本文關(guān)鍵詞： 數(shù)字取證 移動設(shè)備取證 惡意程序檢測 逆向工程 安卓　出處：《吉林大學(xué)》2016年博士論文　論文類型：學(xué)位論文

【摘要】：--在數(shù)字取證近十年來的研究和發(fā)展過程當(dāng)中,其研究所覆蓋的范圍和對現(xiàn)代社會帶來的影響都在飛速增長。隨著越來越多事物被數(shù)字化,人們身邊充斥著各種各樣的數(shù)字設(shè)備。這些數(shù)字設(shè)備當(dāng)中存儲的信息則包含了人們生活的方方面面。當(dāng)今社會最常用的,也可能包含最多個人信息的數(shù)字設(shè)備就是智能移動設(shè)備(Mobile devices)。其中市場占有率最大的移動設(shè)備所搭載的操作系統(tǒng)為安卓(Android)操作系統(tǒng)。據(jù)不完全統(tǒng)計全球市場上正在投入使用的安卓操作系統(tǒng)智能手機為14億部。因此如何針對安卓操作系統(tǒng)下的移動設(shè)備進(jìn)行取證將對于信息安全管理,打擊犯罪等問題具有十分重要意義。然而,由于當(dāng)前的數(shù)字取證研究領(lǐng)域仍然處于一種新興的狀態(tài),無論是信息科學(xué)較為發(fā)達(dá)的西方國家還是相比在該領(lǐng)域起步較晚的我國都處于研究成果和學(xué)科開展力度相對欠缺的階段。這直接導(dǎo)致了在某些領(lǐng)域已經(jīng)出現(xiàn)了由于數(shù)字取證經(jīng)驗和能力不足以及數(shù)字取證方法和標(biāo)準(zhǔn)的缺失所帶來的嚴(yán)重問題。例如2016年1月7日,受到社會廣泛關(guān)注的深圳市快播科技有限公司所涉及的“快播”案就是在數(shù)字取證過程中沒有遵循科學(xué)標(biāo)準(zhǔn)且缺乏相關(guān)處理技術(shù)和經(jīng)驗的情況下導(dǎo)致檢方所獲取的數(shù)字證據(jù)在技術(shù)上無法進(jìn)行有效性證明。而更多類似問題也將出現(xiàn)在移動設(shè)備上。本文以裝載安卓操作系統(tǒng)的移動設(shè)備為目標(biāo)提出較為系統(tǒng)的數(shù)字取證方法,主要內(nèi)容如下。首先,由于取證領(lǐng)域早期所提出的數(shù)字取證或計算機取證的框架已經(jīng)在數(shù)字取證科學(xué)的發(fā)展過程中無法完全滿足當(dāng)前的移動設(shè)備取證的需求。鑒于無法通過直接套用這些傳統(tǒng)框架,本文提出了一個能夠適應(yīng)移動設(shè)備取證的框架。該框架對移動設(shè)備取證進(jìn)行階段性劃分,能夠使該領(lǐng)域研究人員更好的理解不同階段的移動設(shè)備取證工作所面臨的關(guān)鍵性問題和研究目標(biāo)。另外,本文描述了多種獲取安卓智能設(shè)備當(dāng)中數(shù)據(jù)的方法。除傳統(tǒng)方法外,最新的改進(jìn)技術(shù)能夠在不進(jìn)入恢復(fù)模式更改系統(tǒng)鏡像文件,也不利用操作系統(tǒng)漏洞的情況下,通過對智能手機開發(fā)商的固件更新程序進(jìn)行逆向工程,從而達(dá)到對智能機當(dāng)中的數(shù)據(jù)進(jìn)行物理轉(zhuǎn)儲(Physical dump)的目的。接下來,本文重點介紹了安卓應(yīng)用程序的取證方法,即如何從安卓應(yīng)用程序當(dāng)中獲得分析人員感興趣的信息。并且提出了一種改進(jìn)方法。相對于傳統(tǒng)方法,改進(jìn)后的方法可以1)更好的支持面向大量樣本的自動分析工作2)可以使分析人員在分析過程中不需要承擔(dān)由生成任何中間表達(dá)形式(代碼)產(chǎn)生的額外的時間和空間開銷3)不需要熟悉任何中間表達(dá)形式的語法4)具備更高的可靠性和穩(wěn)定性5)可以獲得信息在原文件當(dāng)中的位置。這不僅可以輔助取證人員構(gòu)建分析結(jié)果與證據(jù)源之間的對應(yīng)關(guān)系,即證據(jù)的有效性證明。也可以在動態(tài)分析當(dāng)中對關(guān)鍵信息進(jìn)行定位。6)在執(zhí)行效率方面改進(jìn)方法也有著質(zhì)的飛躍。實驗結(jié)果顯示,處理總大小為22.35GB的應(yīng)用程序樣本,傳統(tǒng)方法用時為23小時,而改進(jìn)方法則僅為1.5小時。最后,本文提出了一種針對惡意應(yīng)用程序檢測的方法。與基于惡意代碼“指紋”識別的傳統(tǒng)檢測方法不同,本文提出的改進(jìn)方法是基于機器學(xué)習(xí)實現(xiàn)的。根據(jù)人工分析過程中發(fā)現(xiàn)的規(guī)律,即安卓應(yīng)用程序當(dāng)中的應(yīng)用程序組件和系統(tǒng)API之間的調(diào)用關(guān)系在普通應(yīng)用程序和惡意應(yīng)用程序當(dāng)中的表現(xiàn)形式不同。根據(jù)這一“特征”進(jìn)行機器學(xué)習(xí),可以將正常的或惡意的應(yīng)用程序進(jìn)行有效區(qū)分。通過實驗,在12428個應(yīng)用程序組成的樣本中,改進(jìn)方法可以獲得98%的分析準(zhǔn)確率。最后本文還對現(xiàn)有方法和改進(jìn)方法在不同機器學(xué)習(xí)算法下的性能表現(xiàn)進(jìn)行了對比。結(jié)果表明無論是效率還是準(zhǔn)確率都是改進(jìn)方法更勝一籌�？偟膩碚f,本文主要貢獻(xiàn)包括以下幾點:1.提出了一個能夠適應(yīng)移動設(shè)備取證的新框架,將該取證過程劃分階段,有助于確定取證關(guān)鍵問題和目標(biāo)。2.提出了根據(jù)所獲取設(shè)備的狀態(tài)選擇相應(yīng)數(shù)據(jù)轉(zhuǎn)儲方法的取證方式,即目標(biāo)設(shè)備所處不同狀態(tài)對應(yīng)在此狀態(tài)下最有效的數(shù)據(jù)轉(zhuǎn)儲方法。3.提出了一種改進(jìn)的安卓應(yīng)用程序取證的方法RAPID。實驗結(jié)果表明信息獲取速度得到大幅提高,并且RAPID被實現(xiàn)為開源工具。4.提出了一種識別性能更好的基于機器學(xué)習(xí)以及應(yīng)用程序組件當(dāng)中存在的特征的安卓惡意應(yīng)用程序檢測方法。綜上所述,本文通過分階段描述安卓操作系統(tǒng)取證的關(guān)鍵問題和解決方法,可以幫助分析人員了解安卓取證,加強對安卓操作系統(tǒng)及其應(yīng)用程序當(dāng)中數(shù)據(jù)的獲取和分析的能力,了解當(dāng)前數(shù)字取證技術(shù)在安卓平臺下的限制等。
[Abstract]:......
【學(xué)位授予單位】：吉林大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2016
【分類號】：TP309;TP316

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 張誠;;我國數(shù)字取證的研究與展望——專訪中國科學(xué)院網(wǎng)絡(luò)安全實驗室首席科學(xué)家 許榕生 研究員[J];數(shù)字通信;2011年02期

2 賈志城;白建軍;;數(shù)字取證趨向及特點研究[J];自動化與儀器儀表;2014年07期

3 孫國梓;徐雯麗;朱小龍;;電子商務(wù)中的數(shù)字取證技術(shù)研究[J];信息網(wǎng)絡(luò)安全;2011年04期

4 王國強;;信息時代數(shù)字取證面臨的挑戰(zhàn)及相關(guān)對策[J];信息網(wǎng)絡(luò)安全;2011年09期

5 張俊;王麗娜;;數(shù)字取證研究的現(xiàn)狀和發(fā)展方向[J];警察技術(shù);2012年05期

6 吳紹兵;李金緒;王天志;;基于無線網(wǎng)絡(luò)犯罪的數(shù)字取證研究[J];云南民族大學(xué)學(xué)報(自然科學(xué)版);2013年01期

7 周洪偉;韋大偉;郭淵博;;一種數(shù)字取證完整性方案[J];計算機應(yīng)用研究;2007年12期

8 李炳龍;王魯;陳性元;;數(shù)字取證技術(shù)及其發(fā)展趨勢[J];信息網(wǎng)絡(luò)安全;2011年01期

9 白建軍;賈志城;;數(shù)字取證的業(yè)務(wù)流程研究[J];自動化與儀器儀表;2014年05期

10 許榕生;;中國數(shù)字取證的發(fā)展現(xiàn)狀[J];中國教育網(wǎng)絡(luò);2007年08期

相關(guān)會議論文 前2條

1 白海濤;劉廣建;;基于網(wǎng)絡(luò)的數(shù)字取證現(xiàn)狀分析及發(fā)展研究[A];2006通信理論與技術(shù)新進(jìn)展——第十一屆全國青年通信學(xué)術(shù)會議論文集[C];2006年

2 王國強;;信息時代數(shù)字取證面臨的挑戰(zhàn)及相關(guān)對策[A];第26次全國計算機安全學(xué)術(shù)交流會論文集[C];2011年

相關(guān)重要報紙文章 前2條

1 商報記者 任忠君;數(shù)字取證：數(shù)據(jù)產(chǎn)業(yè)生的蛋[N];重慶商報;2013年

2 趙汝生;關(guān)于云服務(wù)的5件事[N];網(wǎng)絡(luò)世界;2010年

相關(guān)博士學(xué)位論文 前1條

1 張笑魯;Android移動設(shè)備的數(shù)字取證關(guān)鍵問題研究[D];吉林大學(xué);2016年

相關(guān)碩士學(xué)位論文 前5條

1 萬雪姣;面向安卓移動終端數(shù)字取證系統(tǒng)及其框架的設(shè)計與實現(xiàn)[D];北京工業(yè)大學(xué);2015年

2 楊莉莉;基于數(shù)據(jù)挖掘的數(shù)字取證模型設(shè)計[D];南京師范大學(xué);2006年

3 謝珍真;基于云計算的數(shù)字取證關(guān)鍵技術(shù)的研究與實現(xiàn)[D];吉林大學(xué);2014年

4 楊延軍;數(shù)字取證中時間證據(jù)校正方法的研究[D];西安電子科技大學(xué);2008年

5 涂鵬飛;多Agent協(xié)同異構(gòu)數(shù)字取證[D];同濟大學(xué);2006年

，

本文編號：1479438