Android逻辑数据手动提取和分析
1. SMS、MMS相关信息的手动提取
首先,通过镜像或者具备ROOT权限的程序将以下文件夹完整提取:
以下分别对各个目录进行解释:
- App_parts:
手机中收发的彩信附件,如图片:
该文件是以附件添加/收到的时间命名的,时间戳采用毫秒换算,由于不熟悉C语言
,只能用Excel做一个换算式:
文件解析为图片:
- Databases
该文件夹下包含两个文件:
分别包含手机APN信息:
手机短信、彩信中包含的所有号码信息(推荐号码/典型号码):
以保存(已发送/已接收)的彩信结构:
快速回复短信:
全部短信内容:
提取出的数据经时间戳转化后与原信息无异。
2. 通讯录手动提取和解析
手机中设置同步的Gmail帐户:
最近500条通话记录:
所有联系人:
所有事件(如联系人生日)保存信息:
联系人分组:
所有联系人对应Gmail服务器的同步地址:
从以上分析可以看出,Android系统的逻辑数据与应用程序一样,存储结构都比较简单,且基本不采用加密,取证人员掌握简单的取证技术均可实现手动提取和分析。
作者后期还将继续针对Android和iOS等智能手机系统的取证进行深入探究,欢迎各位从事计算机取证工作的朋友及时批评指正,共同探讨学习。