【技术实现步骤摘要】
一种对应用程序取证分析的方法和装置
[0001]本专利技术涉及计算机
,尤其涉及一种对应用程序取证分析的方法和装置。
技术介绍
[0002]现有技术中,在应用程序进行取证分析的方法中对数据库文件进行解密,获取解密密钥都是通过连接互联网,在联网的状态下实现对应用程序的取证分析。这样的取证方法就限制了一些在没有网络状态下的取证场景的要求,导致在不联网的应用场景下,无法对应用程序进行取证分析。
技术实现思路
[0003]本专利技术提供一种对应用程序取证分析的方法和装置,实现了在不联网的情况下,能够对应用程序进行取证分析。
[0004]第一方面,本专利技术实施例提供了一种对应用程序取证分析的方法,包括:
[0005]获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件;
[0006]通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥;
[0007]基于所述解密密钥对所述数据库文件进行解密,获取所述历史登录账号对应的记录信息,完成对所述应用程
【技术保护点】
【技术特征摘要】
1.一种对应用程序取证分析的方法,其特征在于,包括:获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件;通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥;基于所述解密密钥对所述数据库文件进行解密,获取所述历史登录账号对应的记录信息,完成对所述应用程序的取证分析。2.根据权利要求1所述的对应用程序取证分析的方法,其特征在于,所述获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件包括:依据视窗操作系统版本的应用程序并将所述应用程序下载到本地,从本地的存储目录中获取应用程序的历史登录账号以及历史登录账号对应的数据库文件。3.根据权利要求1所述的对应用程序取证分析的方法,其特征在于,所述通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥包括:通过逆向分析的方法对所述应用程序进行解析,并在所述应用程序对应的内存中获取所述数据库文件的解密密钥特征;基于所述解密密钥特征,在所述应用程序对应的内存镜像文件中查找目标解密密钥特征,并通过目标解密密钥特征确定所述数据库文件的解密密钥。4.根据权利要求3所述的对应用程序取证分析的方法,其特征在于,所述基于所述解密密钥特征,在所述应用程序对应的内存镜像文件中查找目标解密密钥特征,并通过目标解密密钥特征确定所述数据库文件的解密密钥包括:基于所述解密密钥特征,在所述应用程序的内存镜像文件中查找与所述解密密钥特征相同的目标解密密钥特征;通过所述目标解密密钥特征的前缀标识确定所述数据库文件的解密密钥。5.根据权利要求1所述的对应用程序取证分析的方法,其特征在于,所述基于所述解密密...
【专利技术属性】
技术研发人员:王圣东,李亚洲,李小军,
申请(专利权)人:奇安盘古上海信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。