一种面向Android手机的远程可信取证的方法与流程

本发明属于智能手机电子数据取证领域，涉及一种面向Android手机的远程可信取证的方法。

背景技术：

随着互联网的发展，智能手机的普及已经渗透到人们的日常生活当中，无论是在工作还是生活上人们都离不开它，人们可以通过其进行上网聊天、购物、个人信息管理、发微博等等，显然在大家的心目中智能手机扮演着小型电脑的角色。智能手机给人们带来便利的同时，一些犯罪分子把其作为更多地作为高科技犯罪的工具，因此，对于公安部门来说，手机中存储的数据作为侦破案件的重要证据，通常在智能手机中的短信、通讯录、通话记录、上网记录、即时通讯工具(如QQ、微信等)的聊天记录、第三方应用程序的痕迹(如支付宝、百度地图)等有可能记录着犯罪分子的一些相关的犯罪行为，分析其中的数据显得尤为重要。因此，智能手机中存在的电子证据一般会成为公安部门侦破案件的突破口。

目前在手机取证这方面，目前的方式有两种：一种是最普遍的也就是本地提取，主要是通过Amjad和DrShamimBaig所提出的手工提取、逻辑提取、十六进制转储、芯片拆除、微码读取五种方式来对手机进行数据的提取，在这种形式的取证过程中，智能手机必须输运至专门的司法鉴定机构，由专门的鉴定人员来进行数据的提取，而且在提取过程中是在网络隔离的情况下进行的；另外一种提取方式是通过远程传输的方式，这方面的研究较少，目前薛章程设计并实现了基于Android手机平台的远程取证系统，该系统能够对短信息进行监控、提取并通过网络进行数据的回传，从而实现对目标手机的远程操控，而所提取的数据只有基本信息和文件系统结构信息。在取证方面的研究，主要针对未root和root后两种形式的手机，对于未root的手机只能通过Android的Provider所提供的URI来对手机基本信息进行获取，root后的手机可以获取任何的第三方应用程序文件，从而提取的数据更加全面。

在本地取证中，有一个前提就是智能手机设备必须移送至专门的司法鉴定机构让专门的鉴定人员进行手机数据的提取，但是在长途运输过程中，不仅浪费人力、物力，最重要的是违背了手机取证的实时性原则，造成了重要数据再运输途中数据的丢失。而一些通过远程取证的研究所提取的数据较少，并且远程短信操控很容易造成对手机数据的改变，同时在传输过程中也没有很好地对证据进行保全。

技术实现要素：

有鉴于此，本发明的目的在于提供一种面向Android手机的远程可信取证的方法。首先是在远端Android手机中安装代理提取尽可能多的数据文件，而这一操作非专业人员就能够进行操作，也就是说当相关的公安人员一拿到手机时便可在不需专业人员协助的情况下进行数据的提取，保证了数据的实时性。然后将这些数据文件通过加密网络通道进行传输，同时在传输过程中进行证据的一系列监管，以保证证据的可追溯性。

为达到上述目的，本发明提供如下技术方案：

一种面向Android手机的远程可信取证的方法，首先从Android手机端分析提取出尽可能多的数据，然后将提取到的数据远程传输到PC服务器端；PC服务器端收取回传数据，并对收到的每一个数据文件进行hash值校验，和传输前的数据比对并进行验证。

进一步的，所述从Android手机端分析提取数据具体方法包括两种情况：

1)Android手机未Root时数据的获取；主要是对手机基本信息的获取，包括短信、通讯录、通话记录的提取，通过研究SQLite数据库文件结构，以及结合Android的Content Provider所提供的Uri来提取相应的数据并存储至XML文件中；

2)Android手机已Root时数据的获取；研究存储用户应用数据的YAFFES文件系统，遍历文件系统并找到手机基本信息，包括短信、通讯录、通话记录，以及第三方应用程序，包括如微信、UC浏览器、百度地图、新浪微博、陌陌、滴滴打车的存储信息，并集中存储至SD卡中。

进一步的，所述远程传输到PC服务器端的过程中，为了更好地实现证据链的监管，将提取到并存储在SD卡中的数据进行hash值的计算，然后通过绑定PC服务器端的IP地址，并通过加密传输网络HTTPS的来进行异步传输，HTTPS中自定义证书，把证书编译到Android应用中去，由应用自己来验证证书的方式。

进一步的，所述实现证据链的监管具体采取以下的方式：从Android手机中提取到每一个文件数据后，取得每一个文件的时间戳信息和手机设备的唯一标识号即IMEI，可通过调用相应的API(Application Programming Interface，应用程序编程接口)来获取唯一设备标识号和事件戳信息；将所提取的每一个文件数据、时间戳信息和IMEI作为hash函数的参数值来进行计算hash值，附加到提取到的数据包上；每一次对数据进行操作或者转换存储设备时，采集相应的时间戳信息和唯一设备标识号，并将时间戳信息与唯一设备标识号附加到上一步得到的Hash值上，做进一步Hash运算，得到新的Hash值；将固定格式的时间戳信息附加到每一步得到的Hash值后，形成新的校验值，然后通过加密网络进行传输；将数字取证过程中每一步操作得到的校验值链接起来形成数字证据监管链；在使用数据监管链校验数据是否发生变化时，对校验值解密后，去掉时间戳信息，将校验得到的Hash值与原Hash值进行比对，若不正确，则依次向上进行校验，直到发现发生错误的时间与操作，即时间与地点，并从相应步骤开始重新执行。

进一步的，对数据进行加密传输采用以下方式：Android手机中提取到每一个文件数据后，取得每一个文件的时间戳信息和手机设备的唯一标识号即IMEI；将所提取的每一个文件数据、时间戳信息和IMEI作为hash函数的参数值来进行计算hash值，以进行后面的数据校验；将得到的hash值和数据包采用DES对称加密算法，使用Android端和PC协商产生的会话秘钥即共享密钥进行加密；采用RSA非对称加密算法，用由PC服务器分配的公钥对共享密钥进行加密；而为了防止篡改这里公钥是放在数字证书里的，数字证书是服务器端使用keytool产生keyStore文件；将加密过的数据包和共享密钥发送到PC服务器；PC服务器收到数据以后使用RSA算法的私钥解密得到共享密钥，然后用共享密钥解密得到hash值和文件数据；对收到的文件数据包再进行一次hash值计算，将得到hash和传输过来的hash值进行比较，如果相等，则说明数据没发生改变，如果不相等，则通过证据监管链机制来追溯发生改变的节点。

本发明的有益效果在于：通过远程调用的机制可以实现非专业人员也可以进行取证，保证了电子证据的实时性，以防重要数据的丢失，同时在数据远程传输过程中，采用了证据链的监管机制，以保证PC服务器端所收到的数据是原始数据，保证了电子证据的有效性和不可抵赖性。

附图说明

为了使本发明的目的、技术方案和有益效果更加清楚，本发明提供如下附图进行说明：

图1为本发明系统结构图；

图2为本发明的证据监管链流程图；

图3为本发明的数据加密传输流程图。

具体实施方式

下面将结合附图，对本发明的优选实施例进行详细的描述。

如图1本发明系统结构图所示，本方法主要分为三个模块，依次如下所示：

1.实现从Android手机端分析提取出尽可能多的数据。

(1)Android手机未Root时数据的获取，主要是对手机基本信息的获取包括短信、通讯录、通话记录的提取，通过研究SQLite数据库文件结构，以及结合Android的ContentProvider所提供的Uri来提取相应的数据并存储至XML文件中。

(2)Android手机已Root时数据的获取。研究存储用户应用数据的YAFFES文件系统，遍历文件系统并找到手机基本信息(短信、通讯录、通话记录)和第三方应用程序(如微信、UC浏览器、百度地图、新浪微博、陌陌、滴滴打车等)的存储信息，并集中存储至SD卡中。

2.将Android端提取到的数据远程传输到PC服务器端。为了更好地实现证据链的监管，将提取到并存储在SD卡中的数据进行hash值的计算，然后通过绑定PC服务器端的IP地址来通过加密传输网络HTTPS的来进行异步传输，HTTPS中自定义证书，把证书编译到Android应用中去，由应用自己来验证证书的方式。服务器端收到数据后验证数据的完整性。

3.PC服务器端收取回传数据，并对收到的每一个数据文件进行hash值得校验，以和传输前的数据比对并进行验证。

结合图2本发明的证据监管链的流程图，在对证据链进行监管的模块中，主要是采取以下的方式：

从Android手机中提取到每一个文件数据后，取得每一个文件的时间戳信息和手机设备的唯一标识号即IMEI。将所提取的每一个文件数据、时间戳信息和IMEI作为hash函数的参数值来进行计算hash值，附加到提取到的数据包上。每一次对数据进行操作或者转换存储设备时，采集相应的时间戳信息和唯一设备标识号，并将时间戳信息与唯一设备标识号附加到上一步得到的Hash值上，做进一步Hash运算，得到新的Hash值。将固定格式的时间戳信息附加到每一步得到的Hash值后，形成新的校验值，然后通过加密网络进行传输。将数字取证过程中每一步操作得到的校验值链接起来形成数字证据监管链。在使用数据监管链校验数据是否发生变化时，对校验值解密后，去掉时间戳信息，将校验得到的Hash值与原Hash值进行比对，若不正确，则依次向上进行校验，直到发现发生错误的时间与操作，即时间与地点，并从相应步骤开始重新执行。

结合图3本发明的数据加密传输流程图，在对数据进行机加密传输中，主要的步骤如下：

从Android手机中提取到每一个文件数据后，取得每一个文件的时间戳信息和手机设备的唯一标识号即IMEI。将所提取的每一个文件数据、时间戳信息和IMEI作为hash函数的参数值来进行计算hash值，以进行后面的数据校验。将得到的hash值和数据包采用DES对称加密算法，使用Android端和PC协商产生的会话秘钥即共享密钥进行加密。采用RSA非对称加密算法，用由PC服务器分配的公钥对共享密钥进行加密；而为了防止篡改这里公钥是放在数字证书里的，数字证书是服务器端使用keytool产生keyStore文件。将加密过的数据包和共享密钥发送到PC服务器。PC服务器收到数据以后使用RSA算法的私钥解密得到共享密钥，然后用共享密钥解密得到hash值和文件数据。对收到的文件数据包再进行一次hash值计算，将得到hash和传输过来的hash值进行比较，如果相等，则说明数据没发生改变，如果不相等，则通过证据监管链机制来追溯发生改变的节点。

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其作出各种各样的改变，而不偏离本发明权利要求书所限定的范围。