本文關(guān)鍵詞： 數(shù)字取證 移動(dòng)設(shè)備取證 惡意程序檢測(cè) 逆向工程 安卓　出處：《吉林大學(xué)》2016年博士論文　論文類型：學(xué)位論文

【摘要】：--在數(shù)字取證近十年來(lái)的研究和發(fā)展過(guò)程當(dāng)中,其研究所覆蓋的范圍和對(duì)現(xiàn)代社會(huì)帶來(lái)的影響都在飛速增長(zhǎng)。隨著越來(lái)越多事物被數(shù)字化,人們身邊充斥著各種各樣的數(shù)字設(shè)備。這些數(shù)字設(shè)備當(dāng)中存儲(chǔ)的信息則包含了人們生活的方方面面。當(dāng)今社會(huì)最常用的,也可能包含最多個(gè)人信息的數(shù)字設(shè)備就是智能移動(dòng)設(shè)備(Mobile devices)。其中市場(chǎng)占有率最大的移動(dòng)設(shè)備所搭載的操作系統(tǒng)為安卓(Android)操作系統(tǒng)。據(jù)不完全統(tǒng)計(jì)全球市場(chǎng)上正在投入使用的安卓操作系統(tǒng)智能手機(jī)為14億部。因此如何針對(duì)安卓操作系統(tǒng)下的移動(dòng)設(shè)備進(jìn)行取證將對(duì)于信息安全管理,打擊犯罪等問(wèn)題具有十分重要意義。然而,由于當(dāng)前的數(shù)字取證研究領(lǐng)域仍然處于一種新興的狀態(tài),無(wú)論是信息科學(xué)較為發(fā)達(dá)的西方國(guó)家還是相比在該領(lǐng)域起步較晚的我國(guó)都處于研究成果和學(xué)科開展力度相對(duì)欠缺的階段。這直接導(dǎo)致了在某些領(lǐng)域已經(jīng)出現(xiàn)了由于數(shù)字取證經(jīng)驗(yàn)和能力不足以及數(shù)字取證方法和標(biāo)準(zhǔn)的缺失所帶來(lái)的嚴(yán)重問(wèn)題。例如2016年1月7日,受到社會(huì)廣泛關(guān)注的深圳市快播科技有限公司所涉及的“快播”案就是在數(shù)字取證過(guò)程中沒有遵循科學(xué)標(biāo)準(zhǔn)且缺乏相關(guān)處理技術(shù)和經(jīng)驗(yàn)的情況下導(dǎo)致檢方所獲取的數(shù)字證據(jù)在技術(shù)上無(wú)法進(jìn)行有效性證明。而更多類似問(wèn)題也將出現(xiàn)在移動(dòng)設(shè)備上。本文以裝載安卓操作系統(tǒng)的移動(dòng)設(shè)備為目標(biāo)提出較為系統(tǒng)的數(shù)字取證方法,主要內(nèi)容如下。首先,由于取證領(lǐng)域早期所提出的數(shù)字取證或計(jì)算機(jī)取證的框架已經(jīng)在數(shù)字取證科學(xué)的發(fā)展過(guò)程中無(wú)法完全滿足當(dāng)前的移動(dòng)設(shè)備取證的需求。鑒于無(wú)法通過(guò)直接套用這些傳統(tǒng)框架,本文提出了一個(gè)能夠適應(yīng)移動(dòng)設(shè)備取證的框架。該框架對(duì)移動(dòng)設(shè)備取證進(jìn)行階段性劃分,能夠使該領(lǐng)域研究人員更好的理解不同階段的移動(dòng)設(shè)備取證工作所面臨的關(guān)鍵性問(wèn)題和研究目標(biāo)。另外,本文描述了多種獲取安卓智能設(shè)備當(dāng)中數(shù)據(jù)的方法。除傳統(tǒng)方法外,最新的改進(jìn)技術(shù)能夠在不進(jìn)入恢復(fù)模式更改系統(tǒng)鏡像文件,也不利用操作系統(tǒng)漏洞的情況下,通過(guò)對(duì)智能手機(jī)開發(fā)商的固件更新程序進(jìn)行逆向工程,從而達(dá)到對(duì)智能機(jī)當(dāng)中的數(shù)據(jù)進(jìn)行物理轉(zhuǎn)儲(chǔ)(Physical dump)的目的。接下來(lái),本文重點(diǎn)介紹了安卓應(yīng)用程序的取證方法,即如何從安卓應(yīng)用程序當(dāng)中獲得分析人員感興趣的信息。并且提出了一種改進(jìn)方法。相對(duì)于傳統(tǒng)方法,改進(jìn)后的方法可以1)更好的支持面向大量樣本的自動(dòng)分析工作2)可以使分析人員在分析過(guò)程中不需要承擔(dān)由生成任何中間表達(dá)形式(代碼)產(chǎn)生的額外的時(shí)間和空間開銷3)不需要熟悉任何中間表達(dá)形式的語(yǔ)法4)具備更高的可靠性和穩(wěn)定性5)可以獲得信息在原文件當(dāng)中的位置。這不僅可以輔助取證人員構(gòu)建分析結(jié)果與證據(jù)源之間的對(duì)應(yīng)關(guān)系,即證據(jù)的有效性證明。也可以在動(dòng)態(tài)分析當(dāng)中對(duì)關(guān)鍵信息進(jìn)行定位。6)在執(zhí)行效率方面改進(jìn)方法也有著質(zhì)的飛躍。實(shí)驗(yàn)結(jié)果顯示,處理總大小為22.35GB的應(yīng)用程序樣本,傳統(tǒng)方法用時(shí)為23小時(shí),而改進(jìn)方法則僅為1.5小時(shí)。最后,本文提出了一種針對(duì)惡意應(yīng)用程序檢測(cè)的方法。與基于惡意代碼“指紋”識(shí)別的傳統(tǒng)檢測(cè)方法不同,本文提出的改進(jìn)方法是基于機(jī)器學(xué)習(xí)實(shí)現(xiàn)的。根據(jù)人工分析過(guò)程中發(fā)現(xiàn)的規(guī)律,即安卓應(yīng)用程序當(dāng)中的應(yīng)用程序組件和系統(tǒng)API之間的調(diào)用關(guān)系在普通應(yīng)用程序和惡意應(yīng)用程序當(dāng)中的表現(xiàn)形式不同。根據(jù)這一“特征”進(jìn)行機(jī)器學(xué)習(xí),可以將正常的或惡意的應(yīng)用程序進(jìn)行有效區(qū)分。通過(guò)實(shí)驗(yàn),在12428個(gè)應(yīng)用程序組成的樣本中,改進(jìn)方法可以獲得98%的分析準(zhǔn)確率。最后本文還對(duì)現(xiàn)有方法和改進(jìn)方法在不同機(jī)器學(xué)習(xí)算法下的性能表現(xiàn)進(jìn)行了對(duì)比。結(jié)果表明無(wú)論是效率還是準(zhǔn)確率都是改進(jìn)方法更勝一籌。總的來(lái)說(shuō),本文主要貢獻(xiàn)包括以下幾點(diǎn):1.提出了一個(gè)能夠適應(yīng)移動(dòng)設(shè)備取證的新框架,將該取證過(guò)程劃分階段,有助于確定取證關(guān)鍵問(wèn)題和目標(biāo)。2.提出了根據(jù)所獲取設(shè)備的狀態(tài)選擇相應(yīng)數(shù)據(jù)轉(zhuǎn)儲(chǔ)方法的取證方式,即目標(biāo)設(shè)備所處不同狀態(tài)對(duì)應(yīng)在此狀態(tài)下最有效的數(shù)據(jù)轉(zhuǎn)儲(chǔ)方法。3.提出了一種改進(jìn)的安卓應(yīng)用程序取證的方法RAPID。實(shí)驗(yàn)結(jié)果表明信息獲取速度得到大幅提高,并且RAPID被實(shí)現(xiàn)為開源工具。4.提出了一種識(shí)別性能更好的基于機(jī)器學(xué)習(xí)以及應(yīng)用程序組件當(dāng)中存在的特征的安卓惡意應(yīng)用程序檢測(cè)方法。綜上所述,本文通過(guò)分階段描述安卓操作系統(tǒng)取證的關(guān)鍵問(wèn)題和解決方法,可以幫助分析人員了解安卓取證,加強(qiáng)對(duì)安卓操作系統(tǒng)及其應(yīng)用程序當(dāng)中數(shù)據(jù)的獲取和分析的能力,了解當(dāng)前數(shù)字取證技術(shù)在安卓平臺(tái)下的限制等。
[Abstract]:......
【學(xué)位授予單位】：吉林大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP309;TP316

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 張誠(chéng);;我國(guó)數(shù)字取證的研究與展望——專訪中國(guó)科學(xué)院網(wǎng)絡(luò)安全實(shí)驗(yàn)室首席科學(xué)家 許榕生 研究員[J];數(shù)字通信;2011年02期

2 賈志城;白建軍;;數(shù)字取證趨向及特點(diǎn)研究[J];自動(dòng)化與儀器儀表;2014年07期

3 孫國(guó)梓;徐雯麗;朱小龍;;電子商務(wù)中的數(shù)字取證技術(shù)研究[J];信息網(wǎng)絡(luò)安全;2011年04期

4 王國(guó)強(qiáng);;信息時(shí)代數(shù)字取證面臨的挑戰(zhàn)及相關(guān)對(duì)策[J];信息網(wǎng)絡(luò)安全;2011年09期

5 張俊;王麗娜;;數(shù)字取證研究的現(xiàn)狀和發(fā)展方向[J];警察技術(shù);2012年05期

6 吳紹兵;李金緒;王天志;;基于無(wú)線網(wǎng)絡(luò)犯罪的數(shù)字取證研究[J];云南民族大學(xué)學(xué)報(bào)(自然科學(xué)版);2013年01期

7 周洪偉;韋大偉;郭淵博;;一種數(shù)字取證完整性方案[J];計(jì)算機(jī)應(yīng)用研究;2007年12期

8 李炳龍;王魯;陳性元;;數(shù)字取證技術(shù)及其發(fā)展趨勢(shì)[J];信息網(wǎng)絡(luò)安全;2011年01期

9 白建軍;賈志城;;數(shù)字取證的業(yè)務(wù)流程研究[J];自動(dòng)化與儀器儀表;2014年05期

10 許榕生;;中國(guó)數(shù)字取證的發(fā)展現(xiàn)狀[J];中國(guó)教育網(wǎng)絡(luò);2007年08期

相關(guān)會(huì)議論文 前2條

1 白海濤;劉廣建;;基于網(wǎng)絡(luò)的數(shù)字取證現(xiàn)狀分析及發(fā)展研究[A];2006通信理論與技術(shù)新進(jìn)展——第十一屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集[C];2006年

2 王國(guó)強(qiáng);;信息時(shí)代數(shù)字取證面臨的挑戰(zhàn)及相關(guān)對(duì)策[A];第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

相關(guān)重要報(bào)紙文章 前2條

1 商報(bào)記者 任忠君;數(shù)字取證：數(shù)據(jù)產(chǎn)業(yè)生的蛋[N];重慶商報(bào);2013年

2 趙汝生;關(guān)于云服務(wù)的5件事[N];網(wǎng)絡(luò)世界;2010年

相關(guān)博士學(xué)位論文 前1條

1 張笑魯;Android移動(dòng)設(shè)備的數(shù)字取證關(guān)鍵問(wèn)題研究[D];吉林大學(xué);2016年

相關(guān)碩士學(xué)位論文 前5條

1 萬(wàn)雪姣;面向安卓移動(dòng)終端數(shù)字取證系統(tǒng)及其框架的設(shè)計(jì)與實(shí)現(xiàn)[D];北京工業(yè)大學(xué);2015年

2 楊莉莉;基于數(shù)據(jù)挖掘的數(shù)字取證模型設(shè)計(jì)[D];南京師范大學(xué);2006年

3 謝珍真;基于云計(jì)算的數(shù)字取證關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D];吉林大學(xué);2014年

4 楊延軍;數(shù)字取證中時(shí)間證據(jù)校正方法的研究[D];西安電子科技大學(xué);2008年

5 涂鵬飛;多Agent協(xié)同異構(gòu)數(shù)字取證[D];同濟(jì)大學(xué);2006年

，

本文編號(hào)：1479438