课前提要
叮~~不知不觉,王老师实操课也陪伴大家到了今年最后一期了。
首先,感谢大家对王老师一直以来的关注与支持。在栏目第一期时王老师说过,【王老师实操课】栏目的初衷是在分享技术理论的同时,辅助更多的案例实操,来更好地消化理论知识,以便为各位以后的工作积累更多的实战经验。不知道经过这一年的学习,大家收获到了哪些理论知识和实战经验呢?
不忘初心,方得始终。
今年最后一期,王老师将继续为大家分享安卓模拟器的取证实操。
上课之前,先来公布上期的试题答案:6。
一、概述
安卓模拟器能在电脑上模拟安卓操作系统,并能安装、使用、卸载安卓应用的工具类软件,让用户在电脑上也能体验操作安卓系统的全过程。安卓模拟器由于操作简单、成本低,常被一些不法分子用来进行违法犯罪活动。
对于安卓模拟器内微信、QQ等应用的电子数据,如果在取证过程中技术人员对相关的犯罪技术手法不了解,就会造成安卓模拟器运行的应用数据漏提,所以我们需要了解安卓模拟的数据情况,掌握其取证方法。目前比较常见的安卓模拟器有“夜神模拟器”、“雷电模拟器”和“逍遥模拟器”等等。
二、取证思路分析
步骤一:查找并确认安卓模拟器
首先,需要注意可能存在的情况:
①安卓模拟器存在多开;
②安卓模拟器软件被卸载或数据被删除;
③安装有多个安卓模拟器或安卓模拟器安装在VM虚拟机中。
步骤二:提取或恢复安卓模拟器数据
1.通用提取关键点
●找到镜像里对应的虚拟机vmdk磁盘文件,也可能是其他格式的虚拟磁盘文件,如:vdi。
●查找vmdk方法:可以在模拟器安装目录直接搜索“vmdk”,其他格式也可采用上述方法查找。
夜神安卓模拟器vmdk路径:
D:Program FilesNoxbinBignoxVMSNox
雷电模拟器vmdk路径:
D:Program FilesLeiDianLDPlayer4.0vmsleidian
逍遥模拟器vmdk路径:
D:Program FilesMicrovirtMEmuimage71
MuMu模拟器vdi路径:
D:Program Filesmumuemulatornemuvmsnemu-6.0-x64-default
2.相关情况的提取方法
①安卓模拟器存在多开:可以在模拟器的设置中找到相关的信息确认,再进行提取。
②安卓模拟器软件被卸载或数据被删除:
方法一:在安卓模拟器被卸载或数据被删除的情况下,可以通过对该模拟器虚拟磁盘文件进行数据恢复,恢复数据的扫描路径以虚拟磁盘文件存储的路径位置为参考,具体需要视情况而定;
方法二:尝试查找模拟器的备份文件,通过还原备份文件再提取数据的方式提取,安卓模拟器可以通过自带的备份工具进行备份,就会得到后缀名为“.xxx”的镜像文件。
③存在多个安卓模拟器或安卓模拟器安装在如:VM虚拟机中的情况,只需多做查找即可,定位安卓模拟器后再进行相关数据提取。
步骤三:手机取证工具解析数据
将找到的安卓模拟器的虚拟机vmdk磁盘文件加载到手机取证工具中进行解析,即可得到相关的数据,部分模拟器需要手动从vmdk磁盘文件中提取出涉案的数据文件再进行解析才能获得相关的数据。
三、 案例实操
以夜神模拟器备份文件为例,进行数据提取操作。
工具:夜神模拟器7.0.1.3、
SPF9139智能手机数据恢复取证系统
检材:xxxx.npbk
操作步骤:
1. 首先安装新的夜神模拟器,通过导入还原备份文件还原安卓模拟器,通过查找找到模拟器的vmdk数据镜像。
2. 手机取证工具解析数据。
将虚拟磁盘文件加载到SPF9139智能手机数据恢复取证系统中进行解析;
选择自动提取,提取完成。如下图所示,微信和QQ正常数据均能提取出来,包括一些删除的数据。
四、 注意事项
1.如果在涉案计算机的安装软件中没有找到相关的安卓模拟器,可以结合软件运行痕迹、软件安装包、浏览器历史记录等排查情况,避免遗漏;
2.安卓模拟器内的APP卸载后,数据的恢复较物理机存在更大的恢复概率,注意数据恢复方法的选择;
3.其他探讨情况欢迎留言反馈。
五、 案例练习
现在有一个安卓模拟器镜像“备份.npbk”,请找出该镜像里面诈骗人员的银行账户。
链接:https://pan.baidu.com/s/1VaovCrzR2mFnItt6Za9Z8Q
提取码:m76v
