Android平台是数字取证调查和分析的主要来源。本书全面介绍了Android平台,包括支持的硬件设备以及Android开发项目和核心服务的实现的结构(无线通信、数据存储和其他的低级功能)。最后,它将着重讲解读者如何应用实际取证技术来恢复数据。
如果你想学习和进行Android取证,那么本书是为你而写的,从没有一本书如此为你呈现Android操作系统与安全相关的技术细节,本书是移动取证从业人员的必备书籍。
—— Jim Steele, 某一级无线通信运营商(Tier 1)数字取证总监
随着采用Android系统的移动智能设备(从最初的智能手机和平板电脑到如今的汽车电子和智能机器人,等等)越来越多,Android设备用户面临的安全威胁也越来越多,针对Android智能设备的安全威胁已经成为移动互联网安全领域最严重的问题之一。与之相应的是,对Android平台上的犯罪行为进行取证的需求也逐渐增多,由于采用Android系统的设备类型和种类繁多,所以相关的取证工作也颇具难度。
本书针对目前Android取证工作者的需求给出了系统化的解决方案,首先从Android系统的硬件设备、Android应用的开发环境、Android系统的原理(文件系统和数据存储)等多角度讲解了Android的安全知识,然后结合实用的取证分析工具和案例全面讲解了Android取证的技术、原理、策略、方法和步骤。
Andrew Hoog 计算机科学家,资深认证取证分析师(GCFA和CCE),计算机与移动取证研究者,viaForensics 公司(研发数字取证与信息安全技术)的创始人之一。致力于取证分析、数字取证与信息安全等技术的研究,以及取证软件的开发,目前有两项与取证和数据恢复相关的在审专利。
技术编辑简介
John McCash 世界顶级取证专家之一,拥有超过20年的IT行业工作经验,超过15年的信息安全工作经验,5年的计算机取证经验,拥有CompTIA Sec+、GCIH、GAWN、GCFA、EnCE、GREM、SANS 等多项认证。在安全、数字取证、系统、网络管理以及多平台异构环境中的突发事件响应方面积累了丰富的经验。
从2008年10月第一部Android手机的诞生到2011年年初,Android移动平台迅速成长为全球最流行的移动操作系统。对消费者来说,Android平台的爆炸性成长在竞争和功能方面都是一个巨大的胜利。同时,由于缺乏用于调查相应设备和手持终端的知识以及工具,取证分析师和信息安全工程师遇到了巨大的难题。本书试图解决这些问题,不仅详细介绍了Android的软件、硬件和文件系统,而且分享了计算机取证获取技术以及随后所需的设备分析工作。对于缺乏计算机取证方面知识的读者,本书将提供基于免费、开放的代码库编写的实例,而且读者也可以亲身参与到这些实例的编写中。因为免费的Android开发套件能够提供一个完整的Android仿真器,所以读者不需要实际拥有任何Android终端设备。
随着Android终端设备数量的快速增加,用户对于这些终端设备中存储着数据的意识也在相应增强。然而遗憾的是,大多数对这些数据感兴趣的却是网络犯罪团伙,他们更清楚地知道这些终端设备中存储着大量的个人信息和商业信息,而对Android平台的成功攻击会为其带来巨大的“收益”。如果要应对这种威胁,就需要深入地了解Android平台,不但对于Android系统开发者和制造商如此,对于Android应用开发者和企业中的信息安全管理者也是如此。更加安全的应用将有助于防止敏感信息泄露,也会帮助信息安全管理者为系统制订更加有效的安全策略。
目前很多关于Android的统计数据都是针对智能手机以及平板电脑的,在不久的将来,Android将会在更多的终端设备中得到应用,如汽车、电视、全球定位系统(GPS)终端、游戏机、笔记本电脑以及其他电子产品。对于取证分析师和安全工程师来说,针对Android的取证分析将会有一个很大比例的增长。最后,Android的魅力不只绽放于某些特定的国家或地区,它将会对全球的个人、企业和机构产生巨大的影响。
下面将对本书中各章的内容进行简要介绍。
第1章
该章在介绍Android平台的发展史后,还将讨论Android开放源码项目(Android Open Source Project,AOSP)、平台国际化、Android市场,同时提供有关 Linux 的一些简单辅导信息,并对Android取证进行简要说明。本章还将逐步讲解如何创建一个基于 Ubuntu 的虚拟机,其后在全书的实例中都将会用到。本书极力推荐 Ubuntu 虚拟机,它还可以应用到本书以外的其他Android取证实例中。
第2章
该章介绍Android所支持的各种类型的硬件和终端设备。虽然硬件的兼容性对制造商来说非常重要,最终也会使消费者受益,但是对大量硬件和终端设备的广泛支持却给取证分析师和安全工程师带来了巨大的挑战。因此,对硬件组件、终端设备类型以及Android启动过程的清楚了解非常有助于对整个Android的了解,也对取证和安全分析具有很大帮助。
第3章
该章讨论Android系统的不同版本、Android软件开发套件(Software Development Kit,SDK)、Davlik虚拟机、Android安全的核心组件以及其他与Android取证相关的重要概念,如Android程序调试桥(adb)、USB调试设置等。本章还将提供一些详细的实例,包括如何在 Linux、OS X 和 Windows 上安装软件开发套件,以及如何创建一个Android虚拟终端用以测试取证技术。
第4章
该章介绍如何在Android终端设备上存储数据,内容包括数据存储方式(共享参考、文件、SQLite及网络)以及Android终端设备所使用的内存类型,如 RAM 以及十分重要的NAND闪存。该章也会详细介绍读者在Android终端设备中经常会遇到的各类文件系统,如 YAFFS2、EXT、FAT32/FAT16及各类底层文件系统。
第5章
该章讨论Android终端设备、数据和应用的安全。首先回顾了Android终端设备如何泄露数据及其如何被用做一个主动攻击源。在讨论一些重要的安全概念后,该章将给个人、企业安全管理者和应用开发者这三类主要读者提供一些非常具体的建议。随着Android持续快速增长,数据和信息的安全问题将变得日益严峻。因此,该章对这个重要的问题进行了深入且切合实际的快速讨论。
第6章
该章介绍具体且十分有用的从Android终端设备获得取证信息的一些技术。在介绍了不同类型的获取方法以及如何对Android终端设备进行操控后,本章还讨论了规避密码的7个不同策略。随后,本章介绍一些具体的获取 SD 卡以及任何插入的内置多媒体卡(Embedded Multi Media Card)的技术以及相对应的代码。在此基础上,该章介绍一些逻辑获取技术,包括一些已经包含在Android和软件开发套件(SDK)里的技术以及一个称为 AFLogical 的可以供执法者和政府机构免费使用的技术,并简单描述了6个商用取证软件。最后,本章详细介绍了获取 NAND 闪存物理映像的技术,包括6个如何获得超级用户权限的方法以及由 viaForensics 公司开发的 AFPhysical 技术。
第7章
该章是最后一章,将介绍一些具体的策略以及相应的应用程序,使取证分析师和安全工程师可以对得到的Android终端设备进行分析。虽然很多传统的取证技术仍然适用于Android取证分析,但是Android中新的文件系统以及硬件的特殊性要求更多的新技术。没有这些新技术,从Android终端设备中实际获取的数据只能够得到极少有价值的内容和信息。除了提供背景信息以及实用的应用软件,该章还将给出Android文件的目录(文件夹)结构,并深入分析11个可以用于获取Android终端设备中主要数据的应用程序。具备了以上知识,取证分析师和安全工程师可以对任何可以获得的Android终端设备进行取证分析。
网站
访问以下网站可以获得与本书相配套的其他资料,如代码、程序及随后的更新等:http://viaforensics.com/education/android-forensics-mobile-security-book/。
致谢
我现在真正理解“举全村之力”(It takes a village)的深刻含义了,它不但适用于描述抚养孩子,也同样适用于撰写书籍。因此,我要衷心感谢“整个村庄”:
感谢我的家庭成员:妻子和女儿们。
感谢 Lee Haas 为本书所做的出色的文本编辑工作,并时刻督促我按照原定计划完成此书的撰写。
感谢 Ted Eull 为读者提供的出色服务,时常帮助我将头脑里激荡的想法用清晰的言语和文字表达出来。同时Ted 也是我的好朋友。衷心感谢他的妻子,为他在创业过程中长时间工作所给予的耐心和支持。
感谢 Chris Triplett 率先开始对Android的研究及其所进行的出色工作。Chris 在将通俗的英语应用到数字取证,以弥补语言描述上的欠缺,以及提供喜剧性疏解方面十分有天分。
感谢 Katie Strzempka 负责另外一本书的撰写(“iPhone and iOS Forensics”)。在此郑重地向读者推荐这本书。
感谢我的父母 Stevie 和 Al。他们从人生的开始就为我制定了一条正确的发展道路,并且能够在我稍有偏差时及时提醒。
感谢 Harmonee 和 Hadabogee 照顾我的女儿们、准备晚餐以及提供的其他很多方面的帮助。
感谢众多在地方、州、联邦政府的法律部门及其他部门中为公共事业提供服务的勇敢的人们,感谢他们为我们的社会和国家所做的一切。
感谢 Google(谷歌)认识到 Android 的价值,并且为移动终端设备创造了一个新的开放平台。
感谢苹果公司提供了另外一个开发平台。
最后,感谢所有的读者。我衷心希望本书可以为读者带来价值,并赞赏他们给予的任何支持。
计算机\安全
如果你想学习和进行Android取证,那么本书是为你而写的,从没有一本书如此为你呈现Android操作系统与安全相关的技术细节,本书是从事移动取证从业人员的必备书籍。
——Jim Steele Tier 1无线公司数字取证总监
随着采用Android系统的移动智能设备(从最初的智能手机和平板电脑到如今的汽车电子和智能机器人,等等)越来越多,Android设备用户面临的安全威胁也越来越多,针对Android智能设备的安全威胁已经成为移动互联网安全领域中的最严重的问题之一。与之相应地,对Android平台上的犯罪行为进行取证的需求也逐渐增多,由于采用Android系统的设备类型和种类繁多,所以相关的取证工作也颇具难度。
本书针对目前Android取证工作者的需求给出了系统化的解决方案,首先从Android系统的硬件设备、Android应用的开发环境、Android系统的原理(文件系统和数据存储)等多角度讲解了Android的安全知识,然后再结合实用的取证分析工具和案例全面讲解了Android取证的技术、原理、策略、方法和步骤。
(美)Andrew Hoog 著:暂无简介
何泾沙 等译:暂无简介
从2008年10月第一部Android智能手机诞生至今,在短短不到五年的时间内,Android移动平台已经快速成长为全球最流行的、用于移动应用开发的操作系统,在2011年就已经以27%的份额占据智能手机操作系统的首位。虽然目前关于Android系统应用方面的统计数据基本上都来源于智能手机和平板电脑,然而因其在移动终端设备市场中所具有的强大竞争力以及在系统功能方面所具有的优越性,相信在不久的将来,Android操作系统将会在其他各种类型的移动终端设备中得到更加广泛的应用,诸如汽车电子、智能电视、全球定位系统(GPS)终端、游戏机、笔记本电脑以及其他电子产品。因此,学习和掌握Android操作系统及其在移动系统中的应用对跟踪当今最新信息技术的发展趋势至关重要。
伴随着信息技术的快速发展,信息已经成为人们工作和生活中的重要资源。尤其是近年来移动通信技术的飞速发展以及智能手机应用的日益普及,信息在各个层面(国家、社会、团体、个人)更加紧密地联系在一起,各类信息无所不在、触手可及。然而,以移动通信技术为代表的信息技术在给人们的工作和生活带来极大便利的同时,也不可避免地引发了各种负面问题,尤其是利用网络和信息而引发的各类非法或犯罪行为,如窃取国家机密和个人隐私信息、网络诈骗、网上非法交易、在线间谍、黑客攻击、网上刺探等犯罪行为不断出现,而且呈现出高速增长的势头。利用智能手机或其他无线移动终端设备进行犯罪是一种典型的高科技犯罪,亟待设计出相应的对策加以防范、监控和打击,以确保信息技术与应用的持续快速发展。打击利用信息技术进行犯罪所面临的挑战之一就是在犯罪实施后如何按照法律、法规的要求对犯罪事实进行认定,而认定犯罪事实的关键就在于获取有效证据。因此,计算机取证(数字取证),即从信息系统中获取与犯罪事实相关的数据,并使其成为法律上可采纳的有效证据,这在近年来已经成为信息系统安全研究领域中的一个热点问题。然而,与传统的信息安全问题不同,计算机取证不仅仅是一个技术问题,它还涉及诸如法律法规、社会道德规范、个人隐私权利等众多有关其他技术和人文因素的考虑,属于交叉学科问题,这就给计算机取证带来了一定程度的复杂性。
鉴于基于Android的无线移动终端设备应用的日益广泛,对这些终端设备中的数据进行提取、处理和分析以获得司法证据也变得越来越迫切,成为一个不可忽略的途径。公安机关、法院等各级侦探和执法部门急需在案件的侦探和审理过程中获取涉案人员的智能手机或其他移动终端设备中存有的通讯录、通话记录、来往信息、数码照片、各类文件等用户信息和数据,并尽可能对已经删除的以上信息和数据进行恢复,以推进案件的调查和审理。因此移动取证技术成为打击网络犯罪、保护合法信息的重要技术手段。然而,面向移动终端设备进行取证所涉及的信息采集和分析具有较高的技术难度,同时也受到系统和应用的影响。因此,针对不同的系统,深入分析系统的内部体系结构、掌握取证的原理和方法对实现移动取证至关重要。
本书就是在这一背景下,针对上述需求而撰写完成的,在对Android操作系统的相关部分进行深入分析的基础上,系统地介绍了如何从基于Android操作系统的移动终端中获取数据的手段和技术,是一本较完整的学习和研究Android取证技术的技术参考书。学习和掌握Android取证技术,一方面能够增强人们对相关信息和数据的保护意识,并可利用更加有效的手段来保护这些信息和数据的安全(如及时进行迁移或删除而不被犯罪分子所窃取),另一方面也能够帮助各级执法部门获取网络犯罪的有效证据,打击网络犯罪,保障国家安全和个人隐私权利。
本书由北京工业大学教授、博士生导师、北京市特聘教授何泾沙博士负责翻译,北京工业大学博士研究生赵斌、国家软件产品质量监测检验中心朱娜斐博士参与了部分章节的翻译工作。北京工业大学博士研究生张玉强、中国科学院信息工程研究所徐菲博士,以及张航、张伊璇、刘公政、万雪姣、张伯雍、潘力斌等参与了翻译过程中举办的相关技术研讨,并协助了部分章节的翻译工作。全书最后由何泾沙博士进行统稿及审校。由于译者的水平有限,再加上时间上的限制,全书的翻译中难免存在不妥之处,敬请广大读者批评指正,译者在此深表谢意。
何泾沙
译者序
前言
第1章 Android与移动取证 1
1.1 绪论 1
1.2 Android平台 1
1.2.1 Android的发展历程 3
1.2.2 谷歌的策略 8
1.3 Linux、开源软件与取证 10
1.4 Android开放源码项目 24
1.4.1 AOSP 使用许可 24
1.4.2 开发过程 25
1.4.3 开源在取证中的价值 27
1.4.4 AOSP下载和编译 28
1.5 Android平台的国际化 29
1.5.1 Unicode 29
1.5.2 输入键盘 29
1.5.3 个性化分支 30
1.6 Android市场 31
1.6.1 应用软件安装 32
1.6.2 应用情况统计 34
1.7 Android取证 34
1.8 本章小结 35
1.9 参考资料 35
第2章 Android硬件平台 37
2.1 绪论 37
2.2 核心部件概述 37
2.2.1 中央处理器 37
2.2.2 基带调制解调器/无线电 38
2.2.3 内存(RAM与NAND闪存) 38
2.2.4 GPS 39
2.2.5 无线(Wi-Fi与蓝牙) 39
2.2.6 安全数字卡 39
2.2.7 显示屏 40
2.2.8 摄像机 40
2.2.9 输入键盘 41
2.2.10 电池 41
2.2.11 通用串行总线 41
2.2.12 加速仪/陀螺仪 42
2.2.13 音响/麦克风 42
2.3 终端设备类型概述 42
2.3.1 智能手机 43
2.3.2 平板电脑 43
2.3.3 上网本电脑 43
2.3.4 谷歌TV 43
2.3.5 车辆(内置) 43
2.3.6 GPS设备 44
2.3.7 其他终端设备 44
2.4 只读内存及启动加载程序 44
2.4.1 开启电源和片上ROM代码执行 45
2.4.2 启动加载程序(初始程序加载/第二阶段程序加载) 46
2.4.3 Linux内核 46
2.4.4 init进程 47
2.4.5 Zygote和Dalvik 49
2.4.6 系统服务器 49
2.5 制造商 50
2.6 Android更新 51
2.6.1 自定义用户界面 52
2.6.2 售后市场中的Android终端设备 52
2.7 具体的终端设备 53
2.7.1 T-Mobile G1 53
2.7.2 摩托罗拉Droid 53
2.7.3 HTC Incredible 53
2.7.4 谷歌Nexus One 54
2.8 本章小结 54
2.9 参考资料 55
第3章 Android软件开发套件和Android程序调试桥 56
3.1 绪论 56
3.2 Android平台 56
3.3 软件开发套件 60
3.3.1 软件开发套件的发布史 60
3.3.2 软件开发套件的安装 61
3.3.3 Android虚拟终端设备(仿真器) 68
3.3.4 Android操作系统体系结构 71
3.3.5 Dalvik 虚拟机 72
3.3.6 本地代码开发 73
3.4 Android安全模型 73
3.5 取证与软件开发套件 74
3.5.1 将Android终端设备与工作站进行连接 75
3.5.2 USB 接口 78
3.5.3 Android程序调试桥简介 83
3.6 本章小结 85
3.7 参考资料 85
第4章 Android文件系统与数据结构86
4.1 绪论 86
4.2 shell 中的数据 86
4.2.1 存储的数据 86
4.2.2 应用数据存储目录结构 87
4.2.3 数据如何存储 88
4.3 内存类型 105
4.4 文件系统 112
4.4.1 rootfs、devpts、sysfs和cgroup 文件系统 113
4.4.2 proc 115
4.4.3 tmpfs 116
4.4.4 扩展文件系统 119
4.4.5 FAT32/VFAT 120
4.4.6 YAFFS2 120
4.5 挂载的文件系统 131
4.6 本章小结 134
4.7 参考资料 134
第5章 Android终端设备、数据与应用安全 135
5.1 绪论 135
5.2 数据窃取目标和攻击向量 136
5.2.1 以Android终端设备作为目标 136
5.2.2 以Android终端设备作为攻击向量 143
5.2.3 数据存储 143
5.2.4 用于记录的终端设备 144
5.3 安全考虑 145
5.3.1 安全的哲学原理 145
5.3.2 美国的计算机犯罪法律与规定 146
5.3.3 开放源码与封闭源码 148
5.3.4 NAND 闪存加密 149
5.4 个人安全策略 150
5.5 企业安全策略 152
5.5.1 安全策略 152
5.5.2 密码、模式和个人识别号锁 152
5.5.3 终端设备远程清除 153
5.5.4 升级到最新版软件 154
5.5.5 终端设备的远程管理功能 154
5.5.6 应用软件与终端设备审计 156
5.6 应用开发安全策略 157
5.6.1 移动应用安全测试 157
5.6.2 应用安全策略 158
5.7 本章小结 164
5.8 参考资料 164
第6章 Android取证技术 166
6.1 绪论 166
6.1.1 取证调查的类型 166
6.1.2 逻辑技术与物理技术的区别 167
6.1.3 修改目标终端设备 168
6.2 操作Android终端设备的程序 169
6.2.1 终端设备的安全保护 169
6.2.2 网络隔离 170
6.2.3 如何绕过口令 172
6.3 Android USB 大容量存储终端设备映像 178
6.3.1 SD 卡与 eMMC 179
6.3.2 如何获得 SD卡或eMMC 的取证映像 179
6.4 逻辑技术 185
6.4.1 adb pull 185
6.4.2 备份分析 186
6.4.3 AFLogical 187
6.4.4 供应商 193
6.5 物理技术 220
6.5.1 基于硬件的物理技术 221
6.5.2 基于软件的物理技术和权限 223
6.5.3 AFPhysical 技术 230
6.6 本章小结 236
6.7 参考资料 236
第7章 Android应用与取证分析 238
7.1 绪论 238
7.2 分析技术 238
7.2.1 时间序列分析 238
7.2.2 文件系统分析 241
7.2.3 文件雕复 244
7.2.4 strings命令 246
7.2.5 十六进制:取证分析师的好朋友 248
7.2.6 Android目录结构 254
7.3 FAT 取证分析 260
7.3.1 FAT 时间序列分析 261
7.3.2 更多的 FAT 分析 268
7.3.3 FAT 分析师说明 269
7.4 YAFFS2 取证分析 272
7.4.1 YAFFS2 时间序列分析 275
7.4.2 YAFFS2 文件系统分析 280
7.4.3 YAFFS2 文件雕复 283
7.4.4 YAFFS2 的strings分析 285
7.4.5 YAFFS2 分析师注意事项 286
7.5 Android应用分析与参考 290
7.5.1 Messaging(短信与彩信) 290
7.5.2 多媒体消息帮助应用 292
7.5.3 浏览器 292
7.5.4 联系人 297
7.5.5 媒体扫描仪 299
7.5.6 YouTube 301
7.5.7 Cooliris 多媒体展厅 302
7.5.8 谷歌地图 303
7.5.9 Gmail 307
7.5.10 Facebook 309
7.5.11 Adobe Reader 311
7.6 本章小结 312
7.7 参考资料 312
