Android邏輯數據手動提取和分析

Android邏輯數據手動提取和分析

1. SMS、MMS相關信息的手動提取
首先,通過鏡像或者具備ROOT權限的程序將以下文件夾完整提取:
image
以下分別對各個目錄進行解釋:
  • App_parts:
手機中收發的彩信附件,如圖片:
image
該文件是以附件添加/收到的時間命名的,時間戳採用毫秒換算,由於不熟悉C語言哭泣的脸,只能用Excel做一個換算式:
image
文件解析為圖片:
image
  • Databases
該文件夾下包含兩個文件:
image
分別包含手機APN信息:
image
手機短信、彩信中包含的所有號碼信息(推薦號碼/典型號碼):
image
以保存(已發送/已接收)的彩信結構:
image
快速回覆短信:
image
全部短信內容:
image
提取出的數據經時間戳轉化後與原信息無異。
imageimage
2. 通訊錄手動提取和解析
手機中設置同步的Gmail帳戶:
image
最近500條通話記錄:
image
所有聯繫人:
image
所有事件(如聯繫人生日)保存信息:
image
聯繫人分組:
image
所有聯繫人對應Gmail服務器的同步地址:
image

從以上分析可以看出,Android系統的邏輯數據與應用程序一樣,存儲結構都比較簡單,且基本不採用加密,取證人員掌握簡單的取證技術均可實現手動提取和分析。
作者後期還將繼續針對Android和iOS等智能手機系統的取證進行深入探究,歡迎各位從事計算機取證工作的朋友及時批評指正,共同探討學習。


轉自 http://www.cnblogs.com/ysun/archive/2011/08/12/2136766.html

0 意見: