|
重要词:安卓手机、取证流程、电子数据取证、龙信科技
前言
近年来,电信网络诈骗呈现高发态势,诈骗手段更加是五花八门,造成为了人民群众巨大的经济损失,扰乱了人们正常的工作和生活秩序,极重地害处了社会诚信。安卓模拟器是一款能够在计算机内模拟手机应用的工具,在给咱们带来良好的手机游戏和安卓系统体验的同期,亦被违法分子用来实施电信网络诈骗,但现有取证软件不可够对安卓模拟器内应用直接进行数据提取。
安卓模拟器犯罪应用
安卓模拟器是能在电脑上模拟安卓操作系统,并能安装、运用、卸载安卓应用的工具类软件, 起着连接PC和手机平台的桥梁功效,它运用户在电脑上亦能体验操作安卓系统的全过程。近年来随着手机游戏的推动,安卓模拟器亦快速崛起。近期侦办的多起电信诈骗案件中,办案民警在现场发掘海量涉案电脑和手机,每台涉案电脑上都运行着数个微X账号。
安卓模拟器应用的取证操作流程
经过在计算机端安装安卓模拟器来运行手机应用程序的方式,有别于常规在计算机端直接运行应用或在手机上运行应用,这给取证带来了必定的难度,现有取证设备和软件均不能对模拟器内运行的各样手机应用直接进行数据提取。经过实验发掘,每添加一个安卓模拟器,在安装目录下就会生成一个扩展名为.vmdk或.vdi的文件。供给有些常用模拟器的vmdk文件存储路径:
夜神安卓模拟器vmdk路径:
D:\Program Files\Nox\bin\BignoxVMS\Nox
雷电模拟器vmdk路径:
D:\Program Files\LeiDian\LDPlayer4.0\vms\leidian
逍遥模拟器vmdk路径:
D:\Program Files\Microvirt\MEmu\image\71
MuMu模拟器vdi路径:
D:\Program Files\mumu\emulator\nemu\vms\nemu-6.0-x64-default
下面将以对雷电安卓模拟器的微X数据的提取为例进行取证流程的介绍:
1、物证保全
运用龙信天眼介质取证等软件工具制作计算机硬盘镜像文件,对检材进行保全备份。
2、提取模拟器虚拟磁盘文件
运用龙信仿真取证系统A306加载制作的计算机镜像文件,对没法制作镜像的计算机硬盘经过只读方式直接加载。在仿真桌面右键点击雷电模拟器图标打开文件夹位置后确定安卓模拟器默认的安装路径:D:\leidian\LDPlayer4\vms\leidian0。在该路径内提取等虚拟磁盘文件data.vmdk、sdcard.vmdk、system.vmdk等等。
3、加载虚拟磁盘文件
运用龙信天眼介质取证系统加载导出的该块硬盘里的所有虚拟磁盘文件(.vmdk)
4、导出微X数据包
每一个虚拟磁盘文件里都存放了该安卓模拟器里各样应用的数据文件,加载完虚拟磁盘文件, 在每一个虚拟磁盘文件下能够找到每一个安卓模拟器运行时所产生的微X数据,路径为data.vmdk/分区2/data/com.tencent.mm。这儿咱们将全部data目录进行导出。
5、解析微X数据
运用龙信手机取证系统A200进行应用程序文件解析,选取全部data文件夹,对微X数据进行提取。选取微X数据,解析完成就能够得到所必须的微X数据了。
6、其他的应用程序如QQ等,亦参照以上方式进行数据的获取
针对QQ、陌陌等其他安卓系统应用的数据提取,可参照以上微X数据提取过程,一~三相同, 四五针对应用类型提取就可。总结安卓模拟器应用程序的取证过程,遵循的基本流程如下:
总结
因为安卓系统的开源性,构建虚拟的安卓系统亦相对容易,在本文中描述的雷电模拟器所生成的虚拟磁盘文件能够当成一个完整的手机镜像。本文介绍的安卓模拟器取证,相对于单纯的计算机取证或手机取证,过程更加繁琐,需将计算机取证和手机取证相结合起来,多款取证软件协同运用进行数据的提取。返回外链论坛:http://www.fok120.com/,查看更加多
责任编辑:网友投稿
| 
发表于 2024-7-1 15:09:08
