ISSN 1009-3044 Vol.8, No.5, February 2012 ComputerKnowledgeandTechnology电脑知识与技术 ComputerKnowledgeandTechnology电脑知识与技术 E-mail: info@cccc.net.cn http://www.dnzs.net.cn Tel:+86-551-5690963 5690964 第8 卷第5 期 (2012 年2 月) Android 系统手机取证分析 裴珊珊 250014 （山东政法学院 信息科学技术系，山东 济南 ） 摘要：现代社会中，手机犯罪现象作为高科技犯罪的一种，亟待研究相应的对策加以应对，智能手机的普及使对手机取证技术的研 究迈向新的高度，越来越多的智能手机采用 Android 系统，针对 Android 系统手机取证的电子证据来源以及取证分析方法进行了相 应地介绍和研究，最后提出采用Android 系统的手机取证应解决的问题。 关键词：手机犯罪；手机取证；Android 中图分类号：TP309 文献标识码：A 文章编号：1009-3044(2012) 05-1052-05 The Forensic Analysis of Android Mobile Phone System PEI Shan-shan （Department of Information Science and Technology, ShanDong University of Political Science and Law, Jinan 250014, China） Abstract: In modern society, mobile phone crime phenomenon as a high-technology crime, need to study and the corresponding counter⁃ measures to deal with, the popularity of intelligent mobile phone make the mobile phone on evidence research to a new height, wherein more and more intelligent mobile phone use Android system.this paper mainly introduces the Android system mobile phone forensics elec⁃ tronic sources of evidence and forensic analysis method, finally puts forward using Android system should solve the problem of mobile phone forensics. Key words: mobile phone crime; mobile phone forensics; Android 1 概述 信息技术迅猛发展的今天，作为当今最为普及的信息技术产品，各种手持设备发展日新月异。手机是当今社会最重要的通讯 工具之一，更新换代发展迅速，不再仅仅停留在通讯功能上，智能手机逐渐成为市场新宠，以前需要一台电脑才能具备的功能，现在 往往一个手机就能具备。其中 系统手机市场潜力剧增， 系统手机的迅猛发展的同时，利用手机进行诈骗、诽谤和伪造等犯罪活动随之而来。为打击这一系列的犯罪活动和维持社 系统作为一款开源手机系统，很成功的吸引了大批开发者， android android android 系统手机进行取证技术方面的相关研究。 [1] 系统手机的市场份额逐年快速增长， 年第一季度， 月数据， 占据全球智能手机操作系统市场 Android 系统在全球的市场份额首次超过塞班系统，跃居全球第 。并且可以预见它将有更大 的份额，中国市场占有率为 58% 2011 Android 52.5% android 会的稳定，迫切需要我们对 2 Android 系统手机取证概述 Android 2011 11 年 一。 的市场空间。 随着越来越多的人加入到使用 系统手机的队伍当中，并且可以利用 用，用户大量的信息存储在 本，并多次加以分析，最终挖掘出更有效的信息， 系统手机上，对于犯罪分子的作案工具 系统手机取证应运而生。 Android 电子证据是科技高速发展的产物，是将法律与高科技相结合的一种新形式的证据。 Android Android Android Android Android 系统手机可以代替计算机处理很多日常应 系统手机，我们可以通过某些操作获取其数据副 [2] 系统手机取证就是对 系统手机通过技术分析，确保收集手机内的相关数据，并最终从中获取具有法律效力、能 够帮助公安人员破案的证据的过程。 系统手机有操作系统，用户可以安装软件、游戏、程序、扩充它的功能，还可以接入网络上网，获得更多的资源，无异于一 Android Android 台微型计算机。 2.1 取证源Android 2.2 证据信息的内容 系统手机取证的重要证据源是由手机的内存、用户识别卡、 卡以及移动运营商的业务数据库构成的。 联系人、通话记录、短信息、多媒体信息、浏览网页、录音文件等。 SD [3] 收稿日期：2012-01-12 基金项目：山东省自然科学基金计划项目（ZR2011FQ019，ZR2010FM042）；济南市科技发展计划项目（201010002） 作者简介：裴珊珊（1984-），女，山东东营人，硕士，主要研究方向为实验室管理、手机取证。 1052 网络通讯及安全 本栏目责任编辑：冯蕾 

第8 卷第5 期 (2012 年2 月) 3 Android 手机取证工具 ComputerKnowledgeandTechnology电脑知识与技术 Final Shield ） 手机取证在实际的操作过程当中，出现了式样繁多的取证软件，并且已经被越来越广泛的使用，但是现在这些手机取证工具都 或多或少的存在一些弊端，仅使用其中一种取证工具还很难达到我们的取证要求，只有对这些取证工具进行综合使用，才能满足调 查人员的特定需求。 Final Shield USB XRY SIM ：是一种用来屏蔽手机信号的取证辅助工具，该工具通过内部 系统手机进行连接，计算机或特定的 与该设备进行连接，作为手机取证的辅助工具共同得到有效的电子证据，可以有效的防止 与 手机取证工具利用 取证过程中有电话打入或短信接收，从而造成手机原始数据不必要的破坏或丢失。 外部 ） ：是一款便携式取证箱，用来手机内存转储和采集数据的工具。此设备是由 通信单元、数据线、记忆 卡读卡器、 等。该工具效果理 想，并且容易操作，可以方便快捷的完成手机数据的分析、获取、查看工作，同时，还能通过加密文件的创建，保护数据不被其他未经 允许的人员进行查看。该工具完成取证工作后，会得出相应的分析报告，方便调查工作人员查看详细的取证结果。 复制卡等组成的。在安全模式下可以读取 Message, telephone number, address books, pictures, video 卡读写器、 SIM USB USB Android Android ：该工具通过运用高级底层通讯方式，获取更多数据，相比其他对智能手机、 以及普通手机的逻辑分析软 系统手机的取证工作。 Phone book, calendar, wallpapers, ringtones [4] Linux 等数据。该软件可以在 等操作 PDA ） Oxygen Forensic BitPIM BitPIM CELLDEK ： ） 件，显示了更大的优越性，尤其适合于 ） 是一种电话管理软件，能够查看 系统上运行，前提是需要我们安装正确的驱动程序。 CELLDEK 取和分析就是通过笔记本内的特定软件来实现的。 4 Android 系统手机取证方法 ： 是一款便携式手机取证箱，可以提取 系统手机的原始数据。设备中嵌入一台笔记本，数据的提 1 2 3 4 5 1 2 3 4 5 Android Android 系统智能手 所谓取证的概念，即是对潜在的手机数据证据进行分析提取的过程，最终取得有效的证据和案件线索，对 机的取证工作，主要需注意以下几点： ）保证手机电量，切忌因电量不足意外关机。可以准备手机电源线，及时对手机进行充电；采用 在删除后并不会立即清除，只有在下次重启以后，才会被完全清除掉，这是因为 系统手机取证的过程中，保证充足的电量是十分必要的。 异。所以说，在 Android Android 系统的手机有些数据 系统手机在数据处理上与传统手机存在差 Android ）将手机设置为飞行模式，防止取证过程中有电话打入或短信接收，造成手机原始数据的破坏。 ）无线网连接需断开，因为如果手机在取证过程中连上网络，也可能造成数据破坏。 ）首先对手机 ）成功备份手机内存数据后，可以单独分析 卡和内存的原始数据进行备份，然后再开始分析备份好的数据。 卡中的数据。 SIM SD SD 卡和 [5] 5 Android 手机的取证分析 5.1 电话本信息 电话本信息存储在 /data/data/com.android.providers.contacts/databases contacts2.db 里面的 文件中。 打开后可显示所有联系人电话，截图如图 2 ： 图1 电话本文件 5.2 通话记录信息 通话记录信息也是存储在 /data/data/com.android.providers.contacts/databases contacts2.db 里面的 话，拨打的电话及通话时间都可以很准确的查看到。 图2 联系人信息 本栏目责任编辑：冯蕾 数据库文件中。通话人，接的电 网络通讯及安全 1053 

ComputerKnowledgeandTechnology电脑知识与技术 第8 卷第5 期 (2012 年2 月) 5.3 短信息 短信息存储在 /data/data/com.android.providers.telephony/databases mmssms.db 里面的 文件中。 图3 通讯记录信息 mmssms.db 打开 文件后可看到所有短信内容及发件人手机号。 图4 短信息文件 5.4 多媒体信息 多媒体信息是在 /data/data/com.android.providers.media/databases 里面做了个链接文件 卡中了，打开该文件可清晰的看到，其中手机录音也存储在这个文件中。 external-f6f21cel.db ，实际是存储到了 SD 图5 短信息内容 1 ）歌曲信息 图6 多媒体文件 2 1054 ）图片信息 图7 歌曲信息 网络通讯及安全 本栏目责任编辑：冯蕾 

第8 卷第5 期 (2012 年2 月) ComputerKnowledgeandTechnology电脑知识与技术 3 ）视频信息 图8 图片信息 5.5 浏览的网页信息 浏览网页信息存储在 /data/data/com.android.browser/databases browser.db 里面的 文件中。 图9 视频信息 browser.db 打开 文件后可看到用 Android 图10 网页信息 系统手机自带浏览器浏览到的所有网页题目及网址。 图11 网页题目及地址 由于 系统手机的标准，设备及网络的多样性，它的取证较困难。市场上也出现了一些商业产品，但 证还有许多问题亟待解决，主要表现在： Android 系统手机取 6 面临的问题 Android Android Android Android ）采用 ）对 ）如今对 1 2 3 本栏目责任编辑：冯蕾 系统的手机种类繁多，很多数据线等没有统一的标准，使取证工作变得复杂。 系统手机数据进行完全镜像备份的软件工具还较少； 系统手机取证工作还主要停留在数据获取阶段，分析数据的能力还需要进一步提高和完善； 网络通讯及安全 1055 

ComputerKnowledgeandTechnology电脑知识与技术 第8 卷第5 期 (2012 年2 月) 4 5 6 Android ）目前我国自主研发的取证工具还不是很成熟，而国外的取证工具由于代码的保密性，还存在不小的风险；且成本较高； ）缺乏 ）进一步完善相关政策法律，为手机取证工作提供强有力的法律保护和政策支撑。 系统手机取证的技术标准和规范； 7 结束语Android Android Android Android 系统手机功能的日益强大，在取证领域中所占的比重越来越大。本文针对 系统手机取证是打击手机犯罪现象有效的技术手段，在很多方面与计算机取证有共通之处，但是由于它的物理特点以 系统手机的特点，对其取证源、证据信 系 及 息及取证方法进行分析研究，并列举了一些常用的取证工具，最后提出了 统手机取证工作进行的初步研究探讨，以期对手机的取证工作提供有价值的参考依据。 参考文献： [1] [2] Svein Y,Willassen,M.Sc.Forensic Analysis of Mobile Phone Internal Memory[C].IFIP WG 11.9 conference on Digital Forensics in Orlando. [3] [4] Christopher V,Marsico,Marcus K. Rogers.iPod Forensics[J].International Journal of Digital Evidence,Fall 2005. ,2009,45(18):83-84. [5] Florida.2005. . ,2011(9):2120-2121. 系统手机取证技术面临的问题，本文对 ,2007(5):100-101. 手机取证及其电子证据获取研究 智能手机取证研究 电脑知识与技术 计算机与现代化 Android 戴吉明 [J]. [J]. [J]. 杜江 褚帅 . , , . 黄芹华 欧阳为民 手机及小型手持数字设备数字取证研究综述 计算机工程与应用 （上接第1044页） 对每一个重要终端都安装入侵防御系统，其成本也较大。正是由于其上不足之处，使得入侵防御系统还没有在网路安全中完全得 以应用。但相信经过一定的发展与改良，入侵防御系统会成为部队网络安全建设的一道坚固城墙。 4 结束语 除以上安全措施外，还有很多方法可以提高我们的网络安全系数。如安装杀毒软件，对需要传递的重要信息进行加密，使用数 字签名技术等，都有其独特的优势来进行网络安全防护。但是部队网络安全建设仍是一项重要的需要不断发展研究的课题，尤其 是部队的重要信息更是敌对势力想法设法窃取的对象，更加大了我军网络安全的压力。如今的网络安全已经是涵盖了网络级与应 用级在内的完整概念，我军需从整体网络管理平台的角度统一建设完整的网络安全体系，加大网路安全研究力度，以大魄力进行整 体改革，全面提升全军网络安全能力，为打赢以后可能发生的信息化战争建立坚实的网络基础。 参考文献： [1] [2] [3] 北京 科技创新导报 网路安全防护技术浅析 计算机网络技术及应用 清华大学出版社 ,2010. ,2010. ,2010. [M].2 [J]. [J]. . , 版 . : . , . 姜同敏 王晓峰 提高计算机网络看可靠性方法研究 计算机工程与设计 沈鑫剡 赵霞 张晓杰 1056 网络通讯及安全 本栏目责任编辑：冯蕾