分析目标
新浪微博android应用安装后,在手机内存的 \data\data下会生成 “com.sina.weibo”文件夹,如图:
该文件夹内包含了5个目录,囊括了包含用户个人数据、密码(如有保存)、@微博、收藏微博、用户头像等各种各样的信息,重要的是,这些信息都是明文保存的,并没有任何加密,这样可为取证调查人员在针对Android应用程序调查时提供足够多有价值的信息,以下,我们针对以上5个文件夹逐一进行分析。
同时,新浪微博android应用会在手机存储卡根目录生成sina文件夹,后一并查看。
分析结论
1. 新浪微博android版应用程序取证并不复杂,大部分数据都采用明文保存,即便是重要的用户名、密码等信息。我们可以将微博分析功能添加至DC-4500手机取证系统的应用程序取证部分。
2. 由于设备所限,此次仅对自用的android手机应用进行了分析,之后如有条件,将继续对其他智能手机平台新浪微博应用进行分析尝试。
3. 此次在各个目录下找到了较多图片缓存,由于个人技术能力所限,暂未搞清新浪微博应用存储图片的规律,近期将重点对图像文件的保存位置和保存规律进行测试。
分析过程
1. Cache目录
打开其中cache目录,存在很多无扩展名文件
使用EnCase打开,加载单一文件,对数据部分进行书签,选择图像,则可知该部分内容为微博好友头像:
另外,调查人员重点关注的用户信息也都以明文保存在该目录下
上图中,文件名为149714xxxx的文件即为用户个人信息文件,其中149714xxxx为用户的新浪微博ID,可以通过http://weibo.com/149714xxxx来直接访问该人的微博。
以上列出的文件中,标号134的为我和另一微博用户的站内私信对话,前一段149714xxxx为我的ID,后一段为另一用户ID,对话内容采用UTF-8编码
标号135的名为149714xxxx_at的文件,内容为所有我@过的微博信息,同样采用UTF-8,如下图:
标号为136的名为149714xxxx_commentmessage的文件,为所有好友对我微博的评论,如图:
标号为137的名称为149714xxxx_favorite的文件,为所有我收藏的微博,编码UTF-8
标号为138的名为149714xxxx_message的文件,为所有站内私信的对话记录:
标号为140的名为149714xxxx_myuserinfo的文件,为该微博的详细资料,其中包含昵称、用户名、个人签名、微博ID、地区信息等。
在Cache目录下的Large_imgs目录,该目录下为手机微博程序中所有微博包含的图片文件,我们一样可以通过全选数据——书签——图像方式查看:
2. Databases目录
Databases目录下默认有一个名为sina_weibo的文件,该文件为SQL Lite数据库文件,数据库为最近一次打开微博应用主页所显示的所有微博更新:
3. Files目录
Files目录下包含的也全部为图像文件,但目前尚未搞明白和之前cache文件夹下的图像文件有何区别,这几天将重新注册账户进行测试。
4. Lib目录
在本次测试的手机上,该目录多次登陆后依然为空目录。
5. Shared_Prefs目录
该目录是对于取证意义最为重大的目录,如果用户在客户端上保存了用户名和密码,则可在此目录内找到明文保存的密码。
该目录下包含三个xml文件,account、com.sina.weibo_preferences.xml、weibo.xml,下面逐一分析:
l Account.xml
从下图可以看出,该文件包含了密码(遮盖的第一部分)、昵称(即微博昵称)和登录名
l com.sina.weibo_preferences.xml
该文件包含的内容为微博应用程序中的“通用设置”设置信息,包括是否通知新微博、默认下载图像质量等。
l weibo.xml
该文件同样包含了所保存的微博登录用户名、密码
6. 其他
除了上面所提到的,微博应用默认会在手机内存的 \data\data下会生成 “com.sina.weibo”文件夹之外,还会默认在存储卡根目录下生成sina文件夹,如下图所示:
Sina目录包含两个文件夹:portrait和pre
Portrait目录保存的是微博用户好友的头像文件,pre目录保存的是微博应用主界面上,发布的微博(含作者本人发布)中所包含的图像文件。