一种基于备份手机易失性数据获取方法.docVIP

一种基于备份的手机易失性数据获取方法 　　摘 要：首先介绍了智能设备进行易失性数据取证的重要性，并说明了其难点在于对易失性数据的获取上，其后介绍了几种易失性数据获取的方法。但是每种方法都有缺陷，因此提出了一种基于备份的易失性数据获取方法，没有使用环境的要求，也不会污染其他进程的易失性数据，对不同操作系统的支持也比较好，使得取证人员能够很方便获取重要的证据数据。 　　关键词：智能设备；易失性数据；取证；基于备份 　　中图分类号：TP309 文献标识码：A 　　Abstract：In this paper，we introduces the importance to carried out volatile data from smart devices and explains their difficulty lies in obtaining data on the volatile.Thereafter describes several methods to capture the volatile data.But all methods have different drawbacks，so we proposed a method based on backup of volatile data acquisition，which does not have environmental requirements，also will not contaminate other processes of volatile data，supports for different operating systems is relatively good，so that people can easily obtain evidence important evidence data. 　　Keywords：smart devices；volatile data；live forensics；backup 　　1 引言（Introduction） 　　随着科技进步和数字移动通信网络的普及，智能手机和平板电脑已经成为生活的必备工具。据统计，截止2015年2月，移动电话用户总数达到12.9亿，其中相当大的比例为智能手机用户。根据美国市场研究公司IDC发布的报告，2015年全球智能手机出货量增长10.4%，达到14.4亿部[1]。 　　与此同时，随机技术的发展，以智能手机为代表智能设备的计算能力越来越强大，使其在基本的电话和短信之外，具备了更多的功能，成为了人们工作、娱乐、交际的重要工具。甚至有人把以手机为代表的新兴传播形式称为继报纸、广播、电视、互联网之后的“第五媒体”。但是，智能设备在给人们带来遍历的背后，也常常被犯罪分子利用作为犯罪工具[2]。譬如，犯罪分子利用智能设备来诈骗、诽谤他人，甚至窥探、传播他人隐私，使其日渐成为新型犯罪工具。因此对智能设备的取证研究越来越重要，存在智能设备中的各类数据作为一种新的证据形式，也越来越多的作为诉讼证据之一，发挥了巨大的作用[3]。 　　当前大部分对智能设备的取证都是针对存储在内存卡和闪存上的非易失性数据取证的研究，比如。而对存储在运存上的易失性数据获取方法还比较少。然而由于手机厂商众多，并且同一个厂商的产品也具有不同的型号，使智能设备的易失性数据取证更加困难。本文既是提出一种方法来完成对不同设备的易失性数据的获取。 　　由于设备没有间断的运行，导致内存的数据在不断的变化中，特别是在手机在处于联网状态的时候，所以确定需要取证的时候，要首先完成对易失性数据的获取，并且不能修改设备的状态包括关闭网络连接、干扰手机信号等，因为这些操作的同时就会修改一些内部数据，从而造成数据的丢失。完成易失性数据的获取过后，在进行对非易失性数据进行取证调查[4]。 　　2 研究现状（Research status） 　　虽然现在没有一种统一方法来完成对智能设备的易失性数据获取，但是也有了很多相关的研究。由于智能设备也是电子随便的一种，因此取证方法和普通PC类似。易失性数据获取的一般方法就是断开网络，然后对当前内存数据进行镜像备份，最后通过对镜像进行分析，获取关键性证据信息。移动设备的操作系统是运行在有限资源之上的，内存的容量还是受限，因此其需要在未经用户许可的情况下移除一些优先级较低的进行，以分配内给优先级较高的进程。但是，有些重要证据就是存储在优先级较低的进程上的，因此，在智能设备易失性数据电子取证的重点就是获取这些易失性数据[4]。 　　易失性数据的获取方法包括物理获取和逻辑获取。物理获取又叫硬件获取，通过独立的硬件设备完全绕过操作系统，且不在目标机上运行任何应用程序，最后完成