智能手机取证研究

山东轻工业学院硕士学位论文智能手机取证研究姓名：田成亚申请学位级别：硕士专业：计算机应用技术指导教师：杨英2011-06-01山东轻工业学院硕士学位论文I摘要随着移动通信技术的发展，手机成为人们工作生活中必备的通讯工具，与此同时,手机犯罪也与日俱增，手机取证是打击这类犯罪的有效手段。目前国内尚无成熟产品面世，因此手机取证任务紧迫，社会意义也非常重大。智能手机不同于一般的手机，它有操作系统，用户可以安装软件、游戏、程序，扩充它的功能，还可以用无线网络接入上网，获得更多的资源，无异于一个微型电脑。由于智能手机的强大功能，深受大众的喜爱，目前我国智能手机占比达10%，而且智能手机的渗透率成倍增长，预计2013年占有率将有可能接近50%。Iphone是智能手机的领跑者，论文以Iphone为例进行取证分析。本文首先介绍了取证工作的原则，确保取证工作的合法性和权威性，其次深入分析了Iphone的硬件结构及系统结构，详细介绍了Iphone存诸数据信息的文件夹。Preferences记录了系统配置的详细信息以及网络信息的备份，是我们取证工作的重点对象。Iphone使用Sqlite数据库，其中三个昀大的数据库是电话本、通话记录和短消息，详细介绍了三个数据库的各个表的组成及取证过程。在取证前，首先对Iphone进行越狱处理。由于Iphone为保持系统的稳定性、省电、删除文件不产生垃圾等优势，用户只有读没有写的权限。我们对Iphone数据库的信息进行提取时，要使用第三方软件，因此必须进行越狱处理。在我们安装取证工具时，接触操作系统，不能毁坏用户的分区。iLiberty+程序是一个取证工具，它能够安装到操作系统的核心部件中，安全的安装到Iphone中而不经过Iphone本身的允许。恢复工具包括openSSH安全系统，Netcat通过网络发送数据，md5建立硬盘的镜像，dd复制硬盘的镜像访问磁盘。将恢复出来的数据进行分析，例如发现Consolidated.db里面有巨大的地理定位数据，里面的数据包含了系统使用的每个基站的的信息，这些数据可以确定打电话的时间和位置。Clients.plist是wi-fi热点信息，包含地理位置、MAC地址、WI-FI热点以及时间。Clients.plistpropertylist包含了使用应用程序的数据，可以收集到应用程序的名字，程序开始的日期和时间，结束的日期和时间数据信息。昀后提取出一种新的取证思路，将常用的取证工具打包放到一起，加速取证的过程。并搭建起一个连接取证手机，主控手机，远程服务器的取证平台。客户端系统植入目标手机后，隐藏地运行在后台，提取手机相关信息，包括用户的通话记录、电话本、短消息，上网记录，google地图使用信息，取证人员可以充分掌握嫌疑人过去的情况，还目录II可以实时监控新收发信息，新通话记录，上网记录，进一步掌握昀新活动动态。目前设计工作初步实现目标，有待进一步提高、完善。关键字：Iphone智能手机、取证、数据提取、数据恢复、数据分析、监听、控制山东轻工业学院硕士学位论文IABSTRACTWiththedevelopmentofmobilecommunicationtechnology,mobiletelphonesbecomeessentialcommunicationtoolsinthelife,whilecellphone’scrimealsoareincreasing,mobileforensicsisaneffectivemeansforcombatingsuchcrime.Atpresent,thereisnomatureproductavailable,somobileforensicsisofgreatsignificance.Smartphoneisanindependentoperatingsystem,whichcanbeinstalledthesoftwarebytheuser,includinggames,third-partyprovidersserviceintheprocess,sosuchprogramscanexpandthefunctionalityofthephoneverymuch.Asthepowerofsmartphones,whicharelovedbythepublic.Thecurrentproportionof10%smartphonesisIphone,andthepenetrationofsmartphonesisdouble,andwillbeshareofclose50%in2013.Iphoneisasmartphoneleader,ThethesisisbasedonIphoneofanalysisandforensics.Thispaperintroducestheprinciplesofgatheringevidenceinfirst,whichensuresmobileforensicsofthelegitimacyandauthority,followedbyin-depthanalysisoftheIphone'shardwarearchitectureandsystemarchitecture,anddescribesthevariousIphonedatastorageintheirfolderindetail.Preferencesrecordsdetailsofsystemconfigurationinformationandnetworkbackup,whichisthefocusofforensicwork.IphonesareusedofSqlitedatabase,threeofwhichthelargestdatabasearetelephonebook,callrecordsandtextmessages,andintroducesdatabasesofcomponentsandtablethatinclueslotsofdatas.Atfirst,weneedescapetreatment.Inordertomaintainsystem’sstability,powersave,andremovethefilenottogeneratespamandotheradvantages,Iphonesonlypermittheuserinnotwrittingonlyreading.weextractIphonedatabaseofinformation,whichneedthethird-partysoftware,itmustbeescapedtreatment.Whenweinstallforensictools,wemustensurethattheoperatingsystemcanbenotdestroyed,especiallytheuser'sdata.iLiberty+programisaforensictoolthatcanbeinstalledintotheoperatingsystem'scorecomponent.OpenSSHissecuritysystemrecoverytoolsandNetcatsenddatathroughthenetwork,andmd5createsharddriveimage,whileddcopytheimageofaccessthedisk.ABSTRACTIIAfterwefinishedaboveall,wecananalysisthedatas,andfoundthattherearetables,whichincludesthesystemdata.thesedatacandemonstratethetimeandlocationofthecaller.Clients.plistinformationiswi-fihotspots,includinglocation,MACaddress,WI-FIhotspotandthetimeandhotspots.Finally,wecreatanewtool,whichsetupaconnectionfromthemobilephonetomasterhandsetandremoteserverforensicsplatform.AfterClientsystemimplantationofthetargetphone,ithidestoruninthebackground,andextractphoneinformation,includingtheuser'sphonerecords,phonebook,SMS,Internetrecords,googlemapofinformation.soforensicstaffcantakefullofasuspectcaseinthepast.Youcanalsosendandreceivereal-timemonitoringofnewinformation,newcallrecords,Internetrecordsthelatestactivities.Keywords:datamining,positiveandnegativeassociationrules,min-support,min-confidence,frequentandinfrequentitemsets学位论文独创性声明本人声明，所呈交的学位论文系在导师指导下本人独立完成的研究成果。文中引用他人的成果，均已做出明确标注或得到许可。论文内容未包含法律意义上已属于他人的任何形式的研究成果，也不包含本人已用于其他学位申请的论文或成果，与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。论文作者签名：日期：年月日学位论文知识产权权属声明本人在导师指导下所完成的论文及相关的职务作品，知识产权归属山东轻工业学院。山东轻工业学院享有以任何方式发表、复制、公开阅览、借阅以及申请专利等权利，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，本人离校后发表或使用学位论文或与该论文直接相关的学术论文或成果时，署名单位仍然为山东轻工业学院。论文作者签名：日期：年月日导师签名：日期：年月日山东轻工业学院硕士学位论文1第1章绪论法证科学，是一门兴起于美国的新型科学。要由法医学家和实验室研究员利用先进的DNA检测技术，指纹识别技术，枪支工具痕迹调查技术，文档鉴定标准技术来破案。法证科学是犯罪司法程序的一个完整而重要的部分，对犯罪的物证调查，分析，比对，研究是法证科学必备的环节。手机取证是现代取证科学的一个分支，它涉及保存、恢复电子文档，一般情况下取证者不是从现场，而是从嫌疑人的手机中寻找证据，你可能面对的是一个嵌入式设备，一个智能手机，它们可能已经关机也可能损坏了难以恢复，所以比传统的取证挑战更大。附着移动通信技术的发展，移动电话已成为人们工作、生活的必备工具。其中储存了用户的大量信息。在一些案件中，手机提供了非常重要的信息，例如可以通过手机获取嫌疑人短信内容，通话记录，上网记录，电子邮件，还可以通过GPS定位功能确定用户到过的地方，所以手机的取证对于案件的侦破工作帮助非常重大，要求通过合法的技术手段获得可靠全面的证据。手机一般需要操作系统，软件配合硬件，从而实现多种功能的人机交互，即使是昀简单的电话也不例外。在今天，具有单纯通话功能的手机已经逐渐被淘汰了。另一方面，功能手机的数量却增长非常迅速，所有的手机都融合了数码相机。这些设备仍然是以通话业务为主导，添加了一些新的功能，并没有真正升级到以通话为中心的移动电脑平台。手机正在变化，逐渐趋向个人电脑的标准。于是智能手机与PDA越来越近，但具有以下三个特点：(1)通话仍是昀主要的功能，(2)高级的处理能力，(3)相当的扩展能力。智能手机是一种功能强大并且具有应用扩展能力的手机，这些设备有着和掌上电