摘要:
伴随着以电子计算机和互联网技术为主的各项电子信息技术的深入发展和广泛应用,司法领域中各类"电子化"案件开始不断出现,各种形式的电子数据或许将成为潜在的电子证据.智能手机的发展极大丰富人们的生活,同时智能手机的普及使得利用手机从事的违法行为也越来越多,如何快速挖掘系统中的敏感信息对于手机安全具有重要的预防和监督意义.在智能手机平台中,Android系统使用最为广泛,本文针对Android取证展开研究,首先分析了目前Android系统取证的研究现状,根据Android系统特性着重对Android系统应用数据及文件存储情况进行了详细说明.针对手机存储的文件,通常采用对比文件Hash值方法判断文件是否为恶意文件,而当文件Hash值不同而内容相似,则无法判断该文件是否为恶意文件,本文提出一种根据文件内容特征来判断文件相似性的方法,该方法通过获取文件内容特征值并根据特征值匹配相似文件,测试结果表明,此方法对于被篡改的文件及文件片段的识别具有较大价值;文中根据文件Hash值,文件内容特征值,网络特征等方面建立文件特征值数据库.除了对本地数据进行检测,本文针对网络数据流进行实时分析,通过引入Libpcap库在Android平台上获取网络数据报文并进行特征值匹配分析,能够捕获含有特征值信息的违法数据报文,从而实现对Android系统正在联网信息的监控.本文通过PC服务端及手机客户端结合实现手机取证平台,服务端进行特征库及取证结果的汇总,手机客户端在本地及网络端进行数据取证,并将采集数据结果上传至服务端存储.
展开