Android应用取证分析研究

发布时间：2017-06-15 07:04

  本文关键词：Android应用取证分析研究，由笔耕文化传播整理发布。

【摘要】：随着Android手机的普及,Android应用程序的相关数据成为越来越多刑事案件、经济案件、政治案件以及高科技犯罪的重要证据。对于Android应用程序的数据取证,现有的研究主要集中在存储数据的取证分析上。但是随着Android系统不断改进应用程序存储数据的防护手段,并提供底层的全盘数据加密功能,传统的数据取证方法已无法获取有效的数据证据。本文在分析现有Android应用程序的存储数据取证技术上,进一步研究了Android应用程序的内存数据取证分析方法。在此基础上开发实现了Android应用程序数据取证系统,可对Android应用程序的存储数据和内存数据进行取证分析。本文的主要工作如下：1.在研究手机取证现有技术的基础上,提出了符合现有国际国内标准流程的Android应用程序数据的取证方法及流程。根据Android应用程序数据存储方式将数据取证分为存储数据取证和内存数据取证：根据Android应用程序数据存储位置及存储格式分为XML文件数据取证、SQLite数据库文件数据取证以及二进制文件数据取证,并提出相应的取证方法；根据Linux内核存储空间以及内存管理机制,提出应用程序内存数据取证方法。2.研究Android应用存储数据的取证方法：Android应用数据主要以XML文件、SQLite数据库文件以及二进制文件形式存储。首先对Android应用进行使用,通过向应用中输入关键信息,观察和比较特殊文件,获取其应用数据存储文件格式及存储位置。对于XML文件,通过遍历其树形结构格式,判断属性值的方法进行数据证据的提取及分析；对于SQLite数据库文件,通过SQL语言查询相关数据库的方法进行数据证据的提取及分析；对于二进制文件,通过遍历二进制文件查找特征值或者匹配固定格式数据的方法进行数据证据的提取及分析,或者对Android应用进行逆向分析,通过向应用反编译产生的smali代码注入特征代码的方式,完成解析应用数据存储及加密方式,最终获得解密数据,从而完成二进制文件数据证据的提取及分析。3.研究Android应用内存数据的取证方法：分析Android系统内核及其内存映射机制。利用Linux内核运行时可扩展的特性,通过可加载内核(LKM)的方式,加载驱动程序到系统内核态从而直接实时提取内存数据；通过解析内存中的iomem_resource结构,获取实际系统内存物理地址空间,通过地址偏移计算得到内存当中虚拟地址页帧号,从而计算获得相应页结构；在此基础上通过高端映射获取虚拟内存空间线性地址,并从相应地址读取系统所有应用进程相关数据；内存提取程序通过TCP连接与驱动程序通信,存储提取应用程序内存数据；对于所提取的应用程序内存数据,通过查找分析特征值的方法对提取的内存数据进行相关分析。4.提出一种基于隐马尔科夫模型(Hidden Markov Module, HMM)的Android应用内存数据分析方法：由于所提取的应用内存数据结构未知且存在变化,难以获取有效信息。本文提出一种基于HMM的有限概率状态机的解析方法。通过观察提取数据相应特征,建立相关HMM模型结构,然后针对经过预处理后的数据,使用Viterbi算法提取出匹配模型且具有最大概率的信息序列,从而实现从内存数据中自动提取有效数据证据。5.设计并实现了符合国际国内取证标准流程的Android应用程序数据取证系统。该取证系统包括Android应用程序数据获取模块、数据鉴定和分析模块以及取证结果生成模块：数据获取模块实现待取证目标数据的提取；数据鉴定和分析模块根据不同的取证类型对提取的数据进行解析并提取有效数据证据；数据结果生成模块实现数据证据的展示。本文从地理位置类、微博社交类以及即时通讯类应用中选取了携程旅行、新浪微博以及QQ聊天等常见应用程序对本系统进行功能性测试。测试表明该系统可有效针对Android应用的存储数据和内存数据进行取证分析,具有较强的实用价值,并且可以适用于主流的即时通讯类、地理位置类、微博社交、浏览器类、电子邮箱类、云客户端以及电子支付类等应用程序。
【关键词】：Android应用 数据取证 存储取证 内存取证
【学位授予单位】：东南大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP316;D918.2
【目录】：

• 摘要5-7
• Abstract7-15
• 第一章 绪论15-23
• 1.1 研究背景15-18
• 1.1.1 移动终端取证技术15
• 1.1.2 取证相关标准15-16
• 1.1.3 数字取证准则16-17
• 1.1.4 取证鉴定过程17-18
• 1.2 国内外研究现状18-21
• 1.3 论文研究内容及意义21-22
• 1.4 论文组织结构22-23
• 第二章 Android应用及其数据23-37
• 2.1 Android应用概述23-28
• 2.1.1 Android系统23-25
• 2.1.2 Android应用架构25-27
• 2.1.3 Android应用管理机制27-28
• 2.2 Android应用存储数据28-31
• 2.2.1 XML文件数据28-29
• 2.2.2 SQLite文件数据29-31
• 2.2.3 二进制文件数据31
• 2.3 Android应用内存数据31-36
• 2.3.1 内存数据管理32
• 2.3.2 进程地址空间32-33
• 2.3.3 Linux虚拟地址空间33-34
• 2.3.4 虚拟地址转译机制34-35
• 2.3.5 进程内存管理35-36
• 2.4 本章小结36-37
• 第三章 Android应用存储数据取证37-51
• 3.1 存储数据获取37-39
• 3.2 存储数据鉴定和分析39-48
• 3.2.1 XML数据鉴定和分析39-41
• 3.2.2 数据库数据鉴定和分析41-43
• 3.2.3 二进制数据鉴定和分析43-48
• 3.3 本章小结48-51
• 第四章 Android应用内存数据取证51-63
• 4.1 内存数据提取51-57
• 4.1.1 内存地址映射51-53
• 4.1.2 内存数据访问和获取53-56
• 4.1.3 内核模块导入56-57
• 4.2 Android内存数据鉴定和分析57-62
• 4.2.1 应用进程信息提取58-60
• 4.2.2 应用进程数据分析60-62
• 4.3 本章小结62-63
• 第五章 基于隐马尔科夫模型的内存数据分析63-77
• 5.1 隐马尔科夫模型(HMM)63-66
• 5.2 基于HMM的内存数据分析66-73
• 5.2.1 数据预处理67-68
• 5.2.2 HMM模型结构学习68-71
• 5.2.3 Viterbi算法应用71-73
• 5.3 结果评估73-74
• 5.4 本章小结74-77
• 第六章 Android应用程序数据取证系统设计与实现77-97
• 6.1 整体架构77-78
• 6.2 Android应用数据保存78-80
• 6.2.1 Android应用类型78-79
• 6.2.2 Android应用数据搜集79-80
• 6.3 Android应用数据获取80-85
• 6.4 Android应用数据鉴定和分析85-86
• 6.5 Android应用数据取证结果生成86-89
• 6.6 系统测试与分析89-95
• 6.6.1 测试准备89
• 6.6.2 系统测试及结果89-92
• 6.6.3 系统测试结果分析92-95
• 6.7 本章小结95-97
• 第七章 总结与展望97-99
• 7.1 全文工作总结97-98
• 7.2 进一步研究方向98-99
• 致谢99-101
• 参考文献101-105
• 硕士期间发表的论文及参与的科研项目105

【相似文献】

中国期刊全文数据库 前10条

1 姚伟;沙晶;;Android智能手机的取证[J];中国司法鉴定;2012年01期

2 杨卫军;张佩军;温万造;;Android手机短信获取与恢复方法[J];警察技术;2013年03期

3 秦海权;王晨;尹丹;;基于Android系统的恶意软件分析平台的设计与实现[J];警察技术;2013年06期

4 董春江;彭劲荣;;Android软件许可证及其商用法律风险研究[J];科技与法律;2011年04期

5 沐泽;;Android技术撬动两岸IT市场新支点——首届海峡两岸Android技术及产业合作发展研讨会侧记[J];台声;2010年02期

6 钟华;缪红;李进;;面向Android智能手机的电子数据取证分析[J];信息安全与通信保密;2014年07期

7 钱伟;陈小兵;;Android屏幕锁解锁在取证上的应用[J];中国司法鉴定;2013年06期

8 张辉极;薛艳英;;基于Android系统的取证技术分析[J];信息网络安全;2012年04期

9 ;信息博览[J];侨园;2011年06期

10 王希贝;;Android开源手机与知识产权保护浅析[J];中国发明与专利;2010年11期

中国重要会议论文全文数据库 前10条

1 万晓燕;徐国庆;;一种Android系统多待机方案设计[A];2011年全国电子信息技术与应用学术会议论文集[C];2011年

2 鲍轩;章坚武;;基于Android的音视频监控软件的设计[A];浙江省信号处理学会2012学术年会论文集[C];2012年

3 Di Jiaqi;Wang Jianhua;Zhang Long;;The Research in Mobile Learning Based on Android Smartphone Platform Application[A];2012年计算机应用与系统建模国际会议论文集[C];2012年

4 Xin Li;Yumei Zhai;Xiong Li;;Research and Implementation of Face Detection System on Android Smart Phone[A];2013年中国智能自动化学术会议论文集（第二分册）[C];2013年

5 符易阳;周丹平;;Android安全机制分析[A];第26次全国计算机安全学术交流会论文集[C];2011年

6 金洁;张琳;;基于Android平台的校园街景的研究和实现[A];2010年通信理论与信号处理学术年会论文集[C];2010年

7 张立;韩银和;袁小龙;;Android系统网络模块功耗的评估和分析[A];第十四届全国容错计算学术会议(CFTC'2011)论文集[C];2011年

8 Cheng Chen;Li Liu;Jianguo Chen;Cheng Zhang;;Extracting Language Strings from XML Based on Android[A];Proceedings of 2011 International Conference on Computer Science and Information Technology(ICCSIT 2011)[C];2011年

9 Zhe Chen;Pei-Luen Patrick Rau;Dennis Schumacher;Osama Khan;Poom Laupattarakasem;Cherry Yu;Nam Wahrenberg;;Development of an Android Mobile Application for International Students[A];第八届和谐人机环境联合学术会议（HHME2012)论文集CHCI[C];2012年

10 魏宁;王金海;;基于Android平台的多生理参数检测系统研究与设计[A];天津市生物医学工程学会第三十四届学术年会论文集[C];2014年

中国重要报纸全文数据库 前10条

1 ;Strategy Analytics:明年Android操作系统将占智能手机2%份额[N];电子资讯时报;2007年

2 技术在线;高通明确表示“将增强对Android的支持”[N];中国电子报;2008年

3 李睿;高通：将增强对Android的支持[N];电子资讯时报;2008年

4 ;今年Android手机销量将增长9倍[N];计算机世界;2009年

5 中国电子信息产业发展研究院培训中心 潘藩;Android撬动通信市场的新支点[N];通信产业报;2009年

6 本报记者 连晓东;Android机遇无穷 两岸携手1+1>2[N];中国电子报;2010年

7 本报记者 林剑;国内厂商角逐Android平台优势与挑战并存[N];通信信息报;2010年

8 本报记者 李敬;“安卓”Android之乱[N];计算机世界;2010年

9 韩勖;Android变身“大众机”[N];计算机世界;2010年

10 ;Android手机今年出货量预计突破5500万部[N];计算机世界;2010年

中国博士学位论文全文数据库 前3条

1 杨欢;协议漏洞挖掘及Android平台恶意应用检测技术研究[D];西安电子科技大学;2014年

2 尹国伟;基于Android的农技推广数据可靠采集系统研究[D];中国农业科学院;2014年

3 曾述可;基于静态分析的Android操作系统隐私保护机制评估方法研究[D];中国科学技术大学;2014年

中国硕士学位论文全文数据库 前10条

1 翟宇;基于Android系统下的校园三维地图的开发和研究[D];山西农业大学;2015年

2 刘斌;基于Android平台的个人记账理财设计与实现[D];华南理工大学;2015年

3 文霞;Android应用程序测试方法研究[D];华南理工大学;2015年

4 曹龙海;基于Android的人物照片分类软件的设计与实现[D];华南理工大学;2015年

5 陈鹏;基于Android应用的性能监控系统的研究与实现[D];华南理工大学;2015年

6 刘畅;基于Android系统的移动监测平台的设计与实现[D];西安石油大学;2015年

7 王宇宁;基于Android的长输管道巡线系统的研发[D];西安石油大学;2015年

8 邹吉轩;基于Android的移动学习系统的设计与实现[D];内蒙古大学;2015年

9 董文轩;基于Android平台携程结伴LBS的研究与实现[D];长春工业大学;2015年

10 赵美丹;基于Android的PKM系统的设计与实现[D];内蒙古大学;2015年

  本文关键词：Android应用取证分析研究，，由笔耕文化传播整理发布。

本文编号：451736