引用本文
郭文举, 王誉道. 安卓模拟器应用取证[J].刑事技术, 2019,44(4):359-361
GUO Wenju, WANG Yudao. Applicative Forensics for Android Simulator[J]. Forensic Science and Technology,2019,44(4): 359-361  
doi: 10.16467/j.1008-3650.2019.04.017
Permissions
Copyright©2019, 《刑事技术》编辑部
《刑事技术》编辑部
安卓模拟器应用取证
郭文举1, 王誉道2
1.重庆市公安局物证鉴定中心,重庆 400707
2.重庆市潼南区公安局,重庆 402677

第一作者简介:郭文举,男,河北承德人,硕士,高级工程师,研究方向为信息与网络安全。E-mail: 272760383@qq.com

基金资助: 重庆市公安局软科学研究计划项目(No. R2017-02)
摘要

安卓模拟器是能在电脑上模拟安卓操作系统,并能安装、使用、卸载安卓应用的工具类软件,它使用户在电脑上也能体验操作安卓系统的全过程。安卓模拟器由于操作简单、成本低,被一些不法分子用来进行违法犯罪活动。对于安卓模拟器内微信、QQ等应用的电子数据,利用现有的计算机和手机取证软件不能够直接提取解析,在检验鉴定过程中如果技术人员对犯罪技术手法不了解,对主流安卓模拟器应用程序不熟悉,就会造成安卓模拟器运行的应用数据漏提。本文尝试将计算机取证和手机取证相结合,多款软件多个流程协同完成安卓模拟器的应用取证。该方法可为电子取证技术人员提取安卓模拟器应用数据提供借鉴。

关键词: 电子物证; 安卓模拟器; 微信; QQ
中图分类号:DF793.2 文献标志码:A 文章编号:1008-3650(2019)04-0359-03
Applicative Forensics for Android Simulator
GUO Wenju1, WANG Yudao2
1. Evidential Materials Identification Center of Chongqing Public Security, Chongqing 400707, China
2. Tongnan Branch of Chongqing Public Security, Chongqing 402677, China
Abstract

Android simulator is one tool software that can imitate Android operation system with computer to run, set up, utilize and uninstall Android applications so that users are able to experience by computer the whole operating course of Android system. Because of simple manipulation and low cost, Android simulator is often chosen with criminals to carry out illegal activities. Yet, the present computer-/mobile phone-applicable forensic competence is not eligible to directly extract and analyze the electronic data of WeChat, QQ and other applications kept in Android simulator. If the forensic electronic examiners do not understand the criminal artifices or are not familiar with the main applications run through Android simulator, they are very likely leaving out the applying data from Android simulator. This paper attempts to combine the forensics of both computer and mobile phone, collaborating with varieties of software and processes to achieve the applicative Android simulator forensics. Valuable reference should be here offered for peers to tackle similar cases.

Key words: digital forensic; Android simulator; WeChat; QQ

近年来, 电信网络诈骗呈现高发态势, 诈骗手段更是五花八门, 造成了人民群众巨大的经济损失, 扰乱了人们正常的工作和生活秩序, 极大地危害了社会诚信。打击电信和网络诈骗, 是公安机关今后一段时间重点工作任务[1]。安卓模拟器是一款能够在计算机内模拟手机应用的工具, 在给我们带来良好的手机游戏和安卓系统体验的同时, 也被不法分子用来实施电信网络诈骗, 但现有取证软件不能够对安卓模拟器内应用直接进行数据提取。

1 安卓模拟器特性及犯罪应用

安卓模拟器是能在电脑上模拟安卓操作系统, 并能安装、使用、卸载安卓应用的工具类软件, 起着连接PC和手机平台的桥梁作用, 它使用户在电脑上也能体验操作安卓系统的全过程。第一款安卓模拟器是诞生于2011年的BlueStacks(中文名蓝叠), 目前流行的安卓模拟器有“ 夜神模拟器” “ 网易MuMu” “ 叶子猪模拟器” 和“ 海马模拟器” 等[2]。近年来随着手机游戏的推动, 安卓模拟器也快速崛起。最近侦办的多起电信诈骗案件中, 办案民警在现场发现大量涉案电脑和手机, 每台涉案电脑上都运行着数个微信账号, 后经查证嫌疑人使用了一款名为“ 夜神模拟器” 的软件。安卓模拟器广泛用于电信网络诈骗等各种犯罪主要因为具备了以下特性:

一是针对手机系统的犯罪处于频发状态, 是电信网络诈骗等非接触式犯罪的主要犯罪形式。2016年中国境内活跃的智能手机达23.3亿部, 操作系统主要是Android、iOS、Symbian和WindowsPhone, 其中Android系统智能手机19.3亿部, 占所有智能手机数量的83.02%[3]。安卓手机的最高市场占有率, 以及安卓模拟器能够模拟安卓系统内各种手机应用, 使得犯罪分子利用安卓模拟器能够获得较高的回报。

二是安卓模拟器模拟系统具有多开性和高效性, 能够满足违法犯罪人员的犯罪需求。电信网络诈骗前期, 犯罪嫌疑人“ 撒网式” 地寻找作案目标, 作案工具使用和时间安排都追求最大限度的饱和状态。模拟器的多开性, 较单一地直接使用手机, 能够最大限度发挥人员和设备效能, 成倍扩大被侵犯对象, 提高诈骗成功率。此外, 计算机内安装模拟器运行安卓系统, 能够获得手机无法比拟的流畅和快速, 加速诈骗实施进程。

三是模拟器能够模拟地理位置信息, 具有犯罪的欺诈和隐藏性。计算机系统安装运行“ 夜神模拟器” 后, 可以在该应用内运行微信、QQ以及游戏等各种安卓应用程序, 并且一台计算机能够运行多个安卓系统。案件中, 嫌疑人利用计算机模拟运行微信账号后, 能够随意设置虚拟地理位置并添加附近好友, 附近好友搜到的也是嫌疑人设置的虚拟地理位置, 而嫌疑人真实地理位置完全隐藏。嫌疑人利用该应用实施跨区域、精准化的诈骗, 更容易取得受害人的信任, 进而骗取钱财。

四是“ 逍遥安卓模拟器” 除了模拟地理位置信息外, 还能够模拟出想要的任意手机型号, 然后在QQ空间显示使用者想给别人看到的手机型号[4]。模拟器这一特性, 使得犯罪人员随意变换身份, 适应部分被侵犯群体的特殊心理需求, 降低心理防备, 快速拉近距离, 提高诈骗成功率。

2 安卓模拟器应用的取证

通过在计算机端安装安卓模拟器来运行手机应用程序的方式, 有别于常规在计算机端直接运行应用或者在手机上运行应用, 这给取证带来了一定的难度, 现有取证设备和软件均不能对模拟器内运行的各种手机应用直接进行数据提取。经过试验发现, 每添加一个安卓模拟器, 在安装目录下就会生成一个扩展名为.vmdk或者.vdi的文件。下面将以对夜神安卓模拟器的微信数据的提取为例进行取证流程的介绍:

2.1 物证保全

使用AccessData FTK Imager等软件工具制作计算机硬盘镜像文件, 对检材进行保全备份。

2.2 提取模拟器虚拟磁盘文件

使用仿真软件(如:SVM)加载计算机镜像文件, 对无法制作镜像的计算机硬盘通过只读方式直接加载。在仿真桌面右键点击夜神模拟器图标打开文件夹位置后确定安卓模拟器默认的安装路径为D:\Nox\bin\BignoxVMS\nox或C:\Users\AppData\Roaming\nox, 在该路径内提取no-disk2.vmdk、no_1-disk2.vmdk、no_2-disk2.vmdk等虚拟磁盘文件(最新版本的文件格式为.vdi)。对于非默认安装的情况, 可以通过使用分析软件(如:SafeAnalyzer)加载镜像后通过后缀名来直接搜索该文件, 然后导出到案件文件夹。

2.3 加载虚拟磁盘文件

使用分析软件(如:SafeAnalyzer)加载导出的该块硬盘里的所有虚拟磁盘文件(.vmdk), 如图1所示。

图1 加载虚拟磁盘文件Fig.1 Having the virtual disk file extracted from Android simulator be loaded into analyzing software

2.4 导出微信数据包

每个虚拟磁盘文件里都存放了该安卓模拟器里各种应用的数据文件, 加载完虚拟磁盘文件, 在每个虚拟磁盘文件下可以找到每个安卓模拟器运行时所产生的微信数据, 路径为nox-disk2.vmdk \nox-disk2.vmdk_03\data\com.tencent.mm(导出的时候勾选生成目录, 方便后续使用手机取证软件进行解析)。导出后的文件目录如图2所示, 每个文件夹下都含有一个夜神模拟器运行所产生的微信数据文件夹com.tencent.mm。

图2 导出微信数据包Fig.2 Exporting WeChat data packets

2.5 解析微信数据

使用手机取证软件(如:手机取证黄蜂)进行应用程序文件解析, 选择整个Files文件夹(可以同时对该硬盘里所有的微信数据进行解析, 方便后续生成取证报告), 对微信数据进行提取。选择需要获取的数据, 如图3所示。解析完成就可以得到所需要的微信数据了。

图3 解析后微信数据Fig.3 WeChat data parsed

2.6 其他的应用程序如QQ等, 也参照上述方式进行数据的获取。

对于QQ、陌陌等其他安卓系统应用的数据提取, 可参照上述微信数据提取过程, 2.1~2.3相同, 2.4~2.5针对应用类型提取即可。总结安卓模拟器应用程序的取证过程, 遵循的基本流程如图4所示。

图4 流程图Fig.4 Flowchart for forensics of Android simulator applications

3 小结

由于安卓系统的开源性, 构建虚拟的安卓系统也相对容易, 在本文中描述的夜神模拟器所生成的虚拟磁盘文件可以当成一个完整的手机镜像[5]。本文介绍的安卓模拟器取证, 相对于以往单纯的计算机取证或手机取证, 过程更加繁琐, 需将计算机取证和手机取证相结合起来, 多款取证软件协同使用进行数据的提取。随着信息技术和移动互联网技术的发展, 电子数据提取面临更高的要求:一是检验技术人员要加强平时技术知识的储备和积累, 尽量熟悉计算机和手机系统内各种主流和新型应用, 对陌生应用程序保持高度的敏感性, 多问自己几个为什么, 多利用互联网进行搜索; 二是技术要加强与侦查的结合, 电子物证检验人员要适当参与审讯, 多与侦查人员沟通了解案情, 熟悉所办案件的犯罪技术细节和思路, 做到对电子介质内重要电子数据不漏检; 三是由于计算机和手机等移动终端的界限愈加模糊, 现有取证工具存在诸多不适应性, 融合计算机和手机取证的一体化取证工具开发迫在眉睫。

参考文献
[1] 王雅兰. 电信网络诈骗犯罪及其取证对策研究[J]. 法制与社会, 2017(1): 65-66. [本文引用:1]
[2] 武鑫. 关于在PC端使用安卓模拟器开发的可行性分析报告[EB/OL]. (2015-05-08)[2017-09-08]. http://www.doc88.com/p-2893485343942.html. [本文引用:1]
[3] 新华网. 《中国移动互联网发展状况及其安全报告(2017)》发布[EB/OL]. (2017-05-17)[2017-09-08]. http://news.xinhuanet.com/info/ttgg/2017-05/17/c_136291536.htm. [本文引用:1]
[4] 在VirtualBox虚拟机中运行and roid[EB/OL]. (2015-03-05)[2017-09-08]. http://blog.csdn.net/sinat_26227857/article/details/44085313. [本文引用:1]
[5] VMware虚拟机安装安卓(Android)x86系统图文教程最新版[EB/OL]. (2017-05-20)[2017-09-08]. https://www.jianshu.com/p/dbcc7ffff288. [本文引用:1]