一种高效提取安卓系统日志缓冲区中基站信息的方法技术方案

本发明专利技术公开了一种高效提取安卓系统日志缓冲区中基站信息的方法，属于电子数据取证领域，包括以下步骤：S1获取系统日志缓冲区数据文件；S2解析文件，获取其中基站信息；S3逆解析基站信息；S4数据展示。采用本发明专利技术的方法可以达到以下效果：1、系统日志的获取不需Root,任意手机均可提取；2、提取的系统日志中的基站数据是智能手机与最近基站的交互数据，具有极高的准确性。3、系统日志中的基站数据存储格式统一，只受系统框架的更改而影响，具有通用性。4、扩展了智能手机定位痕迹的取证方式，使得取证结果更加的全面、完整和有效。

Method for efficiently extracting base station information in Android system log buffer

The invention discloses a method for efficiently extracting Android base station information system in the log buffer, which belongs to the field of electronic data forensics, which comprises the following steps: S1 access to the system log buffer data file; S2 document analysis, acquire the information of base station; the base station information S4 S3 inverse analysis; data display. The method of the invention can achieve the following results: 1, the system log acquisition without any Root mobile phone can be extracted; data base system log 2, extraction of interactive data and intelligent mobile phone base station recently, has the high accuracy. 3, the system log in the base station data storage format is unified, only by the system framework and the impact of changes, with versatility. 4, the expansion of the smart phone positioning traces of evidence, so that the evidence is more comprehensive, complete and effective.

【技术实现步骤摘要】

本专利技术涉及电子取证领域，特别涉及一种高效提取安卓系统日志缓冲区中基站信息的方法。
技术介绍
目前对定位痕迹数据的提取主要是挖掘数据分区中应用所记录保存的定位痕迹信息，而对忽视系统本身所含有的日志信息中含有的基站信息的提取，必然会引起证据的缺失，使得证据的完整性被破坏，以下总结目前定位痕迹取证技术中包含的缺点。1、缺失对系统日志缓冲区基站数据的提取会破坏电子取证的完整性；2、对内置分区数据的提取，具有需要root权限的前置条件，这样对定位痕迹的提取便有了一定的制约性；3、数据很有可能记录周边定位信息，数据的准确性需要严格校正，不能直接使用；4、数据具有极大的易变性，极容易受到应用产生数据的接口的影响。
技术实现思路
本专利技术针对现有技术的不足，提供一种高效提取安卓系统日志缓冲区中基站信息的方法，能够有效解决缺失对系统日志缓冲区基站数据的提取破坏电子取证完整性的问题。为解决以上问题，本专利技术采用的技术方案如下：一种高效提取安卓系统日志缓冲区中基站信息的方法，包括如下步骤：S1获取系统日志缓冲区数据文件；S2解析文件，获取其中基站信息；S3逆解析基站信息；S4数据展示。作为优选,S1具体如下：1.1执行bugreport指令获取日志信息,获取的日志信息包含安卓启动过程的log,以及启动后的系统状态,包括进程列表、内存信息和VM信息；1.2判断目标文件是否输出，若是则执行S2，若否则执行1.3；1.3执行logcat指令获取日志信息，对获取的日志指定缓冲区，并且指定日志信息的输出格式；1.4指定输出日志的循环缓冲区，指定radio射频缓冲区。1.5指定输出日志的输出格式，输出的日志格式应当包含基本的数据格式，至少应当包含基站数据产生时间，完整的基站数据日志；1.6判断目标文件是否输出，若是则执行S2，若否则执行1.7；1.7目标文件获取失败，结束安卓系统日志缓冲区基站数据解析。作为优选,S2具体如下：2.1网络类型获取2.1.1执行系统API获取网络类型，并记录网络类型为N；2.1.2根据网络类型关键字key,在文件中检索网络类型，若获取网络类型成功，则将N赋值为新的网络类型，并执行2.2,若否则执行2.1.3；2.1.3网络类型获取失败，结束安卓系统日志缓冲区基站数据解析，执行2.6；2.2定位基站数据位置2.2.1启动标记R，R起始值为0，代表文件开始。2.2.2按行读取系统日志文件，根据基站数据关键词key2，匹配读取行的内容，若匹配成功，将该行的偏移数值赋值给标记R，并执行2.3操作，否则执行2.2.3操作；2.2.3获取系统日志文件总共的行数，与R2作等值比较，若等值执行2.2.4操作，否则执行2.2.2操作。2.2.4定位失败，结束安卓系统日志缓冲区基站数据解析，执行2.6；2.3获取基站数据字符串根据定位到的行，用特殊标志flag1，截取字符串数据，记录数据为D1，判断D1是否为空字符串，若是则执行2.2操作，否者执行2.4操作；2.4基站数据存储格式分析2.4.1基站类型2.4.1.1电信基站，包含属性BID、SID、NID，其中，BID基站编号；SID系统识别码，每个地级市只有唯一一个码；NID网络识别码，由各本地网管理，可以有多个；2.4.1.2移动、联通基站，包含属性MNC、LAC、CID，其中，MNC网络类型识别码，1、5、7代表移动，0、2、4、6代表联通，3代表是电信；LAC位置区域码；CID基站编号；2.4.2基站在D1中的存储格式2.4.2.1电信基站偏移5，类型BID；偏移9，类型SID；偏移10，类型NID；2.4.2.2移动、联通基站偏移2，类型LAC；偏移3，类型CID；偏移4，类型MNC；2.4.3获取基站数据2.4.3.1根据已经判定的网络类型，执行基站格式解析；2.4.3.2根据各字段在D1中的偏移，执行基站数据获取；2.4.3.3判断各字段是否获取到数值，即判断是否为空字符串，若是执行2.4.3.4，若否执行2.5；2.4.3.4判断各字段的数值是否在标准范围之间，若是执行2.4.3.5，若否执行2.5；2.4.3.5保存基站数据，并标注基站类型；2.5重复执行2.2操作，循环解析基站数据；2.6基站数据获取解析，返回结果集DS1。作为优选,S3具体如下：3.1判断DS1结果集是否为空或者数据长度为0，若是执行3.6，否则表示DS1结果集中包含有效数据，执行3.2；3.2访问网络，判断网络是否联通，若是执行3.3，若否执行3.6；3.3执行基站地址逆向解析，获取实际地址；3.4判断实际地址是否获取成功，即返回的经纬度是否定位到一个真实的地理位置，若成功执行3.5，若不成功，执行3.1；3.5存储返回数据，执行3.1操作；3.6结束基站数据逆向解析，并返回结果集DS2。作为优选,S4具体如下：判断DS2结果集是否为空或长度为0，若是提示安卓缓存日志中不包含基站数据，若否则展示DS2中包含的基站数据。本专利技术的方法可以达到以下效果：1、系统日志的获取不需Root,任意手机均可提取；2、提取的系统日志中的基站数据是智能手机与最近基站的交互数据，具有极高的准确性。3、系统日志中的基站数据存储格式统一，只受系统框架的更改而影响，具有通用性。4、扩展了智能手机定位痕迹的取证方式，使得取证结果更加的全面、完整和有效。具体实施方式为使本专利技术的目的、技术方案及优点更加清楚明白，以下参照实施例，对本专利技术做进一步详细说明。一种高效提取安卓系统日志缓冲区中基站信息的方法，包括以下步骤：S1：获取系统日志缓冲区数据文件；S2：解析文件，获取其中基站信息；S3：逆解析基站信息；S4：数据展示。进一步地，S1具体如下：安卓系统拥有高效完整的日志管理功能，在运行的过程中，系统会将手机中各种动作信息记录下来，并通过分类向各自不同的日志缓冲区不断的写入这些记录。1.1日志类型介绍安卓系统日志主要包含main、radio、events等日志类型，它们以循环缓冲区的形式不断记录系统日志。1.1.1main类型日志:默认缓冲区，主要记录应用程序打印输出的日志。1.1.2radio类型日志：主要包含射频相关的日志，主要包含SIM卡信息，STK信息，无线本文档来自技高网...

【技术保护点】
一种高效提取安卓系统日志缓冲区中基站信息的方法，其特征在于,包括如下步骤：S1获取系统日志缓冲区数据文件；S2解析文件，获取其中基站信息；S3逆解析基站信息；S4数据展示。

【技术特征摘要】
1.一种高效提取安卓系统日志缓冲区中基站信息的方法，其特征在于,包括
如下步骤：S1获取系统日志缓冲区数据文件；S2解析文件，获取其中基站信息；
S3逆解析基站信息；S4数据展示。
2.根据权利要求1所述的高效提取安卓系统日志缓冲区中基站信息的方法，
其特征在于,S1具体如下：
1.1执行bugreport指令获取日志信息,获取的日志信息包含安卓启动过程
的log,以及启动后的系统状态,包括进程列表、内存信息和VM信息；
1.2判断目标文件是否输出，若是则执行S2，若否则执行1.3；
1.3执行logcat指令获取日志信息，对获取的日志指定缓冲区，并且指定
日志信息的输出格式；
1.4指定输出日志的循环缓冲区，指定radio射频缓冲区。
1.5指定输出日志的输出格式，输出的日志格式应当包含基本的数据格式，
至少应当包含基站数据产生时间，完整的基站数据日志；
1.6判断目标文件是否输出，若是则执行S2，若否则执行1.7；
1.7目标文件获取失败，结束安卓系统日志缓冲区基站数据解析。
3.根据权利要求1或2所述的高效提取安卓系统日志缓冲区中基站信息的方
法，其特征在于,S2具体如下：
2.1网络类型获取
2.1.1执行系统API获取网络类型，并记录网络类型为N；
2.1.2根据网络类型关键字key,在文件中检索网络类型，若获取网络类型成
功，则将N赋值为新的网络类型，并执行2.2,若否则执行2.1.3；
2.1.3网络类型获取失败，结束安卓系统日志缓冲区基站数据解析，执行2.6；
2.2定位基站数据位置
2.2.1启动标记R，R起始值为0，代表文件开始；
2.2.2按行读取系统日志文件，根据基站数据关键词key2，匹配读取行的内
容，若匹配成功，将该行的偏移数值赋值给标记R，并执行2.3操作，否则执行
2.2.3操作；
2.2.3获取系统日志文件总共的行数，与R2作等值比较，若等值执行2.2.4
操作，否则执行2.2.2操作；
2.2.4定位失败，结束安卓系统日志缓冲区基站数据解析，执行2.6；
2.3获取基站数据字符串
根据定位到的行，用特殊标志flag1，截取字符串数据，记录数据为D1，判
断D1是否为空字符串，若是则执行2.2操作，否者执行2...

【专利技术属性】
技术研发人员：黄旭，李森，聂学良，
申请(专利权)人：四川秘无痕信息安全技术有限责任公司，
类型：发明
国别省市：四川;51