针对智能手机应用程序的取证技术研究

针对智能手机应用程序的取证技术研究

作者：秦志红

来源：《电脑知识与技术》2012年第24期

        摘要：针对智能手机的研究是近几年相关领域的研究热点。作为一种新型设备，智能手机的取证技术是取证人员面临的新问题。随着用户数量的暴涨，与手机相关的突发事件和犯罪案件逐年上升。深入研究智能手机的取证方法和取证技术已经迫在眉睫。主要针对智能手机存储卡的文件组织形式，有重点的介绍几种常见手机应用的取证方法。

        关键词：智能手机；应用；手机取证

        中图分类号：TF713文献标识码：A文章编号：1009-3044(2012)24-5869-03

        Research on Application of Smartphone Forensics

        QIN Zhi-hong

        （Henan Police Colleage, Zhengzhou 450000, China）

        Abstract:In recent years smartphone research is the hot point of research. As a new type of equipment, smartphone forensic technology is facing new problems. As the number of users has skyrocketed, mobile phone related incidents and crimes increased year by year. Study of smartphone forensics method and technology is imminent. The article mainly aims at the file organization form of smartphone’s memory card, have focused on the introduction of several common mobile phone application investigation method.

        Key words: smartphone；application；phone forensics

         1概述

        近几年，智能手机已经成为手机发展市场的主流，其强大功能几乎可以和个人电脑相媲美。但与此同时，与手机有关的事件也逐年增多。这些事件既包括用户操作过程中对文件误删除等无意破坏，也包括病毒、黑客、垃圾文件等恶意程序的侵扰，还有一些犯罪案件中与手机信息有关的事件等。因此，针对手机的取证技术研究逐渐成为相关领域的研究热点。

        智能手机主要的优点就在于支持大量的应用程序，能够帮助用户实现各种需求。这些应用或程序在运行的时候，会留下一些痕迹数据。像计算机一样，系统文件会有所改变，手机中的系统文件存在于内置存储卡中。然而，应用越复杂、功能越强大，所占用空间就越大。这就要求手机必须配备容量较大的外置存储卡。TF卡、MMC卡、SD卡等都可以作为手机存储卡来使用，手机中所安装的第三方应用程序基本都存在于这些存储卡内。因此，手机的取证主要针对内置和外置的存储卡，通过相应的取证技术可以获得较多的有价值信息。

        该文以Andriod系统的智能手机为研究目标，重点关注手机存储卡中的信息。根据系统中所安装的应用程序，分析其在存储卡中的文件存储方式。以其获得有价值的资料，从而为相关事件提供技术依据。

         2智能手机中的典型应用程序

        随着网络的逐渐普及，手机已经不仅仅局限于通话交流，使用手机中所携带的应用，或者利用手机的网络功能下载并使用应用程序，已经成为智能手机的主要功能。智能手机可以支持多种应用程序，主要分为以下几类：

        交流类：即时通信、E_mail、各种交流网站（人人网、facebook等）。休闲娱乐类：网络游戏、单机游戏、视频音频软件、网页浏览器等。生活所需类：GPS、文件处理、日程安排、网上银行、股市交易等。

        根据用户的需求，应用程序日新月异，但基本涵盖在以上几种类型中。不同的应用程序，其文件组织和含义不同，在取证的过程中，需要了解这些内容，并能够分析。该文仅针对常用的几个应用程序进行研究和介绍，其它类似软件读者可以举一反三。

        2.1网页浏览器

        手机中的网页浏览器相对个人电脑来说所占空间更小，但随着用户对智能手机需求的不断提高，智能手机浏览器的功能也逐渐加强。如今的手机浏览器不但能够浏览网页，还支持视频、音频、各种插件以及cookies功能，能够分享网页、收藏网页、设置主页，还可以进行书签管理，对网址进行安全检测等。

        图6好友号码所对应的头像

        而QQ文件夹中，包含了聊天记录等重要信息。如图7。图7聊天记录

        Qzone、Pengyou、weibo对应的是QQ空间、朋友网、微博的信息。如果需要，可以进一步分析。

        以上的介绍只是针对智能手机存储卡信息所提取的一部分内容，其中还有其它大量的用户数据。对于取证人员来说，需要把这些数据进行提取并加以固定。这些数据一方面可以印证某些事件的真实性，另一方面也是很多案件侦破所需要的重要证据。