一种基于虚拟机和实体机结合的移动终端取证方法及系统技术方案

本发明专利技术公开了一种基于虚拟机和实体机结合的移动终端取证方法及系统。本方法为：1)取证服务器从该待取证移动终端获取设定的关键信息和该待取证移动终端的系统镜像；其中，关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息；2)取证服务器根据系统镜像通过虚拟机构建一虚拟移动终端，并将提取的设定应用关键信息加载到该虚拟移动终端；然后对该虚拟移动终端进行操作完成证据的提取；3)如果该虚拟移动终端无法加载该设定应用关键信息，则取证服务器将关键信息加载到一真实移动终端，然后对该真实移动终端进行操作完成证据的提取。本发明专利技术能够在保证原始移动终端的证据完整性的前提下，实现对应用数据的取证、展示和分析。

A mobile terminal forensics method and system based on virtual machine and entity computer

The invention discloses a mobile terminal forensics method and system based on virtual machine and entity machine. The method is as follows: 1) the evidence set server to obtain key information and the evidence from the evidence of a mobile terminal in a mobile terminal system image; the key information including a mobile terminal and mobile terminal set key information in the application setting key information; 2) evidence server according to the system through the virtual mechanism to build a mirror virtual mobile terminal, and then the application setting key information loaded into the virtual mobile terminal; and then extract the evidence for the operation to complete virtual mobile terminal; 3) if the virtual mobile terminal to load the application setting key information is the key information evidence server loaded into a real mobile terminal, and then extract the operation complete evidence to the real mobile terminal. The invention can realize the forensics, display and analysis of the application data under the premise of ensuring the integrity of the evidence of the original mobile terminal.

【技术实现步骤摘要】
一种基于虚拟机和实体机结合的移动终端取证方法及系统
本专利技术属于IT
，涉及一种移动终端取证方法及系统，特别涉及一种基于虚拟机和实体机结合的移动终端取证方法及系统。
技术介绍
移动终端操作系统中留存了用户的大量私密信息，以Android系统为例，近年来，Android系统作为一个开源的移动设备操作系统，其装机量达20亿部，已经超越Windows，成为全球使用最多最广泛的操作系统，Android系统的普及和应用已经深深融入到人们的生活中。Android系统中留存了用户的大量私密信息，甚至包括犯罪人员的犯罪活动相关信息，通过取证手段，科学有效地获取这些信息，对于案情的分析，有着重要的意义。传统对于Android系统取证分析的方法是通过ADB(AndroidDebugBridge)的方式获取Android系统镜像，或者通过在Android系统中安装Agent软件获取信息，再通过对获取信息的解析和分析，在PC客户端上进行展示。现有的取证分析方法，在进行诸多应用程序的取证分析时，面临应用程序更新频繁、程序文件结构和内容复杂等问题，在文件结构和内容解析时，在工作量和工作难度双方面，面临着本文档来自技高网...

【技术保护点】
一种基于虚拟机和实体机结合的移动终端取证方法，其步骤包括：1)取证服务器从该待取证移动终端获取设定的关键信息和该待取证移动终端的系统镜像；其中，所述关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息；2)取证服务器根据提取的系统镜像通过虚拟机构建一虚拟移动终端，并将提取的设定应用关键信息加载到该虚拟移动终端；然后对该虚拟移动终端进行操作完成证据的提取；3)如果该虚拟移动终端无法加载该设定应用关键信息，则取证服务器将所述关键信息加载到一真实移动终端，然后对该真实移动终端进行操作完成证据的提取。

【技术特征摘要】
1.一种基于虚拟机和实体机结合的移动终端取证方法，其步骤包括：1)取证服务器从该待取证移动终端获取设定的关键信息和该待取证移动终端的系统镜像；其中，所述关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息；2)取证服务器根据提取的系统镜像通过虚拟机构建一虚拟移动终端，并将提取的设定应用关键信息加载到该虚拟移动终端；然后对该虚拟移动终端进行操作完成证据的提取；3)如果该虚拟移动终端无法加载该设定应用关键信息，则取证服务器将所述关键信息加载到一真实移动终端，然后对该真实移动终端进行操作完成证据的提取。2.如权利要求1所述的方法，其特征在于，所述关键信息包括移动终端的设定关键信息和移动终端中的设定应用关键信息。3.如权利要求2所述的方法，其特征在于，所述移动终端的设定关键信息包括移动终端的型号信息、IMEI信息、操作系统版本、存储器信息；所述移动终端中的设定应用关键信息包括应用程序名称、版本和数据文件内容。4.如权利要求1所述的方法，其特征在于，所述步骤2)中，如果取证服务器根据提取的系统镜像通过虚拟机无法构建与该待取证移动终端相同版本的虚拟移动终端，则根据该待取证移动终端的操作系统的版本号与取证服务器中保存的操作系统版本进行比较，生成操作系统版本号相近的虚拟移动终端。5.如权利要求1所述的方法，其特征在于，通过ADB或者在该待取证移动终端安装...

【专利技术属性】
技术研发人员：李强，杨泽明，刘宝旭，杜丹，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11