本發(fā)明屬于智能手機電子數(shù)據(jù)取證領域，涉及一種面向Android手機的遠程可信取證的方法。

背景技術：

隨著互聯(lián)網(wǎng)的發(fā)展，智能手機的普及已經(jīng)滲透到人們的日常生活當中，無論是在工作還是生活上人們都離不開它，人們可以通過其進行上網(wǎng)聊天、購物、個人信息管理、發(fā)微博等等，顯然在大家的心目中智能手機扮演著小型電腦的角色。智能手機給人們帶來便利的同時，一些犯罪分子把其作為更多地作為高科技犯罪的工具，因此，對于公安部門來說，手機中存儲的數(shù)據(jù)作為偵破案件的重要證據(jù)，通常在智能手機中的短信、通訊錄、通話記錄、上網(wǎng)記錄、即時通訊工具(如QQ、微信等)的聊天記錄、第三方應用程序的痕跡(如支付寶、百度地圖)等有可能記錄著犯罪分子的一些相關的犯罪行為，分析其中的數(shù)據(jù)顯得尤為重要。因此，智能手機中存在的電子證據(jù)一般會成為公安部門偵破案件的突破口。

目前在手機取證這方面，目前的方式有兩種：一種是最普遍的也就是本地提取，主要是通過Amjad和DrShamimBaig所提出的手工提取、邏輯提取、十六進制轉(zhuǎn)儲、芯片拆除、微碼讀取五種方式來對手機進行數(shù)據(jù)的提取，在這種形式的取證過程中，智能手機必須輸運至專門的司法鑒定機構(gòu)，由專門的鑒定人員來進行數(shù)據(jù)的提取，而且在提取過程中是在網(wǎng)絡隔離的情況下進行的；另外一種提取方式是通過遠程傳輸?shù)姆绞?，這方面的研究較少，目前薛章程設計并實現(xiàn)了基于Android手機平臺的遠程取證系統(tǒng)，該系統(tǒng)能夠?qū)Χ绦畔⑦M行監(jiān)控、提取并通過網(wǎng)絡進行數(shù)據(jù)的回傳，從而實現(xiàn)對目標手機的遠程操控，而所提取的數(shù)據(jù)只有基本信息和文件系統(tǒng)結(jié)構(gòu)信息。在取證方面的研究，主要針對未root和root后兩種形式的手機，對于未root的手機只能通過Android的Provider所提供的URI來對手機基本信息進行獲取，root后的手機可以獲取任何的第三方應用程序文件，從而提取的數(shù)據(jù)更加全面。

在本地取證中，有一個前提就是智能手機設備必須移送至專門的司法鑒定機構(gòu)讓專門的鑒定人員進行手機數(shù)據(jù)的提取，但是在長途運輸過程中，不僅浪費人力、物力，最重要的是違背了手機取證的實時性原則，造成了重要數(shù)據(jù)再運輸途中數(shù)據(jù)的丟失。而一些通過遠程取證的研究所提取的數(shù)據(jù)較少，并且遠程短信操控很容易造成對手機數(shù)據(jù)的改變，同時在傳輸過程中也沒有很好地對證據(jù)進行保全。

技術實現(xiàn)要素：

有鑒于此，本發(fā)明的目的在于提供一種面向Android手機的遠程可信取證的方法。首先是在遠端Android手機中安裝代理提取盡可能多的數(shù)據(jù)文件，而這一操作非專業(yè)人員就能夠進行操作，也就是說當相關的公安人員一拿到手機時便可在不需專業(yè)人員協(xié)助的情況下進行數(shù)據(jù)的提取，保證了數(shù)據(jù)的實時性。然后將這些數(shù)據(jù)文件通過加密網(wǎng)絡通道進行傳輸，同時在傳輸過程中進行證據(jù)的一系列監(jiān)管，以保證證據(jù)的可追溯性。

為達到上述目的，本發(fā)明提供如下技術方案：

一種面向Android手機的遠程可信取證的方法，首先從Android手機端分析提取出盡可能多的數(shù)據(jù)，然后將提取到的數(shù)據(jù)遠程傳輸?shù)絇C服務器端；PC服務器端收取回傳數(shù)據(jù)，并對收到的每一個數(shù)據(jù)文件進行hash值校驗，和傳輸前的數(shù)據(jù)比對并進行驗證。

進一步的，所述從Android手機端分析提取數(shù)據(jù)具體方法包括兩種情況：

1)Android手機未Root時數(shù)據(jù)的獲?。恢饕菍κ謾C基本信息的獲取，包括短信、通訊錄、通話記錄的提取，通過研究SQLite數(shù)據(jù)庫文件結(jié)構(gòu)，以及結(jié)合Android的Content Provider所提供的Uri來提取相應的數(shù)據(jù)并存儲至XML文件中；

2)Android手機已Root時數(shù)據(jù)的獲取；研究存儲用戶應用數(shù)據(jù)的YAFFES文件系統(tǒng)，遍歷文件系統(tǒng)并找到手機基本信息，包括短信、通訊錄、通話記錄，以及第三方應用程序，包括如微信、UC瀏覽器、百度地圖、新浪微博、陌陌、滴滴打車的存儲信息，并集中存儲至SD卡中。

進一步的，所述遠程傳輸?shù)絇C服務器端的過程中，為了更好地實現(xiàn)證據(jù)鏈的監(jiān)管，將提取到并存儲在SD卡中的數(shù)據(jù)進行hash值的計算，然后通過綁定PC服務器端的IP地址，并通過加密傳輸網(wǎng)絡HTTPS的來進行異步傳輸，HTTPS中自定義證書，把證書編譯到Android應用中去，由應用自己來驗證證書的方式。

進一步的，所述實現(xiàn)證據(jù)鏈的監(jiān)管具體采取以下的方式：從Android手機中提取到每一個文件數(shù)據(jù)后，取得每一個文件的時間戳信息和手機設備的唯一標識號即IMEI，可通過調(diào)用相應的API(Application Programming Interface，應用程序編程接口)來獲取唯一設備標識號和事件戳信息；將所提取的每一個文件數(shù)據(jù)、時間戳信息和IMEI作為hash函數(shù)的參數(shù)值來進行計算hash值，附加到提取到的數(shù)據(jù)包上；每一次對數(shù)據(jù)進行操作或者轉(zhuǎn)換存儲設備時，采集相應的時間戳信息和唯一設備標識號，并將時間戳信息與唯一設備標識號附加到上一步得到的Hash值上，做進一步Hash運算，得到新的Hash值；將固定格式的時間戳信息附加到每一步得到的Hash值后，形成新的校驗值，然后通過加密網(wǎng)絡進行傳輸；將數(shù)字取證過程中每一步操作得到的校驗值鏈接起來形成數(shù)字證據(jù)監(jiān)管鏈；在使用數(shù)據(jù)監(jiān)管鏈校驗數(shù)據(jù)是否發(fā)生變化時，對校驗值解密后，去掉時間戳信息，將校驗得到的Hash值與原Hash值進行比對，若不正確，則依次向上進行校驗，直到發(fā)現(xiàn)發(fā)生錯誤的時間與操作，即時間與地點，并從相應步驟開始重新執(zhí)行。

進一步的，對數(shù)據(jù)進行加密傳輸采用以下方式：Android手機中提取到每一個文件數(shù)據(jù)后，取得每一個文件的時間戳信息和手機設備的唯一標識號即IMEI；將所提取的每一個文件數(shù)據(jù)、時間戳信息和IMEI作為hash函數(shù)的參數(shù)值來進行計算hash值，以進行后面的數(shù)據(jù)校驗；將得到的hash值和數(shù)據(jù)包采用DES對稱加密算法，使用Android端和PC協(xié)商產(chǎn)生的會話秘鑰即共享密鑰進行加密；采用RSA非對稱加密算法，用由PC服務器分配的公鑰對共享密鑰進行加密；而為了防止篡改這里公鑰是放在數(shù)字證書里的，數(shù)字證書是服務器端使用keytool產(chǎn)生keyStore文件；將加密過的數(shù)據(jù)包和共享密鑰發(fā)送到PC服務器；PC服務器收到數(shù)據(jù)以后使用RSA算法的私鑰解密得到共享密鑰，然后用共享密鑰解密得到hash值和文件數(shù)據(jù)；對收到的文件數(shù)據(jù)包再進行一次hash值計算，將得到hash和傳輸過來的hash值進行比較，如果相等，則說明數(shù)據(jù)沒發(fā)生改變，如果不相等，則通過證據(jù)監(jiān)管鏈機制來追溯發(fā)生改變的節(jié)點。

本發(fā)明的有益效果在于：通過遠程調(diào)用的機制可以實現(xiàn)非專業(yè)人員也可以進行取證，保證了電子證據(jù)的實時性，以防重要數(shù)據(jù)的丟失，同時在數(shù)據(jù)遠程傳輸過程中，采用了證據(jù)鏈的監(jiān)管機制，以保證PC服務器端所收到的數(shù)據(jù)是原始數(shù)據(jù)，保證了電子證據(jù)的有效性和不可抵賴性。

附圖說明

為了使本發(fā)明的目的、技術方案和有益效果更加清楚，本發(fā)明提供如下附圖進行說明：

圖1為本發(fā)明系統(tǒng)結(jié)構(gòu)圖；

圖2為本發(fā)明的證據(jù)監(jiān)管鏈流程圖；

圖3為本發(fā)明的數(shù)據(jù)加密傳輸流程圖。

具體實施方式

下面將結(jié)合附圖，對本發(fā)明的優(yōu)選實施例進行詳細的描述。

如圖1本發(fā)明系統(tǒng)結(jié)構(gòu)圖所示，本方法主要分為三個模塊，依次如下所示：

1.實現(xiàn)從Android手機端分析提取出盡可能多的數(shù)據(jù)。

(1)Android手機未Root時數(shù)據(jù)的獲取，主要是對手機基本信息的獲取包括短信、通訊錄、通話記錄的提取，通過研究SQLite數(shù)據(jù)庫文件結(jié)構(gòu)，以及結(jié)合Android的ContentProvider所提供的Uri來提取相應的數(shù)據(jù)并存儲至XML文件中。

(2)Android手機已Root時數(shù)據(jù)的獲取。研究存儲用戶應用數(shù)據(jù)的YAFFES文件系統(tǒng)，遍歷文件系統(tǒng)并找到手機基本信息(短信、通訊錄、通話記錄)和第三方應用程序(如微信、UC瀏覽器、百度地圖、新浪微博、陌陌、滴滴打車等)的存儲信息，并集中存儲至SD卡中。

2.將Android端提取到的數(shù)據(jù)遠程傳輸?shù)絇C服務器端。為了更好地實現(xiàn)證據(jù)鏈的監(jiān)管，將提取到并存儲在SD卡中的數(shù)據(jù)進行hash值的計算，然后通過綁定PC服務器端的IP地址來通過加密傳輸網(wǎng)絡HTTPS的來進行異步傳輸，HTTPS中自定義證書，把證書編譯到Android應用中去，由應用自己來驗證證書的方式。服務器端收到數(shù)據(jù)后驗證數(shù)據(jù)的完整性。

3.PC服務器端收取回傳數(shù)據(jù)，并對收到的每一個數(shù)據(jù)文件進行hash值得校驗，以和傳輸前的數(shù)據(jù)比對并進行驗證。

結(jié)合圖2本發(fā)明的證據(jù)監(jiān)管鏈的流程圖，在對證據(jù)鏈進行監(jiān)管的模塊中，主要是采取以下的方式：

從Android手機中提取到每一個文件數(shù)據(jù)后，取得每一個文件的時間戳信息和手機設備的唯一標識號即IMEI。將所提取的每一個文件數(shù)據(jù)、時間戳信息和IMEI作為hash函數(shù)的參數(shù)值來進行計算hash值，附加到提取到的數(shù)據(jù)包上。每一次對數(shù)據(jù)進行操作或者轉(zhuǎn)換存儲設備時，采集相應的時間戳信息和唯一設備標識號，并將時間戳信息與唯一設備標識號附加到上一步得到的Hash值上，做進一步Hash運算，得到新的Hash值。將固定格式的時間戳信息附加到每一步得到的Hash值后，形成新的校驗值，然后通過加密網(wǎng)絡進行傳輸。將數(shù)字取證過程中每一步操作得到的校驗值鏈接起來形成數(shù)字證據(jù)監(jiān)管鏈。在使用數(shù)據(jù)監(jiān)管鏈校驗數(shù)據(jù)是否發(fā)生變化時，對校驗值解密后，去掉時間戳信息，將校驗得到的Hash值與原Hash值進行比對，若不正確，則依次向上進行校驗，直到發(fā)現(xiàn)發(fā)生錯誤的時間與操作，即時間與地點，并從相應步驟開始重新執(zhí)行。

結(jié)合圖3本發(fā)明的數(shù)據(jù)加密傳輸流程圖，在對數(shù)據(jù)進行機加密傳輸中，主要的步驟如下：

從Android手機中提取到每一個文件數(shù)據(jù)后，取得每一個文件的時間戳信息和手機設備的唯一標識號即IMEI。將所提取的每一個文件數(shù)據(jù)、時間戳信息和IMEI作為hash函數(shù)的參數(shù)值來進行計算hash值，以進行后面的數(shù)據(jù)校驗。將得到的hash值和數(shù)據(jù)包采用DES對稱加密算法，使用Android端和PC協(xié)商產(chǎn)生的會話秘鑰即共享密鑰進行加密。采用RSA非對稱加密算法，用由PC服務器分配的公鑰對共享密鑰進行加密；而為了防止篡改這里公鑰是放在數(shù)字證書里的，數(shù)字證書是服務器端使用keytool產(chǎn)生keyStore文件。將加密過的數(shù)據(jù)包和共享密鑰發(fā)送到PC服務器。PC服務器收到數(shù)據(jù)以后使用RSA算法的私鑰解密得到共享密鑰，然后用共享密鑰解密得到hash值和文件數(shù)據(jù)。對收到的文件數(shù)據(jù)包再進行一次hash值計算，將得到hash和傳輸過來的hash值進行比較，如果相等，則說明數(shù)據(jù)沒發(fā)生改變，如果不相等，則通過證據(jù)監(jiān)管鏈機制來追溯發(fā)生改變的節(jié)點。

最后說明的是，以上優(yōu)選實施例僅用以說明本發(fā)明的技術方案而非限制，盡管通過上述優(yōu)選實施例已經(jīng)對本發(fā)明進行了詳細的描述，但本領域技術人員應當理解，可以在形式上和細節(jié)上對其作出各種各樣的改變，而不偏離本發(fā)明權利要求書所限定的范圍。