1.一种android平台下telegram应用多媒体取证方法,其特征在于,所述取证方法通过运行telegram应用的android平台下名称为cache4.db的文件中的media_v2表中存储的数据信息,进行android平台下telegram应用的多媒体信息的取证;所述取证方法针对不同多媒体信息的类型,由media_v2表获取cache4.db文件下message表中对应的message消息记录;再根据该message消息记录内容确定相应类型多媒体信息的特征字节及文件名格式信息,并由此针对相应类型多媒体信息进行取证。
2.根据权利要求1所述的一种android平台下telegram应用多媒体取证方法,其特征在于,所述取证方法中首先获取运行telegram应用的android平台的ROOT权限;接着查找运行telegram应用的android平台下名称为cache4.db的文件;接着,将查找到的cache4.db文件导出到本地的文件系统中。
3.根据权利要求1所述的一种android平台下telegram应用多媒体取证方法,其特征在于,所述取证方法通过SQLite数据库查看工具从cache4.db文件中获取media_v2表。
4.根据权利要求1所述的一种android平台下telegram应用多媒体取证方法,其特征在于,所述取证方法中利用{0xc7,0xac,0x64,0x96}这四个字节确定音频文件中特征字节及文件名格式信息,并由此对音频文件进行取证。
5.根据权利要求4所述的一种android平台下telegram应用多媒体取证方法,其特征在于,对音频文件的取证过程如下:
(1)获取media_v2表中type字段为2的信息记录中的mid字段值;
(2)在cache4.db文件中的message表中查找到与media_v2表中mid值相同的message消息记录;
(3)将查找到的message消息记录的data字段转化为十六进制byte数组;
(4)在data字段的十六进制byte数组中寻找到以{0xc7,0xac,0x64,0x96}为逆序存放的第一次出现标识字节的开始位置,以该位置为游标基点,正向向后读取8个字节的数据,将该8个字节的数据逆序为一个数组,将这个8字节十六进制数据转化为10进制long类型整型数值,该值作为音频文件的dc_id值;
(5)将游标位置移动到data数组末尾处,以该处为基点,反向向前再读取8个字节的数据,将该8个字节的数据逆序为一个数组,将这个8字节十六进制数据转化为10进制long类型整型数值,该值作为音频文件的id值;
(6)在android平台的音频文件存储目录下遍历文件名称结构为dc_id+"_"+id+".ogg"格式的音频文件,完成音频文件取证。
6.根据权利要求1所述的一种android平台下telegram应用多媒体取证方法,其特征在于,所述取证方法中利用{0x53,0xd6,0x90,0x76}这四个字节确定图片文件中特征字节及文件名格式信息,并由此对图片文件进行取证。
7.根据权利要求6所述的一种android平台下telegram应用多媒体取证方法,其特征在于,对图片文件的取证过程如下:
(1)获取media_v2表中type字段为0的信息记录中的mid字段值;
(2)在cache4.db文件中的message表中查找到与media_v2表中mid值相同的message消息记录;
(3)将查找到的message消息记录的data字段转化为十六进制byte数组;
(4)在data字段的十六进制byte数组中寻找到以{0x53,0xd6,0x90,0x76}为逆序存放的最后一次出现标识字节的开始位置,以该位置为游标基点,正向向后读取4个字节的数据,将该4个字节的数据逆序为一个数组,将这个4字节十六进制数据转化为10进制long类型整型数值,该值作为图片文件的volume_id值;
(5)将游标位置以当前位置为基点,正向向后继续再读取4个字节的数据,将该4个字节的数据逆序为一个数组,将这个4字节十六进制数据转化为10进制long类型整型数值,该值作为图片文件的local_id值;
(6)在android平台的图片文件存储目录下遍历文件名称结构为volume_id+"_"+local_id+".jpg"或者其他类型的图片文件,完成图片文件取证。
8.根据权利要求1所述的一种android平台下telegram应用多媒体取证方法,其特征在于,所述取证方法中利用{0x38,0x8f,0xa3,0x91}这四个字节确定视频文件中特征字节及文件名格式信息,并由此对视频文件进行取证。
9.根据权利要求8所述的一种android平台下telegram应用多媒体取证方法,其特征在于,对视频文件的取证过程如下:
(1)获取media_v2表中type字段为0的信息记录中的mid字段值;
(2)在cache4.db文件中的message表中查找到与media_v2表中mid值相同的message消息记录;
(3)将查找到的message消息记录的data字段转化为十六进制byte数组;
(4)在data字段的十六进制byte数组中寻找到以{0x38,0x8f,0xa3,0x91}为逆序存放的第一次出现标识字节的开始位置,以该位置为游标基点,正向向后读取8个字节的数据,将该8个字节的数据逆序为一个数组,将这个8字节十六进制数据转化为10进制long类型整型数值,该值作为视频文件的id值;
(5)将游标位置移动到data数组末尾处,以该处为基点,反向向前再读取16个字节的数据,将该16个字节的数据逆序为一个数组,将这个16字节十六进制数据转化为10进制long类型整型数值,该值作为视频文件的dc_id值;
(6)在android平台的视频文件存储目录下遍历文件名称结构为dc_id+"_"+id+".mp4"的视频文件,完成视频文件取证。