【摘 要】本文就Android邏輯分析取證的原理和方法進行了探討，研究了獲取手機最高權限（root）的方法。探究了邏輯分析取證的方法和步驟，包括取證用的工具和軟件，如何與PC端進行連接，如何使用Adb進行文件獲取，并使用數(shù)據(jù)庫軟件將手機用戶的個人信息資料完全提取出來，使用戶資料完全暴露出來。

【關鍵詞】邏輯分析 取證 最高權限 智能手機

一、引言

現(xiàn)代社會，手機已經(jīng)成為人們?nèi)粘Ｉ钪胁豢苫蛉钡脑O備，尤其是配備了高智能操作系統(tǒng)的手機越來越受到人們的青睞。智能手機可以像個人電腦一樣支持用戶自行安裝軟件、游戲等第三方服務商提供的軟件和程序，功能越來越強大。但與此同時，利用智能手機進行的犯罪活動也越來越多，面對這種現(xiàn)狀，智能手機取證成為打擊這類犯罪的重要手段。本文旨在對Android智能手機的邏輯取證方法進行研究和探討，在簡述Android手機的最高權限的獲取后，重點詳細描述邏輯取證的具體操作步驟。

二、邏輯分析與物理分析

邏輯分析是在當前文件目錄下尋找相關證據(jù)，不涉及已刪除的信息參考文獻[1]。其邏輯分析的環(huán)境結構為C/S模式（見圖1）。物理分析是指從鏡像文件中尋找并恢復刪除的數(shù)據(jù)，包括各種文檔和圖像。本文注重分析邏輯分析問題。

（圖1）

三、邏輯分析方法

（一）Root

1.Root 原理

系統(tǒng)修改刷機root

系統(tǒng)修改刷機root原理是：讓手機進入恢復模式（Recovery Mode），又稱刷機模式，這個時候可以使用系統(tǒng)鏡像對手機系統(tǒng)進行重新安裝。于是，我們只要使用被修改過的系統(tǒng)，即系統(tǒng)中的權限已為root（最高權限），進行系統(tǒng)恢復，即可達到root的效果。

系統(tǒng)漏洞root

系統(tǒng)漏洞root原理是：使用系統(tǒng)中存在的漏洞，達到root的目的。比如，之前的setuid漏洞，adb連接漏洞等。使用SuperOneClick，Z4Root，GingerBreak和zergRush等軟件可以針對這些漏洞進行root參考文獻[2]。因為過程視軟件操作方法不同，原理相同，所以在此就不再贅述。

2.Root作用

一款android智能手機root后，可以做到：

（1）查看、修改、刪除系統(tǒng)文件。

（2）刪除系統(tǒng)自帶軟件。

（3）查看系統(tǒng)，軟件內(nèi)部數(shù)據(jù)庫。

（4）安裝可以對系統(tǒng)修改的軟件。

以上幾點，都是需要root的環(huán)境下才可做到。本文主要使用第3項功能。

（二）Adb

什么是adb

Adb——Android 調試橋是具有多種用途的工具，隨Android SDK附帶安裝。該工具可以幫助管理設備的狀態(tài)。

（三）邏輯分析取證之a(chǎn)db文件獲取

1.取證工具

本文使用的是宇龍公司推出的coolpad 7260+智能手機，操作系統(tǒng)版本為Android 2.3.5，將對它進行邏輯分析取證，工具主要為Android SDK，取證之前手機已root完畢。

2.連接設備

在個人PC上安裝Android USB驅動，開啟手機上的USB調試模式，然后通過USB數(shù)據(jù)線連接手機和PC，在PC的cmd命令顯示符下，輸入adb devices來驗證設備連接狀態(tài)（見圖2）

3.文件獲?。ㄐ枰猺oot支持）

從手機中獲取程序相關的信息，用戶的一切資料都存在于/data/data中各個文件夾中，可以通過命令adb shell ls /data/data查看目錄結構，每個文件夾對應一個程序。

由于軟件種類繁多，且數(shù)據(jù)庫文件名均與軟件名有關，大同小異，故在此不再贅述。

獲取方法：進入cmd中，按以下命令按條輸入：

得到結果（見圖3），這時候qq用于存放用戶資料的數(shù)據(jù)庫便存入D：盤中。

4.邏輯分析取證之SQLite數(shù)據(jù)取證

取得db數(shù)據(jù)庫后，便可以使用SQLite數(shù)據(jù)庫查看軟件查看數(shù)據(jù)庫內(nèi)容參考文獻[3]。以下為最常見的軟件示例。

在Com.android.providers.contacts/databases/contact2.db的calls表中，存放著用戶的通話記錄（見圖4）。

四、結束語

本文就Android邏輯分析取證的原理和方法進行了探討，詳細分析了如何將手機獲取最高權限（root），邏輯分析取證的方法和步驟，包括取證用的工具和軟件，如何與PC端進行連接，如何使用Adb進行文件獲取，并以典型的幾款軟件為例進行了詳盡的取證流程演示及分析。在宇龍 Coolpad 7260+手機上的實驗表明，本文的邏輯取證方法能夠有效尋找到手機證據(jù)。

參考文獻：

[1]姚偉，沙晶. Android智能手機的取證[J]. 中國司法鑒定. 2012年01期.

[2]張輝極，薛艷英. 基于Android系統(tǒng)的取證技術分析[J].信息網(wǎng)絡安全. 2012年04期.

[3]裴珊珊. Android系統(tǒng)手機取證分析[J]. 電腦知識與技術. 2012年05期.