行2.1.3。
[0081 ] 2.1.3网络类型获取失败,结束安卓系统日志缓冲区基站数据解析,执行2.6。
[0082] 2.2定位基站数据位置
[0083] 2.2.1启动标记R,R起始值为0,代表文件开始。
[0084] 2.2.2按行读取系统日志文件,根据基站数据关键词key2,匹配读取行的内容,若 匹配成功,将该行的偏移数值赋值给标记R,并执行2.3操作,否则执行2.2.3操作;
[0085] 2.2.3获取系统日志文件总共的行数,与R2作等值比较,若等值执行2.2.4操作,否 则执行2.2.2操作。
[0086] 2.2.4定位失败,结束安卓系统日志缓冲区基站数据解析,执行2.6;
[0087] 2.3获取基站数据字符串
[0088]根据定位到的行,用特殊标志flagl,截取字符串数据,记录数据为D1,判断D1是否 为空字符串,若是则执行2.2操作,否者执行2.4操作;2.4基站数据存储格式分析
[0089] 2.4.1基站类型
[0090] 由于运营商的不同,基站数据存储格式会有一定的变化,这里以国内的基站为列, 国内基站分为三种,移动,联通,电信。其中移动、联通格式一致,而电信则不同。
[0091] 2.4.1.1电信基站
[0092] 包含属性 BID、SID、NID。
[0093] 2.4.1.1.1BID 基站编号
[0094] 2·4· 1 · 1.2SID系统识别码,每个地级市只有唯一一个码。
[0095] 2.4.1.1.3NID网络识别码,由各本地网管理,可以有多个。
[0096] 2.4.1.2移动、联通基站
[0097] 包含属性 MNC、LAC、CID。
[0098] 2 · 4 · 1 · 2 · 1MNC网络类型识别码
[0099] 1、5、7代表移动,0、2、4、6代表联通,3代表是电信。
[0100] 2.4.1.2.2LAC 位置区域码
[0101] 2.4.1.2.3CID 基站编号
[0102] 2.4.2基站在D1中的存储格式
[0103] 2.4.2.1电信基站 偏移 类型 5 BID
[0104] 9 SID 10 NID
[0105] 2.4.2.2移动、联通基站 徧移类型 2 LAC
[0106] 3 CTD 4 MNC
[0107] 2.4.3获取基站数据
[0108] 2.4.3.1根据已经判定的网络类型,执行基站格式解析。
[0109] 2.4.3.2根据各字段在D1中的偏移,执行基站数据获取。
[011 0] 2.4.3.3判断各字段是否获取到数值,若是执行2.4.3.4,若否执行2.5。
[0111] 2.4.3.4判断各字段的数值是否在标准范围之间,若是执行2.4.3.5,若否执行 2.5;
[0112] 基于各网络模式下取值与标志不同,以下以国际通用标志为具体示例。
[0113] 2 · 4 · 3 · 4 · 1MCC 的标准范围 000-999
[0114] 2.4.3.4.2MNC 的标准范围00-99
[0115] 2.4.3.5保存基站数据,并标注基站类型;
[0116] 2.5重复执行2.2操作,循环解析基站数据;
[0117] 2.6基站数据获取解析,返回结果集DS1。
[0118] 进一步地,S3具体如下:
[0119] 3.1判断DS1结果集是否为空或者数据长度为0,若是执行3.6,否则表示DS1结果集 中包含有效数据,执行3.2。
[0120] 3.2访问网络,判断网络是否联通,若是执行3.3,若否执行3.6。
[0121 ] 3.3执行基站地址逆向解析,获取实际地址。
[0122] 3.4判断实际地址是否获取成功,若成功执行3.5,若不成功,执行3.1。
[0123] 3.5存储返回数据,执行3.1操作。
[0124] 3.6结束基站数据逆向解析,并返回结果集DS2。
[0125] 进一步地,S4具体如下:
[0126] 判断DS2结果集是否为空或长度为0,若是提示安卓缓存日志中不包含基站数据, 若否则展示DS2中包含的基站数据。
【主权项】
1. 一种高效提取安卓系统日志缓冲区中基站信息的方法,其特征在于,包括如下步骤: S1获取系统日志缓冲区数据文件;S2解析文件,获取其中基站信息;S3逆解析基站信息;S4 数据展示。2. 根据权利要求1所述的高效提取安卓系统日志缓冲区中基站信息的方法,其特征在 于,S1具体如下: 1.1执行bugreport指令获取日志信息,获取的日志信息包含安卓启动过程的log,以及 启动后的系统状态,包括进程列表、内存信息和VM信息; 1.2判断目标文件是否输出,若是则执行S2,若否则执行1.3; 1.3执行logcat指令获取日志信息,对获取的日志指定缓冲区,并且指定日志信息的输 出格式; 1.4指定输出日志的循环缓冲区,指定radio射频缓冲区。 1.5指定输出日志的输出格式,输出的日志格式应当包含基本的数据格式,至少应当包 含基站数据产生时间,完整的基站数据日志; 1.6判断目标文件是否输出,若是则执行S2,若否则执行1.7; 1.7目标文件获取失败,结束安卓系统日志缓冲区基站数据解析。3. 根据权利要求1或2所述的高效提取安卓系统日志缓冲区中基站信息的方法,其特征 在于,S2具体如下: 2.1网络类型获取 2.1.1执行系统API获取网络类型,并记录网络类型为N; 2.1.2根据网络类型关键字key,在文件中检索网络类型,若获取网络类型成功,则将N 赋值为新的网络类型,并执行2.2,若否则执行2.1.3; 2.1.3网络类型获取失败,结束安卓系统日志缓冲区基站数据解析,执行2.6; 2.2定位基站数据位置 2.2.1启动标记R,R起始值为0,代表文件开始; 2.2.2按行读取系统日志文件,根据基站数据关键词key2,匹配读取行的内容,若匹配 成功,将该行的偏移数值赋值给标记R,并执行2.3操作,否则执行2.2.3操作; 2.2.3获取系统日志文件总共的行数,与R2作等值比较,若等值执行2.2.4操作,否则执 行2.2.2操作; 2.2.4定位失败,结束安卓系统日志缓冲区基站数据解析,执行2.6; 2.3获取基站数据字符串 根据定位到的行,用特殊标志flagl,截取字符串数据,记录数据为D1,判断D1是否为空 字符串,若是则执行2.2操作,否者执行2.4操作; 2.4基站数据存储格式分析 2.4.1基站类型 2.4.1.1电信基站,包含属性810、310、见0,其中,810基站编号;310系统识别码,每个地 级市只有唯一一个码;NID网络识别码,由各本地网管理,可以有多个; 2.4.1.2移动、联通基站,包含属性MNC、LAC、CID,其中,MNC网络类型识别码,1、5、7代表 移动,0、2、4、6代表联通,3代表是电信;LAC位置区域码;CID基站编号; 2.4.2基站在D1中的存储格式 2.4.2.1电信基站偏移5,类型BID;偏移9,类型SID;偏移10,类型NID; 2.4.2.2移动、联通基站偏移2,类型LAC;偏移3,类型CID;偏移4,类型MNC; 2.4.3获取基站数据 2.4.3.1根据已经判定的网络类型,执行基站格式解析; 2.4.3.2根据各字段在D1中的偏移,执行基站数据获取; 2.4.3.3判断各字段是否获取到数值,即判断是否为空字符串,若是执行2.4.3.4,若否 执行2.5; 2.4.3.4判断各字段的数值是否在标准范围之间,若是执行2.4.3.5,若否执行2.5; 2.4.3.5保存基站数据,并标注基站类型; 2.5重复执行2.2操作,循环解析基站数据; 2.6基站数据获取解析,返回结果集DS1。4. 根据权利要求3所述的高效提取安卓系统日志缓冲区中基站信息的方法,其特征在 于,S3具体如下: 3.1判断DS1结果集是否为空或者数据长度为0,若是执行3.6,否则表示DS1结果集中包 含有效数据,执行3.2; 3.2访问网络,判断网络是否联通,若是执行3.3,若否执行3.6; 3.3执行基站地址逆向解析,获取实际地址; 3.4判断实际地址是否获取成功,即返回的经炜度是否定位到一个真实的地理位置,若 成功执行3.5,若不成功,执行3.1; 3.5存储返回数据,执行3.1操作; 3.6结束基站数据逆向解析,并返回结果集DS2。5. 根据权利要求4所述的高效提取安卓系统日志缓冲区中基站信息的方法,其特征在 于,S4具体如下:判断DS2结果集是否为空或长度为0,若是提示安卓缓存日志中不包含基站 数据,若否则展示DS2中包含的基站数据。
【专利摘要】本发明公开了一种高效提取安卓系统日志缓冲区中基站信息的方法,属于电子数据取证领域,包括以下步骤:S1获取系统日志缓冲区数据文件;S2解析文件,获取其中基站信息;S3逆解析基站信息;S4数据展示。采用本发明的方法可以达到以下效果:1、系统日志的获取不需Root,任意手机均可提取;2、提取的系统日志中的基站数据是智能手机与最近基站的交互数据,具有极高的准确性。3、系统日志中的基站数据存储格式统一,只受系统框架的更改而影响,具有通用性。4、扩展了智能手机定位痕迹的取证方式,使得取证结果更加的全面、完整和有效。
【IPC分类】H04W24/02, H04L12/24
【公开号】CN105515877
【申请号】CN201511032202
【发明人】黄旭, 李森, 聂学良
【申请人】四川秘无痕信息安全技术有限责任公司
【公开日】2016年4月20日
【申请日】2015年12月31日