本發(fā)明提出了一種基于固件更新協(xié)議的Android取證方法，獲取Android固件更新協(xié)議中轉(zhuǎn)儲指令；逆向分析固件更新程序與設(shè)備的數(shù)據(jù)交互例程，發(fā)送步驟1獲取的轉(zhuǎn)儲指令，從Android設(shè)備轉(zhuǎn)儲數(shù)據(jù)；基于字符串匹配算法從轉(zhuǎn)儲數(shù)據(jù)中提取信息。本發(fā)明基于固件更新模式獲取數(shù)據(jù)，該模式下設(shè)備只引導(dǎo)fastboot分區(qū)，保證了數(shù)據(jù)分區(qū)的完整性；數(shù)據(jù)的轉(zhuǎn)儲不需要解除屏幕鎖定，不需要root權(quán)限，適用性更廣。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)字取證技術(shù)，具體涉及一種基于固件更新協(xié)議的Android取證方法。

背景技術(shù)

隨著Android智能設(shè)備的廣泛應(yīng)用，越來越多的犯罪分子使用Android設(shè)備從事違法行為。為了更好協(xié)助取證人員順利地從證物設(shè)備中提取關(guān)鍵證據(jù)，面向Android系統(tǒng)的取證研究的需求也越加迫切。

數(shù)字取證是司法部門獲取電子證據(jù)和案件線索的一種重要手段。傳統(tǒng)的數(shù)字取證方法主要有邏輯獲取、芯片拆除等方式，其中邏輯獲取技術(shù)受限于操作系統(tǒng)邏輯層的控制，當(dāng)移動設(shè)備處于非root權(quán)限下，或者USB調(diào)試沒有開啟、系統(tǒng)被密碼鎖定時，會導(dǎo)致邏輯獲取方法不可用。而芯片拆除方式則須將移動設(shè)備中存儲數(shù)據(jù)的芯片與主板分離，利用JTAG等與芯片直接通訊技術(shù)將其中的數(shù)據(jù)讀取出來，然而，該方法按位讀取的數(shù)據(jù)獲取速度緩慢，且易于由于手工失誤而導(dǎo)致證據(jù)被毀。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于固件更新協(xié)議的Android取證方法。

實現(xiàn)本發(fā)明目的的技術(shù)解決方案為：一種基于固件更新協(xié)議的Android取證方法，包括以下步驟：

步驟1、獲取Android固件更新協(xié)議中轉(zhuǎn)儲指令；

步驟2、逆向分析固件更新程序與設(shè)備的數(shù)據(jù)交互例程，發(fā)送步驟1獲取的轉(zhuǎn)儲指令，從Android設(shè)備轉(zhuǎn)儲數(shù)據(jù)；

步驟3、基于字符串匹配算法從轉(zhuǎn)儲數(shù)據(jù)中提取信息。

本發(fā)明與現(xiàn)有技術(shù)相比，其顯著優(yōu)點在：1)基于固件更新模式獲取數(shù)據(jù)，該模式下設(shè)備只引導(dǎo)fastboot分區(qū)，保證了數(shù)據(jù)分區(qū)的完整性；2)數(shù)據(jù)的轉(zhuǎn)儲不需要解除屏幕鎖定，不需要root權(quán)限，適用性更廣。

附圖說明

圖1為本發(fā)明獲取Android固件更新協(xié)議中內(nèi)存轉(zhuǎn)儲指令的原理圖。

圖2為本發(fā)明涉及的Android固件更新模式引導(dǎo)流程示意圖。

圖3為本發(fā)明步驟3中涉及的Sunday算法示例圖。

具體實施方式

基于固件更新協(xié)議的Android取證方法，包括以下步驟：

步驟1、獲取Android固件更新協(xié)議中內(nèi)存轉(zhuǎn)儲指令

Android設(shè)備通過固件更新程序?qū)υO(shè)備進(jìn)行系統(tǒng)升級、固件更新以及漏洞修復(fù)，固件更新協(xié)議中隱藏的內(nèi)存轉(zhuǎn)儲指令能夠獲取設(shè)備存儲器中的原始數(shù)據(jù)。本發(fā)明通過監(jiān)控固件剛更新程序的API調(diào)用，對usb通訊數(shù)據(jù)進(jìn)行抓取分析，以及Fuzzing測試，提取固件更新協(xié)議中的內(nèi)存轉(zhuǎn)儲指令。

如圖1所示，所述步驟1包含以下3個子步驟，如下：

步驟1-1、控制Android設(shè)備進(jìn)入download模式，然后進(jìn)行固件更新升級；Android設(shè)備進(jìn)入download模式有三種方式：(1)設(shè)備關(guān)機狀態(tài)下使用組合鍵進(jìn)入，不同型號的設(shè)備使用的組合鍵有所不同，如samsung手機使用組合鍵“電源鍵”+“音量鍵”進(jìn)入。(2)通過adb指令“adb reboot fastboot”進(jìn)入。(3)通過發(fā)送AT指令“AT+FUS？”進(jìn)入。