原标题：针对智能手机应用程序的取证技术研究

1 概述

近几年，智能手机已经成为手机发展市场的主流，其强大功能几乎可以和个人电脑相媲美 。但与此同时，与手机有关的事件也 逐年增多 。这些事件既包括用户操作过程中对文件误删除等无意破坏，也包括病毒、黑客、垃圾文件等恶意程序的侵扰，还有一些 犯罪案件中与手机信息有关的事件等 。因此，针对手机的取证技术研究逐渐成为相关领域的研究热点。

智能手机主要的优点就在于支持大量的应用程序，能够帮助用户实现各种需求 。这些应用或程序在运行的时候，会留下一些 痕迹数据 。像计算机一样，系统文件会有所改变，手机中的系统文件存在于内置存储卡中 。然而，应用越复杂、功能越强大，所占用 空间就越大 。这就要求手机必须配备容量较大的外置存储卡 。TF 卡、MMC 卡、SD 卡等都可以作为手机存储卡来使用，手机中所安 装的第三方应用程序基本都存在于这些存储卡内 。因此，手机的取证主要针对内置和外置的存储卡，通过相应的取证技术可以获 得较多的有价值信息。

该文以 Andriod 系统的智能手机为研究目标，重点关注手机存储卡中的信息 。根据系统中所安装的应用程序，分析其在存储卡 中的文件存储方式 。以其获得有价值的资料，从而为相关事件提供技术依据。

2 智能手机中的典型应用程序

随着网络的逐渐普及，手机已经不仅仅局限于通话交流，使用手机中所携带的应用，或者利用手机的网络功能下载并使用应用 程序，已经成为智能手机的主要功能 。智能手机可以支持多种应用程序，主要分为以下几类：

交流类：即时通信、E_mail、各种交流网站(人人网、facebook 等)。

休闲娱乐类：网络游戏、单机游戏、视频音频软件、网页浏览器等。

生活所需类：GPS、文件处理、日程安排、网上银行、股市交易等。

根据用户的需求，应用程序日新月异，但基本涵盖在以上几种类型中 。不同的应用程序，其文件组织和含义不同，在取证的过 程中，需要了解这些内容，并能够分析 。该文仅针对常用的几个应用程序进行研究和介绍，其它类似软件读者可以举一反三。

2.1 网页浏览器

手机中的网页浏览器相对个人电脑来说所占空间更小，但随着用户对智能手机需求的不断提高，智能手机浏览器的功能也逐 渐加强 。如今的手机浏览器不但能够浏览网页，还支持视频、音频、各种插件以及 cookies 功能，能够分享网页、收藏网页、设置主页， 还可以进行书签管理，对网址进行安全检测等。

2.2 即时通信

手机即时通信是在手机等便携式设备中运行的移动即时通信软件，用户可以通过网络免费聊天 。常用的应用程序有 QQ、飞信 等 。 目前，即时通信软件已经不仅仅局限于文字交流，还支持语音、视频，能够进行文件、图片等传送。

2.3 网上支付平台

随着电子商务的迅速兴起，网上支付似乎已经成为人们生活的一种方式，大量的资金通过网上支付平台进行流转 。而利用手 机进行电子支付的用户也越来越多 。智能手机支持众多的网上银行业务，也支持各种电子支付平台。

3 针对常用应用程序的取证重点

根据上面介绍的几种应用程序，本节主要介绍有针对性的取证技术，以及在取证过程中需要关注的重点内容。

3.1 取证准备

对手机中的数据，可以采用逻辑获取或者物理获取 。由于大部分用户并没有专业的取证工具，该文以逻辑获取的方法来介绍 取证技术。

根据取证的目标不同，所关注的重点也不同 。但取证的准备工作和步骤是一样的 。首先，检查设备的连接状态 。如图 1。

然后，根据所需要把相应的文件拖出来，作进一步分析 。如图 2 。在这里，提取了内置存储卡/data/data 下的所有应用，以及外存 储器上的腾讯应用。

3.2 针对网页浏览的取证

利用手机浏览器浏览网页是智能手机的重要功能 。下面就以 Andriod 系统下浏览器的取证为例进行分析。

浏览器的书签、历史记录等数据位于/data/data 下的com.android.browser 下 databases 文件夹。在这个文件夹中，有三个 db 文件： browser.db、webview.db 和 webviewCache.db 。其内容如图 3、图 4：

在这个数据库中，还可以得到浏览的历史网页、搜索引擎时所使用的关键词、网页中所包含的图片等信息 。可以说涵盖的内容 是比较多的，在取证时候可以根据用户的要求有重点的进一步分析。

3.3 针对即时通信的取证

在国内，最广泛使用的即时通信软件就属腾讯的 QQ 了 。下面就以 QQ 为例，研究 Andriod 智能手机下即时通信的取证。

为了保护用户的隐私权，腾讯公司也在不断的对软件更新 。这对于取证人员来说，是一件头疼的事情，需要不断的了解新版本 的文件组织形式 。如图 5。

其中，MobileQQ 文件夹中包含了登录过的用户的好友头像、传送过的文件、语音、视频、所使用过的地理位置等信息 。如图 6。

而 QQ 文件夹中，包含了聊天记录等重要信息 。如图 7。

Qzone、Pengyou、weibo 对应的是 QQ 空间、朋友网、微博的信息 。如果需要，可以进一步分析。

3.4 针对网上银行的取证

支付宝是 Andriod 系统内置的网上银行软件，也是很多购物网站使用的网上支付平台 。支付宝的信息位于/data/data 下的com. eg.android.AlipayGphone 文件夹。其中 databases 文件夹包含 webview.db、webviewCache.db 和 RecentDB 三个数据库，存储了登录支付 宝的用户名、密码，交易对象的信息等内容 。如图 8。

4 总结

以上的介绍只是针对智能手机存储卡信息所提取的一部分内容，其中还有其它大量的用户数据 。对于取证人员来说，需要把 这些数据进行提取并加以固定 。这些数据一方面可以印证某些事件的真实性，另一方面也是很多案件侦破所需要的重要证据。

目前，我国的手机用户数量已经突破了 10 亿 。针对这支庞大队伍的手机取证技术也需要不断更新，才能够应对各种事件的发 生 。这不仅仅是专业取证人员需要研究的，也是手机用户保护个人隐私、提高生活质量所需具备的知识 。希望该文能够对相关人

员的研究工作起到一定的帮助作用。返回搜狐，查看更多

责任编辑：