曹飛 胡濤

摘 要：首先介紹了智能設(shè)備進(jìn)行易失性數(shù)據(jù)取證的重要性，并說明了其難點(diǎn)在于對易失性數(shù)據(jù)的獲取上，其后介紹了幾種易失性數(shù)據(jù)獲取的方法。但是每種方法都有缺陷，因此提出了一種基于備份的易失性數(shù)據(jù)獲取方法，沒有使用環(huán)境的要求，也不會污染其他進(jìn)程的易失性數(shù)據(jù)，對不同操作系統(tǒng)的支持也比較好，使得取證人員能夠很方便獲取重要的證據(jù)數(shù)據(jù)。

關(guān)鍵詞：智能設(shè)備；易失性數(shù)據(jù)；取證；基于備份

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A

Abstract：In this paper，we introduces the importance to carried out volatile data from smart devices and explains their difficulty lies in obtaining data on the volatile.Thereafter describes several methods to capture the volatile data.But all methods have different drawbacks，so we proposed a method based on backup of volatile data acquisition，which does not have environmental requirements，also will not contaminate other processes of volatile data，supports for different operating systems is relatively good，so that people can easily obtain evidence important evidence data.

Keywords：smart devices；volatile data；live forensics；backup

1 引言（Introduction）

隨著科技進(jìn)步和數(shù)字移動通信網(wǎng)絡(luò)的普及，智能手機(jī)和平板電腦已經(jīng)成為生活的必備工具。據(jù)統(tǒng)計，截止2015年2月，移動電話用戶總數(shù)達(dá)到12.9億，其中相當(dāng)大的比例為智能手機(jī)用戶。根據(jù)美國市場研究公司IDC發(fā)布的報告，2015年全球智能手機(jī)出貨量增長10.4%，達(dá)到14.4億部[1]。

與此同時，隨機(jī)技術(shù)的發(fā)展，以智能手機(jī)為代表智能設(shè)備的計算能力越來越強(qiáng)大，使其在基本的電話和短信之外，具備了更多的功能，成為了人們工作、娛樂、交際的重要工具。甚至有人把以手機(jī)為代表的新興傳播形式稱為繼報紙、廣播、電視、互聯(lián)網(wǎng)之后的“第五媒體”。但是，智能設(shè)備在給人們帶來遍歷的背后，也常常被犯罪分子利用作為犯罪工具[2]。譬如，犯罪分子利用智能設(shè)備來詐騙、誹謗他人，甚至窺探、傳播他人隱私，使其日漸成為新型犯罪工具。因此對智能設(shè)備的取證研究越來越重要，存在智能設(shè)備中的各類數(shù)據(jù)作為一種新的證據(jù)形式，也越來越多的作為訴訟證據(jù)之一，發(fā)揮了巨大的作用[3]。

當(dāng)前大部分對智能設(shè)備的取證都是針對存儲在內(nèi)存卡和閃存上的非易失性數(shù)據(jù)取證的研究，比如。而對存儲在運(yùn)存上的易失性數(shù)據(jù)獲取方法還比較少。然而由于手機(jī)廠商眾多，并且同一個廠商的產(chǎn)品也具有不同的型號，使智能設(shè)備的易失性數(shù)據(jù)取證更加困難。本文既是提出一種方法來完成對不同設(shè)備的易失性數(shù)據(jù)的獲取。

由于設(shè)備沒有間斷的運(yùn)行，導(dǎo)致內(nèi)存的數(shù)據(jù)在不斷的變化中，特別是在手機(jī)在處于聯(lián)網(wǎng)狀態(tài)的時候，所以確定需要取證的時候，要首先完成對易失性數(shù)據(jù)的獲取，并且不能修改設(shè)備的狀態(tài)包括關(guān)閉網(wǎng)絡(luò)連接、干擾手機(jī)信號等，因?yàn)檫@些操作的同時就會修改一些內(nèi)部數(shù)據(jù)，從而造成數(shù)據(jù)的丟失。完成易失性數(shù)據(jù)的獲取過后，在進(jìn)行對非易失性數(shù)據(jù)進(jìn)行取證調(diào)查[4]。

2 研究現(xiàn)狀（Research status）

雖然現(xiàn)在沒有一種統(tǒng)一方法來完成對智能設(shè)備的易失性數(shù)據(jù)獲取，但是也有了很多相關(guān)的研究。由于智能設(shè)備也是電子隨便的一種，因此取證方法和普通PC類似。易失性數(shù)據(jù)獲取的一般方法就是斷開網(wǎng)絡(luò)，然后對當(dāng)前內(nèi)存數(shù)據(jù)進(jìn)行鏡像備份，最后通過對鏡像進(jìn)行分析，獲取關(guān)鍵性證據(jù)信息。移動設(shè)備的操作系統(tǒng)是運(yùn)行在有限資源之上的，內(nèi)存的容量還是受限，因此其需要在未經(jīng)用戶許可的情況下移除一些優(yōu)先級較低的進(jìn)行，以分配內(nèi)給優(yōu)先級較高的進(jìn)程。但是，有些重要證據(jù)就是存儲在優(yōu)先級較低的進(jìn)程上的，因此，在智能設(shè)備易失性數(shù)據(jù)電子取證的重點(diǎn)就是獲取這些易失性數(shù)據(jù)[4]。

易失性數(shù)據(jù)的獲取方法包括物理獲取和邏輯獲取。物理獲取又叫硬件獲取，通過獨(dú)立的硬件設(shè)備完全繞過操作系統(tǒng)，且不在目標(biāo)機(jī)上運(yùn)行任何應(yīng)用程序，最后完成將全部的物理內(nèi)存的數(shù)據(jù)鏡像拷貝到另外的存儲設(shè)備之中。在普通的PC上面，物理獲取的主要方法有通過PCI接口、FireWire接口等通過特殊的接口來實(shí)現(xiàn)。PCI接口通過預(yù)先安裝特定的專用取證設(shè)備，利用DMA來獲取對內(nèi)存的直接訪問，可以不依賴操作系統(tǒng)，不需要運(yùn)額外的代碼；缺點(diǎn)是不支持熱拔插，需要預(yù)先安裝。FireWire也是直接通過DMA訪問，取證人員將一個包含適當(dāng)程序并且能夠向FireWire設(shè)計控制器發(fā)送特定的指令來啟動設(shè)備。但是這些方法在移動智能設(shè)備上都不能使用，因?yàn)橐苿釉O(shè)備由于其小巧，不可能具有這么大的接口存在。邏輯獲取也叫軟件獲取，通過安裝特定的取證軟件來訪問內(nèi)存數(shù)據(jù)，進(jìn)而將其轉(zhuǎn)儲成物理鏡像。在這方面，移動設(shè)備和普通PC的方法類似。

在智能移動設(shè)備的易失性數(shù)據(jù)獲取上，研究人員也提出了許多不同的方法。Willassen提出了一種獲取存儲在易失性存儲介質(zhì)如RAM的物理獲取方法[5]，需要拆卸手機(jī)進(jìn)而從印刷版電路（PCB）獲取到存儲介質(zhì)，然后使用JTAG芯片測試接口獲取其中的易失性敏感數(shù)據(jù)。在這個過程之中，需要保持電源的持續(xù)連接，并且為了減少數(shù)據(jù)丟失的可能，需要對其進(jìn)行降溫處理。G.Me和A.Distefano提出了一個內(nèi)部獲取而不是通過USB等接口的外部獲取方法，并完成了MIAT（Mobile Internal Acquisition Tool）工具，該工具需要安裝在內(nèi)存卡內(nèi)部，使手機(jī)具有從內(nèi)存獲取數(shù)據(jù)能力，并在10到15分鐘之內(nèi)獲取到內(nèi)存上的所有數(shù)據(jù)。該工具存在的問題是需要手機(jī)重啟一次且運(yùn)行在恢復(fù)模式，然而在重啟的過程中會修改一些文件和數(shù)據(jù)。但是，這些修改的數(shù)據(jù)是可以接受的，并且比一些常用的修改工具如Paraben和XRY的取證方法所修改的數(shù)據(jù)要少。

在另外一個研究上，Irwin和Hunt提供了一種使用網(wǎng)絡(luò)連接來獲取敏感數(shù)據(jù)的方法[6]，可以通過Wi-Fi或者GSM來完成，基于Windows Phone的。為了完成這項(xiàng)研究，他們開發(fā)出了四種工具來完成數(shù)據(jù)的獲取和傳輸工作。第一個工具叫做CTASms（Contact、Task、Appointment和SMS），完成從Windows Phone的PIM（個人信息管理中心）提取數(shù)據(jù)。這個工具通過復(fù)制PIM中的數(shù)據(jù)并發(fā)送到其他設(shè)備中來完成數(shù)據(jù)的獲取功能。在這個工作中，需要使用到另外的兩個工具：ActiveSync和DataGrabber。ActiveSync也是安裝在手機(jī)上的，主要工作是使用網(wǎng)絡(luò)連接來發(fā)送CTASms獲取的數(shù)據(jù)到工作站上，完成同步工作。DataGabber設(shè)備就是安裝在工作站上的工具，功能是接受ActiveSync發(fā)送的數(shù)據(jù)并分類存儲。最后一個工具叫做SDCap（存儲設(shè)備捕獲），通過遠(yuǎn)程連接安裝有DataGrabber的工作站，獲取到同步的數(shù)據(jù)并進(jìn)行分析，完成最后的證據(jù)獲取功能。由于需要使用移動網(wǎng)絡(luò)，因此該研究的使用具有很大的局限性，并且在完成數(shù)據(jù)傳輸?shù)倪^程中對易失性數(shù)據(jù)的修改也是比較多的。

此外，L.L.V.Thing和E.C.Chang提出一種自動執(zhí)行易失性數(shù)據(jù)的分析方法[7]。他們通過研究易失性數(shù)據(jù)的動態(tài)行為，分析不同的應(yīng)用數(shù)據(jù)的實(shí)時數(shù)據(jù)對證據(jù)呈現(xiàn)的重要性，找到了在不同的應(yīng)用場景需要的不同參數(shù)。他們的實(shí)驗(yàn)表明，手機(jī)向外發(fā)送的數(shù)據(jù)比接受到的數(shù)據(jù)對取證分析上具有更大的作用，因此在數(shù)據(jù)獲取的時候，應(yīng)該更多的傾向于獲取手機(jī)本身產(chǎn)生的數(shù)據(jù)。根據(jù)此原理，他們開發(fā)了一個數(shù)據(jù)獲取工具M(jìn)emGrab用來獲取特定類型的易失性數(shù)據(jù)，并進(jìn)行了后續(xù)分析。在一個實(shí)際的應(yīng)用場景中，不管是連續(xù)發(fā)送還是間斷發(fā)送，都能根據(jù)獲取的數(shù)據(jù)分析出可信的證據(jù)信息。MemGrab跟蹤系統(tǒng)調(diào)用的過程，控制其執(zhí)行，獲取對應(yīng)進(jìn)程的地址空間，然后在獲取特定類型的數(shù)據(jù)快照，重點(diǎn)在于手機(jī)本身產(chǎn)生的數(shù)據(jù)而不是接受的數(shù)據(jù)。按照他們的觀點(diǎn)來看，一個自動獲取的系統(tǒng)需要及時的獲取這些易失性數(shù)據(jù)。對于低持久性的數(shù)據(jù)，如果沒有及時的獲取則會直接丟失，這對取證工作造成了一定的困難。

3 基于備份的易失性數(shù)據(jù)獲取方法（Volatile memory acquisition method based on backup）

為了克服上面的提到一些易失性數(shù)據(jù)獲取方法的缺點(diǎn)，本文提出了一種基于備份的易失性數(shù)據(jù)獲取方式，通過對特定易失性數(shù)據(jù)的備份來提高這些數(shù)據(jù)的持久能力，進(jìn)而對這些數(shù)據(jù)進(jìn)行分析，從而獲取需要的電子證據(jù)。盡管手機(jī)型號多種多樣，每種都有自己的設(shè)計和架構(gòu)，但是他們具有一個相同的基于基本架構(gòu)。因此，本文提出的方法可以通用大多數(shù)操作系統(tǒng)，包括Windows Phone、Android以及IOS等。

為了保存手機(jī)的易失性數(shù)據(jù)，提高其持久化能力，需要使用手機(jī)的部分內(nèi)存作為備份存儲空間來使用，重要的易失性數(shù)據(jù)需要保存在這個備份空間里面。此備份存儲在一定時間內(nèi)更新的易失性數(shù)據(jù)，數(shù)據(jù)來源是其他正在該手機(jī)上運(yùn)行的重要進(jìn)程。根據(jù)預(yù)設(shè)的進(jìn)程優(yōu)先級，甚至可以做到當(dāng)該進(jìn)程已經(jīng)被用戶顯示的終止，也可以在備份中找到該進(jìn)程的重要易失性數(shù)據(jù)。通過這種方式，可以在調(diào)查過程中幫助取證人員獲取重要的易失性數(shù)據(jù)，從而對取證過程產(chǎn)生積極的影響。

由于用戶備份的空間有限，對于備份的數(shù)據(jù)選擇就很重要。需要清楚地知道那些數(shù)據(jù)是過時的、不重要、不需要在處理的，需要在一定時間后將其從備份空間中刪除。甚至是同一個進(jìn)程的數(shù)據(jù)也有優(yōu)先級的區(qū)分，根據(jù)上面提到的L.L.V.Thing和E.C.Chang的實(shí)驗(yàn)[7]表明，向外發(fā)送的數(shù)據(jù)比從外接收到的數(shù)據(jù)在取證過程中具有更高的重要性。當(dāng)一個進(jìn)程被終止過后，可以將其備份的數(shù)據(jù)在保存一段時間，如果一段時間過后沒有其他的操作，則確定是過時的，將其自動刪除。如果該進(jìn)程重新運(yùn)行了，則需要判斷新產(chǎn)生的易失性數(shù)據(jù)是否具有更高的優(yōu)先級，從而決定是否刷新以前備份的數(shù)據(jù)，具體流程如圖1所示。

通過這種辦法，可以適當(dāng)?shù)奶岣咭恍┮资詳?shù)據(jù)的持久化能力。此外為了更好的管理備份空間，需要對不同的進(jìn)程進(jìn)行優(yōu)先級排序，這點(diǎn)可以通過調(diào)查人員以前的辦案經(jīng)驗(yàn)得到結(jié)果通過神經(jīng)網(wǎng)絡(luò)算法來獲取不同進(jìn)程的優(yōu)先級。比如系統(tǒng)進(jìn)程和日志等系統(tǒng)本身的數(shù)據(jù)，在調(diào)查過程中不具有比較好的證據(jù)效果，一般認(rèn)為是最低的優(yōu)先級的，而短信、聊天工具等具有更多的和用戶行為相關(guān)的進(jìn)程，其優(yōu)先級應(yīng)該是最高的。

以上介紹的方法不需要使用其他的額外的工具就能夠獲取到重要的易失性數(shù)據(jù)，并且不會修改手機(jī)中其他的數(shù)據(jù)，也不會產(chǎn)生額外的不必要的文件。這種方法也沒有使用移動網(wǎng)絡(luò)或Wi-Fi等網(wǎng)絡(luò)連接，只需要通過USB數(shù)據(jù)線連接到電腦或者必要的時候直接生成一個文件就可以完成對重要易失性數(shù)據(jù)的獲取，方便調(diào)查人員的調(diào)查工作。

4 結(jié)論（Conclusion）

通過備份重要進(jìn)程的重要易失性數(shù)據(jù)，可以提高這些易失性數(shù)據(jù)的持久化能力，方便取證工作人員獲取重要電子證據(jù)，因此本文具有一定的實(shí)用意義。但是該方法的缺陷非常明顯，需要預(yù)先對待取證的手機(jī)進(jìn)行操作，實(shí)現(xiàn)難度比較大，所以還需要一定的改進(jìn)。

參考文獻(xiàn)（References）

[1] Top Ten Smartphone Vendors Based on Market Share，http：//www.dramexchange.com/ WeeklyResearch/Post/5/4272.html.

[2] 戴吉明.手機(jī)取證及其電子證據(jù)獲取研究[J].計算機(jī)與現(xiàn)代化，2007（5）：100-102.

[3] 殷聯(lián)甫.計算機(jī)取證中的物理內(nèi)存取證分析方法研究[J].計算機(jī)應(yīng)用與軟件，2010，27（12）：295-298.

[4] 張瑜，等.內(nèi)存取證研究與進(jìn)展[J].軟件學(xué)報，2015（5）：1151-1172.

[5] Willassen S.Forensic Analysis of Mobile Phone InternalMemory[J].Ifip—the International Federation for InformationProcessing，2005，194：191-204.

[6] Irwin D，Hunt R.Forensic information acquisition in mobilenetworks[C]//Communications.Computers and SignalProcessing，2009.PacRim 2009.IEEE Pacific Rim Conferenceon.IEEE，2009：163-168.

[7] Thing V，Ng K Y，Chang E C.Live memory forensics of mobilephones[J].Digital Investigation，2010，7（8）：S74-S82.

作者簡介：

曹 飛（1990-），男，碩士生.研究領(lǐng)域：Android內(nèi)存取證.

胡 濤（1963-），男，學(xué)士，高級工程師.研究領(lǐng)域：橋梁結(jié)構(gòu)與信息化管理.