技術(shù)領(lǐng)域

本發(fā)明屬于智能手機(jī)電子數(shù)據(jù)取證領(lǐng)域，涉及一種面向Android手機(jī)的遠(yuǎn)程可信取證的方法。

背景技術(shù)

隨著互聯(lián)網(wǎng)的發(fā)展，智能手機(jī)的普及已經(jīng)滲透到人們的日常生活當(dāng)中，無論是在工作還是生活上人們都離不開它，人們可以通過其進(jìn)行上網(wǎng)聊天、購物、個(gè)人信息管理、發(fā)微博等等，顯然在大家的心目中智能手機(jī)扮演著小型電腦的角色。智能手機(jī)給人們帶來便利的同時(shí)，一些犯罪分子把其作為更多地作為高科技犯罪的工具，因此，對(duì)于公安部門來說，手機(jī)中存儲(chǔ)的數(shù)據(jù)作為偵破案件的重要證據(jù)，通常在智能手機(jī)中的短信、通訊錄、通話記錄、上網(wǎng)記錄、即時(shí)通訊工具(如QQ、微信等)的聊天記錄、第三方應(yīng)用程序的痕跡(如支付寶、百度地圖)等有可能記錄著犯罪分子的一些相關(guān)的犯罪行為，分析其中的數(shù)據(jù)顯得尤為重要。因此，智能手機(jī)中存在的電子證據(jù)一般會(huì)成為公安部門偵破案件的突破口。

目前在手機(jī)取證這方面，目前的方式有兩種：一種是最普遍的也就是本地提取，主要是通過Amjad和DrShamimBaig所提出的手工提取、邏輯提取、十六進(jìn)制轉(zhuǎn)儲(chǔ)、芯片拆除、微碼讀取五種方式來對(duì)手機(jī)進(jìn)行數(shù)據(jù)的提取，在這種形式的取證過程中，智能手機(jī)必須輸運(yùn)至專門的司法鑒定機(jī)構(gòu)，由專門的鑒定人員來進(jìn)行數(shù)據(jù)的提取，而且在提取過程中是在網(wǎng)絡(luò)隔離的情況下進(jìn)行的；另外一種提取方式是通過遠(yuǎn)程傳輸?shù)姆绞剑@方面的研究較少，目前薛章程設(shè)計(jì)并實(shí)現(xiàn)了基于Android手機(jī)平臺(tái)的遠(yuǎn)程取證系統(tǒng)，該系統(tǒng)能夠?qū)Χ绦畔⑦M(jìn)行監(jiān)控、提取并通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的回傳，從而實(shí)現(xiàn)對(duì)目標(biāo)手機(jī)的遠(yuǎn)程操控，而所提取的數(shù)據(jù)只有基本信息和文件系統(tǒng)結(jié)構(gòu)信息。在取證方面的研究，主要針對(duì)未root和root后兩種形式的手機(jī)，對(duì)于未root的手機(jī)只能通過Android的Provider所提供的URI來對(duì)手機(jī)基本信息進(jìn)行獲取，root后的手機(jī)可以獲取任何的第三方應(yīng)用程序文件，從而提取的數(shù)據(jù)更加全面。

在本地取證中，有一個(gè)前提就是智能手機(jī)設(shè)備必須移送至專門的司法鑒定機(jī)構(gòu)讓專門的鑒定人員進(jìn)行手機(jī)數(shù)據(jù)的提取，但是在長途運(yùn)輸過程中，不僅浪費(fèi)人力、物力，最重要的是違背了手機(jī)取證的實(shí)時(shí)性原則，造成了重要數(shù)據(jù)再運(yùn)輸途中數(shù)據(jù)的丟失。而一些通過遠(yuǎn)程取證的研究所提取的數(shù)據(jù)較少，并且遠(yuǎn)程短信操控很容易造成對(duì)手機(jī)數(shù)據(jù)的改變，同時(shí)在傳輸過程中也沒有很好地對(duì)證據(jù)進(jìn)行保全。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種面向Android手機(jī)的遠(yuǎn)程可信取證的方法。首先是在遠(yuǎn)端Android手機(jī)中安裝代理提取盡可能多的數(shù)據(jù)文件，而這一操作非專業(yè)人員就能夠進(jìn)行操作，也就是說當(dāng)相關(guān)的公安人員一拿到手機(jī)時(shí)便可在不需專業(yè)人員協(xié)助的情況下進(jìn)行數(shù)據(jù)的提取，保證了數(shù)據(jù)的實(shí)時(shí)性。然后將這些數(shù)據(jù)文件通過加密網(wǎng)絡(luò)通道進(jìn)行傳輸，同時(shí)在傳輸過程中進(jìn)行證據(jù)的一系列監(jiān)管，以保證證據(jù)的可追溯性。

為達(dá)到上述目的，本發(fā)明提供如下技術(shù)方案：

一種面向Android手機(jī)的遠(yuǎn)程可信取證的方法，首先從Android手機(jī)端分析提取出盡可能多的數(shù)據(jù)，然后將提取到的數(shù)據(jù)遠(yuǎn)程傳輸?shù)絇C服務(wù)器端；PC服務(wù)器端收取回傳數(shù)據(jù)，并對(duì)收到的每一個(gè)數(shù)據(jù)文件進(jìn)行hash值校驗(yàn)，和傳輸前的數(shù)據(jù)比對(duì)并進(jìn)行驗(yàn)證。

進(jìn)一步的，所述從Android手機(jī)端分析提取數(shù)據(jù)具體方法包括兩種情況：

1)Android手機(jī)未Root時(shí)數(shù)據(jù)的獲取；主要是對(duì)手機(jī)基本信息的獲取，包括短信、通訊錄、通話記錄的提取，通過研究SQLite數(shù)據(jù)庫文件結(jié)構(gòu)，以及結(jié)合Android的Content Provider所提供的Uri來提取相應(yīng)的數(shù)據(jù)并存儲(chǔ)至XML文件中；

2)Android手機(jī)已Root時(shí)數(shù)據(jù)的獲取；研究存儲(chǔ)用戶應(yīng)用數(shù)據(jù)的YAFFES文件系統(tǒng)，遍歷文件系統(tǒng)并找到手機(jī)基本信息，包括短信、通訊錄、通話記錄，以及第三方應(yīng)用程序，包括如微信、UC瀏覽器、百度地圖、新浪微博、陌陌、滴滴打車的存儲(chǔ)信息，并集中存儲(chǔ)至SD卡中。

進(jìn)一步的，所述遠(yuǎn)程傳輸?shù)絇C服務(wù)器端的過程中，為了更好地實(shí)現(xiàn)證據(jù)鏈的監(jiān)管，將提取到并存儲(chǔ)在SD卡中的數(shù)據(jù)進(jìn)行hash值的計(jì)算，然后通過綁定PC服務(wù)器端的IP地址，并通過加密傳輸網(wǎng)絡(luò)HTTPS的來進(jìn)行異步傳輸，HTTPS中自定義證書，把證書編譯到Android應(yīng)用中去，由應(yīng)用自己來驗(yàn)證證書的方式。