本发明专利技术涉及一种基于协议仿真的移动终端云数据取证方法和系统,包括以下步骤:确定目标APP与服务器的通讯机制,建立初始请求构造模型;从取证手机中提取目标APP的必要要素信息;将获取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。采用本发明专利技术方法取证人员可以在不对源手机数据进行破坏的前提下获取APP云端数据。本发明专利技术可以广泛应用于数据处理领域。理领域。理领域。
【技术实现步骤摘要】
一种基于协议仿真的移动终端云数据取证方法和系统
[0001]本专利技术涉及一种基于协议仿真的移动终端云数据取证方法和系统,属于数据处理领域。
技术介绍
[0002]智能家居设备多种多样,目前市面上已有智能音箱、智能门锁、智能灯光等,还有更多的新型智能设备正在设计生产和投入使用。为了便于用户对这些智能设备的管理,通常采用的方式是在手机上安装管理APP,利用相应的APP来对这些设备进行操作、设置和管理。大多数智能家居设备本身并不存储数据,或只存储最基本的数据,且由于封装接口协议和数据加密等原因,对其直接取证较为困难。因此大多数人会想到对手机端的管理APP进行取证。但是这类管理APP在手机上可以直接查看的大多数数据,如连接设备数量、名称、操作记录等,都存储在厂商的服务器中,需要手机和设备均连接互联网,通过向服务器发送请求,服务器再将这些数据返回到手机上进行呈现。也就是说,大多数重要的数据并不存储于手机上。
[0003]这就为检验人员提出了挑战。目前传统断网离线进行手机提取可能仅能获取到账户用户名信息,直接使用手机连接互联网查看显然会破坏手机中的数据,也违背了各类检验标准和要求的取证原则。目前的取证方法存在以下局限性:
[0004](1)传统手机应用取证方法
[0005]现在对于安卓手机应用取证只局限于对其中数据进行解析恢复并在电脑上进行数据展示,如常见的微信聊天记录取证。目前主流的国产安卓手机都提供应用数据备份功能,使用其可以直接获取应用中的用户数据,对于支持应用数据备份的手机只需要在手机或者电脑上运行备份程序即可安全快捷的备份出需要获取的应用数据。
[0006]但是这种取证方法有很大的局限性,一是对于不知道应用登陆账号密码的情况下,只能获取当前数据,不能对继发数据进行实时监控追踪;二是对于不存在本地的云空间数据无法获取。
[0007](2)其它云数据取证方法
[0008]目前传统断网离线进行手机提取无法获取有意义的数据,对这类数据进行取证通常采用几种方式:电脑模拟手机,利用手机卡接收登录短信用于身份验证,然后再拉取一些数据到本地。这种方式只能局限于使用手机号码进行注册的方式,使用其它形式的账号信息无法获取到的情况下无法使用。而且获取数据有限,很难完全还原APP真实使用场景。
技术实现思路
[0009]针对上述问题,本专利技术的目的是提供一种基于协议仿真的移动终端云数据取证方法和系统,该方法不需要事先了解该APP的登录账号密码等信息,也不需要源手机联网。只需要基于手机APP自身的备份数据,就可以通过构造仿真协议模型,来模拟APP与服务器间的数据收发,从而获取APP云端数据。采用本专利技术方法取证人员可以在不对源手机数据进行
破坏的前提下获取APP云端数据。
[0010]为实现上述目的,本专利技术采取以下技术方案:
[0011]第一方面,本专利技术提供一种基于协议仿真的移动终端云数据取证方法,包括以下步骤:
[0012]确定目标APP与服务器的通讯机制,建立初始请求构造模型;
[0013]从取证手机中提取目标APP的必要要素信息;
[0014]将获取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;
[0015]利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。
[0016]进一步,所述确定目标APP与服务器的通讯机制,建立初始请求构造模型,包括:
[0017]在移动终端上联网模拟运行目标APP,并进行各种APP端的网络请求操作;
[0018]利用网络抓包工具对移动终端和服务器之间的网络请求信息进行网络抓包跟踪监听;
[0019]对抓包跟踪监听结果进行分析,并基于分析结果确定目标APP与服务器的通讯机制,建立初始请求构造模型。
[0020]进一步,所述网络抓包工具采用Fiddler。
[0021]进一步,所述利用网络抓包工具对移动终端和服务器端之间的网络请求信息进行网络抓包跟踪监听时,包括:
[0022]在移动终端中安装目标APP,并联网模拟运行该目标APP,同时打开网络抓包工具进行监听;
[0023]打开移动终端中的目标APP,向服务器发送网络请求;
[0024]网络抓包工具将目标APP发送的网络请求转发至服务器,并接收服务器返回的操作信息,与网络请求信息整合后得到抓包跟踪监听结果。
[0025]进一步,所述初始请求构造模型,为get或post请求构造模型。
[0026]进一步,所述从取证手机中提取目标APP的必要要素信息,包括:
[0027]对取证手机的APP数据进行备份;
[0028]基于取证手机的手机品牌、版本以及所用的备份方式,对得到的备份数据进行格式转换,得到能够直接展开的APP数据;
[0029]从展开的APP数据中提取目标APP的必要要素信息。
[0030]进一步,所述对取证手机的APP数据进行备份时,备份方式包括备份到外部存储、通过手机助手备份到PC端或通过互传应用备份到PC端。
[0031]第二方面,本专利技术提供一种基于协议仿真的移动终端云数据取证系统,包括:
[0032]模型建立模块,用于确定目标APP与服务器的通讯机制,建立初始请求构造模型;
[0033]本地搜索模块,用于从取证手机中提取目标APP的必要要素信息;
[0034]模型更新模块,用于将提取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;
[0035]云端数据获取模块,用于利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。
[0036]第三方面,本专利技术提供一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行所述方法中的任一方法。
[0037]第四方面,本专利技术提供一种计算设备,包括:一个或多个处理器、存储器及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为所述一个或多个处理器执行,所述一个或多个程序包括用于执行所述方法中的任一方法的指令。
[0038]本专利技术由于采取以上技术方案,其具有以下优点:本专利技术提出了一种应用模拟仿真方法,对于不能获取应用账号密码和检材不便联网获取最新数据的情况,可以在模拟器对应用进行仿真,仿真后的应用状态和检材一致,且可以联网获取最新数据。在同款APP的取证过程中就可以通过计算机联网直接采用以上方法构造网络数据收发请求与对应服务器进行通讯,以达到取证APP所在手机不联网的情况下,获取其云端数据的目的。这种方法可以保证手机不联网,从而避免了由于联网等操作造成的手机端数据的破坏。
[0039]因此,本专利技术可以广泛应用于数据处理领域。...
【技术保护点】
【技术特征摘要】
1.一种基于协议仿真的移动终端云数据取证方法,其特征在于,包括以下步骤:确定目标APP与服务器的通讯机制,建立初始请求构造模型;从取证手机中提取目标APP的必要要素信息;将获取的目标APP的必要要素信息输入到初始请求构造模型后与服务器进行通信获取其他要素信息,并对初始请求构造模型进行更新;利用更新后的请求构造模型,基于协议仿真模拟目标APP与服务器进行通讯,获取目标APP的云端数据,用于后续取证分析。2.如权利要求1所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述确定目标APP与服务器的通讯机制,建立初始请求构造模型,包括:在移动终端上联网模拟运行目标APP,并进行各种APP端的网络请求操作;利用网络抓包工具对移动终端和服务器之间的网络请求信息进行网络抓包跟踪监听;对抓包跟踪监听结果进行分析,并基于分析结果确定目标APP与服务器的通讯机制,建立初始请求构造模型。3.如权利要求2所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述网络抓包工具采用Fiddler。4.如权利要求2所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述利用网络抓包工具对移动终端和服务器端之间的网络请求信息进行网络抓包跟踪监听时,包括:在移动终端中安装目标APP,并联网模拟运行该目标APP,同时打开网络抓包工具进行监听;打开移动终端中的目标APP,向服务器发送网络请求;网络抓包工具将目标APP发送的网络请求转发至服务器,并接收服务器返回的操作信息,与网络请求信息整合后得到抓包跟踪监听结果。5.如权利要求2所述的一种基于协议仿真的移动终端云数据取证方法,其特征在于,所述初始请求构造模型,为get或p...
【专利技术属性】
技术研发人员:赵露,康艳荣,张耀国,张倩,王博,鲍梦湖,姜贤波,龙源,郭丽莉,杨昆林,邢桂东,楚川红,周冬林,
申请(专利权)人:公安部鉴定中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。