[发明专利]一种基于移动终端镜像还原数据信息的数字取证系统及方法

说明书

本发明公开了基于移动终端镜像还原数据信息的数字取证系统及方法，该系统包括native层、系统framework层、应用克隆空间和本地应用空间，native层与系统framework层相连接，应用克隆空间和本地应用空间均与系统framework层相连接，native层内设有镜像挂载文件，系统framework层内设有克隆服务。该方法包括：(1)镜像文件的导出；(2)镜像文件解析挂载；(3)构建仿真服务；(4)应用克隆空间的创建。本发明通过构建一层虚拟设备映射真实设备，对当前所需处理的数据采用写时加密读时解密的方法，有效地加快了数据解析的效率。

技术领域

本发明涉及一种基于移动终端镜像还原数据信息的数字取证系统及方法。

背景技术

随着各种移动终端的迅速发展，在为人们日常生活提供各种便利服务时，也导致了利用移动终端设备进行违法和犯罪的手段层出不穷，而为了有效打击这种违法犯罪行为，公共安全机构需要能够有针对性的对以移动终端为主的移动设备进行电子取证的实用设备。在传统的取证设备上，有一种是通过物理取证的专用设备，该设备的主要实现流程如图6所示：

各流程说明如下：

(1)提取物理镜像，该镜像是对移动终端磁盘数据的拷贝，然后生成镜像文件，该文件涵盖了目标移动终端系统上的所有数据信息。

(2)分解提取各分区，一个镜像文件通常按照存储信息的内容性质划分为不同的分区，如boot分区引导系统启动、system分区含有系统级别的关键资源与运行依赖库、data分区存储应用的数据信息，其中data分区与system分区是移动数字取证过程需重点分析的对象。

(3)如果目标数据分区已做过加密处理，则还需对数据作进一步分析解密。

(4)数据分区还需进一步提取出有价值的信息，一般数据存储的格式包含有数据库文件、视频、音频、文本、二进制文件等。

(5)数据的再拼装呈现，能够将数据以人能够辨识的方式呈现，中间过程中还包含有数据查找、解密、解析等处理过程。

具体具有以下缺点：

缺点1：如今随着移动终端的普及，其数据容量也呈爆发式增长，且市面上移动终端基本都采用全盘加密的形式，传统取证的方案是将整个分区数据一次性解密成明文再作进一步分析，这对于日益增长的数据容量，取证效率将变得更加缓慢。

对此本发明将基于系统本身的Device Mapper机制，为数据分区构建一层虚拟设备抽象层，当对数据进行读写时，及对虚拟设备进行读写操作，由虚拟设备映射到真实的存储设备，中间映射过程中将对读写的数据进行实时的加解密。

缺点2：对于提取并解密后的明文数据，需要根据不同应用程序定义的不同格式进行再拼装，以人能够理解的方式呈现。这其中随着移动终端应用频繁的更迭，所需分析应用的种类越加多样化，同一个应用往往会有许多不同版本，传统的取证方案需不断研究新型应用与应用自定义的数据内容，耗费大量时间，不能一劳永逸。且若应用本身对数据进行过加密处理，导致数据不能正常解析，也为移动数字取证带来了一定的困难。

对此缺点，本发明采用了目标移动终端环境仿真还原的方案，在取证设备上再现目标移动终端上应用，类似于克隆了目标移动终端，应用的运行状态及其数据都保持一致性，此时应用的所有数据如联系人、通话记录、消息记录等都可直接查看。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于移动终端镜像还原数据信息的数字取证系统及方法，本发明基于与目标移动终端同等类型的操作系统上，通过提取目标移动终端的存储芯片数据获取镜像，采取一定的仿真还原技术模拟出目标移动终端系统的运行环境，然后再现目标移动终端系统上所搭载的应用程序，保留程序运行的状态与原始数据。以此为移动数字取证提供有效快捷的解决途径。

为了解决上述技术问题，采用如下技术方案：