本申請(qǐng)涉及數(shù)據(jù)傳輸技術(shù)領(lǐng)域，特別地，涉及手機(jī)無線取證的方法和裝置。

背景技術(shù)：

隨著智能手機(jī)在市場上的崛起，越來越多的技術(shù)希望依靠手機(jī)更加便捷地完成，手機(jī)取證便是其中之一。

傳統(tǒng)手機(jī)取證，通過手機(jī)數(shù)據(jù)線將手機(jī)與個(gè)人計(jì)算機(jī)（pc，personalcomputer）工作站連接，進(jìn)行取證信息采集，要求手機(jī)必須拿到實(shí)驗(yàn)室，不利于對(duì)流動(dòng)人員地及時(shí)取證排查，移動(dòng)性不強(qiáng)；此外，用手機(jī)數(shù)據(jù)線連接，隱蔽性不強(qiáng)。

傳統(tǒng)的手機(jī)取證，需要開啟手機(jī)的調(diào)試模式，而不同手機(jī)開啟調(diào)試模式方式不一，非專業(yè)人員經(jīng)常無法打開調(diào)試模式。

傳統(tǒng)手機(jī)取證，需要安裝驅(qū)動(dòng)，帶來一系列問題：設(shè)備沒有驅(qū)動(dòng)則需要聯(lián)網(wǎng)更新；安裝驅(qū)動(dòng)的時(shí)間可能非常冗長，滿足不了移動(dòng)采集的時(shí)間性要求；找不到采集手機(jī)的驅(qū)動(dòng)則無法采集手機(jī)取證信息；不同手機(jī)驅(qū)動(dòng)不同，對(duì)于采集設(shè)備的通用串行總線（usb，universalserialbus）兼容性要求高。

傳統(tǒng)手機(jī)取證，需要對(duì)目標(biāo)手機(jī)進(jìn)行供電，縮短了采集設(shè)備的續(xù)航時(shí)間。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)?zhí)峁┦謾C(jī)無線取證的方法和裝置，用于解決現(xiàn)有技術(shù)移動(dòng)采集不便、隱蔽性不強(qiáng)、需依賴驅(qū)動(dòng)、續(xù)航能力弱的問題。

本申請(qǐng)公開的手機(jī)無線取證的方法，執(zhí)行主體為取證設(shè)備，包括：

架設(shè)為所述手機(jī)提供無線上網(wǎng)服務(wù)的無線路由器；

劫持所述手機(jī)通過瀏覽器發(fā)送的請(qǐng)求數(shù)據(jù)，向所述手機(jī)返回取證應(yīng)用程序的下載頁面；其中，所述手機(jī)通過所述下載頁面下載、安裝并運(yùn)行取證應(yīng)用程序；

接收所述手機(jī)通過取證應(yīng)用程序采集的取證信息，對(duì)取證信息進(jìn)行解析后保存。

進(jìn)一步的，所述請(qǐng)求數(shù)據(jù)包括域名訪問請(qǐng)求和超文本訪問請(qǐng)求：

對(duì)于域名訪問請(qǐng)求，所述向所述手機(jī)返回取證應(yīng)用程序的下載頁面，具體包括：解析并構(gòu)造一個(gè)域名應(yīng)答報(bào)文，將所述域名訪問請(qǐng)求重定向到取證應(yīng)用程序的下載頁面；

對(duì)于超文本訪問請(qǐng)求，所述向所述手機(jī)返回取證應(yīng)用程序的下載頁面，具體包括：解析超文本訪問請(qǐng)求的頭部信息，獲取超文本訪問請(qǐng)求包括的統(tǒng)一資源定位符；判斷所述統(tǒng)一資源定位符是否是取證應(yīng)用程序的統(tǒng)一資源定位符，如果不是則向所述手機(jī)返回取證應(yīng)用程序的下載頁面。

在所述接收所述手機(jī)通過取證應(yīng)用程序采集的取證信息之前，還包括：依取證應(yīng)用程序根據(jù)所述手機(jī)的工作場景發(fā)出的取證策略獲取請(qǐng)求向所述手機(jī)反饋對(duì)應(yīng)的取證策略；其中，所述手機(jī)獲取所述取證策略后，取證應(yīng)用程序根據(jù)所述取證策略采集所述手機(jī)的取證信息。

所述對(duì)取證信息進(jìn)行解析后保存，還包括：完成取證后，向取證應(yīng)用程序返回卸載所述取證應(yīng)用程序的指令

進(jìn)一步的，劫持所述手機(jī)通過瀏覽器發(fā)送的請(qǐng)求數(shù)據(jù)，具體包括：監(jiān)聽所述手機(jī)通過瀏覽器發(fā)送的用戶數(shù)據(jù)報(bào)文，劫持目的端口為53的域名訪問請(qǐng)求報(bào)文。

進(jìn)一步的，劫持所述手機(jī)通過瀏覽器發(fā)送的請(qǐng)求數(shù)據(jù)，具體包括：監(jiān)聽所述手機(jī)通過瀏覽器發(fā)送的用戶數(shù)據(jù)報(bào)文，劫持目的端口為80的超文本訪問請(qǐng)求報(bào)文。

進(jìn)一步的，還可以通過用戶界面接口修改取證策略。

本申請(qǐng)公開的手機(jī)無線取證的裝置，包括：

無線路由器模塊，用于為所述手機(jī)提供無線上網(wǎng)服務(wù)；

數(shù)據(jù)劫持模塊，用于劫持所述手機(jī)通過瀏覽器發(fā)送的請(qǐng)求數(shù)據(jù)，向所述手機(jī)返回取證應(yīng)用程序的下載頁面；其中，所述手機(jī)通過所述下載頁面下載、安裝并運(yùn)行取證應(yīng)用程序；

取證模塊，用于接收所述手機(jī)通過取證應(yīng)用程序采集的取證信息，對(duì)取證信息進(jìn)行解析后保存。

進(jìn)一步的，所述數(shù)據(jù)劫持模塊包括域名服務(wù)單元和超文本服務(wù)單元，所述請(qǐng)求數(shù)據(jù)包括域名訪問請(qǐng)求和超文本訪問請(qǐng)求，其中：

域名服務(wù)單元：用于劫持域名訪問請(qǐng)求，解析并構(gòu)造一個(gè)域名應(yīng)答報(bào)文，將所述域名訪問請(qǐng)求重定向到取證應(yīng)用程序的下載頁面；

超文本服務(wù)單元：用于劫持超文本訪問請(qǐng)求，解析超文本訪問請(qǐng)求的頭部信息，獲取超文本訪問請(qǐng)求包括的統(tǒng)一資源定位符；判斷所述統(tǒng)一資源定位符是否是取證應(yīng)用程序的統(tǒng)一資源定位符，如果不是則向所述手機(jī)返回取證應(yīng)用程序的下載頁面。

進(jìn)一步的，所述裝置還包括：取證策略反饋模塊，用于依取證應(yīng)用程序根據(jù)所述手機(jī)的工作場景發(fā)出的取證策略獲取請(qǐng)求向所述手機(jī)反饋對(duì)應(yīng)的取證策略；其中，所述手機(jī)獲取所述取證策略后，取證應(yīng)用程序根據(jù)所述取證策略采集所述手機(jī)的取證信息。

進(jìn)一步的，所述裝置還包括：提示模塊，用于在所述取證模塊完成取證后，向取證應(yīng)用程序返回卸載所述取證應(yīng)用程序的指令。

進(jìn)一步的，所述域名服務(wù)單元劫持域名訪問請(qǐng)求，具體包括：監(jiān)聽所述手機(jī)通過瀏覽器發(fā)送的用戶數(shù)據(jù)報(bào)文，劫持目的端口為53的域名訪問請(qǐng)求報(bào)文。

進(jìn)一步的，所述超文本服務(wù)單元劫持超文本訪問請(qǐng)求，具體包括：監(jiān)聽所述手機(jī)通過瀏覽器發(fā)送的用戶數(shù)據(jù)報(bào)文，劫持目的端口為80的超文本訪問請(qǐng)求報(bào)文。

進(jìn)一步的，所述裝置還包括，取證策略修改模塊，用于通過用戶界面接口修改取證策略。

與現(xiàn)有技術(shù)相比，本申請(qǐng)具有以下優(yōu)點(diǎn)：

手機(jī)與取證設(shè)備無線連接，移動(dòng)性更強(qiáng)；省去手機(jī)數(shù)據(jù)線在取證設(shè)備與手機(jī)之間的直接連接，隱蔽性更強(qiáng)；用戶無需打開手機(jī)的調(diào)試模式或安裝驅(qū)動(dòng)，更便捷易用；不需要對(duì)手機(jī)進(jìn)行供電，增強(qiáng)了采集設(shè)備的續(xù)航能力。

附圖說明

附圖僅用于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對(duì)本申請(qǐng)的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中：

圖1為本申請(qǐng)實(shí)施例手機(jī)無線取證方法的流程圖；

圖2為本申請(qǐng)實(shí)施例手機(jī)無線取證裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本申請(qǐng)的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖和具體實(shí)施方式對(duì)本申請(qǐng)作進(jìn)一步詳細(xì)的說明。

在本申請(qǐng)的描述中，需要理解的是，術(shù)語“包括”、“包含”及類似術(shù)語應(yīng)該被理解為是開放性的術(shù)語，即“包括/包含但不限于”。術(shù)語“一實(shí)施例”表示“至少一個(gè)實(shí)施例”。其他術(shù)語的相關(guān)定義將在下文描述中給出。

參照?qǐng)D1，示出了本申請(qǐng)實(shí)施例手機(jī)無線取證方法的流程圖，執(zhí)行主體為取證設(shè)備。本優(yōu)選方法實(shí)施例包括以下步驟：

步驟s11：架設(shè)為所述手機(jī)提供無線上網(wǎng)服務(wù)的無線路由器。

上述步驟實(shí)現(xiàn)了取證設(shè)備與所述手機(jī)的無線連接，并且，無線路由器為所述手機(jī)提供無線上網(wǎng)服務(wù)。改進(jìn)了傳統(tǒng)手機(jī)取證需要通過手機(jī)數(shù)據(jù)線連接及安裝驅(qū)動(dòng)程序的不足，更隱蔽更便捷；此外，該步驟對(duì)使用場景沒有過多限制，使無線取證過程易用性大大增強(qiáng)。

步驟s12：劫持所述手機(jī)通過瀏覽器發(fā)送的請(qǐng)求數(shù)據(jù)，向所述手機(jī)返回取證應(yīng)用程序（app，application）的下載頁面；其中，所述手機(jī)通過所述下載頁面下載、安裝并運(yùn)行取證app。

所述請(qǐng)求數(shù)據(jù)包括域名（dns，domainnamesystem）訪問請(qǐng)求和超文本（http，hypertexttransferprotocol）訪問請(qǐng)求，進(jìn)一步的，s12的具體步驟為：劫持所述手機(jī)通過瀏覽器發(fā)送的請(qǐng)求數(shù)據(jù)：

對(duì)于dns訪問請(qǐng)求，所述向所述手機(jī)返回取證app的下載頁面，具體包括：接收一個(gè)dns訪問請(qǐng)求報(bào)文；解析dns訪問請(qǐng)求報(bào)文，獲取dns訪問請(qǐng)求的網(wǎng)址；構(gòu)造dns應(yīng)答報(bào)文，對(duì)于請(qǐng)求的任意網(wǎng)址，都返回本機(jī)的互聯(lián)網(wǎng)協(xié)議（ip，internetprotocol）地址；將所述dns訪問請(qǐng)求重定向到取證app的下載頁面；

對(duì)于http訪問請(qǐng)求，所述向所述手機(jī)返回取證app的下載頁面，具體包括：接收一個(gè)http訪問請(qǐng)求報(bào)文；解析http訪問請(qǐng)求的頭部信息，獲取http訪問請(qǐng)求包括的統(tǒng)一資源定位符（url，uniformresourcelocator）；判斷所述url是否是取證app的url，如果是則向所述手機(jī)返回取證app軟件；如果不是則向所述手機(jī)返回取證app的下載頁面。

劫持dns訪問請(qǐng)求，具體包括：監(jiān)聽所述手機(jī)通過瀏覽器發(fā)送的用戶數(shù)據(jù)（udp，userdatagramprotocol）報(bào)文，劫持目的端口為53的dns報(bào)文；然后重復(fù)執(zhí)行上述關(guān)于dns訪問請(qǐng)求的步驟

劫持http訪問請(qǐng)求，具體包括：監(jiān)聽所述手機(jī)通過瀏覽器發(fā)送的udp報(bào)文，劫持目的端口為80的http報(bào)文，然后重復(fù)執(zhí)行上述關(guān)于http訪問請(qǐng)求的報(bào)文。

取證設(shè)備通過該步驟在無線網(wǎng)絡(luò)環(huán)境下向所述手機(jī)反饋取證app的下載頁面，取證app在所述手機(jī)上下載、安裝和運(yùn)行。

手機(jī)無線取證的實(shí)現(xiàn)需要依賴取證app采集所述手機(jī)的取證信息，然后將采集的取證信息向取證設(shè)備推送，解決取證信息在取證設(shè)備與所述手機(jī)之間的傳輸，進(jìn)而完成取證過程。

上述步驟使所述手機(jī)通過無線路由器提供的無線上網(wǎng)服務(wù)從取證設(shè)備獲取取證app的下載頁面，然后所述手機(jī)依據(jù)所述下載頁面完成取證app在所述手機(jī)上的下載、安裝，并根據(jù)取證工作的進(jìn)行啟動(dòng)取證應(yīng)用程序。

步驟s13：接收所述手機(jī)通過取證app采集的取證信息，對(duì)取證信息進(jìn)行解析后保存。

具體實(shí)現(xiàn)時(shí)，s13的步驟還包括：

步驟（1）：監(jiān)聽指定端口，允許取證應(yīng)用程序隨時(shí)接入；通過用戶界面（ui，userinterface）接口修改取證app根據(jù)取證需求的不同請(qǐng)求的取證策略；

允許取證app的隨時(shí)接入，使手機(jī)取證過程更便捷更及時(shí)。此外，由于不同的工作場景需要獲取的取證信息不同，因此取證app啟動(dòng)后需要主動(dòng)向取證設(shè)備請(qǐng)求取證策略，取證設(shè)備可以通過ui接口依據(jù)不同的工作場景修改所述取證策略來適應(yīng)不同的取證需求。

步驟（2）：依取證app根據(jù)所述手機(jī)的工作場景發(fā)出的取證策略獲取請(qǐng)求向所述手機(jī)反饋對(duì)應(yīng)的取證策略；

根據(jù)所述手機(jī)工作場景的不同，通過ui接口修改取證策略，然后向取證app反饋修改后對(duì)應(yīng)的取證策略，取證app通過應(yīng)用程序編程接口（api，applicationprogramminginterface）獲取所述取證策略。

步驟（3）：接收所述手機(jī)通過取證app根據(jù)取證策略采集的取證信息，進(jìn)行解析后保存；

取證app獲取的取證信息是由取證策略決定的。取證app根據(jù)獲取的取證策略逐步采集所述手機(jī)的取證信息并推送給取證設(shè)備；取證設(shè)備接收所述取證信息，對(duì)所述取證信息進(jìn)行數(shù)據(jù)解析后保存。此外，取證設(shè)備定義一套數(shù)據(jù)規(guī)范，能夠同時(shí)接收多個(gè)取證app的推送信息，實(shí)現(xiàn)多路取證功能。

步驟（4）：判斷是否還有信息需要獲??；

步驟（5）：完成取證后，向所述取證app返回卸載所述取證app的指令。

取證設(shè)備接收取證app采集的取證信息，對(duì)取證信息進(jìn)行數(shù)據(jù)解析后保存，然后判斷是否還有信息需要獲?。蝗绻?，則重復(fù)上述步驟（1）-（4），繼續(xù)獲取取證信息；如果沒有則提示取證app卸載取證app軟件，并斷開與所述手機(jī)的無線連接。安全便捷地完成手機(jī)取證過程。

上述步驟描述了取證設(shè)備完成取證的過程。其中，包括取證設(shè)備對(duì)取證app關(guān)于取證策略的修改和反饋、對(duì)取證信息獲取狀態(tài)的判斷及完成取證后的安全提示。上述步驟實(shí)現(xiàn)了取證設(shè)備在不同工作場景下對(duì)所述手機(jī)不同取證信息進(jìn)行獲取的功能。

從以上描述可以看出，在本發(fā)明的實(shí)施例中，手機(jī)取證通過無線路由器實(shí)現(xiàn)所述手機(jī)與取證設(shè)備的無線連接，同時(shí)，所述無線路由器為所述手機(jī)提供無線上網(wǎng)服務(wù)；不需要開啟所述手機(jī)的調(diào)試模式、不用數(shù)據(jù)線就可以實(shí)現(xiàn)所述手機(jī)的取證信息在取證app依取證策略獲取后向取證設(shè)備的推送。整個(gè)取證過程隱蔽性好，使用便捷，不需要對(duì)所述手機(jī)進(jìn)行供電因而取證設(shè)備續(xù)航能力強(qiáng)，非常適用于手機(jī)移動(dòng)式的取證。

對(duì)于前述的各方法實(shí)施例，為了描述簡單，故將其都表述為一系列的動(dòng)作組合，但是本領(lǐng)域的技術(shù)人員應(yīng)該知悉，本申請(qǐng)并不受所描述的動(dòng)作順序的限制，因?yàn)楦鶕?jù)本申請(qǐng)，某些步驟可以采用其他順序或同時(shí)執(zhí)行；其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，上述方法實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動(dòng)作和模塊并不一定是本申請(qǐng)所必須的。

參照?qǐng)D2，示出了本申請(qǐng)實(shí)施例手機(jī)無線取證裝置的結(jié)構(gòu)示意圖，包括：

無線路由器模塊21，用于為所述手機(jī)提供無線上網(wǎng)服務(wù)；

數(shù)據(jù)劫持模塊22，與無線路由器模塊21連接，用于劫持所述手機(jī)通過瀏覽器發(fā)送的請(qǐng)求數(shù)據(jù)，向所述手機(jī)返回取證app的下載頁面；其中，所述手機(jī)通過所述下載頁面下載、安裝并運(yùn)行取證app；具體實(shí)現(xiàn)時(shí)，包括dns訪問單元和http訪問單元：

dns訪問單元，用于監(jiān)聽所述手機(jī)通過瀏覽器發(fā)送的udp報(bào)文，劫持目的端口為53的dns訪問請(qǐng)求報(bào)文；

http訪問單元，用于監(jiān)聽所述手機(jī)通過瀏覽器發(fā)送的udp報(bào)文，劫持目的端口為80的http訪問請(qǐng)求報(bào)文。

其中，所述請(qǐng)求數(shù)據(jù)包括dns訪問請(qǐng)求和http訪問請(qǐng)求：

對(duì)于dns訪問請(qǐng)求，所述向所述手機(jī)返回取證app的下載頁面，具體包括：接收一個(gè)dns訪問請(qǐng)求報(bào)文；解析dns訪問請(qǐng)求報(bào)文，獲取dns訪問請(qǐng)求的網(wǎng)址；構(gòu)造dns應(yīng)答報(bào)文，對(duì)于請(qǐng)求的任意網(wǎng)址，都返回本機(jī)的ip地址；將所述dns訪問請(qǐng)求重定向到取證app的下載頁面；

對(duì)于http訪問請(qǐng)求，所述向所述手機(jī)返回取證app的下載頁面，具體包括：接收一個(gè)http訪問請(qǐng)求報(bào)文；解析http訪問請(qǐng)求的頭部信息，獲取http訪問請(qǐng)求包括的url；判斷所述url是否是取證app的url；如果是則向所述手機(jī)返回取證app軟件；如果不是則向所述手機(jī)返回取證app的下載頁面。取證策略修改模塊23，與無線路由器模塊21連接，用于通過ui接口修改取證策略；

取證策略反饋模塊24，與取證策略修改模塊23、無線路由器模塊21連接，用于依取證app根據(jù)所述手機(jī)的工作場景發(fā)出的取證策略獲取請(qǐng)求向所述手機(jī)反饋對(duì)應(yīng)的取證策略；

具體實(shí)現(xiàn)時(shí)，因不同的工作場景需要獲取的取證信息不同，所以所述取證app啟動(dòng)后需主動(dòng)向取證設(shè)備請(qǐng)求獲取取證策略。取證app通過ui接口向取證設(shè)備請(qǐng)求取證策略；取證策略修改模塊23還可以根據(jù)工作場景的不同通過ui接口修改取證策略，取證策略反饋模塊24向取證app反饋請(qǐng)求的取證策略或者修改后的取證策略。

取證模塊25，與無線路由器模塊21連接，用于接收所述手機(jī)通過取證app根據(jù)取證策略采集的取證信息，進(jìn)行解析后保存；

取證app通過api獲取取證策略反饋模塊24反饋的取證策略，取證app根據(jù)獲取的所述取證策略逐步獲取所述手機(jī)的取證信息并向取證設(shè)備推送。取證模塊25接收所述手機(jī)通過取證app根據(jù)所述取證策略采集的取證信息，對(duì)所述取證信息進(jìn)行數(shù)據(jù)解析后保存。

提示模塊26，與無線路由器模塊21連接，用于完成取證后，向所述取證app返回卸載所述取證app的指令。

取證模塊25對(duì)所述取證信息進(jìn)行數(shù)據(jù)解析后保存，然后判斷是否還有信息需要獲??；如果有，則繼續(xù)獲取；如果沒有，提示模塊26向取證app提示卸載所述取證app；同時(shí)，取證設(shè)備斷開與所述手機(jī)的無線連接，安全便捷地完成手機(jī)取證過程。

需要說明的是，上述裝置實(shí)施例屬于優(yōu)選實(shí)施例，所涉及的單元和模塊并不一定是本申請(qǐng)所必須的。

本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似的部分互相參見即可。對(duì)于本申請(qǐng)的裝置實(shí)施例而言，由于其與方法實(shí)施例基本相似，所以描述的比較簡單，相關(guān)之處參見方法實(shí)施例的部分說明即可。

以上對(duì)本申請(qǐng)所提供的一種手機(jī)無線取證的方法和裝置，進(jìn)行了詳細(xì)介紹，本文中應(yīng)用了具體個(gè)例對(duì)本申請(qǐng)的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說明只是用于幫助理解本申請(qǐng)的方法及其核心思想；同時(shí)，對(duì)于本領(lǐng)域的一般技術(shù)人員，依據(jù)本申請(qǐng)的思想，在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對(duì)本申請(qǐng)的限制。