《Android cache taxonomy and forensic process》由会员分享,可在线阅读,更多相关《Android cache taxonomy and forensic process(15页珍藏版)》请在金锄头文库上搜索。
1、1Android 的高速缓存分类和取证过程 摘要 Android 是一种最流行和广泛使用的移动操作系统和移动取证领域最活跃的研究产品之一。然而,机器人缓存分析一直以来,到今天为止,一个充分研究的研究课题,这限制了其潜在的用途在法庭调查。由于 Android 上的高速缓存格式的多样性,我们提出了一种基于应用程序的使用缓存的分类。使用这种分类法为基础,一个系统的过程,被称为Android 的高速缓存取证过程中,提出了法医进行分类,提取和分析 Android 的高速缓存。 11 流行的 Android 应用程序使用各种高速缓存格式进行了分析。作为该分析的一部分,一些缓存格式被解码和多个缓存格式常用
2、Android 应用从法医透视记载。根据我们的技术成果,在 Android 缓存查看器样机也被开发。这个原型是能够以便利的方式进行解码的一些机器人缓存格式和显示内容。介绍 Android 的,截至 2014 年第四四分位数的,据报道有 76的手机市场份额1。在 2014 年,谷歌播放有代表发表在这一年2的应用程序的数量增加了一倍大约 143 万的Android 应用程序。这是在这么短的时间显着增长。据桑德尔皮蔡,Chrome 和应用程序的谷歌高级副总裁,有超过十亿的 Android 设备激活为 2013 年 9 月的3。由于 Android 设备的流行,他们很可能会继续被用于传统的犯罪活动的行
3、为,以及成为网络犯罪活动显著的目标(如恶意软件,方便数据被窃取) 。这并不奇怪,因为量和存储在 Android 和其他移动设备的数据的性质已经从简单的联系人列表十年前成长为潜在的敏感和个人身份信息(PII)今天几千兆字节。这种潜在的刑事开采必须满足与执法的相应能力,在这种情况表明需要移动取证。随着巴特勒和 Choo 的4解释说:“G伊芬的增加,信息通信技术在日常生活中包括移动设备,数字取证被越来越多的法院在澳大利亚和海外使用。这一概念的核心数字取证是数字证据“。数字取证是收集已涉及数字设备包括移动设备事故或犯罪证据的过程。此数据可以是在接触,浏览历史,说明和加密数据的形式,而在这个广泛的领域的
4、挑战是有据可查的5-7。在 Android 的架构,标准库或 API(应用程序接口) ,Linux 内核及应用程序框架8之间坐。这些 API 可以使用缓存为自己的操作9,这是另一种可能的证据来源,并为所有的应用程序使用相同的 API,他们的证据,在调查的潜在来源。而在 Android 的架构和开发人员的信息,如高速缓存分区和应用程序的高速缓存单元的一般信息,目前可10,也缺乏关于从数字取证的角度来看的应用程序缓存的具体信息,以及如何提取法医文物缓存。此外,在从 Android 设备伪像的萃取研究努力已被限制在日5相比于平台的生长。移动取证的子域是相对较新的11,并因此,并不十分了解在比较数字取
5、证的其它区域。本文旨在对通过识别应用程序缓存格式和理解,记录和这些不同的格式进行分类填写的 Android 缓存取证的知识鸿沟作出贡献。2在第二节中,我们提供了突出的数字取证的文献与此相关的研究进行了概述。第三节概述我们的 Android 缓存分类,以及我们提出的概念的 Android 缓存取证过程的基础上McKemmish12法医模型。第四节概述我们的实验环境,并用于存储过程用在我们的研究图像采集。第五节描述了从提出概念的 Android 缓存取证过程通过各种 Android 应用程序存储在缓存的分析中的应用我们的研究结果。第六节概述了我们的实现过程在软件原型,Android 的缓存器,这是
6、我们开发的这项研究的一部分的形式。最后,第七节总结本文并概述了今后的工作。II数字取证是研究的重点是利用计算机技术为基于计算机和传统犯罪调查现场。这就是俗称的识别潜在证据的来源,保护证据,防止无意或有意的变化,分析所收集的证据,最后提出法律上得到认可的证据在法庭上12的过程。除了这四个阶段,McKemmish 提供了四个规则法医计算的,即行为, “原最少的处理” , “账户的任何变化” , “符合证据规则”和“不超过你的知识”12,第 3-4。Android 设备上的高速缓存取证也涉及这些相同的确定,保护,分析和提出的过程。由于 McKemmish 框架,Android 的高速缓存取证的过程中
7、这样的应用程序将有助于确保贡献我们的研究建议的过程是取证。高层框架提供指导,对取证调查行为的实践者。然而,在我们的文献回顾,我们无法找到任何突出的工艺或技术专门为 Android 应用程序缓存的分析。我们认为,这可能是由于在数字取证领域的背景下,相对较新的发展和 Android 应用的普及。除了缺乏具体的流程和方法,其他一些因素也很复杂的 Android 应用程序缓存法医检查。例如,对于 Android 应用程序没有单一通用的高速缓存格式。相反,应用程序开发者可以从许多流行的格式选择,或者可以决定实现特定的自定义高速缓存格式为适合他们。在非定制缓存格式而言,Android 提供用于高速缓存的本
8、机格式。不过,也有一些其他第三方缓存库。一些我们回顾了突出的第三方缓存库如下:排球13Android 的高速缓存库14引燃15文件缓存16毕加索17这也是值得注意的是,一个单一的 Android 应用程序可以使用取决于应用程序开发人员的要求,并在应用程序的开发中使用的各种第三方组件的多个缓存库。例如,有关于各种缓存类型,包括图像缓存和网络缓存特定的库。这种多样性带来的无法正确识别,保存3和分析存储在缓存文件可能的证据一个巨大的挑战。在最近的移动法医文献的综述,谷仓 Patsalou,Damopoulos,Kambourakis 和 Katos 11仅指出何处高速缓存数据的恢复特别提到,与相关的
9、机器人两个实例的两个实例。这一点,除了我们自己的文献综述,表明还没有一个显著专注于 Android 缓存最新的取证分析。但是,反过来说,缓存为各种浏览器在 PC 上的取证分析是一个比较深入的研究,并有据可查的区域18。的 Internet Explorer 的 Web 缓存法医分析已经很好地研究并广泛用于法医调查超过十年19。火狐,从第 3 版开始,使用 SQLite 数据库存储缓存条目,浏览器历史记录和书签20。谷歌 Chrome 浏览器也使用 SQLite 数据库,用于存储缓存条目,浏览器历史记录和书签。的 SQLite 的基于高速缓存存储鉴证分析也被记载在文献21。恢复的方法从这些环境中
10、使用 SQLite 数据库检索删除的记录也已经解决22。这表明该实用程序的高速缓存数据可以在法庭调查,其中研究已进行,以提供用于恢复和分析所必要的技术。三。概念 ANDROID CACHE 取证过程移动取证一直为执法持久挑战了数年23。机器人取证的生长,特别是,已导致一系列挑战必须克服5。为了克服这些问题,并且差距现有的知识,在高速缓存分析领域,我们建议侧重于 Android 的高速缓存取证一个新的进程。超过 143 万的 Android 应用2目前可在谷歌 Play 商店。通过这种广泛的应用程序来在相关联的缓存随之而来的多样性(这往往是无证) 。为了方便法医检验,透明和强大的分类是必要的。判
11、断不同的缓存使得它更容易法医从业者采取基于缓存的类型所需的取证分析的步骤。机器人缓存大致可分为两类,系统高速缓存和应用程序的高速缓存。系统缓存包含的Dalvik 虚拟机的缓存。应用程序缓存可以再次分为内部缓存和外部磁盘高速缓存的类别。外部的高速缓存是那些存储在 SD 卡上,它具有连接到它们没有粒状安全属性。因此,任何 Android 应用程序可能会访问这些缓存。内部或专用高速缓存受沙箱保护并且只能访问创建它们,除非智能手机根植应用程序。不论高速缓存是否是内部或外部的,应用程序的高速缓存大致可分为三种小类,组分缓存,机器人的 API 高速缓存和自定义或第三方缓存。这些的归类反映在图。1。Andr
12、oid 的高速缓存分类基于在高速缓存分类学的研究结果,我们已经确定了各种类型高速缓存需要不同的方法。例如,Dalvik 的高速缓存主要用于通过应用程序(.apk 文件)优化应用程序的执行,扫描和建立依赖关系树。这些高速缓存一般不包含任何显著用户数据,并因此,这些高速缓存的分析是不可能导致任何显著证据。相反,应用程序缓存通常包含用户数据,并必须仔细分析。一般地,对于应用程序的开发的最佳实践要求外部磁盘高速缓存不包含个人信息或是专用于用户的任何其他信息。内部存储将是可能包含的个人信息,大多数应用程序的默认位置。大多数我们已经注意到,在我们的研究中的空白的技术壁垒,而不是过程或结构性问题。因此,Mc
13、Kemmish 模型12继续广泛适用于 Android 的高速缓存取证。然而,在各个框架的阶段中使用的建议的技术今天大不相同那些在 1999 年提出。例如,分析阶段可以要4求与在比较手机的初期现代移动设备显著更省力。这提供了一个机会,让我们来扩展McKemmish 模型来解决复杂的现代移动设备研究的技术需求。图概述的方法。2.在我们的研究,并以此为基础的 Android 的高速缓存查看器应用程序的开发应用。它是基于扩展 McKemmish12模型为 Android 缓存的调查特定组件。Android的高速缓存取证过程四。实验装置我们选择了一些应用程序中被广泛采用,这在研究的时间或从显著品牌或公
14、司至少有一亿的下载量,即应用程序。根据这些标准,我们有将近 100 应用程序的初始名单。对于这些应用程序,我们进行了自己的高速缓存进行初步识别和分析过程。从这些 100 应用程序,我们选择了 11 的应用程序的基础上的显著使用缓存,在通用与其他入围的应用程序详细的研究。我们详细研究该研究的应用程序列在表 I.图像和 gzip 压缩的 XML 缓存图像,音频和上传缓存3.1 实验设备当进行本研究概述的实验中,我们使用了三星 Galaxy 注 N7000 移动设备。此设备规格的表中列出。实验硬件规格 三星 Galaxy Note N7000安卓版4.1.2 果冻豆芯片组的 Exynos中央处理器双
15、核 1.4GHz 的 ARM的 Cortex-A9GPU 的 Mali-400内存 1 GB内部存储容量 16 GB已安装5存储卡2 GB该装置配置,使得 Android 开发模式和 USB 调试中同时启用,而内部存储没有加密。全力支持法医调查的目的,移动设备的主题经常在文献中讨论。虽然我们相信它一般应避免24,我们已经决定铲除这个装置的权宜之计该研究数据的收藏。从业员应避免生根并寻求替代收集方法,如文献24中讨论,进行调查,取证标准时。B.数据采集每一个我们在已经确定的缓存类型我们分类(参照图 1)位于内一个单独的地方Android 的存储布局。使用 Android 的虚拟机(Dalvik
16、的)的缓存文件在/数据/达尔维克缓存中找到。私人或内部应用程序缓存存在于应用程序的数据的位置和仅由个人访问应用程序,除非该请求应用程序或用户具有根特权。应用程序通常存储在外部存储更大的缓存文件。 在大多数情况下,高速缓存文件将被收集为一般采集所述移动设备的一部分。对于我们的研究而言,我们所使用的“DD”工具来获取存储的图像进行分析。要做到这一点,我们首先连接到使用亚行的 shell 装置。然后,我们升级了我们的特权使用 su 为 root,且位于该数据,并使用 mount 命令高速缓存分区。尝试之后(如果可能)使用卸载这些分区卸载,我们使用 DD 命令类似以下内容来收集我们的形象:DD 如果=的/ dev/块/ mmcblk0p7 BS=64K| gzip 的-c/sdcard/cache.img.gz。 “如果” (输入文件)参数之后的道路取决于我们正在寻求收购该分区。这取决于我们正在分配到采集到的图像文件名后大于号()的值
