219mze 发表于 2024-7-1 15:09:08

【取证思路分享】安卓模拟器应用取证


    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">重要</span>词:安卓手机、取证流程、电子数据取证、龙信科技</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">前言</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">近年来,电信网络诈骗呈现高发态势,诈骗手段<span style="color: black;">更加是</span>五花八门,造<span style="color: black;">成为了</span>人民群众巨大的经济损失,扰乱了人们正常的工作和生活秩序,<span style="color: black;">极重</span>地<span style="color: black;">害处</span>了社会诚信。安卓模拟器是一款能够在计算机内模拟手机应用的<span style="color: black;">工具</span>,在给<span style="color: black;">咱们</span>带来良好的手机游戏和安卓系统体验的<span style="color: black;">同期</span>,<span style="color: black;">亦</span>被<span style="color: black;">违法</span>分子用来实施电信网络诈骗,但现有取证软件<span style="color: black;">不可</span>够对安卓模拟器内应用直接进行数据提取。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">安卓模拟器犯罪应用</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">安卓模拟器是能在电脑上模拟安卓操作系统,并能安装、<span style="color: black;">运用</span>、卸载安卓应用的<span style="color: black;">工具</span>类软件, 起着连接PC和手机平台的桥梁<span style="color: black;">功效</span>,它<span style="color: black;">运用</span>户在电脑上<span style="color: black;">亦</span>能体验操作安卓系统的全过程。近年来随着手机游戏的推动,安卓模拟器<span style="color: black;">亦</span>快速崛起。<span style="color: black;">近期</span>侦办的多起电信诈骗案件中,办案民警在现场<span style="color: black;">发掘</span><span style="color: black;">海量</span>涉案电脑和手机,每台涉案电脑上都运行着数个<span style="color: black;">微X</span>账号。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">安卓模拟器应用的取证操作流程</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">经过</span>在计算机端安装安卓模拟器来运行手机应用程序的方式,有别于常规在计算机端直接运行应用<span style="color: black;">或</span>在手机上运行应用,这给取证带来了<span style="color: black;">必定</span>的难度,现有取证设备和软件均不能对模拟器内运行的<span style="color: black;">各样</span>手机应用直接进行数据提取。经过<span style="color: black;">实验</span><span style="color: black;">发掘</span>,每添加一个安卓模拟器,在安装目录下就会生成一个扩展名为.vmdk<span style="color: black;">或</span>.vdi的文件。<span style="color: black;">供给</span><span style="color: black;">有些</span>常用模拟器的vmdk文件存储路径:</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">夜神安卓模拟器vmdk路径:</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">D:\Program Files\Nox\bin\BignoxVMS\Nox</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">雷电模拟器vmdk路径:</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">D:\Program Files\LeiDian\LDPlayer4.0\vms\leidian</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">逍遥模拟器vmdk路径:</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">D:\Program Files\Microvirt\MEmu\image\71</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">MuMu模拟器vdi路径:</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">D:\Program Files\mumu\emulator\nemu\vms\nemu-6.0-x64-default</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">下面将以对雷电安卓模拟器的<span style="color: black;">微X</span>数据的提取为例进行取证流程的介绍:</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">1、</span>物证保全</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">运用</span>龙信天眼介质取证等软件<span style="color: black;">工具</span>制作计算机硬盘镜像文件,对检材进行保全备份。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">2、</span>提取模拟器虚拟磁盘文件</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">运用</span>龙信仿真取证系统A306加载制作的计算机镜像文件,对<span style="color: black;">没</span>法制作镜像的计算机硬盘<span style="color: black;">经过</span>只读方式直接加载。在仿真桌面右键点击雷电模拟器图标打开文件夹位置后确定安卓模拟器默认的安装路径:D:\leidian\LDPlayer4\vms\leidian0。在该路径内提取等虚拟磁盘文件data.vmdk、sdcard.vmdk、system.vmdk等等。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q2.itc.cn/images01/20240522/19c04417195b48929aa67bec00207970.png" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">3、</span>加载虚拟磁盘文件</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">运用</span>龙信天眼介质取证系统加载导出的该块硬盘里的所有虚拟磁盘文件(.vmdk)</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q4.itc.cn/images01/20240522/27092c4a64aa4085bbbf4699aaaf4c36.png" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">4、</span>导出<span style="color: black;">微X</span>数据包</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">每一个</span>虚拟磁盘文件里都存放了该安卓模拟器里<span style="color: black;">各样</span>应用的数据文件,加载完虚拟磁盘文件, 在<span style="color: black;">每一个</span>虚拟磁盘文件下<span style="color: black;">能够</span>找到<span style="color: black;">每一个</span>安卓模拟器运行时所产生的<span style="color: black;">微X</span>数据,路径为data.vmdk/分区2/data/com.tencent.mm。<span style="color: black;">这儿</span><span style="color: black;">咱们</span>将<span style="color: black;">全部</span>data目录进行导出。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q3.itc.cn/images01/20240522/18670bbed5674d79acc30f36c1200532.png" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q4.itc.cn/images01/20240522/1c918563186e42d49a710b16e3f211a4.png" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">5、</span>解析<span style="color: black;">微X</span>数据</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">运用</span>龙信手机取证系统A200进行应用程序文件解析,<span style="color: black;">选取</span><span style="color: black;">全部</span>data文件夹,对<span style="color: black;">微X</span>数据进行提取。<span style="color: black;">选取</span><span style="color: black;">微X</span>数据,解析完成就<span style="color: black;">能够</span>得到所<span style="color: black;">必须</span>的<span style="color: black;">微X</span>数据了。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q3.itc.cn/images01/20240522/ee040082f08c420d8c6299d1b0d3595b.png" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q1.itc.cn/images01/20240522/f3aba47a37bd40b7bc8766b3e01f0372.png" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q5.itc.cn/images01/20240522/752a36b723a848c6a9a46067f1655020.png" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q8.itc.cn/images01/20240522/c11e10d4b52e4b22b5b7ae999374b4a7.png" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">6、</span>其他的应用程序如QQ等,<span style="color: black;">亦</span>参照<span style="color: black;">以上</span>方式进行数据的获取</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">针对</span>QQ、陌陌等其他安卓系统应用的数据提取,可参照<span style="color: black;">以上</span><span style="color: black;">微X</span>数据提取过程,一~三相同, 四五针对应用类型提取<span style="color: black;">就可</span>。总结安卓模拟器应用程序的取证过程,遵循的基本流程如下:</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q3.itc.cn/images01/20240522/252b07c166284c98ae4aa5c92eceda4e.png" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">总结</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">因为</span>安卓系统的开源性,构建虚拟的安卓系统<span style="color: black;">亦</span>相对容易,在本文中描述的雷电模拟器所生成的虚拟磁盘文件<span style="color: black;">能够</span>当成一个完整的手机镜像。本文介绍的安卓模拟器取证,相对于单纯的计算机取证或手机取证,过程更加繁琐,需将计算机取证和手机取证相结合起来,多款取证软件协同<span style="color: black;">运用</span>进行数据的提取。<a style="color: black;"><span style="color: black;">返回<span style="color: black;">外链论坛:http://www.fok120.com/</span>,查看<span style="color: black;">更加多</span></span></a></p>

    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">责任编辑:网友投稿</span></p>




wrjc1hod 发表于 2024-9-29 04:37:46

认真阅读了楼主的帖子,非常有益。
页: [1]
查看完整版本: 【取证思路分享】安卓模拟器应用取证