山寨手机取证关键技术研究

发布时间：2017-09-21 05:23

  本文关键词：山寨手机取证关键技术研究

  更多相关文章： 山寨手机 MediaTek 互联网搜索记录 网页电子邮件 哈密顿路径 时间线分析

【摘要】：手机作为科技发展的产物已经成为了人们生活、社交的必需品。由于存在着巨大的利益，以至于市场上存在着数百种山寨手机。山寨手机的出现对整个手机行业以及社会产生了重要的影响。低廉的价格和便捷的销售渠道使得犯罪分子更倾向于使用这种手机来从事非法活动，比如，窃取他人隐私，诈骗等。随着法律的日渐完善，现实生活中的许多法律被引入到了数字世界中，同时也推动了数字取证的发展。山寨手机的出现对数字取证构成了新的挑战。因为相对于品牌手机而言，山寨手机缺乏行业标准，比较封闭，而且很少有公开的资料来描述其系统信息及存储结构。由于绝大部分山寨手机采用的是MediaTek(MTK)公司提供的基带多媒体一体化芯片和全面解决方案(市面最流行的山寨手机平台)，所以本论文以该类山寨手机为例进行取证介绍。 论文首先分析了手机常用的两种存储Flash(NOR Flash和NAND Flash）的基本特性，通过对Flash特性的分析深入了解山寨机的基本存储结构、运行原理，并为实验现象提供理论支撑。接着分析对比了现有几种手机镜像数据获取方法的优缺点，最终选用了Flasher tools方法获取完整的底层手机镜像数据，并针对MTK山寨机的系统存储结构以及Flash存储特性对镜像数据进行预处理。镜像数据包括用户区数据和系统区数据，其中系统区数据难以直接提取，且维护并保存了大量与数字取证直接相关的用户信息。由于这两个逻辑区域的数据在物理存储上是混合在一起的，因此从镜像数据中分割出系统区数据是本章的一个难点。通过预处理将用户区数据分离会减小后续数据处理的复杂度，提高取证分析的效率。 在此基础上，本论文分别对采用NOR Flash和NAND Flash的两款主流的高低端的MTK山寨手机进行了实验研究和分析。数字取证内容包括较为简单的基础手机信息，如电话本、通话记录、短信、彩信等；同时也包括了较为复杂的智能手机信息，如互联网访问内容、互联网搜索，基于web的电子邮件等。本论文首先采用逆向工程通过大量实验研究掌握了多种信息内容的获取技术和解析方法，并利用Flash存储器的读写和擦除特性进一步对已删除内容的残留历史快照碎片进行恢复提取，进而采用了图论中的哈密尔顿路径(Hamilton path)算法对获取和恢复所得的多种信息内容（如通话记录、电话本、web信息等）在不同时间的多个历史信息碎片进行综合分析，完成数字证据的时间线(TimeLine)分析和尝试进行罪案场景重构。实验结果表明，本论文设计的获取、分析和恢复方法，能够有效地帮助取证人员针对MTK平台的山寨手机进行数字证据提取、证据链分析以及案情分析，解决了司法部门在数字取证上的一个实际问题。不仅如此，论文提出的研究方法、技术路线以及分析方法也可适用于对基于其他解决方案的山寨手机进行数字取证分析。 总结而言，本论文针对基于MTK平台的山寨手机进行了数字取证技术和分析方法的研究。通过研究Flash存储器的存储特性以及山寨手机的内部存储管理机制，采用逆向工程实验研究了多种手机信息的提取和重组方法，同时对已删除内容残留的历史信息碎片进行恢复提取，并针对这些信息提出了一种综合的时间线分析方法。此外，，本论文所研究的数字取证技术和提出的分析方法在采用NORFlash和NAND Flash的两款主流MTK山寨手机上分别进行了实验验证，实验结果显示：本论文的研究成果能有效解决山寨手机的数字取证技术问题。
【关键词】：山寨手机 MediaTek 互联网搜索记录 网页电子邮件 哈密顿路径 时间线分析
【学位授予单位】：哈尔滨工业大学
【学位级别】：硕士
【学位授予年份】：2013
【分类号】：TN929.53;D918.2
【目录】：

• 摘要4-6
• Abstract6-10
• 第1章 绪论10-16
• 1.1 课题的来源及研究目的和意义10-11
• 1.2 山寨手机取证概述11-13
• 1.2.1 数字取证简介11-12
• 1.2.2 手机取证简介12
• 1.2.3 山寨手机取证简介12-13
• 1.3 手机取证的研究现状13-14
• 1.4 本课题研究的主要内容14
• 1.5 论文结构安排14-16
• 第2章 Flash 特性研究及其意义16-21
• 2.1 Flash 特性研究的意义16
• 2.2 Flash 基本性质16-17
• 2.3 FTL 简介17-19
• 2.4 均衡擦写算法简介19
• 2.5 Flash 特性对取证的影响19-20
• 2.6 本章小结20-21
• 第3章 手机镜像数据预处理——分离用户区数据21-25
• 3.1 逻辑层获取手机镜像21
• 3.2 物理层获取手机镜像21-23
• 3.3 用户区数据的分离23-24
• 3.4 本章小结24-25
• 第4章 基于 NOR Flash 的山寨手机取证25-55
• 4.1 基于 NOR Flash 的山寨手机系统结构简介25-26
• 4.2 逆向工程解析山寨手机数据存储26-27
• 4.3 MT6253 型号手机取证27-54
• 4.3.1 基于时间线(TimeLine)分析的电话本(PhoneBook)取证27-38
• 4.3.2 通话记录(call log)取证38-43
• 4.3.3 短信(sms)取证43-45
• 4.3.4 彩信(mms)取证45-46
• 4.3.5 Web 浏览记录取证及用户行为分析46-54
• 4.4 本章小结54-55
• 第5章 基于 NAND Flash 的山寨手机取证55-60
• 5.1 基于 NAND Flash 的山寨机系统结构简介55
• 5.2 MT6235 型号手机取证55-59
• 5.2.1 电话本取证56-58
• 5.2.2 通话记录取证58-59
• 5.3 本章小结59-60
• 结论60-61
• 参考文献61-64
• 攻读硕士期间发表的论文及其它成果64-66
• 致谢66

【参考文献】

中国期刊全文数据库 前7条

1 张辉极;;基于Flash存储的智能手机文件系统解析[J];电信科学;2010年S2期

2 米佳;刘浩阳;;数字移动设备取证方法研究[J];湖南公安高等专科学校学报;2007年02期

3 李涛;;基于免疫的网络监控模型[J];计算机学报;2006年09期

4 戴吉明;;手机取证及其电子证据获取研究[J];计算机与现代化;2007年05期

5 赵春雨;张云泉;;论电子证据的特点及其对取证的影响[J];黑龙江省政法管理干部学院学报;2006年01期

6 张会勇;MMS的消息格式和压缩编码分析[J];中国数据通信;2004年06期

7 文中华;陈志红;;一个求简单图中所有Hamilton回路的算法[J];湘潭大学自然科学学报;2005年04期

本文编号：892625