英语原文共 11 页，剩余内容已隐藏，支付完成后下载完整资料

针对安卓设备的常规收集方法

关键词:

安卓构架，移动设备，数字取证，采集，获得

摘要：

如今，各种各样的设备上搭载的都是安卓平台，尤其是在手机上，它为各种设备装置增添了前所未有的通用软件功能，从而不用再依赖于经销商和制造商。现代数字取证过程将收集和分析加以区分，其中收集仅在理想状态下出现一次，而随后的分析则依赖于收将收集和分析加以区分，其中收集仅在理想状态下出现一次，而随后的分析则依赖于收集适当与否。在研究了特殊设备的启动模式和安卓的分区架构后，我们详细介绍了安卓可启动图象的构成，并讨论了如何创建此类图象来进行取证收集。本文的主要贡献是阐述了安卓设备数据收集的一般进程，以及在几种特定设备上进行了试验，并获取了相关结果。

1.介绍

传统上，移动取证需要根据设备制造商和型号来进行收集和分析。智能手机不但采用了多种电缆、界面和形状因素，而且该种设备也搭载了特殊软件、内存布局器和储存技术。这神奇的多样化功能导致数字取证从业者遭受到混合套件的攻击，包括多余电缆和收据手机技术（Yates,2010）。如今，移动设备和移动电话更是必不可少，它包含了大量信息以供分析。

2010年底，31%的美国移动手机消费者使用的是智能手机，而排在销量榜前十名的也都是智能手机（报道文件）。作为谷歌支持的移动软件构架（安卓，享有着巨大的市场份额和成长因子，更胜Apple，的，iPhone，一筹（安卓，2010， Meeker，等人，2010），迅速成为移动市场上的中坚力量。如今，许多制造商都生产安卓系统的设备，而且许多重要经销商都出售上述设备。事实，现如今安卓系统随处可见（包括客厅的，Google，TV）即将上市的雪佛兰和福特汽车，索尼的新款游戏手机：Xperia，Play。智能手机的价格正在排挤和降低功能弱小的“功能手机”的市场份额，而它们也逐渐装载了免费的安卓软件。

安卓构架设备的普及促进了公共财产的开发，极度降低了数字取证工具所需的多样性，同时，大大增加了音频数据收集的潜力。制造商和经销商更倾向于在移动设备上添加额外功能并提供附加服务来保持竞争优势，但是安卓设备享，有我们所常用的公共构架来进行采集（有时我们称“获得”）。据我们所知这篇论文则意味着安卓设备常规采集方法的第一份工作已经完成。

2.相关工作

随着智能手机用户的不断增长，移动电话本身也不再是一项新奇的技术。如今，各色移动电话和定价方案反映了用户群的广泛欲望和需求，而且必须要由数字取证从业者处理。在本章中，我们介绍了从当下公认为廉价的“功能电话”发展到其他特别针对现代智能手机的移动设备的数字取证的相关连续工作。

Willassen（2003）概括了 GSM 移动手机分析相关项目：位置，SMS，联系方式等（参考附录 1 中有关安卓数据的简述）。2006 年，该作者还探究了常用移动电话的手机方法，尤其是进入到线路板界面的物理途径的使用，如 JTAG 端口，或者通过芯片程序设计人员物理移动存储芯片，用作后续的数据收集。同样，在 2006 年，Casadei 等（2006）介绍了现场收集技术,被称为 SIMbrush,其促进了整个文件系统收集(对于未保护文件)尤其是 SIM 设备。

2007 年，Al-Zarouni （2007）研究了移动手机 flashing 工具在数字取证方面的使用情况。作者得出结论，在取证可靠时，工具的初始使用写入了设备，而不是从设备读出。不同品牌和型号的设备阅读能力各有不同，因此，flashing 工具在采集方法方面是不确定的。

同样在 2007 年，Mokhonoana 和 Olivier（2007）详细介绍了塞班 OSv7 设备的采集方法，而 Distenfano 在 2008 年探索了塞班 OSv8 采集方法。Distefano 和我（2008）。实际上，由于移动空间的多样性，几个特定的操作软件或硬件平台也经常被用作研究，如：黑莓，Fairbanks 等人（2009）,CDMA,Murphy（2009），iPhone3Gs，Bader 和 Baggili(2010)，Nokia，Williamson 等人（2006）等。

手机取证需求与手机市场多样性衍生了大量手机取证工具。2006 年 Ayers等（2007）根据他们的收购、检验以及报告功能与现有工具相比，总结出几种典型的手机信息如 IMEI 和短信/彩信都是可以被现有工具搜索到的。同年，Williamson 等（2006）研究了手机取证性能尤其诺基亚手机。2007 年，Jansen和 Ayers 再次利用当代工具检测手机并将研究结果记录在美国国家标准技术研究所报告中。随后，在 2010 年，Yates（2010）指出：手机设备市场的多样性及复杂性促进了从业人员选择适当的电子取证工具。此处提及的对比文件为：CellSeizure, GSM.XRY，MOBILedit！Forensic，TULP 2G，Forensic CardReader，ForensicSIM，SIMCon，SIMIS 和 Oxygen Phone Manager。

针对安卓设备，Hoog(2009)研究了安卓取证信息，包括安卓移动电话的采集办法。如使用安卓 SDK 的应用程序调试功能在活跃电话上检索文件。并且使用商业工具如 Paraben 设备检取和“固定”HTC G1。“固定”为设备获取管理。根源（权限的通用语言）该处用户仅拥有最低权限，如移动电话。笔者将在第 5.2节进一步研究“固定”。

2010 年，Thing 等（2010）探索对安卓活动内存的取证，收集程序内存。Thing 利用了 PTRA-CE_ATTACH 的调用进程跟踪来跟踪现有程序。该技术通常用于调试（Sarma and Vaddagiri, 2002）但也经常用于恶意软件分析（Burdach，2006）。

3.背景

在 Linux 内核的基础上，安卓系统使用操作系统基元(如进程和用户名)以及一个 Java 虚拟机(Dalvik)来开发程序。以提供一个安全沙盒(Shin 等，2009)。

安卓应用通常用 JAVA 编写，并通过完美设定的应用程序界面与安卓系统结构链接。出于性能考虑，开发人员可以创建本地硬盘自动运行软件来避免 JAVA虚拟机所产生的费用。应用开发，不用于低水平开发如内核修改，可以使用 SDK（软件开发工具箱）和 NDK（本地开发工具箱）。SDK 通过提供功能完善的模拟器、针对安卓的 Eclipse，优选的集成开发环境，扩展以及特殊的安卓调试网桥（adb），使得模拟器或 USB 接口的实体装置，安卓开发人员，的调试信息进入优先命令状态，从而开发出极易操作的高级软件。

安卓调试网桥由设备上（如模拟器）和开发商机器上的软件组件构成，通过 USB 或 TCP 连接。使用该功能，开发商不仅能够观察调试信息，而且还能执行其他操作的分类，如安装软件（分路市场应用）重新启动装置，甚至打开交互式远程壳体。注意在生产设备中通常不能开启 adb，但用户必须能够开启。对于低级试验来说，安卓是开放性资源，可以轻易获得并编撰其代码（安卓资源）。

某些供应商，如 G1 手机的生产商 HTC，为开发人员提供了丰富了网络站点，不仅包括文件编制，而且还有预定制工具甚至电话图像（HTC 开发人员中心）。反之，其它公司从未向公众公布此类信息。而且将电话图像这一令人垂涎的知识产权进行了严密保护。

在本文的其它章节中，我们假定了更加严格的实例。即当设备被屏锁装置“妨碍”的情形，Jansen 和 Ayers（2007）对此进行了定义。然而，本文中描述的技术同样也能在“无障碍”的设备上工作，而且能胜任更为复杂的收集，它极其简单，可以简单地在无障碍设备上运行 adb 并执行无特权的、逻辑收集。此种收集包括信息较少，因为其未分配的存储位置不可存取，以及运行中的安卓系统强制执行的权限（adb 程序不以特权执行）。

4.收集目标

因为我们的数据收集主要用于取证，因此我们必须考虑技术上的多种限制条件及合意的性能。理想上，设备和其数据都可“精确的复制”，即使通过简单地与设备互动，我们多少能改变其状态，努力获得一个精确副本（Dobell）。在这我们列举收集进程的适用标准。

• 数据存储.

数据存储位置的头等重任就是储存用户数据，因为这种数据类型相比众多设备公用的系统文件在研究调查方面更有价值。这一观点不能完全低估存储收集，最不可能的是存储用户数据，其仅在用户数据中添加更多价值。事实上，获取系统信息的能力可以与用户数据有效串联。虽然完全可能是很少见的，但是具体案例可支配高速缓存信息、固件和内核碰撞信息等至关重要的信息。和上述情形一样在理想状态下，任何事物都能作为“精确副本”收集。

• 原子收集.

设备应该收集，而其数据也应尽可能的以原子形式采集。如设备当前执行指令并操作存储，其收集状态可能无效。考虑到磁盘正在清理碎片，而同时外部程序正在复制相同的磁盘。而复制将花费一些时间，该文件将通过碎片整理移动到早已被外部程序复制的群集，这个方案非常合理。在这种情况下，复件中奖不包含文件，最简单的办法就是复制磁盘，但同时磁盘上不能进行其它操作。当元信息，如在复制过程中改变分配表等，可能会出现与文件系统的有效性有关的类似情形。

• 正确性.

至于上述提到的原子性标准，其对正确性有着明显的需求。即便考虑到在设备上原子复制的能力，数据必须正确复制。软件应当从来源处真实的复制数据到目的地，并且在运输途中应保持完整性。

• 确定性.

程序必须是可重复的，这样从业者可以期望程序在考虑中收集数据。在同等状态下随后在同样设备上的收集在理想上应产生同等结果。

• 可用性.

程序必须可用，并且在可行时间内出现。根据设备的硬件特性，可以采用其它预防措施。比如说，可以采用一定程度上的干扰或其它方法来防止移动电话接收网络，这是因为进入的数据将会在某种程度上改变手机的状态，从而可能删除有价值的数据。

5.收集过程

我们的技术重新规划了恢复分区以及安卓设备的相关恢复模式用于收集。对于许多设备来说，收集是一个多步完成的程序，需要恢复影像采集。第 5.3节中概述了如何创建这种影像。一旦图象恢复，它将使用下列第 6 节中所述的设备专用指令将其闪存到设备中。在设备装载好收集恢复影像后，设备将重新启动进入恢复模式，并连接到装有 adb（来自安卓 SDK）的电脑上。随后，可以使用adb 程序验证设备是否连接（./adb 设备），并远程执行正在设备上进行的影像恢复（./adb 壳体）。

在这一点上，推荐的收集程序端口映射使用 adb 设备上的 TCP 端口，开始在电脑上运行接收程序并将数据从存储设备中转移到本地设备 TCP 端口，使用数据转储程序和将数据转储程序的输出写入槽口的简易程序。作者编写的 TCP 传送软件也可计算整合的散列信息，并将其作为数据编写入槽口。完整散列的显示是通过检查 adb 壳体中显示的散列考虑到了正确转移的验证，其中一个已在计算机的影像收集上独立计算出。

数据转储程序的使用在一定程度上取决于设备的特性。许多安卓设备使用配置存储设备（MTD）。MTD 系统是“原始 flash 设备的抽象层”（MTD）。允许软件使用单一界面访问各种 flash 技术。在 MTD 设备中，可以用 nand 转储来收集NAND 数据，不受存储器上使用的高级文件系统的支配。而那些没有使用 MTD 的设备，它们则采用了其它收集技术。譬如，可以使用 dd 程序来复制数据。还有一件非常要注意的事是，不是所有的数据都需要储存在携带的储存器上。安卓设备通常支持 1 个或多个 SD 卡。用户不仅能在该设备上存储一些应用程序，而且还能储存数据，某些制造商可能会选择在该设备上储存整个用户数据分区。

5.1. 安卓分区

安卓设备通常由多个分区构成，且映射到 MTD 设备上。确切的分区架构取

决于卖方的安装启用，但是在表 1 中能够找到其典型架构。安卓设备中一般有六

个分区，最常用的为系统、用户数据、高速缓存、启动和恢复。在该图标中还可

看到，许多安卓设备使用 YAFFS2（另一种 Flash 文件系统 2）文件系统，专门设

计用于闪速存储器。