基于ADB调试的电子数据取证技术及研究论文

基于ADB调试的电子数据取证技术及研究*

麦永浩 张若天 湖北警官学院

摘要: 为应对电子数据取证活动中不同的鉴定要求,新的电子数据取证手段不断被开发。Android debug bridge可以实现与虚拟机或Android设备的交互,在对智能手机类别检材的电子数据取证过程中,通过Android debug bridge调试技术,可从检材中获取某些正常取证手段无法获取的信息。

关键词: 电子数据取证活动 智能手机电子数据取证 Android debug bridge 调试

引言

2018年全球智能手机拥有者增加7%,同时,全球智能手机普及率持续上升,2018年达到66%。生活中的各类日常行为已离不开手机,犯罪亦是如此。Android系统作为近年快速兴起的一款实用型手机操作系统,用户数量呈急剧上升之势,这也意味着电子数据取证实战过程中,取证人员将面临大量针对Android手机的电子数据取证案例。Android debug bridge作为适用于Android系统的一款功能丰富的命令行工具,可以轻易实现电子数据取证过程中所需完成的诸多步骤,如对手机软硬件信息的提取、对手机包含地理位置信息的提取、对手机所拥有数据库的提取。除此之外,该debug命令行仍具有其它繁多的深层次功能,这些功能往往在电子数据取证技术中有着举足轻重的作用。

由图6可以判断,I级(优)因子数为7项,占总因子数58.3%;II级(良)因子数为1项,占总因子数8.3%;III级(中)因子数为0项;IV级(差)因子数为4项,占总因子数33.3%。C1、C2和C3分布情况可以看出旅游资源等级、数量与分布合理性平均水平较高,但旅游资源多样性有待提高。由于农村公路规划建设起步晚,C4、C5、C6分布情况可以看出公路存在等级低,对外连接度、与其他公路连接度情况较差等问题。沿线可视景观美感度及设施配置情况较好,但C8、C12两项还有待提高。

一、基于ADB调试的电子数据取证技术

(一)Android debug bridge简介

Android debug bridge中文名称为安卓调试桥,是一款基于Android操作系统的功能十分丰富的命令行工具。设计ADB工具的初衷即“拥有这样一个工具,可以协助开发人员在开发Android应用的过程中更加方便地进行APK的调试”。因此ADB可以实现查看设备硬件信息及应用程序占用资源;通过各类命令的输入,如pull、push等,实现移动设备或虚拟机与PC端之间进行相关文件APK的卸载、存储、转移、备份;又或者在设备执行shell命令等功能。

ADB工具为一个典型的CS类别程序,即客户端-服务器类型,一共包括三个部分,分别是ADB Client、ADB server及ADB demon。

考虑充放电能量不均衡的双电池系统状态评估与控制策略//林莉,金鑫,朱丽云,张向伍,赵晓焱,杨仕燕//(10):128

1. ADB Client

即服务端,运行在电脑后台进程中,用于检测USB端口感知设备的连接与拔除,及模拟器实例的启动或停止。通过服务端可对客户端与守护进程之间的交互过程进行管理,即将ADB client的请求通过USB或者TCP的方式发送到对应的ADB demon上。

2. ADB server

呼吸机相关性肺炎(ventilator associated pneumonia,VAP)指气管插管或气管切开患者在接受机械通气时间≥48 h后发生的与机械通气直接相关的肺炎。VAP患者具有病情变化急骤、进展凶险、并发症多、预后差且病死率高等临床特征[1]。儿科ICU对机械通气的运用较频繁,也是造成患儿发生VAP的主要原因。掌握该疾病的致病菌及其药敏情况是合理用药的前提和关键[2]。本研究对青岛市妇女儿童医院儿科ICU中已行呼吸机辅助通气的62例患儿行病原学分析及药敏试验研究,旨在为VAP临床治疗提供指导。现报道如下。

即客户端,运行在客户的电脑中,基本功能为发送命令。客户端的工作模式为,ADB程序首先定位主机上的ADB服务器,若无法获取服务器,将自启一个ADB服务器。当ADB demon与ADB server链接建立之后,ADB client就可以向ADB server发送有关服务请求。

3. ADB demon

又称为常驻守护进程。守护进程运行在虚拟机或者安卓设备的后台进程中,用于链接ADB服务器并为运行在主机上的客户端提供服务。

(二)电子数据取证概念

在新《刑事诉讼法》第五章第四十八条中规定:“电子数据”被加入证据种类。这意味着:电子数据可被作为一种证据类型,符合“可用于证明案件真实情况的事实”这一定义[1],与其它传统种类的证据有着同等的效益。而与电子数据证据密不可分的部分正是电子数据取证技术。

由于电子数据取证涉及的技术领域广泛,需要综合利用多种技术知识来解决实际问题,与之相关的学科有计算机理论、计算机应用技术、信息安全、法学及刑事科学等,因此取证要求也十分严格,方法层出不穷。电子数据取证的本质即为“采用技术手段,获取、分析、固定电子数据作为认定事实的科学”。这也是法庭所能接受的,足够可靠并且有说服性、存在于电子设备中的电子数据的确认、保护、提取和归档过程,是对存储介质中保存的数据所进行的一种科学的检查和分析方法[2]。电子数据取证工作与传统证据的取证工作最终目的相同,即形成“证据链”。

在一次电子数据司法鉴定活动中,一起案件采用Android debug bridge调试技术的取证手法,在同类型案例中具有十足的代表性。下文对此技术展开分析。

飞机想要在较短的跑道下实现短距离起飞,就必须借助一些辅助装置。尤其是在航空母舰上,现有的蒸汽弹射器结构复杂,体积庞大。如果换做电磁弹射器,体积可以减小许多,还可以实现弹射力度精准控制。目前。美国的福特号航母采用的就是电磁弹射装置。

二、案例分析

(一)案件背景介绍

某次电子数据司法鉴定活动中,委托方送检材料包括一部VIVO X9手机,其系统版本为Android 6.0.1,需要在保证检材原始性的情况下,对手机中微信应用程序的所有用户数据进行提取。该案件的技术难点在于,手机所拥有的微信版本过高,大量数据权限无法获取,无法完成数据提取工作。

(二)解决方案

确认手机在信号屏蔽情况或者飞行模式下。打开开发者选项,选择USB调试,保障数据线、取证计算机等硬件设施情况良好。使用Win+R进入命令行模式,进入ADB.exe文件夹中。输入“ADB devices”判断手机是否连接。

1. 准备相关材料

再卸载手机中的微信原始版本程序。如图中实验输入“ADB shell pm uninstall -k com.tencent.mm”。

2. 预处理过程

通过Android debug bridge命令,将低版本微信应用APK文件包传输至手机内,在不影响微信原始数据的情况下对手机微信版本进行更换。操作方法如下:

3. 获取备份操作过程

On Revision of Clauses Concerning Ship Dimensions Navigating in Beijing-Hangzhou Canal

首先获取微信绝对路径,输入“ADB shell pm path com.tencent.mm”。如图所示微信路径为“package:/data/app/com.tencent..mm-1/base.APK”。

下载手机中原有微信版本程序并保存。输入“ADB pull ‘微信路径’‘保存路径’”,图中实验输入“ADB pull /data/app/com.tencent.mm-1/base.APK c:/users/admin/desktop/ts/vivox9.APK”。

需要准备ADB程序、低版本微信APK文件包、备份解析系统、手机取证所需其它配件。

安装低版本微信至手机,输入“ADB install‘低版本微信路径’com.tencent.mm”。如图中实验输入命令“ADB install c:\users\admin \desktop\ts\dbb.APK com.tencnet.mm”。

在电子数据取证工作里,取证人员在实际操作过程中通常会按照取证要求对检材中的各类电子数据进行大致分类,以便明确取证方向。安卓手机电子数据取证的过程也不例外,对手机进行电子数据取证工作时,取证人员通常会区分开手机基本信息、手机即时通讯工具信息、手机下载APP信息等,之后再从特定的类别中寻找相对应的信息。而在取证过程中大概率碰到的技术难点包括破解手机密码锁、获取手机权限等。因此,取证对象的归类及取证过程中碰到的难点都可成为研究电子数据取证技术发展的突破点。

备份过程中查看备份文件文件夹,发现备份文件数据量增大变化,当命令行中结束后,文件停止增加。在卸载手机当前版本微信后,找到原始保存的微信版本并进行安装。全部操作完成后,对手机微信原始数据无任何影响,手机可正常开启,微信版本降低,限制减少。之后便可使用数据分析软件对获取的微信备份数据进行分析。

三、ADB相关技术应用及思考

在各类Android手机取证的案例中,一种以ADB调试为基础的安卓手机电子数据取证技术展现在电子数据取证人员眼前,ADB调试技术在电子数据取证领域的应用前景也是十分乐观。针对安卓手机电子数据取证方向这一研究热点,在结合电子数据取证技术及要求与ADB调试技术的条件下,有着如下思考:

赫拉克利特对荷马和奥运会的尖锐批评,有两点特别重要的暗示,是我们研究奥林匹克体育运动的绝好材料。一是他第一次指出了奥运会即他说的“赛会”具有明显的酒神意味二是酒神在希腊具有至高无上的正当法权,并使奥运会这种近似宗教迷狂的感性运动成为合理的文化内容。

接着备份手机当前的旧版本微信数据,输入“ADB backup-f‘存储路径’com.tencent.mm”。如图所示输入命令“ADB backup-f c:\users\admin\desktop\ts\vivox9. ab com.tencent.mm”。

(一)ADB技术可适用的手机取证数据范围

当进行手机电子数据取证工作时,取证人员优先考虑获取的数据类型通常分为两类:手机基本信息和手机应用程序信息。手机基本信息一般包括设备信息、通讯录、记事本、短信、通话记录、文件系统和彩信等,应用程序信息则包括腾讯QQ、Wechat、MSN、微博、邮件、地图及地理位置使用信息、上网记录等[3]。在清楚ADB技术所拥有的功能后,不难发现ADB技术可以适用于以上大多数种类的电子数据提取工作。下文将具体展示如何实现部分数据类别的提取工作。

1. 准备工作

输入命令ADB shell rm /data/system/password.key,之后再次使用ls命令查看data/system目录下所有文件列表,发现无法找到/password.key文件,实现绕过密码锁成功。

2. 部分手机基本信息类数据提取

输入ADB shell cat /proc/meminfo后显示获取手机内存信息结果。

3. 部分手机应用程序信息提取

顺着牛皮糖的手指看去,原来满山的荒草不见了,一株株枝叶茂盛的樟树,一排排一行行,整整齐齐的簇立在山坡上。这面山坡换了个季节似的,从初冬一下又回到了春天。见了鬼。

进行数据提取工作前,取证人员首先需要了解将要提取的信息在移动设备中的存储位置。在Android手机中,每一个APP数据都会对应data/data目录下的一个特定文件夹。因此针对大多数Android手机,每一个相同APP对应数据的存储位置都可以在某一固定位置找到。例如tencentQQ数据的常用存储路径为/data/data/com.tencent.Mobileqq/databases/****.db;微信数据的常用存储路径则为/data/data/com.tencent.mm/MicroMsg/****/EnMicroMsg.db或/data/data/com.tencent.mm/MicroMsg/****/DeMicroMsg.db[4]

以tencentQQ数据库的相关信息提取为例。通过cd命令进入整个database list表内查看所有手机数据库信息,在其中找到包含com.tencent.mobileqq/database的文件,再次使用cd命令进入,最后使用sqlite3工具查看所有数据信息。输入如下命令:

(二)中国正处于经济转型的时期,在这一重要的历史时期内不仅需要自力更生的达成“中国创造”的根本目的,同样也需要国外的先进技术。而先进技术的转让必然是在广泛财经合作的基础之上的。基于此,国际财经合作是我国对外进行技术输出以及对内进行技术引进的必要过程。其对于我国经济转型以及建设更为健康的经济体系具有积极意义。

/#cd data/data/com.tencent.mobileqq/databases

/data/data/com.tencent.mobileqq/databases # ls

得到相关数据结果如图。

(二)ADB技术可解决的手机取证难题

密码锁破解问题在手机电子数据取证领域一直为取证人员的关注点之一。安卓手机密码锁破解成功与否,涉及因素繁多。首先需要确定安卓手机USB调试状态,然后需要考虑破解密码类型。ADB技术的适用性则建立在USB调试状态成功开启的情况下,因此在此不对未开启USB调试模式的情形展开说明。

在安卓手机中,不论为PIN码密码、复杂密码或手势密码,其存储位置通常皆在data/system下。PIN码密码通常由4至16位任意数字组成,复杂密码通常由4至16位任意空间字符组成,两者一般存储在data/system/password. key文件中;手势密码则为以3×3的点阵组成的图形密码,一般存储在data/system/gesture.key文件下 [5]。了解以上特点后,即可使用ADB技术实现手机密码破解。

1. 准备工作

PC端成功安装并运行ADB.exe相关文件内容,确保PC端与移动设备端成功链接,且移动设备已实现root权限解锁。

2. 操作过程

使用cd命令进入data/system目录中,使用ls命令查看所有列表,找到带Password.key名字文件。

PC端成功安装并运行ADB.exe相关文件内容,确保PC端与移动设备端成功链接,且移动设备已实现root权限解锁。

(三)ADB技术应用的相关思考

通过对ADB技术的适用取证数据范围和可解决的取证难题两方面的研究与实践操作,可发现ADB技术在电子数据取证领域所能发挥的作用,同时该技术的不足之处、局限性问题也随之暴露。

1. 电子数据取证工作与ADB技术相结合的前景

ADB技术的适用层面覆盖了最基本的各类基础信息的读取、对高级权限数据库及log日志的直接查看、对各类数据的镜像拷贝、对任意手机应用的版本升级或降级等。将这些功能整合后,一个成熟的以ADB调试为基础的电子数据取证体系将足以面对绝大多数的电子数据取证案件,甚至可以完成一些其它手段无法成功实现的取证工作。

2. ADB技术运用的背景条件

通过分析可以看出,加氢裂化装置安全联锁保护是为了避免某种危害的发生,其确定的难度在于如何兼顾装置安全性和可操作性,对预防危害的投资与危害产生的风险概率及危害损失之间如何选择,因此安全联锁的逻辑关系的确定和SIS的设计必须基于科学的分析和决策。目前正在全面推广的危险与可操作分析(HAZOP)和SIL定级工作正是通过装置HAZOP分析确定所需要的SIF,并对SIF进行辨识以确定相应的安全仪表等级,从而为装置安全联锁保护的实施提供科学的依据。

当下大多数Android手机自带Android debug bridge文件包,在小米、魅族系列等安卓手机内,已经设置好一键root功能。在以上条件的支持下,使用ADB技术对手机进行的系列取证操作将变得更加快捷方便。

3. C联系前文Dear Dad,描述,可知本文是写给自己父亲的一封信,此处指的是,你是世界上最伟大的男人之一。故选C,男人们。

胃溃疡属于临床多见病,2型糖尿病一旦合并胃溃疡,若治疗不及时,易导致血糖过高所致葡萄糖毒性,损害人体神经系统,进而产生一系列严重后果,比如上消化道出血、溃疡穿孔和幽门梗阻等,严重影响患者生活质量以及身心健康[3]。对于糖尿病患者来说,其尚无根治方法,需终身服药治疗,而长时间服用降糖药物,易导致人体胃酸大量分泌,而大量分泌胃酸易损害人体胃粘膜,继而形成胃溃疡,因此,对于2型糖尿病合并胃溃疡的治疗,应以降糖治疗和抑制胃酸分泌为基础。

3. ADB技术的优势所在

ADB技术除了可以适用于大面积种类的电子数据取证工作,还可以针对某些常规取证手段无法完成的工作做出对策。在ADB调试模式下的手机又可进入只读、改写等不同的读取模式,而在只读模式中完成的各类搜索查看、复制拷贝等工作可完美契合电子数据取证的无损取证原则,达到对原电子设备的零改写。以上内容不仅为ADB技术的优势所在,更是ADB技术自身具有的鲜明特点。

4. ADB技术的局限性问题

ADB技术最大的局限性也是显而易见的,即在面对多数无法轻易实现root的安卓操作系统电子设备时,ADB技术的主要核心功能将无法实现。

随着海上丝绸之路的繁荣,乾隆后期,广彩逐步进入规范化的轨道,并在广州成立行会,名为“灵思堂”。广彩的制作者为了满足国外消费者的需要,不断在创新,将传统绘画技法与洛可可艺术风格相融合。绘画时用色繁复,笔法写实,立体感强,同时运用了一定的透视法则。“织金堆玉”为其最明显的特征,效果犹如万缕金丝织在羊脂玉表层,色彩热烈。“省画”工艺为广彩绘画的最后环节,即为了增强画面的立体感,在填色完成的瓷器上,在视觉中心点或重要的位置用重色或金色进行勾勒,使效果层次更加丰富多彩。

经治疗,观察组患者Hp转阴率为93.33%(42/45),高于对照组患者51.11%(23/45),差异具有统计学意义(P<0.05)。见表2。

ADB技术能够顺利应用的环境要求则为获取最高的root权限,除去基本的“只读”操作外,对手机的所有“写”操作皆需要root权限的支持,如基本的增、删、改命令。但是在取证工作中,取证人员需要确保送检检材的原始性。如果检材中包含的安卓系统手机并未获取root权限,取证人员不得私自对检材手机进行root操作,否则检材的原始性会被破坏,且root过程中可能存在损坏检材的风险。这个问题也是ADB技术与电子数据取证相结合并达到成熟所需面临的最大挑战。

四、结语

ADB技术作为一款应对范围广泛、操作简单的命令行调试工具,其在电子数据取证领域中的应用前景十分可观。若能够避开其短板,将该技术合理地运用至电子数据取证工作中,或者开发出以ADB调试技术为基础的电子数据取证软件,则将为电子数据取证工作的发展做出相当可观的贡献,为侦破各类案件提供更广阔的思路。

参考文献

[1] 陈瑞华. 证据的概念与法定种类[J]. 法律适用, 2012(01):24-30.

[2] 金波,杨涛,吴松洋,黄道丽,郭弘. 电子数据取证与鉴定发展概述[J]. 中国司法鉴定, 2016(01):62-74.

[3] 钟华,缪红,李进. 面向Android智能手机的电子数据取证分析[J]. 信息安全与通信保密, 2014(07):103-105.

[4] 刘善军. 基于ADB调试的非root安卓手机取证技术研究[J].电脑知识与技术, 2016,12(34):35-36.

[5] 王即墨,计超豪,裴洪卿. Android智能手机锁屏密码及破解方法研究[J]. 刑事技术, 2015,40(02):142-145.

*基金项目: 教育部哲学社会科学研究重大课题攻关项目“反恐情报信息工作能力的协同培育与综合应用”(编号:17JZD034)

标签:;  ;  ;  ;  ;  ;  ;  

基于ADB调试的电子数据取证技术及研究论文
下载Doc文档

猜你喜欢