[發(fā)明專利]一種基于固件更新協議的Android取證方法在審

申請?zhí)枺?/td>	201911304443.9	申請日：	2019-12-17
公開（公告）號：	CN111190619A	公開（公告）日：	2020-05-22
發(fā)明（設計）人：	俞研;彭偉航;鄧芳偉;蘇铓;付安民;張晗	申請（專利權）人：	南京理工大學
主分類號：	G06F8/65	分類號：	G06F8/65;G06F8/72;G06F3/06
代理公司：	南京理工大學專利中心 32203	代理人：	封睿
地址：	210094 江***	國省代碼：	江蘇;32
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	一種基于更新協議 android 取證方法
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種基于固件更新協議的Android取證方法，其特征在于，包括以下步驟：

步驟1、獲取Android固件更新協議中轉儲指令；

步驟2、逆向分析固件更新程序與設備的數據交互例程，發(fā)送步驟1獲取的轉儲指令，從Android設備轉儲數據；

步驟3、基于字符串匹配算法從轉儲數據中提取信息。

2.根據權利要求書1中所述的基于固件更新協議的Android取證方法，其特征在于，步驟1中，獲取轉儲指令的具體步驟為：

步驟1-1、控制Android設備進入download模式，進行固件更新升級；

步驟1-2、監(jiān)控固件更新程序的API調用，對Android設備進行抓包；

步驟1-3、根據轉儲指令格式生成測試用例，進行Fuzzing測試得到隱藏的轉儲指令。

3.根據權利要求書2中所述的基于固件更新協議的Android取證方法，其特征在于，步驟1-1中，Android設備進入download模式有三種方式：(1)設備關機狀態(tài)下使用組合鍵進入；(2)通過adb指令“adb reboot fastboot”進入；(3)通過發(fā)送AT指令“AT+FUS？”進入。

4.根據權利要求書2中所述的基于固件更新協議的Android取證方法，其特征在于，步驟1-2中，API監(jiān)控重點關注三個函數：CreateFile()，ReadFile()和WriteFile()，因為CreateFile()打開了串行端口，WriteFile()將數據從PC傳輸到智能手機，而ReadFile()從智能手機讀取了數據。

5.根據權利要求書2中所述的基于固件更新協議的Android取證方法，其特征在于，步驟1-3中，Fuzzing測試分為三個部分：(1)不考慮協議數據包的格式，生成任意的數據發(fā)送至設備；(2)基于變異的模糊測試；(3)基于生長的模糊測試。

6.根據權利要求書1中所述的基于固件更新協議的Android取證方法，其特征在于，步驟2中，逆向分析通過動態(tài)分析查找例程，步驟如下：

首先將斷點放在調試器的ReadFile()上，然后開始執(zhí)行固件更新程序，接收數據時程序停止，如果接收到的數據是壓縮的扇區(qū)信息，那么需要跟蹤調試器中的函數調用，以找到壓縮數據被解壓縮的點并找到相關的代碼塊；如果接收到的數據是密文，在調用特定函數后找到與內存和扇區(qū)相關的字符串，將其視為客戶端程序對響應數據的解密，找到相關的例程后，將其用C或Python重寫，完成例程的重構。

7.根據權利要求書1中所述的基于固件更新協議的Android取證方法，其特征在于，步驟3中，字符串匹配算法采用Sunday算法，從原始數據開始依次遍歷，與關鍵字的hex十六進制流作比對，匹配到關鍵字相應的位置。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于南京理工大學，未經南京理工大學許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201911304443.9/1.html，轉載請聲明來源鉆瓜專利網。