[发明专利]一种基于移动终端镜像还原数据信息的数字取证系统及方法

权利要求书

1.基于移动终端镜像还原数据信息的数字取证系统，其特征在于：包括native层、系统framework层、应用克隆空间和本地应用空间，所述native层与所述系统framework层相连接，所述应用克隆空间和所述本地应用空间均与所述系统framework层相连接，所述native层内设有镜像挂载文件，所述系统framework层内设有克隆服务；

所述的基于移动终端镜像还原数据信息的数字取证系统的取证方法，包括以下步骤：

(1)镜像文件的导出：按照数据传输协议，进行芯片镜像的提取，导出存储芯片的数据生成镜像文件；

(2)镜像文件解析挂载：获取的镜像文件先通过解析其相关分区信息获取数据空间所在的分区段，然后进一步挂载在本系统上；

(3)构建仿真服务：应用的执行需依托于系统及设备相关的属性信息，通过建立仿真服务让应用克隆空间里运用的运行环境与目标设备一致；

(4)应用克隆空间的创建：应用克隆空间是建立在仿真服务基础上，还原目标移动终端所安装的应用；

其中在所述步骤(2)中，所述镜像文件解析挂载的具体步骤如下：

(2.1)GPT分区解析；

(2.2)ramdisk挂载；

(2.3)fstab文件解析；

(2.4)加密data分区挂载；

在步骤（2.4）中，首先需建立一个dev-real设备关联data分区，然后创建一个对应的虚拟项 dev-virtual设备，通过dev-virtual设备将镜像挂载到文件系统/data目录下，当用户层向/data文件夹发起IO读写操作时，由内核转换成对dev-virtual设备的操作；当读写数据时，对dev-virtual指定读写的内容与地址，由加解密引擎对数据内容跟地址作进一步加解密映射，最终转化为对dev-real设备的所关联 的data分区进行读写。

2.根据权利要求1所述的基于移动终端镜像还原数据信息的数字取证系统，其特征在于：在所述步骤(1)中，所述镜像文件的导出的具体步骤如下：

(1.1)目标移动设备基于移动终端芯片型号，进入download模式；

(1.2)识别目标移动设备的cpu型号，在download模式下烧写入与cpu型号对应的mbn文件，然后通过与所述mbn文件交互向设备发起导出数据请求；

(1.3)读取存储芯片从0地址开始大小为256字节的GPT分区，通过解析该分区可获 取整个磁盘的分区信息，根据数据总量导出镜像。

3.根据权利要求1所述的基于移动终端镜像还原数据信息的数字取证系统，其特征在于：在所述步骤(3)中，所述构建仿真服务的具体步骤如下：

(3.1)模拟文件环境；

(3.2)模拟属性服务；

(3.3)模拟位置服务；

(3.4)Framework层的虚拟实现。

4.根据权利要求3所述的基于移动终端镜像还原数据信息的数字取证系统，其特征在于：在所述步骤(3.1)中，所述模拟文件环境的操作流程如下：

(3.1.1)当用户层调用open、create或rename函数时触发系统调用；

(3.1.2)VFS处理用户层发起的系统调用，优先执行路径查找；

(3.1.3)确定路径查找的起始位置，根据路径“/”开头的文件路径，将开头“/”替换为镜像挂载的文件路径；

(3.1.4)接下来当内核程序试图设置根文件路径时，将镜像挂载的文件路径设置为根路径；

(3.1.5)从根目录开始，逐层递归查找指定文件，获取文件inode节点。