手机无线取证的方法和装置制造方法及图纸

本申请提供了手机无线取证的方法和装置，执行主体为取证设备。方法包括：架设为所述手机提供无线上网服务的无线路由器；劫持所述手机通过浏览器发送的请求数据，向所述手机返回取证应用程序的下载页面；接收所述手机通过取证应用程序采集的取证信息，对取证信息进行解析后保存。上述方案能改进传统手机取证需打开调试模式、依赖驱动设备、续航时间短的不足，非常适用于及时便捷地取证。

Method and device for wireless forensics of mobile phone

The application provides a wireless forensics method and device for mobile phones, and the main body is a forensics device. The method includes: setting the wireless router to provide wireless Internet service to the mobile phone; the mobile phone hijacked by requesting the data sent by the browser to return to the mobile phone forensics application download page; receiving the mobile phone through the application of the evidence collection of evidence information on forensic information analysis after preservation. The above scheme can improve the traditional mobile phone forensics needs to open debugging mode, dependent drive device, short life time, very suitable for timely and convenient forensics.

【技术实现步骤摘要】
手机无线取证的方法和装置
本申请涉及数据传输
，特别地，涉及手机无线取证的方法和装置。
技术介绍
随着智能手机在市场上的崛起，越来越多的技术希望依靠手机更加便捷地完成，手机取证便是其中之一。传统手机取证，通过手机数据线将手机与个人计算机（PC，PersonalComputer）工作站连接，进行取证信息采集，要求手机必须拿到实验室，不利于对流动人员地及时取证排查，移动性不强；此外，用手机数据线连接，隐蔽性不强。传统的手机取证，需要开启手机的调试模式，而不同手机开启调试模式方式不一，非专业人员经常无法打开调试模式。传统手机取证，需要安装驱动，带来一系列问题：设备没有驱动则需要联网更新；安装驱动的时间可能非常冗长，满足不了移动采集的时间性要求；找不到采集手机的驱动则无法采集手机取证信息；不同手机驱动不同，对于采集设备的通用串行总线（USB，UniversalSerialBus）兼容性要求高。传统手机取证，需要对目标手机进行供电，缩短了采集设备的续航时间。
技术实现思路
本申请提供手机无线取证的方法和装置，用于解决现有技术移动采集不便、隐蔽性不强、需依赖驱动、续航能力弱的问题。本申请公开的手机无线取证的方法，执行主体为取证设备，包括：架设为所述手机提供无线上网服务的无线路由器；劫持所述手机通过浏览器发送的请求数据，向所述手机返回取证应用程序的下载页面；其中，所述手机通过所述下载页面下载、安装并运行取证应用程序；接收所述手机通过取证应用程序采集的取证信息，对取证信息进行解析后保存。进一步的，所述请求数据包括域名访问请求和超文本访问请求：对于域名访问请求，所述向所述手机返回取证应用程序的下载页面，具体包括：解析并构造一个域名应答报文，将所述域名访问请求重定向到取证应用程序的下载页面；对于超文本访问请求，所述向所述手机返回取证应用程序的下载页面，具体包括：解析超文本访问请求的头部信息，获取超文本访问请求包括的统一资源定位符；判断所述统一资源定位符是否是取证应用程序的统一资源定位符，如果不是则向所述手机返回取证应用程序的下载页面。在所述接收所述手机通过取证应用程序采集的取证信息之前，还包括：依取证应用程序根据所述手机的工作场景发出的取证策略获取请求向所述手机反馈对应的取证策略；其中，所述手机获取所述取证策略后，取证应用程序根据所述取证策略采集所述手机的取证信息。所述对取证信息进行解析后保存，还包括：完成取证后，向取证应用程序返回卸载所述取证应用程序的指令进一步的，劫持所述手机通过浏览器发送的请求数据，具体包括：监听所述手机通过浏览器发送的用户数据报文，劫持目的端口为53的域名访问请求报文。进一步的，劫持所述手机通过浏览器发送的请求数据，具体包括：监听所述手机通过浏览器发送的用户数据报文，劫持目的端口为80的超文本访问请求报文。进一步的，还可以通过用户界面接口修改取证策略。本申请公开的手机无线取证的装置，包括：无线路由器模块，用于为所述手机提供无线上网服务；数据劫持模块，用于劫持所述手机通过浏览器发送的请求数据，向所述手机返回取证应用程序的下载页面；其中，所述手机通过所述下载页面下载、安装并运行取证应用程序；取证模块，用于接收所述手机通过取证应用程序采集的取证信息，对取证信息进行解析后保存。进一步的，所述数据劫持模块包括域名服务单元和超文本服务单元，所述请求数据包括域名访问请求和超文本访问请求，其中：域名服务单元：用于劫持域名访问请求，解析并构造一个域名应答报文，将所述域名访问请求重定向到取证应用程序的下载页面；超文本服务单元：用于劫持超文本访问请求，解析超文本访问请求的头部信息，获取超文本访问请求包括的统一资源定位符；判断所述统一资源定位符是否是取证应用程序的统一资源定位符，如果不是则向所述手机返回取证应用程序的下载页面。进一步的，所述装置还包括：取证策略反馈模块，用于依取证应用程序根据所述手机的工作场景发出的取证策略获取请求向所述手机反馈对应的取证策略；其中，所述手机获取所述取证策略后，取证应用程序根据所述取证策略采集所述手机的取证信息。进一步的，所述装置还包括：提示模块，用于在所述取证模块完成取证后，向取证应用程序返回卸载所述取证应用程序的指令。进一步的，所述域名服务单元劫持域名访问请求，具体包括：监听所述手机通过浏览器发送的用户数据报文，劫持目的端口为53的域名访问请求报文。进一步的，所述超文本服务单元劫持超文本访问请求，具体包括：监听所述手机通过浏览器发送的用户数据报文，劫持目的端口为80的超文本访问请求报文。进一步的，所述装置还包括，取证策略修改模块，用于通过用户界面接口修改取证策略。与现有技术相比，本申请具有以下优点：手机与取证设备无线连接，移动性更强；省去手机数据线在取证设备与手机之间的直接连接，隐蔽性更强；用户无需打开手机的调试模式或安装驱动，更便捷易用；不需要对手机进行供电，增强了采集设备的续航能力。附图说明附图仅用于示出优选实施方式的目的，而并不认为是对本申请的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1为本申请实施例手机无线取证方法的流程图；图2为本申请实施例手机无线取证装置的结构示意图。具体实施方式为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。在本申请的描述中，需要理解的是，术语“包括”、“包含”及类似术语应该被理解为是开放性的术语，即“包括/包含但不限于”。术语“一实施例”表示“至少一个实施例”。其他术语的相关定义将在下文描述中给出。参照图1，示出了本申请实施例手机无线取证方法的流程图，执行主体为取证设备。本优选方法实施例包括以下步骤：步骤S11：架设为所述手机提供无线上网服务的无线路由器。上述步骤实现了取证设备与所述手机的无线连接，并且，无线路由器为所述手机提供无线上网服务。改进了传统手机取证需要通过手机数据线连接及安装驱动程序的不足，更隐蔽更便捷；此外，该步骤对使用场景没有过多限制，使无线取证过程易用性大大增强。步骤S12：劫持所述手机通过浏览器发送的请求数据，向所述手机返回取证应用程序（APP，Application）的下载页面；其中，所述手机通过所述下载页面下载、安装并运行取证APP。所述请求数据包括域名（DNS，DomainNameSystem）访问请求和超文本（HTTP，HypertextTransferProtocol）访问请求，进一步的，S12的具体步骤为：劫持所述手机通过浏览器发送的请求数据：对于DNS访问请求，所述向所述手机返回取证APP的下载页面，具体包括：接收一个DNS访问请求报文；解析DNS访问请求报文，获取DNS访问请求的网址；构造DNS应答报文，对于请求的任意网址，都返回本机的互联网协议（IP，InternetProtocol）地址；将所述DNS访问请求重定向到取证APP的下载页面；对于HTTP访问请求，所述向所述手机返回取证APP的下载页面，具体包括：接收一个HTTP访问请求报文；解析HTTP访问请求的头部信息，获取HTTP访问请求包括的统一资源定位符（URL，UniformResourceLocator）；判断所述URL是否是取证APP的URL，如果是则向所述本文档来自技高网...

【技术保护点】
手机无线取证的方法，其特征在于，所述方法的执行主体为取证设备，所述方法包括：架设为所述手机提供无线上网服务的无线路由器；劫持所述手机通过浏览器发送的请求数据，向所述手机返回取证应用程序的下载页面；其中，所述手机通过所述下载页面下载、安装并运行取证应用程序；接收所述手机通过取证应用程序采集的取证信息，对取证信息进行解析后保存。

【技术特征摘要】
1.手机无线取证的方法，其特征在于，所述方法的执行主体为取证设备，所述方法包括：架设为所述手机提供无线上网服务的无线路由器；劫持所述手机通过浏览器发送的请求数据，向所述手机返回取证应用程序的下载页面；其中，所述手机通过所述下载页面下载、安装并运行取证应用程序；接收所述手机通过取证应用程序采集的取证信息，对取证信息进行解析后保存。2.根据权利要求1所述的方法，其特征在于，所述请求数据包括域名访问请求和超文本访问请求：对于域名访问请求，所述向所述手机返回取证应用程序的下载页面，具体包括：解析并构造一个域名应答报文，将所述域名访问请求重定向到取证应用程序的下载页面；对于超文本访问请求，所述向所述手机返回取证应用程序的下载页面，具体包括：解析超文本访问请求的头部信息，获取超文本访问请求包括的统一资源定位符；判断所述统一资源定位符是否是取证应用程序的统一资源定位符，如果不是则向所述手机返回取证应用程序的下载页面。3.根据权利要求1所述的方法，其特征在于，在所述接收所述手机通过取证应用程序采集的取证信息之前，还包括：依取证应用程序根据所述手机的工作场景发出的取证策略获取请求向所述手机反馈对应的取证策略；其中，所述手机获取所述取证策略后，取证应用程序根据所述取证策略采集所述手机的取证信息。4.根据权利要求1所述的方法，其特征在于，所述对取证信息进行解析后保存，还包括：完成取证后，向取证应用程序返回卸载所述取证应用程序的指令。5.根据权利要求2所述的方法，其特征在于，劫持所述手机通过浏览器发送的请求数据，具体包括：监听所述手机通过浏览器发送的用户数据报文，劫持目的端口为53的域名访问请求报文。6.根据权利要求2所述的方法，其特征在于，劫持所述手机通过浏览器发送的请求数据，具体包括：监听所述手机通过浏览器发送的用户数据报文，劫持目的端口为80的超文本访问请求报文。7.根据权利要求3所述的方法，其特征在于，还包括：通过用户界面接口修改取证策略。...

【专利技术属性】
技术研发人员：李俊龙，郑巧亮，林艺滨，江汉祥，张辉极，陈兴文，张艺宝，
申请(专利权)人：厦门市美亚柏科信息股份有限公司，
类型：发明
国别省市：福建,35