Android邏輯數據手動提取和分析
1. SMS、MMS相關信息的手動提取
首先,通過鏡像或者具備ROOT權限的程序將以下文件夾完整提取:
以下分別對各個目錄進行解釋:
- App_parts:
手機中收發的彩信附件,如圖片:
該文件是以附件添加/收到的時間命名的,時間戳採用毫秒換算,由於不熟悉C語言
,只能用Excel做一個換算式:
,只能用Excel做一個換算式:
文件解析為圖片:
- Databases
該文件夾下包含兩個文件:
分別包含手機APN信息:
手機短信、彩信中包含的所有號碼信息(推薦號碼/典型號碼):
以保存(已發送/已接收)的彩信結構:
快速回覆短信:
全部短信內容:
提取出的數據經時間戳轉化後與原信息無異。
2. 通訊錄手動提取和解析
手機中設置同步的Gmail帳戶:
最近500條通話記錄:
所有聯繫人:
所有事件(如聯繫人生日)保存信息:
聯繫人分組:
所有聯繫人對應Gmail服務器的同步地址:
從以上分析可以看出,Android系統的邏輯數據與應用程序一樣,存儲結構都比較簡單,且基本不採用加密,取證人員掌握簡單的取證技術均可實現手動提取和分析。
作者後期還將繼續針對Android和iOS等智能手機系統的取證進行深入探究,歡迎各位從事計算機取證工作的朋友及時批評指正,共同探討學習。
轉自 http://www.cnblogs.com/ysun/archive/2011/08/12/2136766.html
發表文章
0 意見: