EM系统所有提交文件重定向 在线手势提交系统.请求作者直接向文章提交 在线手势提交系统相关日志

反法证系统 Android法证分析器设计实施

华特T.曼波德扎一号NagoorMeeranA.R2
  1. PG学生信息安全计算机法证学
  2. 印度金奈SRM大学信息安全计算机法证助理教授
相关文章at普梅德,学者谷歌

访问更多相关文章科技创新研究国际杂志

抽象性

事件响应时计算机应急队或计算机事件响应队调查事件,以便详细描述犯罪方式、谁负责以及如何确保事件未来不再发生启动调查需要有人报告事件法证专家或调查员对犯罪现场进行裁剪,摄取区域照片并以法证稳健方式采集证据,同时维护数据完整性证据媒体被带到法证实验室或工作站进行调查在大多数情况下,调查人员是合格和熟练操作者。调查过程由两个子进程组成,即数据采集分析数据采集过程将帮助调查过程,例如使用事件响应工具箱数据分析过程使用各种法医学工具审查所收集的数据,这些工具遵循警监协会原则以获取结果。信息安全的目标是保护数据保密性、完整性和可用性。论文的目的是设计并实现应用,为部分反法医学数据隐藏技术提供解决方案

关键字

事件、反法证、CERT、CIRT、数据采集、数据分析、证据

导 言

反法证技术使调查人员很难发现犯罪者,无法证明他们是否发现罪犯它们是各种反法证技术,如人工擦刷、跟踪混淆、攻击计算机法证过程、工具与数据隐藏[1]数据隐藏技术可归为加密或定型法合并后很难法证调查加密过程通过算法和密钥转换文本密码线性学过程隐藏数据或文件到另一个文件内,它可以是视频、图像或音频,用作屏蔽媒体The Association of Chief Police Officers produced the "Good Practice Guide for Computer Based Electronic Evidence" which states 4 principles which are that no one should change or modify data that is termed as evidence, if original data is accessed the person must be competent to do so and give evidence at the end, All the processes should be recorded during investigation and a third party should be able to follow the steps and produce same results.[2] The fourth principle of the ACPO is that the person performing the investigation should accept full responsibility and ensure that all principles are adhered to.Android法医学一直引起重大关注,因为访问和使用android手机的人数增加事件报告图1.0显示事件响应方法步骤主要目标是调查事件过程调查由两个操作组成 即数据采集分析研究建议应用通过维护数据完整性和以法医学稳健方式执行所有过程来收集和分析安卓设备数据
图像显示

相关工作

Cellebrite是2007年制作的移动法医学产品产品为通用法证提取器便携式设备提取移动设备数据到闪盘或SD卡UFED可获取隐藏删除数据并破解代码UFED支持各种手机协议和各种操作系统,如Android、iOS、Symbian和Blackberry设备可同时收集挥发性和非挥发性数据XRY使用MicroSystem使用它恢复分析器智能手机数据硬件软件组件用于提取所有操作均以法证方式进行允许逻辑检查和物理检查支持android、iOS和Blackberry设备EnCase使用指导软件多功能法医学工具软件设计面向网络安全、法医学和安全分析使用软件提取的证据可在法庭上采信内含获取数据、数据分析和报告工具疑似媒体法证图像可创建[5] Oxygen法证套件是智能手机专用软件套件获取数据、解析数据、导入设备备份和图像,恢复删除数据并进行数据解析支持各种操作系统,如 Android、iOS、Blackberry和Windows电话Stegansprivity套件包装九项数据保护机制,如安全机、便携式安全机、密码管理器、互联网跟踪毁灭器、电子邮件加密器、碎纸机、反窃保护机、私有偏爱机和摄像戏法7
MOBILedit法医学工具箱 通过WIFI、Bluetooth或USB电缆分析手机提供手机状态信息 拥有SIM解析器 SIM克隆工具报告生成器Android手机物理提取MOBILedit法证支持Android、Symbian、iOS、Blackberry和Windows手机[8]联合测试行动小组法证方法是一种数据采集方法,通过指令处理器测试设备接入端口提取物理图像常用工具失效设备逻辑受损和模式锁定手机适当步骤之多为JTAG法证检验工作[9]

设计符

系统建议应检测droid设备,如果连接USB电缆菜单3项选择即图像音频视频视所选选项而定,程序应散列、扫描并提取安卓设备文件拟系统端应生成报表申请应遵守ACPO所有原则fig2.0显示流程图建议系统图3.0显示分析模型使用案例帮助理解用户操作程序的方式图4.0显示Android移动法解析器序列图和图5.0截图分析器主界面
图像显示
图像显示

实现

设计应用检测出根三星银河2运行Jellybean,图像、音视频文件很容易以法证声音方式检索droid设备使用MD5散列函数来维护数据完整性并查看文件元数据细节和最新存取修改等信息扫描模块用最小比特染色法检测嵌入数据文件文件可分类为载量或免费文件,并视选项选择和嵌入数据可披露图6和图7显示文件分类截图自由文件或载体文件文件也可以提取到闪盘或笔驱动器创建证据媒体
图像显示

结晶

程序能实现所有功能需求,这可以通过截图Fig8.0显示测试数据插入安卓设备,程序生成报表并带所有信息
图像显示

结论

设计应用为反法医学数据隐藏提供解决方案程序可证明概念并可用于可被视为可移动磁盘非便携式设备的所有android设备ACPO所有原理都得到遵守并维护数据完整性可升级应用检测AndroidOS像Kitk未来需要创建法证应用程序,可检测两种数据隐藏技术的组合,即加密法和摄取法

引用

  1. 卡尔松,K.J.和GlissonW.B.,Android反法证:修改色素模型”,系统科学,2014年
  2. JansenW.ScarfoneK.,“手机法证指南”,国家标准技术学院特殊出版物800-101
  3. CellebriteUFED-移动法证系统,www.cellebrite.com/mobile-forensics访问18/01.2015
  4. XRY移动法医学工具,https://www.msab.com访问18/01.2015
  5. 数字法证网站s://www.guide软件.com访问18/01.2015
  6. 移动法证解决方案网站.oxygen-forensc.com访问18/01.2015
  7. 数据安全隐私网站s/www.steganos.com,访问18/01.2015
  8. MOBILedit法证网站www.mobiledit.com/forensc访问18/01.2015
  9. JTAG Forensic, www.binaryintel.com/services/jtag-chip-off-forensics/jtag-forensics, accessed 18/01.2015
  10. Chris Prosises和Kevin Mandia二版事件响应和计算机法证,McGraw-Hill出版社,2003年
  11. Gloe,T.Fischer,A.和KirchnerM.,“视频文件格式法分析”,数字调查,2014年
  12. Quach,T.T.,2014年数字调查
  13. 阿尔巴诺,P.Castiglione,A.Cattaneo,G.De Santis,A.,“AndroidOS新手反法”,宽带无线计算通信应用公司(BWCA),2011年,pp380-385
  14. Android调试桥,http://developmenter.android.com/tools/help/adb.html,访问24/01201