【技术实现步骤摘要】
一种基于固件更新协议的Android取证方法
本专利技术涉及数字取证技术,具体涉及一种基于固件更新协议的Android取证方法。
技术介绍
随着Android智能设备的广泛应用,越来越多的犯罪分子使用Android设备从事违法行为。为了更好协助取证人员顺利地从证物设备中提取关键证据,面向Android系统的取证研究的需求也越加迫切。数字取证是司法部门获取电子证据和案件线索的一种重要手段。传统的数字取证方法主要有逻辑获取、芯片拆除等方式,其中逻辑获取技术受限于操作系统逻辑层的控制,当移动设备处于非root权限下,或者USB调试没有开启、系统被密码锁定时,会导致逻辑获取方法不可用。而芯片拆除方式则须将移动设备中存储数据的芯片与主板分离,利用JTAG等与芯片直接通讯技术将其中的数据读取出来,然而,该方法按位读取的数据获取速度缓慢,且易于由于手工失误而导致证据被毁。
技术实现思路
本专利技术的目的在于提供一种基于固件更新协议的Android取证方法。实现本专利技术目的的技术解决方案为:一种基于固件...
【技术保护点】
1.一种基于固件更新协议的Android取证方法,其特征在于,包括以下步骤:/n步骤1、获取Android固件更新协议中转储指令;/n步骤2、逆向分析固件更新程序与设备的数据交互例程,发送步骤1获取的转储指令,从Android设备转储数据;/n步骤3、基于字符串匹配算法从转储数据中提取信息。/n
【技术特征摘要】
1.一种基于固件更新协议的Android取证方法,其特征在于,包括以下步骤:
步骤1、获取Android固件更新协议中转储指令;
步骤2、逆向分析固件更新程序与设备的数据交互例程,发送步骤1获取的转储指令,从Android设备转储数据;
步骤3、基于字符串匹配算法从转储数据中提取信息。
2.根据权利要求书1中所述的基于固件更新协议的Android取证方法,其特征在于,步骤1中,获取转储指令的具体步骤为:
步骤1-1、控制Android设备进入download模式,进行固件更新升级;
步骤1-2、监控固件更新程序的API调用,对Android设备进行抓包;
步骤1-3、根据转储指令格式生成测试用例,进行Fuzzing测试得到隐藏的转储指令。
3.根据权利要求书2中所述的基于固件更新协议的Android取证方法,其特征在于,步骤1-1中,Android设备进入download模式有三种方式:(1)设备关机状态下使用组合键进入;(2)通过adb指令“adbrebootfastboot”进入;(3)通过发送AT指令“AT+FUS?”进入。
4.根据权利要求书2中所述的基于固件更新协议的Android取证方法,其特征在于,步骤1-2中,API监控重点关注三个函数:CreateFile(),Read...
【专利技术属性】
技术研发人员:俞研,彭伟航,邓芳伟,苏铓,付安民,张晗,
申请(专利权)人:南京理工大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。