1.一種針對Twitter的分析取證方法,其特征在于,所述取證方法包括:
獲得運行Twitter的智能終端的最高管理權(quán);
據(jù)此提取Twitter在智能終端中運行的數(shù)據(jù)信息;
進行數(shù)據(jù)分析,取證Twitter用戶的賬號信息、用戶關(guān)注的聯(lián)系人賬號和發(fā)布的消息,以及用戶與好友的私信內(nèi)容和用戶的搜素歷史記錄。
2.根據(jù)權(quán)利要求1所述的一種針對Twitter的分析取證方法,其特征在于,所述分析取證方法中對于已經(jīng)獲取到Root權(quán)限或者支持Recovery模式的Android智能終端,直接通過ADB命令,即可從系統(tǒng)/data/data目錄下提取到應(yīng)用的數(shù)據(jù)信息。
3.根據(jù)權(quán)利要求1所述的一種針對Twitter的分析取證方法,其特征在于,所述分析取證方法中對于已經(jīng)越獄的iOS智能終端,在系統(tǒng)/AppDomain目錄下定位到Twitter的路徑,然后遍歷路徑獲取賬號信息、聯(lián)系人、好友和搜索歷史信息。
4.根據(jù)權(quán)利要求1所述的一種針對Twitter的分析取證方法,其特征在于,所述分析取證方法中提取Twitter的運行數(shù)據(jù)信息的過程如下:
(1)使用數(shù)據(jù)線連接智能終端和控制主機,判斷智能終端類型為IOS智能終端或者Android智能終端;
(2)若為Android智能終端,則判斷Android智能終端是否Root,若系統(tǒng)已Root或越獄,可以直接獲取操作系統(tǒng)文件信息,直接提取Twitter應(yīng)用數(shù)據(jù)文件;若Android系統(tǒng)未Root,嘗試通過Adb命令對Twitter應(yīng)用程序及其數(shù)據(jù)進行備份;
若為IOS智能終端,則判斷IOS智能終端是否越獄若IOS系統(tǒng)未越獄,嘗試使用itunes進行應(yīng)用數(shù)據(jù)的備份;
(3)將Twitter的應(yīng)用數(shù)據(jù)從智能終端、備份或鏡像中復(fù)制到連接智能終端的控制主機上:
若為Android智能終端,提取系統(tǒng):/data/data/com.twitter.android/目錄下的文件;
若為IOS智能終端,提取系統(tǒng):/AppDomain/com.atebits.Tweetie2/目錄下的文件。
5.根據(jù)權(quán)利要求1所述的一種針對Twitter的分析取證方法,其特征在于,所述分析取證方法對Twitter用戶的賬號信息、用戶關(guān)注的聯(lián)系人賬號和發(fā)布的消息進行關(guān)聯(lián)。
6.根據(jù)權(quán)利要求1所述的一種針對Twitter的分析取證方法,其特征在于,所述分析取證方法支持對通信消息中發(fā)送的圖片進行查看。
7.根據(jù)權(quán)利要求1所述的一種針對Twitter的分析取證方法,其特征在于,所述分析取證方法進行數(shù)據(jù)分析的過程如下:
(1)提取當前賬號信息:
針對Android智能終端,遍歷系統(tǒng)下database文件夾,分析每個db文件的命名是否為[Twitter ID]-***.db這樣的結(jié)構(gòu),如果匹配則通過String.Split(‘-’)函數(shù)提取出字符串數(shù)組,其中字符數(shù)組中的第一個元素作為當前登陸用戶的ID;接著,以當前登錄的用戶ID作為查詢關(guān)鍵詞從users表中可以獲取登陸用戶信息;
針對IOS智能終端,遍歷系統(tǒng)下database文件夾,分析每個文件夾的命名是否為[Twitter用戶名稱]-[Twitter用戶id]這樣的結(jié)構(gòu);如果匹配通過String.Split(‘-’)解析該文件夾的名稱提取出字符數(shù)組,其中數(shù)組中的第一個元素為登錄用戶信息,第二個元素是用戶登錄ID。
(2)提取聯(lián)系人,好友信息及發(fā)布信息:
針對Android智能終端,在users表中分析提取好友信息,并根據(jù)該好友信息在status表中對應(yīng)的提取關(guān)注的好友發(fā)布的消息;
針對IOS智能終端,在users表中分析提取好友信息,并根據(jù)該好友信息在status表中對應(yīng)的提取關(guān)注的好友發(fā)布的消息;
(3)提取通信信息:
針對Android智能終端,提取分析messages表中sender_id、recipient_id、created和content字段,基于sender_id字段獲得獲取消息發(fā)送者的ID,基于recipient_id字段獲取消息接收者的ID,基于created字段獲得通信時間信息,基于content字段獲得通信的文本內(nèi)容和圖片的URL;
針對IOS智能終端,提取分析messages表中text、date、recipientId以及senderId字段,基于text字段獲取發(fā)布消息正文,基于date字段獲取消息發(fā)送時間,基于recipientId字段獲取發(fā)布消息接收者的ID,基于senderId字段獲取消息發(fā)送者的ID;
(4)提取搜索歷史信息:
針對Android智能終端,提取分析search_queries表表中name和time字段,基于name字段獲取搜索內(nèi)容信息;基于time字段獲取搜索時間信息;
針對IOS智能終端,首先提取名稱格式為“app.acc.[Twitter用戶名]-[TwitterID].detail.**”的文件,導(dǎo)出到創(chuàng)建的案件目錄下;接著通過plist庫解析該文件,通過關(guān)鍵詞“$objects”解析出一個plist數(shù)組,然后在該數(shù)組第5個元素,通過關(guān)鍵詞“recentSearches”得到一個數(shù)值;最后以該數(shù)值作為搜索歷史在數(shù)組中存放的位置信息,在數(shù)組中提取搜索歷史信息。