技術特征:1.一種面向Android手機的遠程可信取證的方法�,其特征在于:首先從Android手機端分析提取出盡可能多的數(shù)據(jù)����,然后將提取到的數(shù)據(jù)遠程傳輸?shù)絇C服務器端;PC服務器端收取回傳數(shù)據(jù)��,并對收到的每一個數(shù)據(jù)文件進行hash值校驗,和傳輸前的數(shù)據(jù)比對以驗證數(shù)據(jù)的完整性��。
2.根據(jù)權利要求1所述的一種面向Android手機的遠程可信取證的方法���,其特征在于:所述從Android手機端分析提取數(shù)據(jù)具體方法包括兩種情況:
1)Android手機未Root時數(shù)據(jù)的獲?�?�;主要是對手機基本信息的獲取���,包括短信�、通訊錄、通話記錄的提取�����,通過研究SQLite數(shù)據(jù)庫文件結構����,以及結合Android的Content Provider所提供的Uri來提取相應的數(shù)據(jù)并存儲至XML文件中;
2)Android手機已Root時數(shù)據(jù)的獲?���?�;研究存儲用戶應用數(shù)據(jù)的YAFFES文件系統(tǒng)���,遍歷文件系統(tǒng)并找到手機基本信息,包括短信�、通訊錄、通話記錄�����,以及第三方應用程序��,包括如微信���、UC瀏覽器����、百度地圖��、新浪微博����、陌陌、滴滴打車的存儲信息�,并集中存儲至SD卡中��。
3.根據(jù)權利要求2所述的一種面向Android手機的遠程可信取證的方法��,其特征在于:所述遠程傳輸?shù)絇C服務器端的過程中��,為了更好地實現(xiàn)證據(jù)鏈的監(jiān)管��,將提取到并存儲在SD卡中的數(shù)據(jù)進行hash值的計算��,然后通過綁定PC服務器端的IP地址�����,并通過加密傳輸網(wǎng)絡HTTPS的來進行異步傳輸����,HTTPS中自定義證書��,把證書編譯到Android應用中去��,由應用自己來驗證證書的方式����。
4.根據(jù)權利要求3所述的一種面向Android手機的遠程可信取證的方法��,其特征在于,所述實現(xiàn)證據(jù)鏈的監(jiān)管具體采取以下的方式:從Android手機中提取到每一個文件數(shù)據(jù)后����,取得每一個文件的時間戳信息和手機設備的唯一標識號即IMEI;將所提取的每一個文件數(shù)據(jù)�����、時間戳信息和IMEI作為hash函數(shù)的參數(shù)值來進行計算hash值���,附加到提取到的數(shù)據(jù)包上���;每一次對數(shù)據(jù)進行操作或者轉換存儲設備時,采集相應的時間戳信息和唯一設備標識號�����,并將時間戳信息與唯一設備標識號附加到上一步得到的Hash值上�,做進一步Hash運算,得到新的Hash值��;將固定格式的時間戳信息附加到每一步得到的Hash值后����,形成新的校驗值����,然后通過加密網(wǎng)絡進行傳輸�����;將數(shù)字取證過程中每一步操作得到的校驗值鏈接起來形成數(shù)字證據(jù)監(jiān)管鏈���;在使用數(shù)據(jù)監(jiān)管鏈校驗數(shù)據(jù)是否發(fā)生變化時�����,對校驗值解密后����,去掉時間戳信息��,將校驗得到的Hash值與原Hash值進行比對�,若不正確�,則依次向上進行校驗,直到發(fā)現(xiàn)發(fā)生錯誤的時間與操作���,即時間與地點�����,并從相應步驟開始重新執(zhí)行��。
5.根據(jù)權利要求4所述的一種面向Android手機的遠程可信取證的方法�����,其特征在于:對數(shù)據(jù)進行加密傳輸采用以下方式:Android手機中提取到每一個文件數(shù)據(jù)后���,取得每一個文件的時間戳信息和手機設備的唯一標識號即IMEI�����;將所提取的每一個文件數(shù)據(jù)��、時間戳信息和IMEI作為hash函數(shù)的參數(shù)值來進行計算hash值���,以進行后面的數(shù)據(jù)校驗;將得到的hash值和數(shù)據(jù)包采用DES對稱加密算法�����,使用Android端和PC協(xié)商產(chǎn)生的會話秘鑰即共享密鑰進行加密;采用RSA非對稱加密算法�,用由PC服務器分配的公鑰對共享密鑰進行加密;而為了防止篡改這里公鑰是放在數(shù)字證書里的��,數(shù)字證書是服務器端使用keytool產(chǎn)生keyStore文件��;將加密過的數(shù)據(jù)包和共享密鑰發(fā)送到PC服務器�;PC服務器收到數(shù)據(jù)以后使用RSA算法的私鑰解密得到共享密鑰,然后用共享密鑰解密得到hash值和文件數(shù)據(jù)����;對收到的文件數(shù)據(jù)包再進行一次hash值計算,將得到hash和傳輸過來的hash值進行比較�����,如果相等���,則說明數(shù)據(jù)沒發(fā)生改變����,如果不相等�����,則通過證據(jù)監(jiān)管鏈機制來追溯發(fā)生改變的節(jié)點���。