Android系统地位置信息取证研究.docVIP

Android系统地理位置信息取证研究 　　摘 要：在智能手机已经完全融入人们日常生活的今天，智能手机上大量的用户行为信息是办案人员重要的线索来源，也是犯罪行为的有力证据。文章主要研究Android系统的地理位置取证，通过逻辑取证取得保存在Android系统中不同应用程序上的地理位置信息；另外，提出了一种网络数据包取证的方式，并验证了在应用程序发出包含地理位置信息的服务请求时可以成功取证到地理位置信息，为Android系统的地理位置取证提供了另一种思路和模式。 中国论文网 /1/viewhtm　　关键词：Android系统；地理位置信息；取证 　　中图分类号：DF713 文献标识码：A 　　1 引言 　　随着智能手机软硬件的高速发展，智能手机已经和人们的生活密切关联，移动端的交流、信息查询、购物、支付等已经成为生活的一部分。智能手机成为了许多人的“贴身之物”，智能手机存储了用户各种信息：通话记录、聊天记录、邮件、上网记录、短信，甚至是指纹、虹膜、DNA等生物特征信息，这些信息都能作为犯罪行为的有力证据，一些学者对如何合法、有效地获取智能手机上的证据信息进行了研究。姚伟[1]等通过Android SDK工具对手机内外置存储进行镜像备份，通过逻辑分析和物理分析相结合，从Android手机中寻找到潜在证据；纪耀等[2]对Android系统的逻辑分析取证的原理和方法进行了探讨，并使用数据软件将手机用户的个人信息提取出来；钟华等[3]通过工具提取了用户的通讯录、通话记录、短信、网页信息和即时通讯软件信息；李强等[4]结合Android移动智能设备和QQ的特点，提出了一种Android系统下QQ取证分析模型；杜周[5]对Android应用程序的存储数据和内存数据进行取证分析，根据Linux内核存储空间以及内存管理机制，提出应用程序内存数据取证方法。在这些研究中还没有对智能手机上地理位置这一重要的犯罪信息进行提取分析。本文旨在针对Android智能手机的地理位置信息取证进行探索和研究，并提出一种基于网络数据包的地理位置取证方法。 　　2 Android系统地理位置信息取证 　　2.1 Android系统取证 　　Android系统是一个基于Linux核心的具有自由开源的操作系统，系统的架构包括Linux内核层，本地函数库层、应用程序框架层和应用程序层[6]。Android系统运行时，由Dalvik虚拟机连接Linux内核层、本地函数库层和应用程序框架层，Dalvik虚拟机依靠Just-In-Time（JIT）编译器将Java平台的应用程序被转换成紧凑的Dalvik可执行格式（.dex），在Android 4.4版本以后，Dalvik虚拟机被ART虚拟机所取代，ART虚拟机采用Ahead-of-Time（AoT）编译，在应用安装时就预先编译字节码到机器语言，大大提高了应用程序的执行效率。 　　Android系统取证是指在符合法律程序的条件下，按照规定的取证流程，利用硬件设备或者软件技术对运行Android系统的智能设备进行信息提取，以获取相关的证据材料，取证的方式主要包括逻辑取证和物理取证[7]：逻辑取证在Android系统的文件目录下查找相关的证据数据，物理取证是指从镜像文件中寻找并恢复删除的证据数据。 　　2.2 Android系统地理位置信息 　　智能手机已经完全融入了人们的生活，由智能手机及安装在其上的软件构建了使用者的一个数字化的生态圈，因此在犯罪案件中，智能手机上包含了宝贵的证据信息，其中也包括了使用者的地理位置信息，?录在智能手机上的地理位置信息可以准确地展示使用者的活动范围。Android系统的地理位置获取，主要有GPS定位、WiFi定位和移动网络定位这三种。GPS定位是通过全球定位系统，由卫星发射的信号来进行定位；WiFi定位是一种能够精确获得地理位置数据的方法，但是需要用到有效的与GPS坐标是一一对应的WiFi热点；移动网络定位通过采集到手机所连接的基站ID号和其它的一些区域码、网络码信息，然后通过网络访问定位服务，获取并返回对应的经纬度坐标。 　　在Android系统上获取地理位置信息，主要的方法有三种。（1）Google Play Service提供的API，但在国内不可使用；（2）系统提供的原生API：由系统的 android.location 中提供的两个类：LocationManager类和LocationListener类来获取GPS的经纬度数据；（3）使用百度地图、高德地图之类的地图SDK，这些商家有自己的数据库，目前市场上的许多软件都是利用百度地图、高德地图之类的API再做二次开发。 　　3 地理位置信息取证方法 　　由于地理位置数据随着使用者的运动在不断的更新着，不同的软件对地理位置