基于ADB调试的电子数据取证技术及研究

为应对电子数据取证活动中不同的鉴定要求,新的电子数据取证手段不断被开发。Android debug bridge可以实现与虚拟机或Android设备的交互,在对智能手机类别检材的电子数据取证过程中,通过Android debug bridge调试技术,可从检材中获取某些正常取证手段无法获取的信息。     

居民身份证指纹核验在Android平台中的应用

介绍了居民身份证指纹核验在Android平台的应用方案。在分析了Android系统架构和应用程序开发方式的基础上,提出通过Android平台的NDK构建原生共享库实现关键功能,再由Android SDK调用共享库生成应用程序的解决方案。详细阐述了NDK构建原生共享库,并由Android SDK调用的开发过程,给出了居民身份证指纹核验在Android平台应用方案的关键代码。     

基于蜜罐与蜜标的追踪溯源技术动态取证应用研究

为弥补现今电子取证技术中静态取证的不足,采用"网络欺骗"理念,设计和实现了一种基于蜜罐和蜜标系统的追踪溯源技术动态取证实验。通过对实验结果的分析,发现这种技术能够实现自动、动态地收集入侵者的相关信息和犯罪证据,一定程度上解决了静态取证的弊端,为司法人员从事电子数据取证、打击网络犯罪提供了一个较好的技术手段。     

网页挖矿木马的取证方法

网页挖矿木马因其具有较高的隐蔽性和传播性,已成为全球最主要的网络安全威胁之一。目前,针对网页挖矿木马的取证流程及技术方法仍不健全。通过梳理在Android、Windows以及Linux等不同操作系统中的取证流程,可以发现基于网络数据层、网页代码层、可信时间戳、其他木马固定的“四维取证”方法不失为一种针对网页挖矿木马的有效取证方法。     

Android手机恶意软件取证技术研究

通过分析Android系统恶意软件实例,采用静态取证技术进行APK包反编译和源代码分析,提取恶意代码的关键数据。通过动态取证技术实时跟踪恶意软件的运行进程和API调用,提取与恶意行为相关的关键数据,为进一步获取线索和证据提供技术方法。     

基于odex文件结构的Android程序逆向分析方法

研究odex文件的逆向分析方法对公安机关的电子数据检验鉴定工作具有实际意义。由于odex文件与硬件平台紧密相关,将其移植到其它Android平台上,程序通常无法运行。为了解决odex文件的取证分析问题,采用分析odex文件存储结构的方法,将二进制机器代码逐步还原为可直接阅读的smali源代码,进而通过静态方式完成取证分析工作。经实际测试,这种odex文件解析方法可以较好地应用于Android程序逆向分析工作。     

第三方SDK暗刷流量的取证分析与应用

随着移动互联网的高速发展,Android开发者为了提高开发效率,会选择在其开发的应用程序中内置第三方SDK。由于第三方SDK存在的代码程序安全隐患问题,被违法犯罪人员利用,使其成为暗刷流量违法获利的工具。为了应对暗刷流量类案,对APP内置的第三方SDK进行逆向分析尤为重要,对SDK实现的原理及取证分析技术的探究可以为侦办相关案件提供重要参考。     

Win8系统电子取证要点分析

围绕Win8系统的特点,进行了Win8系统中有关网络用户信息、网络使用痕迹、Metro应用信息、IE10缓存数据和通讯类应用记录等有效信息的取证分析,并用取证软件进行了验证。     

Windows10中Prefetch文件的变化及对取证分析的影响

预读取,是Windows用来提高操作系统和应用程序启动性能的一项重要机制。Windows通过Prefetch文件在系统和应用程序启动前将所需的文件提前缓存到内存中,从而实现这一机制,因此Prefetch文件中记录了大量有关应用程序运行的痕迹,这些痕迹便是宝贵的电子数据证据。相较于其它版本的Prefetch文件,Windows10中Prefetch文件的结构和功能发生了较大的变化,但是其相关的研究和解析工作相对较少。主要针对Windows10中Prefetch文件的结构和功能进行分析,并进一步阐述Prefetch文件在电子数据取证中的重要作用。     

网络信息监控与取证核心技术研究

随着Internet的发展,网络信息监控与取证技术作为保障网络安全的有效手段,已引起人们的足够重视。本文重点分析了现有的信息监控技术,并深入分析了包过滤技术、黑盒子技术、邮件的内容过滤技术和基于信息分类与统计的内容识别技术在网络信息监控与取证系统中的应用。     

基于函数映射的恶意程序逆向取证方法研究

恶意程序的静态逆向分析方法需要取证人员阅读大量汇编源代码,取证周期漫长、效率低下,不能满足公安工作实际需要。提出一种基于函数映射的恶意程序逆向分析方法,首先取证人员分析恶意程序调用了哪些系统函数,之后初步判断恶意程序主要功能,再通过关键函数断点设置来进一步完成取证分析工作。这种方法不需要取证人员完整阅读汇编代码,通过关键函数局部汇编代码分析来完成取证工作,在提高取证效率、缩短取证周期的同时,最大限度地保证检验结论的准确性和完整性。     

基于SQLite3的Android手机数据恢复技术的研究

针对传统方法采用直接调用API不能恢复Android手机数据的问题,本文通过分析手机SQLite3数据库的物理存储结构,确定删除数据位置,并结合Android手机系统特征,详细阐述了Android手机文本信息数据恢复的过程。     

专门立法捍卫公民个人信息安全

不久前,大学生小陈使用某App时发现,该App滥用其地理位置,并推送个性化广告。尽管小陈已经明确说“不”,拒绝提供位置信息,但是系统“违背”她的意志,推送的广告依然“精准”定位了她。数据显示,截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个、应用程序数量超过300万个。每时每刻,我们都被信息“包围”。     

一种Windows10中文用户输入痕迹信息提取方法研究与实现

中文输入法自学习所产生的用户词库可作为一种计算机用户行为痕迹信息,对计算机取证工作有重要的现实意义,其存有的用户常用或者符合用户用语习惯的字词句有助于案件侦查线索的拓展,但是该类输入信息的存储形式依赖于不同的中文输入法应用程序,均以特定数据格式存储在计算机中,其内容不易直接获得。因此,以Windows操作系统最新版本Win10中自带的中文输入法作为研究对象,采用数据流逆向分析方法对用户词库文件的存储协议格式进行分析,明确了输入词条信息在其内部的存储数据结构,提取出留存其中的大量用户自输入信息,并利用词云图的方式对所获得的信息进行整理并呈现,有利于发现用户的输入行为特征,为公安后期刑侦决策提供有价值的案件线索。     

基于网站的侵犯公民个人信息案电子数据取证

侵犯公民个人信息犯罪形式多样,其中典型的一种是基于网站非法收集售卖公民个人信息,此类案件的电子数据取证需要还原犯罪现场,提取分析公民个人信息来源与数量、非法获利等数据。介绍一起此类案件的电子数据取证工作情况,并对相关信息描述和取证工作进行思考与总结。     

基于网络数据还原的远程控制木马取证方法研究

远程控制木马对信息网络安全构成严重威胁,研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键盘记录信息和语音聊天文件的具体方法,应用提出的取证方法可以获得木马存在的直接证据,进而确定攻击行为,提取出攻击者的IP地址和使用的端口号。     

Android手机短信获取与恢复方法

通过深入分析Android系统SQLite数据库的文件结构和数据记录的寻址方式,提出了Android手机短信的获取及恢复方法,并在ZTE T9手机上进行了方法验证。实验表明,提出的数据恢复方法能够有效恢复Android手机中被删除的短消息。     

高速公路非现场执法取证的现状及发展方向探析

非现场执法在高速公路交通管理中显示出强大的优势。作为一种新型的执法模式，非现场执法取证在应用和推广过程中也逐步暴露出一些问题。深化和完善非现场执法取证工作，一要完善法律规范，为非现场执法取证工作提供有力的法律支撑；二要理顺工作关系，建立法制、科技、交管“三位一体”的非现场执法取证工作协调机制；三要加大科技投入，研发和推广具有高科技含量、贴近实战需求的动态取证装备；四要突出管理重点，实现非现场执法取证由量到质的转变；五要加强学习培训，提高非现场执法取证队伍的整体素质。     

仿真分析取证模型的形式化研究

计算机犯罪的多样性使得现有的静态取证和动态取证模型均已不能很好的满足计算机取证的要求,亟需建立一种新型态的取证模型。仿真分析取证模型运用"自顶向下"的形式化建模方法,结合虚拟机技术的最新发展成果,通过虚拟犯罪现场重建构建了一种并行的取证平台,为侦查实践和司法实务提供了有力的技术支撑。     

计算机取证设备

近年来,随着计算机技术、网络技术的发展,以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多,造成的危害也越来越大。大量的计算机犯罪,如商业机密信息的窃取和破坏、网络诈骗、攻击网站、网络赌博、网络传销以及网络色情信息的泛滥等等,防不胜防,而要侦破这些案件需要应用计算机取证技术及其设备。为此,本期杂志特推出"计算机取证设备"专题。本期专题对计算机取证设备的分类及其发展作了综合性论述,并推出了数款取证设备,对其功能及技术指标作了简要介绍,希望能对公安及司法工作有所参考。