android怎么用实体机,一种基于虚拟机和实体机结合的移动终端取证方法及系统与流程...

本发明属于IT技术领域，涉及一种移动终端取证方法及系统，特别涉及一种基于虚拟机和实体机结合的移动终端取证方法及系统。

背景技术：

移动终端操作系统中留存了用户的大量私密信息，以Android系统为例，近年来，Android系统作为一个开源的移动设备操作系统，其装机量达20亿部，已经超越Windows，成为全球使用最多最广泛的操作系统，Android系统的普及和应用已经深深融入到人们的生活中。Android系统中留存了用户的大量私密信息，甚至包括犯罪人员的犯罪活动相关信息，通过取证手段，科学有效地获取这些信息，对于案情的分析，有着重要的意义。

传统对于Android系统取证分析的方法是通过ADB(Android Debug Bridge)的方式获取Android系统镜像，或者通过在Android系统中安装Agent软件获取信息，再通过对获取信息的解析和分析，在PC客户端上进行展示。

现有的取证分析方法，在进行诸多应用程序的取证分析时，面临应用程序更新频繁、程序文件结构和内容复杂等问题，在文件结构和内容解析时，在工作量和工作难度双方面，面临着较大的挑战。另外，在PC客户端上进行操作时，也面临着操作界面不友好等问题。

技术实现要素：

为了克服现有技术的不足，本发明的目的在于提供了一种基于虚拟机和实体机结合的移动终端取证方法及系统，该方法能够在保证原始移动终端的证据的完整性的前提下，充分利用虚拟机和真实移动终端的应用数据操作及展示友好的特点，实现对原始移动终端中的应用数据的取证、展示和分析。

为了实现上述目的，本发明提供的技术方案如下：

一种基于虚拟机和实体机结合的移动终端取证系统，以Android系统为例，其中，物理资源包括PC机(即取证服务器)、待取证Android移动终端、虚拟Android移动终端和真实Android移动终端。如图1所示，其中待取证Android移动终端是原始的Android移动终端，也是被取证的对象；PC机用于通过数据线连接待取证Android移动终端，获取其中的待取证数据信息；虚拟Android移动终端通过虚拟机运行在PC机中；真实Android移动终端则通过数据线连接PC，加载从待取证Android移动终端中提取的应用数据信息。具体包括以下步骤：

步骤1，使用数据线连接待取证Android移动终端和PC，使用ADB或者在终端安装Agent客户端软件的方式，从Android移动终端获取Android移动终端的系统镜像和终端相关的数据信息。

步骤2，在PC机中，对提取的Android移动终端的数据进行分析，提取Android移动终端的关键信息和终端中的应用关键信息，Android移动终端的关键信息包括Android移动终端的型号信息、IMEI信息、Android系统版本、存储器信息等，终端中的应用关键信息包括应用程序名称、版本和具体数据文件内容等信息。大部分现有的取证分析软件，一般只支持取证分析到这一步，即对提取的关键信息进行分析操作，包括数据读取、分析、解析和展现等。

步骤3，根据提取的系统版本关键信息，与虚拟机提供的镜像的Android系统版本信息进行对比，判断提取的Android移动终端的系统是否可以通过虚拟机进行构建，应用数据内容是否可以在虚拟机中进行有效加载。如果可以进行有效对虚拟机进行构建，有效对应用数据进行加载，则跳转到步骤4；如果无法对从移动终端中提取的Android系统进行构建，或无法有效加载应用数据，则跳转到步骤5。

步骤4，在PC机中生成虚拟Android移动终端，并将提取Android移动终端的关键信息和终端中的应用关键信息，加载到虚拟Android移动终端，通过对虚拟Android移动终端中相应的应用程序进行数据和文件的替换，以保证虚拟Android移动终端中相应的应用程序可以正确加载应用信息，从而规避应用程序更新频繁、程序文件结构和内容复杂等问题带来的文件结构和内容解析过程中的工作量和工作难度方面的问题，并通过在虚拟Android移动终端进行更为方便、直观的数据搜索和查看操作，实现对Android移动终端中证据信息的提取，同时可以解决只在PC客户端中通过开发的应用进行操作时带来操作界面不友好的问题；结合在PC机中对提取的数据的处理和分析，作为取证分析的补充，完成后续的取证分析操作。

步骤5，如果只是由于无法构建与移动终端相同版本的虚拟Android系统的原因，则根据Android移动终端的版本号，和PC机中保存的多个虚拟Android镜像的版本进行比较，尝试使用PC机生成版本号相近或相同的虚拟Android移动终端，并将提取Android移动终端的关键信息和终端中的应用关键信息，加载到生成的虚拟Android移动终端中。

步骤6，如果是虚拟Android移动终端无法有效加载应用程序数据的原因，可能是有应用程序在加载时检测到运行环境为虚拟环境，进而导致的加载应用程序数据失败。此时，使用真实Android移动终端连接到PC机，加载提取Android移动终端的关键信息和终端中的应用关键信息。如果未出现无法有效加载应用数据的情况，则不需要使用真实Android移动终端。

步骤7，通过使用虚拟Android移动终端或真实Android移动终端进行数据查看和分析，可以不需要对应用数据的文件结构和内容进行深入分析，只需要确保应用数据在虚拟Android移动终端或真实Android移动终端进行有效加载；另外，可以保证操作界面的友好。结合在PC机中对提取的数据的处理和分析，作为取证分析的补充，完成后续的取证分析操作。

与国内现有技术方案相比，本发明技术方案具有下述明显优点：

1、不需要深入分析系统和应用数据的详细信息，就可以还原和加载待取证Android移动终端的情况，减少对应用版本和数据格式处理的工作量。

2、在虚拟Android移动终端或真实Android移动终端进行原生系统和应用的取证操作，使用更加友好、便捷。

3、使用虚拟Android移动终端和真实Android移动终端，保证系统和应用数据能有效加载。

附图说明

图1为本发明系统图。

具体实施方式

下面结合附图和实施例对本发明进行进一步详细描述。

本发明系统如图1所示，包括PC机、待取证Android移动终端、虚拟Android移动终端和真实Android移动终端；其中，待取证Android移动终端是原始的Android移动终端，也是被取证的对象；PC机用于通过数据线连接待取证Android移动终端，获取其中的待取证数据信息；虚拟Android移动终端通过虚拟机运行在PC机中；真实Android移动终端则通过数据线连接PC，加载从待取证Android移动终端中提取的应用数据信息。本发明方法具体包括以下步骤：

1、待取证分析的移动终端为华为荣耀3C(H30-U10)，需要提取的移动终端关键信息有照片、短信、通话记录，需要提取的应用程序相关的关键信息有微信、手机QQ等；

2、从华为荣耀3C中提取Android移动终端的系统镜像和华为荣耀3C相关的数据信息，镜像数据通过ADB的方式进行提取；移动终端主机相关的数据信息通过从ADB命令和通过提取镜像中的数据文件获取；

3、提取华为荣耀3C的系统为Emotion UI 2.0(一种基于Android4.3版本系统的Android定制系统)，其中Android的版本为4.3，PC机中虚拟机并没有Emotion UI 2.0的虚拟镜像版本，尝试使用虚拟机中原生的Android4.3系统对华为荣耀3C移动终端的关键信息和终端中的微信、手机QQ等关键信息的加载；

4、在加载微信、手机QQ等信息时，观察到无法在虚拟Android系统中运行微信、手机QQ软件，应用程序微信、手机QQ在安装和运行时，会检测运行的Android系统环境，如果是在虚拟机中，则停止运行；

5、将应用程序微信、手机QQ的数据加载到真实Android移动终端——另外一台Android手机Nexus 4，通过对Nexus4中相应的应用程序进行数据和文件的替换，以保证Nexus4中相应的应用程序可以有效加载原应用程序的数据，并且支持与原生应用程序相同的查询和搜索等操作，进而直接在Android移动终端中进行取证操作，从而可以避免应用程序更新频繁、程序文件结构和内容复杂等问题。应用程序更新频繁、程序文件结构和内容复杂等问题会带来的文件结构和内容解析过程中的工作量和工作难度方面，传统基于文件和内容解析的PC取证分析应用开发需要投入大量的精力和人力，最终开发的应用也会遇到操作界面不友好等问题，直接在真实Android移动终端进行原移动终端数据的加载，可以有效规避以上的问题，同时基于原始应用的取证操作更加友好。