陳祥奎

摘要：當(dāng)今Android操作系統(tǒng)已成為全球最受歡迎的智能終端操作系統(tǒng)之一，涉案Android智能終端已成為重要的證據(jù)來(lái)源。針對(duì)當(dāng)前以彩信為栽體的網(wǎng)絡(luò)違法犯罪多發(fā)的問(wèn)題，該文詳細(xì)分析Android平臺(tái)下彩信的數(shù)據(jù)取證分析方法。

關(guān)鍵詞：智能終端取;Android;彩信

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）01-0282-02

1背景

彩信（Multimedia Messaging Service，縮寫(xiě)為MMS），是在GPRS的支持下，以WAP無(wú)線應(yīng)用協(xié)議為載體，可以傳遞包括文字、圖像、聲音等各種多媒體格式的信息。

近年來(lái)，有些不法分子利用彩信的便捷性，召集人員組織策劃犯罪活動(dòng)或冒充他人組織及個(gè)人到處詐騙錢(qián)財(cái)?shù)冗`法犯罪活動(dòng)，彩信正成為誘導(dǎo)犯罪、滋生罪惡的溫床。隨著新型智能終端設(shè)備、應(yīng)用的快速發(fā)展，涉案智能終端中的數(shù)據(jù)已成為重要的破案線索和證據(jù)來(lái)源，針對(duì)智能終端設(shè)備上應(yīng)用程序取證是打擊這類(lèi)犯罪的一個(gè)有效手段。本文的目的旨在對(duì)An-droid智能終端上彩信的取證方法進(jìn)行研究和探討，詳細(xì)描述彩信數(shù)據(jù)取證的分析方法。

2彩信文件路徑

使用手機(jī)自帶備份功能將短信彩信備份出來(lái)，彩信數(shù)據(jù)保存在/Mms/文件夾下。

應(yīng)用數(shù)據(jù)主要存在與mms_backup.xml和pdu文件中，其中mms_backup.xml保存每條彩信的時(shí)間、大小等信息，每個(gè)pdu文件都是一個(gè)完整的彩信，包含了彩信的絕大部分信息，是Android平臺(tái)下彩信分析的關(guān)鍵文件。

3彩信應(yīng)用數(shù)據(jù)分析

3.1彩信基本信息

通過(guò)文本查看器打開(kāi)mms_backup.xml文件，如圖2所示。

其中關(guān)鍵詞段含義如表1：

3.2彩信聯(lián)系人

用WinHex打開(kāi)每一個(gè)pdu文件，如圖3所示。文件主要分為兩部分：文件頭和文件體，文件頭中包括聯(lián)系人的電話號(hào)碼，如果是同一條彩信群發(fā)出去，則文件頭會(huì)同時(shí)保存多個(gè)聯(lián)系人的電話號(hào)碼。

首先需要從文件中取出文件的頭部。需要注意的是彩信pdu文件有兩種格式：一種是彩信中只有文本信息，另一種是彩信包含圖片或視頻信息。對(duì)于包含圖片或視頻信息的彩信而言，pdu文件體會(huì)以…開(kāi)頭，即之前的內(nèi)容就是文件頭。對(duì)于內(nèi)容是純文本的彩信來(lái)說(shuō)，文件體會(huì)以*.txt開(kāi)始，所以需要字符串匹配找到Txt開(kāi)始的位置區(qū)分文件頭和文件體。

然后是從文件頭中解析到聯(lián)系人電話號(hào)碼。經(jīng)過(guò)多次調(diào)研，在二進(jìn)制文件中，聯(lián)系人的電話號(hào)碼會(huì)以O(shè)xEA開(kāi)頭，以0x2F 0x54 0x59 0x50 0x45 Ox3D 0x50 0x4C 0x4D 0x4E（/TYPE=PLMN）結(jié)尾。為了保險(xiǎn)起見(jiàn)，可以在解析出的數(shù)據(jù)中添加過(guò)濾條件，比如：電話號(hào)碼的長(zhǎng)度、電話號(hào)碼不會(huì)有字母等。

3.3彩信內(nèi)容

彩信內(nèi)容就是指文本、圖片、視頻等信息。內(nèi)容保存在pdu文件的文件體中。針對(duì)不同的彩信格式，有不同的解析方法。

對(duì)于只有文本信息的彩信。獲取pdu文件的二進(jìn)制字符串內(nèi)容，使用KMP算法進(jìn)行字符串匹配找到.txt的位置。將.txt之后的內(nèi)容使用UTF-8格式進(jìn)行編碼得到的就是彩信的文本內(nèi)容。

對(duì)于包含…的彩信而言。…數(shù)據(jù)塊保存的就是彩信的布局信息，如圖4所示。

從圖中可以看出這部分內(nèi)容是xml格式，包含彩信中所有文件的文件名，并且按順序排列。按照從塊解析出的文件名列表從之后依次解析分割出文件實(shí)體。經(jīng)調(diào)研，每個(gè)文件名后面緊跟著的內(nèi)容就是該文件的實(shí)體，一直到下個(gè)文件名或者結(jié)尾。

4結(jié)束語(yǔ)

本文通過(guò)對(duì)Android平臺(tái)彩信的存儲(chǔ)文件進(jìn)行簡(jiǎn)單介紹，然后對(duì)數(shù)據(jù)存儲(chǔ)文件進(jìn)行深入分析，詳細(xì)介紹彩信數(shù)據(jù)的取證方法。