“计算机工业革命”正在以一种猛烈的势头在席卷着全球。近年来,尤其是移动平台和无线网络的发展,更是可谓是日新月异,诞生了大量的手机APP(Application)。手机APP的出现极大地方便了我们的日常生活,也丰富了我们的娱乐生活。伴随着手机APP功能需求的不断完善,近些年,在国内伴随着“O2O”的创业浪潮,一些基于手机端的APP也应时而生。但是随着手机应用被广泛的使用的同时,手机安全的问题也成了人们比较关注的焦点。手机安全在手机应用程序方面,更多的体现在用户的行为数据的安全。本论文的研究核心是在社交APP中,用户的聊天数据的取证分析,基于安卓客户端实现对用户在聊天过程中的聊天数据进行取证的功能实现。
本文通过对市场上的大多数用户量比较大的手机APP是使用的调查,并对调查结果做出需求分析后,确定了基于安卓客户端社交应用聊天APP的取证功能设计方案。实现了在手机端可以对用户的聊天数据进行提取保存,以备在手机应用清楚聊天数据后,需要聊天数据取证的问题。本设计的框架为 Android 系统,客户端界面由其相关组件设计而出,开发语言是JAVA,开发环境是AndroidStudio,数据库为安卓常用的轻量型关系型数据库MySql,阐述远程医疗手机应用的设计与实现过程。本APP将用户的各种信息存储在服务APP端,并做到及时更新。客户端为装有Android系统的智能手机,用户可以通过App带有的各种功能获取需要的聊天数据信息。
需求分析
在本次设计最初,通过对于一些市场上的在线聊天APP的使用情况进行了调查,调查的对象涉及在校大学生,上班商务人员和政府单位公务人员。了解到对于聊天APP软件目前最大的需要大致有一下几点,一是就是可以对自己的提聊天内容数据进行备份,即使是用户清空了聊天内容以后,二是可以调取用户的聊天内容数据已被将来需要提供证据的时候可以调取取证。
功能分析
本设计的各种功能主要集中在客户端也就是手机APP中,为了人们可以更加方便的进行在线聊天,与此同时也可以将用户的聊天记录提取保存,进行取证分析,我们结合了前期调研的结果,特别是针对于人们反应出的两大需求,我们对手机APP的设计做了一些有新意的设计;
(1)本App的客户端基于Android系统,对于使用该App的用户来说,可以通过手机更方便地获取,具体功能大致如下:
1)在线聊天功能:用户可在通过在手机APP端进行在线的聊天,本次设计聊天功能的实现借助了环信即时通讯的sdk,才得以实现不用的用户端进行在线的聊天和通话。
2)聊天记录取证:用户可在通过在手机APP端进行聊天的时候,如果不点击“消息备份”的按钮的话,那么在聊天对话框里点击清除聊天记录后就会将聊天记录全部删除。如果用户点了“消息备份”的按钮,那么及时在清楚了聊天对话框里的聊天记录后吗,去“消息取证”里,依然可以把删除清空的聊天消息“找回来”,已被如果有取证的需要,作为取证数据。
本章小结
本章分为三个小结,首先通过大量的调查,归纳,然后分析了用户对于本类App的一些渴望的需求,然后具体介绍了根据这些需求,最后就是解决用户反映飞需求问题,确定本次手机应用我们应该开发哪些功能。
聊天记录的取证和分析
该模型针对 Android 系统下取证分析的主要分析阶段,包括意识、准备、保护现场、记录现场、数据收集、保存、检查、分析、评审 9 个活动阶段。此外,该模型允许取证分析人员根据案件调查的实际情况返回到上一个阶段,便于取证分析人员获取更多的证据信息,或者重新确定后续得出的分析结果。各分析阶段的含义如下:
1)意识
鉴于 Android 取证分析对时间要求比较高,取证分析
人员需要有较强的取证意识以保证能够及时取证。意识作
为分析模型中的第一个阶段贯穿整个取证流程。
2)准备
在该阶段,取证分析人员需要在得到机构授权和相关法律法规下开展,通过了解数字取证案件的外延背景、案件环境、智能手机设备等相关信息,取证分析人员制定出详细的取证方案。
3)保护现场
Android 智能手机设备可以通过无线网络与外界连接,由于无线信号隐蔽性较强,在对 Android 智能手机实施数据取证之前,需要针对手机实施通信屏蔽措施,以确保手机中的数据不受无线信号的干扰。具体方法有通信屏蔽设备或者专用的信号屏蔽室等。
4)记录现场
该阶段取证人员的主要工作是从 Android 智能手机设备中提取原始的数据信息,技术手段包括手机芯片直读、手机镜像提取或者直接读出关键位置的数据目录信息。可以根据案件实际情况采取相应的数据提取方法,以上 3 种方式均可以获取到 Android 系统上的 聊天APP数据信息。
5)数据收集
本阶段的重点在于从 Android 手机镜像、文件目录中提取出与聊天APP 及案件相关的数据信息,根据聊天APP的数据存储特征,可以将关联数据分为易失性数据、非易失性数据和离线 / 云数据。另外,基站信息对于数字取证案件可能也会有帮助。
6)保存
提取出的聊天APP关联的原始数据信息需要刻盘备份保存,对数字证据做好备案。
7)检查
传统 PC 取证的重点是磁盘,以磁盘挂载的方式进行取证操作,不会破坏原始数据。而针对移动智能设备的取证则不同,除非在特殊情况下需要对手机芯片进行拆解外,正常情况下都是在 Android 智能手机开机状态下进行数字取证操作。同时,为完整提取 聊天APP 相关数据,在操作之前还需要获取 Root 权限。每次 Android 智能手机重启操作和 Root 权限获取操作均会不同程度地改变 Android 智能手机上的数据,这些操作是否改变了Android 智能手机上聊天APP 相关数据,改变的这些数据对于案件是否有影响,都需要进行检查和分析,以确保提取数字证据的可信性。