【电子数据取证】安卓模拟器应用取证

文章关键词：电子数据取证、手机取证、云取证、介质取证

近年来，电信网络诈骗呈现高发态势，诈骗手段更是五花八门，造成了人民群众巨大的经济损失，扰乱了人们正常的工作和生活秩序，极大地危害了社会诚信。安卓模拟器是一款能够在计算机内模拟手机应用的工具，在给我们带来良好的手机游戏和安卓系统体验的同时，也被不法分子用来实施电信网络诈骗，但现有取证软件不能够对安卓模拟器内应用直接进行数据提取。

安卓模拟器犯罪应用

安卓模拟器是能在电脑上模拟安卓操作系统，并能安装、使用、卸载安卓应用的工具类软件， 起着连接PC和手机平台的桥梁作用，它使用户在电脑上也能体验操作安卓系统的全过程。近年来随着手机游戏的推动，安卓模拟器也快速崛起。最近侦办的多起电信诈骗案件中，办案民警在现场发现大量涉案电脑和手机，每台涉案电脑上都运行着数个微信账号。

安卓模拟器应用的取证操作流程

通过在计算机端安装安卓模拟器来运行手机应用程序的方式，有别于常规在计算机端直接运行应用或者在手机上运行应用，这给取证带来了一定的难度，现有取证设备和软件均不能对模拟器内运行的各种手机应用直接进行数据提取。经过试验发现，每添加一个安卓模拟器，在安装目录下就会生成一个扩展名为.vmdk或者.vdi的文件。提供一些常用模拟器的vmdk文件存储路径：

夜神安卓模拟器vmdk路径：

D:\Program Files\Nox\bin\BignoxVMS\Nox

雷电模拟器vmdk路径：

D:\Program Files\LeiDian\LDPlayer4.0\vms\leidian

逍遥模拟器vmdk路径：

D:\Program Files\Microvirt\MEmu\image\71

MuMu模拟器vdi路径：

D:\Program Files\mumu\emulator\nemu\vms\nemu-6.0-x64-default

下面将以对雷电安卓模拟器的微信数据的提取为例进行取证流程的介绍：

一、物证保全

使用龙信天眼介质取证等软件工具制作计算机硬盘镜像文件，对检材进行保全备份。

二、提取模拟器虚拟磁盘文件

使用龙信仿真取证系统A306加载制作的计算机镜像文件，对无法制作镜像的计算机硬盘通过只读方式直接加载。在仿真桌面右键点击雷电模拟器图标打开文件夹位置后确定安卓模拟器默认的安装路径：D:\leidian\LDPlayer4\vms\leidian0。在该路径内提取等虚拟磁盘文件data.vmdk、sdcard.vmdk、system.vmdk等等。

三、加载虚拟磁盘文件

使用龙信天眼介质取证系统加载导出的该块硬盘里的所有虚拟磁盘文件（.vmdk）

四、导出微信数据包

每个虚拟磁盘文件里都存放了该安卓模拟器里各种应用的数据文件，加载完虚拟磁盘文件， 在每个虚拟磁盘文件下可以找到每个安卓模拟器运行时所产生的微信数据，路径为data.vmdk/分区2/data/com.tencent.mm。这里我们将整个data目录进行导出。

五、解析微信数据

使用龙信手机取证系统A200进行应用程序文件解析，选择整个data文件夹，对微信数据进行提取。选择微信数据，解析完成就可以得到所需要的微信数据了。

六、其他的应用程序如QQ等，也参照上述方式进行数据的获取

对于QQ、陌陌等其他安卓系统应用的数据提取，可参照上述微信数据提取过程，一～三相同， 四五针对应用类型提取即可。总结安卓模拟器应用程序的取证过程，遵循的基本流程如下：

总结

由于安卓系统的开源性，构建虚拟的安卓系统也相对容易，在本文中描述的雷电模拟器所生成的虚拟磁盘文件可以当成一个完整的手机镜像。本文介绍的安卓模拟器取证，相对于单纯的计算机取证或手机取证，过程更加繁琐，需将计算机取证和手机取证相结合起来，多款取证软件协同使用进行数据的提取。