基于内存分析的安卓App历史屏恢复与取证系统技术方案

技术编号:21224460 阅读:19 留言:0更新日期:2019-05-29 05:12
基于内存分析的安卓App历史屏恢复与取证系统,本发明专利技术涉及安卓App历史屏恢复与取证系统。本发明专利技术的目的是为了解决现有安卓手机ROOT权限、取证系统不具有通用性、某些取证系统其内存提取信息较少以及针对特定App的取证方法不具有通用性的问题。系统包括安卓内存提取子系统、内存证据存储子系统和安卓App历史屏恢复与取证子系统;安卓内存提取子系统用于对目标App的内存空间进行完整提取;内存证据存储子系统用于对安卓内存提取子系统提取的文件内存证据进行存储;安卓App历史屏恢复与取证子系统用于利用MVC架构中的模型来实现App历史屏恢复与取证。本发明专利技术用于安卓App历史屏恢复与取证领域。

Android App History Screen Recovery and Forensics System Based on Memory Analysis

The invention relates to an Android App history screen recovery and Forensics System Based on memory analysis, and relates to an Android App history screen recovery and forensics system. The object of the present invention is to solve the problems of ROOT privileges of existing Android mobile phones, non-universality of forensic systems, less memory extraction information of some forensic systems, and non-universality of forensic methods for specific Apps. The system includes Android Memory Extraction Subsystem, Memory Evidence Storage Subsystem and Android App History Screen Recovery and Forensics Subsystem; Android Memory Extraction Subsystem is used to extract the memory space of the target App completely; Memory Evidence Storage Subsystem is used to store the file memory evidence extracted by Android Memory Extraction Subsystem; Android App History Screen Recovery and Forensics Subsystem is used. The model in MVC architecture is used to realize the recovery and forensics of App history screen. The invention is used in the field of Android App history screen recovery and forensics.

【技术实现步骤摘要】
基于内存分析的安卓App历史屏恢复与取证系统
本专利技术涉及安卓App历史屏恢复与取证系统。
技术介绍
随着移动互联技术与安卓移动终端的普及,基于手机的计算机犯罪违法行为滋生迅速。相关案件中,某些重要证据遗留在手机或手机应用中:据统计美国70%的犯罪涉及移动数字取证,在英国则高达90%。在这样的背景下,如何有效可靠的进行移动终端取证成为应用安全领域的一个研究热点。目前安卓系统内存提取,存在诸多弊端:问题1、安卓手机ROOT权限,目前ROOT的手机较少;问题2、取证系统不具有通用性,不能适用于安卓系统的不同版本;问题3、某些取证系统其内存提取信息较少,无法满足特定App取证的要求;问题4、针对特定App的取证方法不具有通用性,大都针对某款特定App开发,无法适用于其它App的取证。
技术实现思路
本专利技术的目的是为了解决现有安卓手机ROOT权限、取证系统不具有通用性、某些取证系统其内存提取信息较少以及针对特定App的取证方法不具有通用性的问题,而提出基于内存分析的安卓App历史屏恢复与取证系统。基于内存分析的安卓App历史屏恢复与取证系统包括安卓内存提取子系统、内存证据存储子系统和安卓App历史屏恢复与取证子系统;安卓内存提取子系统用于对目标App的内存空间进行完整提取;内存证据存储子系统用于对安卓内存提取子系统提取的文件内存证据进行存储;安卓App历史屏恢复与取证子系统用于根据安卓内存提取子系统提取的目标App的内存空间和内存证据存储子系统存储的文件内存证据,利用MVC架构中的模型来实现App历史屏恢复与取证。本专利技术的有益效果为:本专利技术公布了一种基于内存信息对安卓App进行历史屏恢复的方法,以此为基础提出一种安卓App取证架构。基于内存提取的安卓App历史屏幕取证架构分为三个部分:(一)安卓内存提取子系统,(二)内存证据存储子系统,(三)安卓App历史屏恢复与取证子系统,分别实现安卓内存提取,原始内存证据存储,以及App历史屏恢复与取证功能。该取证方法利用MVC架构中的Model模型来实现,这保证了与安卓App的具体实现无关性,使取证具有通用性。本专利技术公布的基于内存的安卓App历史屏幕取证方法与架构,对于保证安卓App安全、保证App业务的可审计性,具有重要意义,应用前景广阔。解决了问题1提出的安卓手机ROOT权限,目前ROOT的手机较少的问题;以及问题2提出的取证系统不具有通用性,不能适用于安卓系统的不同版本的问题;与传统的内存取证方式不同,本专利技术的目标不仅是内存取证,而最终需要将内存中保留的特定App相关的数据结构恢复成为历史屏幕图像。这使本专利技术的内存提取方法具有如下特点:1、不仅需要提取特定App的MEM内存镜像文件,还要对其MAPS内存映射文件进行提取以便内存的分段执行;2、因为历史屏恢复需要对目标App的运行时环境进行最大程度的还原,所以内存提取要完整。3、本专利技术公布的内存提取方法无论Stack段、Heap段、数据段或是代码段,全部进行提取。解决了问题3提出的某些取证系统其内存提取信息较少,无法满足特定App取证的要求的问题;本专利技术的安卓内存提取系统具有以下特点:首先,为保证后端取证系统的灵活性,可以利用内存获取配置模块,对历史屏恢复方式进行灵活设置。为支持不同的取证目标,取证配置模块支持两种不通的内存获取策略:策略1:完整内存镜像获取策略,策略2:特定App进程获取策略。其次,不仅提取内存镜像文件,而且提取了内存映射文件用于后端取证系统进行屏幕恢复。为实现屏幕恢复,内存提取子系统借助PROC虚拟文件模块和基于PTRACE的远程注入模块。再次,安卓内存提取子系统对安卓内存空间提取完整,包括:Heap堆段、数据段,代码段,以及内存空间中的Stack栈段。通过内存提取与ShellCode注入模块,实现对安卓内存栈空间进行提取。最后,安卓内存提取子系统提取的内存包括MEM镜像文件和MAPS文件。本专利技术公布的内存提取方法,保证了内存取证的通用性和兼容性。解决了问题4提出的针对特定App的取证方法不具有通用性,大都针对某款特定App开发,无法适用于其它App的取证。附图说明图1为本专利技术公布的基于内存的安卓App历史屏恢复与取证系统架构图;图2为本专利技术内存提取系统工作流程图。具体实施方式具体实施方式一:结合图1说明本实施方式,本实施方式基于内存分析的安卓App历史屏恢复与取证系统包括安卓内存提取子系统、内存证据存储子系统和安卓App历史屏恢复与取证子系统;安卓内存提取子系统用于对目标App的内存空间进行完整提取;内存证据存储子系统用于对安卓内存提取子系统提取的文件内存证据进行存储;安卓App历史屏恢复与取证子系统用于根据安卓内存提取子系统提取的目标App的内存空间和内存证据存储子系统存储的文件内存证据,利用MVC架构中的模型(Model/View/Controller)来实现App历史屏恢复与取证。MVC全名是ModelViewController,是模型(model)-视图(view)-控制器(controller)的缩写,一种软件设计典范,用一种业务逻辑、数据、界面显示分离的方法组织代码,将业务逻辑聚集到一个部件里面,在改进和个性化定制界面及用户交互的同时,不需要重新编写业务逻辑。MVC被独特的发展起来用于映射传统的输入、处理和输出功能在一个逻辑的图形化用户界面的结构中。本专利技术公布了一种基于内存信息对安卓App进行历史屏恢复的方法,在此基础上提出一种安卓App取证架构。本专利技术公布的安卓应用历史屏恢复方法利用MVC架构中的Model模型来实现,这保证了与安卓App的具体实现无关。在此基础上,公布了一种基于内存提取的安卓App历史屏幕取证架构,该架构从功能上分为三个部分:(一)安卓内存提取子系统,(二)内存证据存储子系统,(三)安卓App历史屏恢复与取证子系统,这三部分构成了整体取证架构,分别实现安卓MEM内存镜像文件与MAPS内存映射文件的提取,原始内存证据存储,以及App历史屏恢复与取证等功能。具体实施方式二:本实施方式与具体实施方式一不同的是,所述安卓内存提取子系统包括配置模块、PROC虚拟文件模块、基于PTRACE的远程注入模块和内存提取与线程空间(ShellCode注入)提取模块;配置模块用于支持完整内存镜像获取策略和App特定进程获取策略;完整内存镜像获取策略针对目标手机中的所有App进行取证的场景;App特定进程获取策略针对目标App进行取证的场景;降低了镜像文件的大小,降低了网络传输代价;PROC虚拟文件模块是Linux系统中的一个虚拟文件,用于通过使用PROC在Linux内核空间和用户间之间进行通信;在PROC文件系统中访问Linux内核,也就是说虚拟文件系统在内核空间和用户空间之间打开一个通信窗口。虚拟文件内容动态创建,PROC系统最初为进程信息开发,内核中很多程序和工具也利其它来完成处理信息,PROC的重要功能如表1所示。表1PROC文件系统中的部分文件基于PTRACE的远程注入模块用于实现安卓系统的进程跟踪,监听并控制特定进程的运行;内存提取与线程空间(ShellCode注入)提取模块用于实现对安卓内存栈空间进行提取,提取的内存包括MEM镜像文件和MAPS映射文件;MEM镜像本文档来自技高网...

【技术保护点】
1.基于内存分析的安卓App历史屏恢复与取证系统,其特征在于:所述系统包括安卓内存提取子系统、内存证据存储子系统和安卓App历史屏恢复与取证子系统;安卓内存提取子系统用于对目标App的内存空间进行完整提取;内存证据存储子系统用于对安卓内存提取子系统提取的文件内存证据进行存储;安卓App历史屏恢复与取证子系统用于根据安卓内存提取子系统提取的目标App的内存空间和内存证据存储子系统存储的文件内存证据,利用MVC架构中的模型来实现App历史屏恢复与取证。

【技术特征摘要】
1.基于内存分析的安卓App历史屏恢复与取证系统,其特征在于:所述系统包括安卓内存提取子系统、内存证据存储子系统和安卓App历史屏恢复与取证子系统;安卓内存提取子系统用于对目标App的内存空间进行完整提取;内存证据存储子系统用于对安卓内存提取子系统提取的文件内存证据进行存储;安卓App历史屏恢复与取证子系统用于根据安卓内存提取子系统提取的目标App的内存空间和内存证据存储子系统存储的文件内存证据,利用MVC架构中的模型来实现App历史屏恢复与取证。2.根据权利要求1所述基于内存分析的安卓App历史屏恢复与取证系统,其特征在于:所述安卓内存提取子系统包括配置模块、PROC虚拟文件模块、基于PTRACE的远程注入模块和内存提取与线程空间提取模块;配置模块用于支持完整内存镜像获取策略和App特定进程获取策略;完整内存镜像获取策略针对目标手机中的所有App进行取证的场景;App特定进程获取策略针对目标App进行取证的场景;PROC虚拟文件模块是Linux系统中的一个虚拟文件,用于通过使用PROC在Linux内核空间和用户间之间进行通信;基于PTRACE的远程注入模块用于实现安卓系统的进程跟踪,监听并控制特定进程的运行;内存提取与线程空间提取模块用于实现对安卓内存栈空间进行提取,提取的内存包括MEM镜像文件和MAPS映射文件;MEM镜像文件和MAPS映射文件包括:堆段、数据段,代码段,以及栈段;MAPS映射文件用于查看进程内存映射,用于查看每一段内存的权限属性,以及文件路径信息,实现内存提取。3.根据权利要求1或2所述基于内存分析的安卓App历史屏恢复与取证系统,其特征在于:所述内存证据存储子系统包括内存镜像文件模块、内存映射文件模块和内存证据描述信息模块;内存镜像文件模块用于对MEM镜像文件内存进行分段访问;内存映射文件模块用于对MAPS映射文件内存进行分段访问;内存证据相关描述信息模块用于对访问文件的信息进行存储。4.根据权利要求3所述基于内存分析的安卓App历史屏恢复与取证系统,其特征在于:所述安卓App历史屏恢复与取证子系统包括历史屏幕绘制APP模块、运行时环境生成模块、运行时状态管理引擎模块、视图标记模块和历史屏恢复模块;历史屏幕绘制APP模块用于进行历史屏幕的绘制,实现历史屏幕恢复;运行时环境生成模块用于利用内存提取模块中的MEM镜像文件和MAPS映射文件为屏幕绘制App进程生成执行环境;运行时状态管理引擎模块用于利用内存提取模块获得的目标App的内存空间为屏幕绘制App进程生成执行环境;视图标记模块用于通过遍历目标App内存空间中加载的所有类,判断是否为视图,找到顶层视图类并对顶层视图进行标记,作为历史屏幕恢复的起点;历史屏恢复模块用于在确定了所有顶层视图之后,启动历史屏恢复模块开始屏幕绘制,在完成屏幕绘制后,历史屏幕绘制App模块将当前屏幕缓冲区内容保存到目标文件夹,并对重新绘制的屏幕进行排序恢复时间序列。5.根据权利要求4所述基于内存分析的安卓App历史屏恢复与取证系统,其特征在于:所述PROC虚拟文件模块内若要创建一个虚拟文件,使用create_PROC_entry...

【专利技术属性】
技术研发人员:常英贤刘斌丛连日武侠邓华苏豪鲍娌娜李荣生崔豪驿田书然
申请(专利权)人:国网山东省电力公司烟台供电公司国网山东省电力公司
类型:发明
国别省市:山东,37

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1