[发明专利]一种基于虚拟机和实体机结合的移动终端取证方法及系统

说明书

技术领域

本发明属于IT技术领域，涉及一种移动终端取证方法及系统，特别涉及一种基于虚拟机和实体机结合的移动终端取证方法及系统。

背景技术

移动终端操作系统中留存了用户的大量私密信息，以Android系统为例，近年来，Android系统作为一个开源的移动设备操作系统，其装机量达20亿部，已经超越Windows，成为全球使用最多最广泛的操作系统，Android系统的普及和应用已经深深融入到人们的生活中。Android系统中留存了用户的大量私密信息，甚至包括犯罪人员的犯罪活动相关信息，通过取证手段，科学有效地获取这些信息，对于案情的分析，有着重要的意义。

传统对于Android系统取证分析的方法是通过ADB(Android Debug Bridge)的方式获取Android系统镜像，或者通过在Android系统中安装Agent软件获取信息，再通过对获取信息的解析和分析，在PC客户端上进行展示。

现有的取证分析方法，在进行诸多应用程序的取证分析时，面临应用程序更新频繁、程序文件结构和内容复杂等问题，在文件结构和内容解析时，在工作量和工作难度双方面，面临着较大的挑战。另外，在PC客户端上进行操作时，也面临着操作界面不友好等问题。

发明内容

为了克服现有技术的不足，本发明的目的在于提供了一种基于虚拟机和实体机结合的移动终端取证方法及系统，该方法能够在保证原始移动终端的证据的完整性的前提下，充分利用虚拟机和真实移动终端的应用数据操作及展示友好的特点，实现对原始移动终端中的应用数据的取证、展示和分析。

为了实现上述目的，本发明提供的技术方案如下：

一种基于虚拟机和实体机结合的移动终端取证系统，以Android系统为例，其中，物理资源包括PC机(即取证服务器)、待取证Android移动终端、虚拟Android移动终端和真实Android移动终端。如图1所示，其中待取证Android移动终端是原始的Android移动终端，也是被取证的对象；PC机用于通过数据线连接待取证Android移动终端，获取其中的待取证数据信息；虚拟Android移动终端通过虚拟机运行在PC机中；真实Android移动终端则通过数据线连接PC，加载从待取证Android移动终端中提取的应用数据信息。具体包括以下步骤：

步骤1，使用数据线连接待取证Android移动终端和PC，使用ADB或者在终端安装Agent客户端软件的方式，从Android移动终端获取Android移动终端的系统镜像和终端相关的数据信息。

步骤2，在PC机中，对提取的Android移动终端的数据进行分析，提取Android移动终端的关键信息和终端中的应用关键信息，Android移动终端的关键信息包括Android移动终端的型号信息、IMEI信息、Android系统版本、存储器信息等，终端中的应用关键信息包括应用程序名称、版本和具体数据文件内容等信息。大部分现有的取证分析软件，一般只支持取证分析到这一步，即对提取的关键信息进行分析操作，包括数据读取、分析、解析和展现等。

步骤3，根据提取的系统版本关键信息，与虚拟机提供的镜像的Android系统版本信息进行对比，判断提取的Android移动终端的系统是否可以通过虚拟机进行构建，应用数据内容是否可以在虚拟机中进行有效加载。如果可以进行有效对虚拟机进行构建，有效对应用数据进行加载，则跳转到步骤4；如果无法对从移动终端中提取的Android系统进行构建，或无法有效加载应用数据，则跳转到步骤5。

步骤4，在PC机中生成虚拟Android移动终端，并将提取Android移动终端的关键信息和终端中的应用关键信息，加载到虚拟Android移动终端，通过对虚拟Android移动终端中相应的应用程序进行数据和文件的替换，以保证虚拟Android移动终端中相应的应用程序可以正确加载应用信息，从而规避应用程序更新频繁、程序文件结构和内容复杂等问题带来的文件结构和内容解析过程中的工作量和工作难度方面的问题，并通过在虚拟Android移动终端进行更为方便、直观的数据搜索和查看操作，实现对Android移动终端中证据信息的提取，同时可以解决只在PC客户端中通过开发的应用进行操作时带来操作界面不友好的问题；结合在PC机中对提取的数据的处理和分析，作为取证分析的补充，完成后续的取证分析操作。