针对uc浏览器加密数据文件的解密方法
【技术领域】
[0001]本发明属于手机取证领域,具体涉及一种针对UC浏览器加密数据文件的解密方法。
【背景技术】
[0002]近年来,智能手机由于其无线接入互联网、PDA(掌上电脑)、开发性的操作系统、人性化、功能强大及运行速度快等特点,发展极为迅速,据《2013-2017年中国智能手机行业市场需求预测与投资战略规划分析报告》估算,2012前三季度,全球智能手机用户总数已经突破了 10亿大关。而2011前三季度的用户量只有约7亿户。可以看出,智能手机市场的潜力不可估量,而其中,由谷歌独家推出的智能操作系统-安卓成为其中的佼佼者,据CNET报道,调研机构Strategy Analytics 2014年第三季度报告中显示,Android以83.6%的市场占有率稳居移动操作系统市场之首,可以看出,智能手机取证尤其是安卓手机取证对于取证领域的重要性。
[0003]安卓手机取证,主要针对其app应用数据及照片、视频、音频等的提取恢复,其中安卓APP应用数据主要以sqlite数据库文件、plist文件、xml文件及一些文本文件等形式存储在手机中,通过ADB调试工具将对应的APP数据文件取出即可对其进行分析取证。
[0004]UC浏览器作为全球使用量最大的手机浏览器,而安卓系统作为如今市场占有率最高的智能手机系统,安卓UC浏览器用户群的庞大不言而喻,传统的浏览器的浏览器书签、历史浏览记录多以明文记录,而安卓UC浏览器的核心数据文件如浏览器书签、历史浏览记录等文件则对数据进行了加密处理,虽然一方面能对用户隐私加强保护,但另一方面也增加了电子取证行业的难度。
【发明内容】
[0005]本发明针对现有技术的不足,提供了一种UC浏览器加密数据文件的解析方法,能够有效解决UC浏览器核心数据文件加密不能进行数据提取的问题。
[0006]为解决以上问题,本发明采用的技术方案如下:一种针对UC浏览器加密数据文件的解密方法,包括以下步骤:
[0007]SI通过对UC浏览器点击事件、访问地址、请求响应、接受响应、建立连接、接受URL一系列操作触发事件;
[0008]S2调用存储URL网址的函数,并在密钥存储地址段解析出密钥和加密方式,密钥为:0x7e、0x93、0x73、0xfl、0x65、0xc6、0xd7和0x86八个字节;加密方式为:循环异或;
[0009]S3.将S2所述的八个字节与存储在URL地址处的数据进行循环异或运算;
[0010]S4.存储S3所述的运算结果;
[0011]S5.针对S2所述的加密密钥和加密方式进行解密。
[0012]作为优选,S5的具体方法如下:
[0013]S51.创建临时存储地址;
[0014]S52.打开待解密的数据文件,存入S51所述的临时存储地址;
[0015]S53.用解析出的8个字节与存入临时存储地址的数据进行循环异或运算;
[0016]S54.存储S53循环异或运算结果;
[0017]S55.将S54存储的运算结果写回待解密数据文件的原始存储地址。
[0018]作为优选,所述S52待解密的数据文件为浏览器书签history, init。
[0019]作为优选,所述S52待解密的数据文件为历史浏览记录bookmarks。
[0020]本发明的有益效果如下:本发明通过反汇编的方式解析出加密文件数据的密钥和加密方式,并针对解析出的结果进行相应的解密。可成功解析出安卓UC浏览器数据中bookmark, init及history中存储的浏览器书签以及历史浏览记录等信息,从而增加手机取证数据的完整性。
【附图说明】
[0021]图1为本发明的总流程示意图。
【具体实施方式】
[0022]为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
[0023]分析发现,安卓手机”data/data/com.UCMobile/UCMobile/userdata” 目录下的bookmarks, init,history, init文件分别记录了 UC浏览器书签和历史访问记录,但均通过加密方式存储,且没有公开的解密方法,本文将提供这两个数据文件的解密方法。
[0024]一种针对安卓浏览器加密数据文件的解密方法,包括以下步骤:
[0025]SI通过对UC浏览器点击事件、访问地址、请求响应、接受响应、建立连接、接受URL一系列操作触发事件;
[0026]S2调用存储URL网址的函数,并在密钥存储地址段解析出密钥和加密方式,密钥为:0x7e、0x93、0x73、0xfl、0x65、0xc6、0xd7和0x86八个字节;加密方式为:循环异或;
[0027]S3.将S2所述的八个字节与存储在URL地址处的数据进行循环异或运算;
[0028]S4.存储S3所述的运算结果;
[0029]S5.针对S2所述的加密密钥和加密方式进行解密。
[0030]S5的具体方法如下:
[0031]S51.创建临时存储地址;
[0032]S52.打开待解密的数据文件,存入S51所述的临时存储地址;
[0033]S53.用解析出的8个字节与存入临时存储地址的数据进行循环异或运算;
[0034]S54.存储S53循环异或运算结果;
[0035]S55.将S54存储的运算结果写回待解密数据文件的原始存储地址。
[0036]所述S52待解密的数据文件为history, init或者bookmarks数据文件。
[0037]实施例:
[0038]使用工具:IDA Pro6.1软件、adb.exe软件、测试手机一部(安装有UC浏览器)
[0039]A.将手机通过数据线连接电脑,并获取root权限;
[0040]B.通过电脑端控制台对待调试文件授予可执行权限,将IDA Pro软件目录下的android_server文件拷贝到手机/data/local/tmp目录下,授予可执行权限,此时输入指令 adb shell/data/local/tmp/android_server 可启动 IDA Pro 的安卓调试服务器,并监听 23946 端口,通过指令 adb forward tcp: 23946tcp: 23946 开启端口 转发;
[0041]C.对待调试文件路径配置后可进行反汇编调试;
[0042]D.在地址0x40083F4B处调用存储URL网址的函数,并在地址0x40083F6C至0x40083F74 段解析出密钥和加密方式,密钥为:0x7e、0x93、0x73、0xf 1、0x65、0xc6、0xd7 和0x86八个字节;加密方式为:循环异或;
[0043]E.对history, init及bookmarks数据文件进行解密;
[0044]具体方法如下:
[0045]S51.创建临时存储地址;
[0046]S52.打开待解密的数据文件,存入S51所述的临时存储地址;
[0047]S53.用解析出的8个字节与存入临时存储地址的数据进行循环异或运算;
[0048]S54.存储S53循环异或运算结果;
[0049]S55.将S54存储的运算结果写回待解密数据文件的原始存储地址。
[0050]相关核心代码:
[0051]unsigned int ucpassword[8] =UcCode;// 定义 8 个字节的密钥数组
[0052]int η = O ;
[0053]for (int i = O ;i〈length ;i++)
[0054]{
[0055]unsigned int tempbuffer = (unsigned int) (* (buffer+i)) ;//创建临时
[0056]存储地址tempbuffer,获取原数据
[0057]n = i% 8 ;//控制参与异或运算的密钥字节
[0058]tempbuffer = tempbuffer'ucpassword [n] -J/ 进行异或运算并保存结果
[0059]* (buffer+i) = (unsigned char) tempbuffer ;//将异或运算后的结果写回原数据文件的存储地址
[0060]}
[0061]上述代码中buffer是指存储原数据文件的空间地址。
[0062]本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
【主权项】
1.一种针对UC浏览器加密数据文件的解密方法,其特征在于,包括以下步骤: SI通过对UC浏览器点击事件、访问地址、请求响应、接受响应、建立连接、接受URL —系列操作触发事件; S2调用存储URL网址的函数,并在密钥存储地址段解析出密钥和加密方式,密钥为:0x7e、0x93、0x73、0xfl、0x65、0xc6、0xd7和0x86八个字节;加密方式为:循环异或; 53.将S2所述的八个字节与存储在URL地址处的数据进行循环异或运算; 54.存储S3所述的运算结果; 55.针对S2所述的加密密钥和加密方式进行解密。
2.根据权利要求1所述的方法,其特征在于,S5的具体方法如下: 551.创建临时存储地址; 552.打开待解密的数据文件,存入S51所述的临时存储地址; 553.用解析出的8个字节与存入临时存储地址的数据进行循环异或运算; 554.存储S53循环异或运算结果; 555.将S54存储的运算结果写回待解密数据文件的原始存储地址。
3.根据权利要求2所述的方法,其特征在于,所述S52待解密的数据文件为浏览器书签history, init。
4.根据权利要求2或3所述的方法,其特征在于,所述S52待解密的数据文件为历史浏览记录 bookmarks ο
【专利摘要】本发明公开了一种针对UC浏览器加密数据文件的解密方法,属于手机取证领域,包括以下步骤:S1通过对UC浏览器点击事件、访问地址、请求响应、接受响应、建立连接、接受URL一系列操作触发事件;S2调用存储URL网址的函数,并在密钥存储地址段解析出密钥和加密方式,密钥为:0x7e、0x93、0x73、0xf1、0x65、0xc6、0xd7和0x86八个字节;加密方式为:循环异或;S3.将S2所述的八个字节与存储在URL地址处的数据进行循环异或运算。本发明的有益效果如下:可解析出UC浏览器数据中浏览器书签以及历史浏览记录等信息,从而增加手机取证数据的完整性。
【IPC分类】H04L29-08, G06F21-62
【公开号】CN104869170
【申请号】CN201510290861
【发明人】梁效宁
【申请人】四川效率源信息安全技术有限责任公司
【公开日】2015年8月26日
【申请日】2015年5月29日