面向取证应用的PC版微信的内存分析方法.docx

? ? 面向取证应用的PC版微信的内存分析方法 ? ? 李 威 廖 健 曾剑平 1(浙江中烟工业有限责任公司信息中心 浙江 杭州 310001) 2(复旦大学计算机科学技术学院 上海 200433) 0 引 言 微信作为一款免费即时通信软件，因其方便快捷的特性，迅速成为了人们沟通交流所普遍使用的工具。微信的崛起是一把双刃剑，在给公众带来便利的同时，也让不法分子有了可乘之机。由于微信本身是一个信息传递平台，并且拥有数量庞大的非实名制用户群体，在鱼龙混杂的用户环境下，利用微信进行的犯罪活动日益猖獗。微信犯罪已经成为了一种新的犯罪形式，正在不断引起社会的广泛关注，而许多微信犯罪案件的侦破工作都需要相应的取证分析技术，所以对微信信息的分析技术的研究就有了重大意义[1]。 不法分子在作案时经常出现的情况是通过微信聊天对受害者进行诱导或是诈骗。通常情况下，不法分子会具备一定的反侦查能力，会下意识的减少或是掩盖自己的犯罪证据。因此在此类案件中经常会发生的情况是不法分子在发送完一些证据信息之后狡猾地选择撤回这些消息，从而干扰警方的取证工作。 由于微信应用本身没有提供还原撤回信息的功能，消息一经撤回就难以还原，而目前微信取证分析技术领域对于怎样还原这些具有证明案件事实能力的信息也没有系统的方法。因此，本文针对PC版微信软件，进行了内存结构分析，特别对文本、表情等信息撤回的特征进行了分析，给出了一种分析方法和流程。 1 研究现状 在计算机取证技术的研究方向中，有两个研究方向占据了主要地位，一个是磁盘取证，一个是内存取证[2]。其中磁盘取证是早年使用得很多的一种取证手段，但由于目前磁盘容量扩大，磁盘加密等技术的风行，从磁盘中提取证据在某些情况下就变得更加困难了，因此，现阶段内存取证也成为计算机取证技术的一种重要手段。 内存证据分析技术也分为两部分，其一是内存数据获取，研究怎样从计算机上获得完整的内存数据，实现方法主要是通过收集内存镜像；其二是内存分析，研究怎样对获取的内存进行分析，从而提取相关的数据[2]。 目前主流的内存分析方法共有4种，分别为：字符串搜索法、内存扫描法、基于数据结构特征法、基于操作系统关键数据结构法[3]。字符串搜索法是指在内存中对已知的敏感信息进行搜索，例如“银行账户”、“密码”等词汇，锁定内存中的证据内容。但是，基于字符串搜索的方法所得到的结果准确度得不到保证，因为没有其他搜索条件的辅助存在，只要包括搜索内容的字段都会作为结果返回，导致的问题就是搜索结果过于粗糙。基于数据结构特征法是指通过数据结构或者已知字段的一些特征，对内存进行扫描。由于在这种方法中会使用一系列的语言对特征进行精确描述，所以分析结果准确性较高，但相应的问题是，这种方法依赖于特征的存在，所以应用范围较为狭窄。基于操作系统关键数据结构法是指一种通过分析操作系统的关键数据结构来帮助取证的方法，由于操作系统中包含有很多关键数据结构，所以基于关键数据结构进行分析的方法就有很多种，通常对取证工作帮助最大的进程结构是EPROCESS[7-8]。 微信作为一种使用范围非常广泛的综合性工具，系统中的许多数据成为取证的重点，因此微信取证技术得到了越来越多的研究。 吴熙曦等[4]在基于KNN的Android智能手机微信取证方法中，提出了一种在大量微信聊天记录中快速锁定与案件有关内容的方法。他们利用同义词林计算微信聊天信息中的词语相似度，从中筛选最佳特征词，再通过向量表示会话，利用KNN算法对会话进行分类，从而实现较快速地从大量聊天会话内容中找到与案件相关的内容，提高微信取证的效率。汤帅等[5]提出了一种基于iOS平台进行微信取证的方法，利用iTunes对iPhone/iPad的备份文件进行提取，在备份文件中，可以还原出微信程序的信息文件，从而进行微信取证工作。马梦笔[6]在2015年对iOS平台下微信删除恢复的原理进行了研究及技术试验，针对基于iOS系统的取证研究工作，文中给出了恢复微信删除信息的若干种途径，所采用的方法与汤帅等的想法略同，也是通过取得iPad的备份文件，并通过越狱手段获得对备份文件的读写权限展开。王伟兵等[9]针对Android系统手机，对加密和解密进行了研究，提出了一系列新的取证方法，对存储在本地的加密信息提取微信中的通话记录和其他相关信息。姜华岩[10]对Android系统中SQLite数据进行了提取, 对百度地图、滴滴打车和携程三个应用程序的数据提取进行实验，发现最终得出的结果可以很好地提供嫌疑人的活动信息,为警方侦破案件提供很大便利。常亚翠[11]对Android中的SQLite数据库进行了解密分析，提出了一种Android手机远程数据提取的方法，实现Android手机未root时和root后两种情况下的数据获取。陈廷明[12]设计了一种And