方法也可適用于對(duì)基于其他解決方案的山寨手機(jī)進(jìn)行數(shù)字取證分析。總結(jié)而言，本論文針對(duì)基于MTK平臺(tái)的山寨手機(jī)進(jìn)行了數(shù)字取證技術(shù)和分析方法的研究。通過研究Flash存儲(chǔ)器的存儲(chǔ)特性以及山寨手機(jī)的內(nèi)部存儲(chǔ)管理機(jī)制，采用逆向工程實(shí)驗(yàn)研究了多種手機(jī)信息的提取和重組方法，同時(shí)對(duì)已刪除內(nèi)容殘留的歷史信息碎片進(jìn)行恢復(fù)提取，并針對(duì)這些信息提出了一種綜合的時(shí)間線分析方法。此外，，本論文所研究的數(shù)字取證技術(shù)和提出的分析方法在采用NORFlash和NAND Flash的兩款主流MTK山寨手機(jī)上分別進(jìn)行了實(shí)驗(yàn)驗(yàn)證，實(shí)驗(yàn)結(jié)果顯示：本論文的研究成果能有效解決山寨手機(jī)的數(shù)字取證技術(shù)問題。
【關(guān)鍵詞】：山寨手機(jī) MediaTek 互聯(lián)網(wǎng)搜索記錄 網(wǎng)頁電子郵件 哈密頓路徑 時(shí)間線分析
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2013
【分類號(hào)】：TN929.53;D918.2
【目錄】：