何昱晨　石文昌

摘要：基于Android移動(dòng)客戶端為研究平臺(tái)，選取一種云為研究對(duì)象，對(duì)用戶通過云Android客戶端訪問云端數(shù)據(jù)時(shí)在客戶端留下的痕跡進(jìn)行了研究；研究結(jié)果表明，在手機(jī)上存在訪問云端數(shù)據(jù)的痕跡，從這些痕跡中能夠提取與用戶以及云相關(guān)的元信息，并且能從中推斷部分用戶行為。

關(guān)鍵詞： 云數(shù)據(jù)安全；移動(dòng)客戶端；安卓；訪問行為；痕跡

隨著通信技術(shù)的不斷發(fā)展和移動(dòng)通信設(shè)備的不斷革新，以智能手機(jī)為代表的移動(dòng)設(shè)備已逐漸成為人們?nèi)粘Ｉ钪胁豢苫蛉钡闹匾M成。文獻(xiàn)[1]對(duì)2014年手機(jī)互聯(lián)網(wǎng)使用情況進(jìn)行的總結(jié)，使用手機(jī)上網(wǎng)人群的比重已達(dá)到85.8%，手機(jī)超過PC成為收看網(wǎng)絡(luò)視頻的第一終端。移動(dòng)互聯(lián)網(wǎng)的應(yīng)用與日俱增，在人們?nèi)粘Ｉ钪邪缪葜匾饔?，由此?yīng)運(yùn)而生的便是人們對(duì)移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全的擔(dān)憂。相關(guān)研究表明，移動(dòng)設(shè)備面臨的最大威脅來自以軟件為中心實(shí)施的攻擊，而其中很大一部分都是利用了瀏覽器漏洞[2-4]。使用智能手機(jī)等移動(dòng)客戶端訪問互聯(lián)網(wǎng)將會(huì)對(duì)互聯(lián)網(wǎng)數(shù)據(jù)安全產(chǎn)生怎樣的影響已成為一個(gè)亟待回答的問題。

1 問題及其研究方法

1.1 問題描述

云存儲(chǔ)是得到廣泛運(yùn)用的互聯(lián)網(wǎng)應(yīng)用之一，它將數(shù)據(jù)存儲(chǔ)能力作為一種服務(wù)提供給使用者，是一種重要的云計(jì)算服務(wù)，用戶可以通過智能手機(jī)等移動(dòng)客戶端方便地使用該服務(wù)。而云存儲(chǔ)的安全性[5-6]在一定程度上制約著云存儲(chǔ)的發(fā)展，因此眾多研究者將目光聚焦到云存儲(chǔ)安全上。人們?cè)谙硎芑ヂ?lián)網(wǎng)數(shù)據(jù)存儲(chǔ)便利的同時(shí)也擔(dān)憂互聯(lián)網(wǎng)數(shù)據(jù)的安全性，那么，智能手機(jī)等移動(dòng)客戶端本身是否也會(huì)給互聯(lián)網(wǎng)數(shù)據(jù)安全帶來影響呢？這是本文關(guān)心的問題。

在常見的智能手機(jī)中，Android操作系統(tǒng)占有較大的市場份額。據(jù)IDC發(fā)布的2014年智能手機(jī)出貨量數(shù)據(jù)，采用Android和iOS為操作系統(tǒng)的智能手機(jī)占96.3%，其中Android手機(jī)為81.5%[7]。因此，本文以Android移動(dòng)客戶端作為研究平臺(tái)，選取中國實(shí)用的一種云為研究對(duì)象，研究Android移動(dòng)客戶端的訪問行為對(duì)云端數(shù)據(jù)安全可能造成的影響。

本文采用Android移動(dòng)客戶端去訪問存儲(chǔ)在云端的數(shù)據(jù)，分析、判斷客戶端是否會(huì)留存與云端數(shù)據(jù)相關(guān)的信息，目的是回答以下問題，第一，客戶端是否會(huì)留存反映云端狀況的相關(guān)信息，如果有，在哪些位置能夠找到這些信息；第二，使用者對(duì)云端數(shù)據(jù)不同的操作是否會(huì)對(duì)留下的信息產(chǎn)生影響；第三，不同的文件類型是否會(huì)留下不同的信息；第四，在使用Android客戶端訪問云端數(shù)據(jù)之后，客戶端的狀態(tài)是否會(huì)對(duì)信息產(chǎn)生影響；第五，這些信息中是否包含元信息，如果有，能了解云相關(guān)的哪些元信息，是否可能包含敏感信息；第六，從留下的信息中能否反向推斷出使用者的行為。

1.2 Android系統(tǒng)存儲(chǔ)結(jié)構(gòu)

本文針對(duì)Android智能手機(jī)開展研究。Android手機(jī)往往擁有以下3種存儲(chǔ)介質(zhì)，容量很小的易失性存儲(chǔ)器（RAM）、內(nèi)部存儲(chǔ)器（NAND-flash）和外部可插拔的SD卡[8]，還有部分Android手機(jī)有一個(gè)模擬的SD卡，物理上是內(nèi)部存儲(chǔ)器，邏輯上是外部存儲(chǔ)器，即SD卡。內(nèi)部存儲(chǔ)器上儲(chǔ)存著所有重要的系統(tǒng)數(shù)據(jù)以及用戶安裝的應(yīng)用程序的系統(tǒng)數(shù)據(jù)。

用戶在安裝應(yīng)用程序的時(shí)候可以選擇將應(yīng)用程序安裝到本地或者SD卡上，而與用戶應(yīng)用程序相關(guān)的數(shù)據(jù)通常會(huì)存儲(chǔ)在內(nèi)部存儲(chǔ)器和外部SD卡上。在內(nèi)部存儲(chǔ)器上，應(yīng)用程序相關(guān)的數(shù)據(jù)會(huì)被存儲(chǔ)到/data/data/<應(yīng)用程序包名>的文件夾下[9]，并且在該文件夾下也有一些通用的子文件夾：lib存儲(chǔ)庫文件，databases存儲(chǔ)SQLite數(shù)據(jù)庫文件及數(shù)據(jù)庫日志，shared_prefs存儲(chǔ)配置信息，cache存儲(chǔ)緩存數(shù)據(jù)，而files存儲(chǔ)應(yīng)用程序私有文件。在外部存儲(chǔ)器上，應(yīng)用程序數(shù)據(jù)存儲(chǔ)位置并未統(tǒng)一，但是常見是以應(yīng)用程序包名為名稱的文件夾。

1.3提取信息的方法

本文選取中國實(shí)用的一種云為研究對(duì)象，用云的Android手機(jī)客戶端訪問云盤數(shù)據(jù)，通過分析手機(jī)內(nèi)外部存儲(chǔ)器的信息來判斷用戶數(shù)據(jù)和用戶使用軌跡的安全性。因此在研究中就會(huì)涉及如何獲得手機(jī)內(nèi)部存儲(chǔ)器和外部存儲(chǔ)器的數(shù)據(jù)。

獲得外部存儲(chǔ)器的方法較為簡單，以手機(jī)HTC Sensation X315e為例，只需將手機(jī)通過數(shù)據(jù)線連接到電腦上，在手機(jī)上選擇打開USB存儲(chǔ)，手機(jī)的SD卡就會(huì)被當(dāng)作電腦的移動(dòng)設(shè)備，可容易獲得SD卡中的數(shù)據(jù)。還有部分手機(jī)的外部存儲(chǔ)器是模擬的SD卡，當(dāng)用數(shù)據(jù)線連接在電腦上時(shí)，這個(gè)模擬的外部設(shè)備會(huì)直接被當(dāng)作媒體設(shè)備，無需在手機(jī)上執(zhí)行任何操作便可以在電腦上訪問手機(jī)的外部存儲(chǔ)器，如Samsung SM-N900。

獲得內(nèi)部存儲(chǔ)器中的數(shù)據(jù)可以通過adb pull命令將文件從手機(jī)內(nèi)部存儲(chǔ)器導(dǎo)出到電腦上，或者用dd命令得到鏡像，再對(duì)鏡像進(jìn)行分析得到內(nèi)部存儲(chǔ)器中的數(shù)據(jù)。

1.3.1 用adb pull命令導(dǎo)出文件

在Android中，可以使用adb pull命令能將內(nèi)部存儲(chǔ)器中的文件導(dǎo)出到電腦。要獲取Android應(yīng)用程序相關(guān)的文件，就需要訪問/data/data文件夾下的內(nèi)容，而只有root用戶才能訪問該文件夾下的內(nèi)容，因此在實(shí)驗(yàn)中需要獲得root權(quán)限，當(dāng)非root用戶試圖訪問/data/data文件夾下的內(nèi)容時(shí)會(huì)提示權(quán)限不足。

1.3.2 用dd命令制作鏡像

鏡像可分為單一分區(qū)鏡像和整個(gè)內(nèi)部存儲(chǔ)器鏡像，分別為分區(qū)和整個(gè)內(nèi)部存儲(chǔ)器的逐位拷貝。單一分區(qū)鏡像能夠獲得分區(qū)中所有文件的內(nèi)容、元數(shù)據(jù)以及被刪除文件的信息，而整個(gè)內(nèi)部存儲(chǔ)器鏡像還能獲得分區(qū)之間和分區(qū)之外的數(shù)據(jù)[10]。

使用dd命令可以獲得鏡像，例如：dd if = /dev/block/mmcblk0p29 of = /sdcard/ddimg，if后是待拷貝分區(qū)，of后是輸出路徑。上述命令的意義是將/dev/block/mmcblk0p29設(shè)備文件復(fù)制到SD卡上，文件名稱為ddimg。而分區(qū)被掛載的位置可以通過mount命令查看。

2 實(shí)驗(yàn)方法設(shè)計(jì)

本文在設(shè)計(jì)實(shí)驗(yàn)時(shí)借鑒了Grispos等人在云存儲(chǔ)數(shù)據(jù)取證方面的實(shí)驗(yàn)思路[11]，使用手機(jī)客戶端對(duì)云端數(shù)據(jù)進(jìn)行不同操作，判斷云端數(shù)據(jù)是否會(huì)在手機(jī)上留下痕跡，如果有，進(jìn)而分析不同的操作類型、手機(jī)及云存儲(chǔ)服務(wù)手機(jī)客戶端不同的狀態(tài)是否會(huì)對(duì)痕跡產(chǎn)生影響。

實(shí)驗(yàn)的基本思想是：使用電腦將不同類型的文件上傳至云盤，通過Android客戶端對(duì)云盤中的文件進(jìn)行不同操作。重復(fù)多次上述對(duì)文件的操作，每次對(duì)應(yīng)著手機(jī)或云不同的狀態(tài)。針對(duì)每次實(shí)驗(yàn)，分析內(nèi)外部存儲(chǔ)器上的文件，判斷是否有云端痕跡殘留在手機(jī)上。下面將分別從選取哪些類型的文件、對(duì)文件執(zhí)行怎樣的操作以及如何獲得手機(jī)存儲(chǔ)器的信息等方面對(duì)實(shí)驗(yàn)進(jìn)行闡述。

2.1 文件類型的選取

云存儲(chǔ)相當(dāng)于一個(gè)遠(yuǎn)程的存儲(chǔ)設(shè)備，因此用戶往往在云盤上存儲(chǔ)著常用的文檔文件和較占本地空間的多媒體文件。故而，在本文選取常見的文檔格式docx、pdf、txt，常見的圖片格式png、gif、jpg、bmp、psd（PhotoShop專用格式），常見的音樂格式mp3、wma，常見的視頻格式mp4、mov、flv、rmvb作為實(shí)驗(yàn)文件格式。其中flv是常見的在線視頻文件格式，云存儲(chǔ)不僅是一個(gè)遠(yuǎn)程存儲(chǔ)設(shè)備還是一個(gè)在線存儲(chǔ)設(shè)備，用戶也可以使用它在線瀏覽視頻。

2.2 對(duì)數(shù)據(jù)操作的分類

Grispos等人在使用云存儲(chǔ)手機(jī)客戶端訪問云端數(shù)據(jù)時(shí)，將對(duì)數(shù)據(jù)的操作分為4種：在線瀏覽、在線瀏覽并下載、不執(zhí)行任何操作、在線瀏覽并刪除云端文件[11]。本文同樣需要對(duì)同一類型的文件執(zhí)行不同的操作，因此借鑒Grispos的思路將同一類型的文件上傳4個(gè)，在云存儲(chǔ)手機(jī)客戶端上對(duì)同一類型的4個(gè)文件分別執(zhí)行上述的4種操作。

手機(jī)本身包括兩種狀態(tài)，一種是開機(jī)狀態(tài)，一種是關(guān)機(jī)狀態(tài)，與本研究相關(guān)的還有兩種與云存儲(chǔ)服務(wù)相關(guān)的狀態(tài)是注銷用戶和清除應(yīng)用緩存。大多數(shù)需要登錄的應(yīng)用程序只有在用戶主動(dòng)注銷用戶的時(shí)候才會(huì)執(zhí)行注銷用戶的操作，該操作可能會(huì)影響賬戶相關(guān)信息。而清除應(yīng)用緩存則類似將應(yīng)用恢復(fù)至剛安裝時(shí)的狀態(tài)，對(duì)應(yīng)用程序的信息也會(huì)產(chǎn)生一定影響。因此本文將分析在實(shí)驗(yàn)結(jié)束之后保持手機(jī)開機(jī)、將手機(jī)關(guān)機(jī)之后再開機(jī)、云盤注銷用戶（退出登錄）、云盤清除應(yīng)用緩存這4種狀態(tài)。

2.3 獲得手機(jī)存儲(chǔ)器數(shù)據(jù)的方式

在分析內(nèi)部存儲(chǔ)器時(shí)，選擇分析鏡像的方法。通過adb pull導(dǎo)出的文件只包含文件的內(nèi)容，不包括文件的元信息，同時(shí)也不包含被刪除的文件的信息。然而文件的元信息和被刪除文件的信息都是研究中期望獲得的。本文只關(guān)注與云存儲(chǔ)手機(jī)客戶端相關(guān)的數(shù)據(jù)，因此只需要制作/data所在磁盤分區(qū)的鏡像即可。在分析SD卡的數(shù)據(jù)的時(shí)候，將手機(jī)通過數(shù)據(jù)線連接到電腦上，并選擇打開USB存儲(chǔ)，直接在電腦上分析文件。

分析過程如下：首先使用dd命令制作/data分區(qū)的鏡像，再將鏡像導(dǎo)出至電腦上，使用取證大師對(duì)獲得的鏡像進(jìn)行分析，分析/data/data/文件夾下的子文件，再將它們導(dǎo)出到電腦上，使用SQLite Development對(duì)其中的SQLite數(shù)據(jù)庫文件進(jìn)行分析，用Notepad++對(duì)文本文件進(jìn)行分析，用UltraEdit對(duì)二進(jìn)制文件進(jìn)行分析。

3 實(shí)驗(yàn)及結(jié)果分析

3.1 詳細(xì)實(shí)驗(yàn)流程

大致的實(shí)驗(yàn)流程如圖1所示。第一，在電腦上將文件上傳到某云盤；第二，為手機(jī)獲得root權(quán)限，將其恢復(fù)到出廠設(shè)置，打開“允許安裝未知來源的應(yīng)用程序”和“USB調(diào)試”選項(xiàng)；并在手機(jī)上安裝云apk；第三，登錄某云盤手機(jī)客戶端，對(duì)文件相應(yīng)操作，如表1所示；第四，保持手機(jī)和云盤在以下狀態(tài)之一：保持手機(jī)開機(jī)、手機(jī)關(guān)機(jī)再開機(jī)、保持手機(jī)開機(jī)且云盤退出登錄、保持手機(jī)開機(jī)且云盤清除數(shù)據(jù)、手機(jī)關(guān)機(jī)再開機(jī)且云盤清除數(shù)據(jù)；第五，制作手機(jī)data分區(qū)鏡像，對(duì)SD卡上的文件和鏡像進(jìn)行分析。

3.2 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)電腦為Dell，采用Win7專業(yè)版32位，CPU為Intel i5，其他輔助工具及版本如下：adb v1.0.31、取證大師v3.3、SQLite Development v4.0、NotePad++ v6.5、UltraEdit v21.20。

3.3 外部存儲(chǔ)器結(jié)果

3.3.1 HTC手機(jī)實(shí)驗(yàn)結(jié)果

通過分析SD卡上以云應(yīng)用程序包名命名的文件夾，能夠得到如下結(jié)論：第一，所有文件類型都能夠在SD卡上被發(fā)現(xiàn)；第二，文件類型會(huì)對(duì)能否在SD卡上發(fā)現(xiàn)文件產(chǎn)生影響。文檔和音樂文件都是只要在線瀏覽便能在SD卡上找到文件；對(duì)于圖片文件，psd類型的文件只要在線瀏覽便能在SD卡上找到，而bmp、gif、jpg、png類型的只有在線瀏覽并下載才能在SD卡上發(fā)現(xiàn)；只有在線瀏覽并下載的視頻文件才能在SD卡上找到；第三，對(duì)文件執(zhí)行的不同操作會(huì)對(duì)能否在SD卡上發(fā)現(xiàn)文件產(chǎn)生影響。所有執(zhí)行在線瀏覽并下載的文件均能在SD卡找到；所有不執(zhí)行任何操作的文件均不會(huì)出現(xiàn)在SD卡上；第四，手機(jī)或者XX云的狀態(tài)不會(huì)對(duì)SD卡上存儲(chǔ)的文件造成影響。由于篇幅所限，在這里只列出視頻文件在SD上的結(jié)果，如表1所示。

3.3.2 Samsung手機(jī)實(shí)驗(yàn)結(jié)果

在Samsung手機(jī)上進(jìn)行實(shí)驗(yàn)的結(jié)果大多數(shù)都與HTC手機(jī)上的相同，下面只列出不同的結(jié)果：第一，MOV類型的文件不會(huì)出現(xiàn)在SD卡上，即使該類型的文件被執(zhí)行了下載的操作；第二，與HTC手機(jī)不同，在線瀏覽的psd類型文件不會(huì)出現(xiàn)在SD卡上。

3.4 內(nèi)部存儲(chǔ)器結(jié)果

3.4.1 HTC Sensation X315e實(shí)驗(yàn)結(jié)果

當(dāng)手機(jī)在實(shí)驗(yàn)中保持開機(jī)時(shí)發(fā)現(xiàn)：cache文件夾下的uil-images文件夾中存儲(chǔ)著緩存圖片和視頻的縮略圖；files中的imei.dat文件中存儲(chǔ)著手機(jī)的imei號(hào)。通過分析databases文件夾的數(shù)據(jù)庫文件能夠得到如下數(shù)據(jù)：filelist.db能夠得到云盤緩存文件的詳細(xì)信息；account.db能夠得到用戶詳細(xì)信息；yidisk.db能夠得到下載任務(wù)的詳細(xì)情況。shared_prefs文件夾下的配置文件中包含云相關(guān)數(shù)據(jù)：當(dāng)前是否在Wi-fi環(huán)境下上傳和下載，是否自動(dòng)備份照片和視頻，云盤中是否存儲(chǔ)圖片，當(dāng)前ip地址，最后登錄的用戶名及用戶名類型。

而當(dāng)手機(jī)和云盤保持不同狀態(tài)時(shí)，本文發(fā)現(xiàn)，手機(jī)關(guān)機(jī)對(duì)cache、databases、shared_prefs文件夾中數(shù)據(jù)無影響；注銷用戶會(huì)導(dǎo)致cache文件夾內(nèi)容被刪除且不可恢復(fù)，對(duì)databases和shared_prefs文件夾無影響；而清除緩存則會(huì)刪除這3個(gè)文件夾內(nèi)容且不可恢復(fù)。

3.4.2 Samsung SM-N900實(shí)驗(yàn)結(jié)果

當(dāng)手機(jī)在實(shí)驗(yàn)中保持開機(jī)時(shí)，從databases文件夾中能夠得到更多信息：cloudp2p.db能夠得到用戶黑名單，好友信息，用戶所參與的對(duì)話和群組的相關(guān)信息；account.db依舊能夠得到用戶信息；filelist.db能夠得到云盤緩存文件詳情，下載文件詳情，用戶分享動(dòng)態(tài)相關(guān)信息，以及按瀏覽順序存儲(chǔ)的在線播放視頻文件的詳情。

而當(dāng)手機(jī)和云盤保持不同狀態(tài)時(shí)，本文發(fā)現(xiàn)手機(jī)關(guān)機(jī)會(huì)使databases和files文件夾增加與設(shè)備相關(guān)的文件，而對(duì)shared_prefs無影響；而注銷用戶對(duì)這3個(gè)文件夾數(shù)據(jù)幾乎沒有影響；清除緩存不會(huì)刪除全部數(shù)據(jù)。databases中還有account.db，advertise.db等4個(gè)數(shù)據(jù)庫文件；files中還保存著云登錄時(shí)的html文件；shared_prefs中還能夠發(fā)現(xiàn)用戶ip地址。

3.4.3 Samsung SM-G9008V實(shí)驗(yàn)結(jié)果

Samsung SM-G9008V實(shí)驗(yàn)結(jié)果與SM_N900幾乎沒有差別，見3.4.2，只是在云盤清除緩存的情況下除了lib的所有文件都被刪除了。

4 結(jié)束語

本文從客戶端和服務(wù)器相結(jié)合的角度探究互聯(lián)網(wǎng)數(shù)據(jù)安全的問題，國際上也有類似的研究。Grispos G等人研究智能手機(jī)是否能夠成為云存儲(chǔ)取證的代理[11]，本文更關(guān)注數(shù)據(jù)訪問痕跡的檢測與分析。GAl Mutawa N等人以社交軟件為研究對(duì)象，在手機(jī)上執(zhí)行預(yù)定義的活動(dòng)集合，借助手機(jī)的備份，通過人工分析探討是否能從中發(fā)現(xiàn)與預(yù)定義活動(dòng)集相關(guān)的信息[12]，而本文借助于鏡像，通過分析元數(shù)據(jù)和刪除文件信息來研究Android移動(dòng)客戶端上的用戶行為對(duì)互聯(lián)網(wǎng)數(shù)據(jù)安全可能帶來的影響。

本文以Android手機(jī)客戶端訪問云盤中的數(shù)據(jù)為場景，檢測從手機(jī)上能否發(fā)現(xiàn)涉及云端數(shù)據(jù)安全的行為軌跡。實(shí)驗(yàn)研究表明，手機(jī)上留存有云端數(shù)據(jù)的訪問痕跡，從這些痕跡中能夠提取云端及用戶相關(guān)的元信息，同時(shí)，借助殘留信息能在一定程度上反向推測用戶的行為，這對(duì)云端數(shù)據(jù)的安全性具有一定的負(fù)面影響，是互聯(lián)網(wǎng)數(shù)據(jù)安全的一種隱患?？梢?，移動(dòng)客戶端給移動(dòng)互聯(lián)網(wǎng)的數(shù)據(jù)安全帶來了新的挑戰(zhàn)，值得業(yè)界重視，并采取有效措施應(yīng)對(duì)相應(yīng)的挑戰(zhàn)。

參考文獻(xiàn)

[1] 第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告 [EB/OL]. [2015-03-08]. http：//www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201502/t20150203_51634.htm

[2] BECHER M， FREILING F C， HOFFMANN J， et al. Mobile security catching up？ revealing the nuts and bolts of the security of mobile devices [C]//Proceedings of the Security and Privacy （SP）， 2011 IEEE Symposium on. IEEE， 2011： 96-111

[3] DWIVEDI H. Mobile application security [M]. Tata McGraw-Hill Education， 2010

[4] CHAOUCHI H， LAURENT-MAKNAVICIUS M. Wireless and Mobile Networks Security [M]. Wiley-ISTE， October， 2009

[5] WANG C， WANG Q， REN K， et al. Privacy-preserving public auditing for data storage security in cloud computing [C]//Proceedings of the INFOCOM， 2010：1-9

[6] WEI L， ZHU H， CAO Z， et al. Security and privacy for storage and computation in cloud computing [J]. Information Sciences， 2014， 258（4）： 371-386

[7] IDC：2014年Android市場份額81.5% iOS份額下降 [EB/OL]. [2015-03-08]. http：//tech.163.com/15/0225/07/AJ9HL4H7000915BD.html

[8] KIM H， AGRAWAL N， UNGUREANU C. Revisiting storage for smartphones [J]. ACM Transactions on Storage （TOS）， 2012， 8（4）： 14-18

[9] HOOG A. Android forensics： investigation， analysis and mobile security for Google Android [M]. Elsevier， 2011

[10] FARMER D， VENEMA W. Forensic discovery [M]. Upper Saddle River： Addison-Wesley， 2005

[11] GRISPOS G， GLISSON W B， STORER T. Using smartphones as a proxy for forensic evidence contained in cloud storage services [C]//Proceedings of the System Sciences （HICSS）， 2013 46th Hawaii International Conference on. IEEE， 2013： 4910-4919

[12] MUTAWA N， BAGGILI I， MARRINGTON A. Forensic analysis of social networking applications on mobile devices [J]. Digital Investigation， 2012， 9（S）：24-33