[发明专利]一种基于安卓的数据取证系统

说明书

技术领域

本发明属于数据取证技术领域，特别是一种基于安卓的数据取证系统。

背景技术

随着智能手机应用的普及，涉及移动终端的相关各类型案件层出不穷。对于移动终端证据的处理和分析，在司法鉴定、取证、侦查过程中也越来越迫切。同时，安卓(Android)系统是近些年快速兴起的一款手机操作系统。其用户覆盖度在2011年已经以27％的占比排在智能手机的第一位。Android系统的取证系统的需求迫在眉睫。

在现有技术中，已有的产品大都只能获取智能手机中的通讯录、短信记录等一部分信息，不能获取手机的硬件参数信息、手机系统信息、用户安装的程序信息以及用户上网所留下的地址记录信息，而这些信息对于公安机关破解案件又有着极为重要的作用。

举例，目前市场上主流的数据取证产品主要包括：xry/xact、CELLDEK以及Cellebrite UFED。下面对这些产品的基本结构、性能以及其实际存在的问题和缺点进行详细介绍：

(1)xry/xact：这是瑞典Micro Systemation公司推出的一套工具，在手机取证界很有名。这套工具支持的手机型号大约700种，操作简单，支持数据线、红外、蓝牙传输，sim卡克隆，报告效果不错。可以通过其帮助文件查询所支持的手机型号、图片、数据传输方法、应关注的数据位置等，就像一个手机取证小百科。缺陷在于：不能获取手机的硬件参数；不支持获取手机系统本身的程序跟用户自己安装的程序信息(程序名、版本号等)以及获取用户上网所产生的历史记录；而且价格昂贵，约8-9万，每年升级费约2-3万，投入产出不成正比。

(2)CELLDEK：是美国Logicube公司的研制的便携式手机取证箱，支持主流品牌的手机和PDA的提取。缺陷在于：对国产机支持程度差；不能获取手机的硬件参数；不支持获取手机系统本身的程序跟用户自己安装的程序信息(程序名、版本号等)；不支持获取用户上网所留下的地址记录信息；价格不菲。

(3)Cellebrite UFED：美国Cellebrite公司推出的UFED手机取证设备支持约1600款的手机，其中包括使用Palm、微软、黑莓和Symbian操作系统的型号，获取的重要数据，如电话本、照片、视频、音频、短信、通话记录、ESI与IMEI信息等。缺陷在于：不能获取手机的硬件参数；不支持获取手机系统本身的程序以及用户自己安装的程序信息(程序名、版本号等)；不支持获取用户上网所留下的地址记录信息。

发明内容

本发明实施方式提出一种基于安卓的数据取证系统，以增加适应性。

本发明实施方式的技术方案如下：

一种基于安卓的数据取证系统，该数据取证系统与采用安卓系统的终端相连接，该数据取证系统包括虚拟接口单元、软件数据取证子系统和硬件数据取证子系统；

虚拟接口单元，与所述终端的安卓系统的Linux内核连接，在所述安卓系统的应用程序框架层与所述Linux内核之间构成虚拟层，使用所述终端的安卓系统认为该虚拟层为所述终端的安卓系统的应用；

软件数据取证子系统，用于通过虚拟接口单元向所述终端的安卓系统的Linux内核发送软件数据获取命令，由所述终端的安卓系统的Linux内核基于该软件数据获取命令获取终端软件数据；并通过虚拟接口单元接收由终端的安卓系统的Linux内核所返回的终端软件数据；

硬件数据取证子系统，用于通过虚拟接口单元向终端的安卓系统的Linux内核发送硬件数据获取命令，由所述终端的安卓系统的Linux内核基于硬件数据获取命令提取终端芯片硬件数据；并通过虚拟接口单元接收由终端的安卓系统的Linux内核所返回的终端芯片硬件数据；

所述软件数据取证子系统还包括软件数据标识单元；

软件数据标识单元，用于生成唯一标识符，并将所述唯一标识符标识与所述终端软件数据相关联，以标识所述终端软件数据；

所述硬件数据取证子系统还包括硬件数据标识单元；

硬件数据标识单元，用于获取所述终端的硬件标识码，并将所述硬件标识码与所述终端芯片硬件数据相关联，以标识所述终端芯片硬件数据。

本发明的数据取证系统，通过虚拟接口单元直接与安卓系统的内核交互，不通过安卓系统的应用程序层或应用程序框架层，直接作用于安卓的Linux内核，不写入数据，只提取数据，完全符合公检法系统的取证、要求。

而且，本发明获取获取数据全面，可以获取安卓手机中的软件数据和硬件数据，覆盖全面；针对系统内已删除的短信等信息，可根据需要进行恢复。