|
(本文作者:王景國����、王宗利����,系山東省人民檢察院檢察官) 一、研究背景 作為一款基于Linux開發(fā)的操作系統(tǒng)��,安卓(Android)智能系統(tǒng)由于其自由�����、價廉及開源性越來越多地受到手機廠家及消費者的青睞。據(jù)統(tǒng)計�,截至2013年的第四季度,全世界采用這款系統(tǒng)的設(shè)備數(shù)量已經(jīng)達到10億臺����,安卓系統(tǒng)的手機數(shù)量已占全球市場份額的78.1%。正是由于該系統(tǒng)在手機應(yīng)用的普及�,安卓智能手機系統(tǒng)取證研究的論文已屢見不鮮����,但是針對安卓系統(tǒng)內(nèi)藍牙數(shù)據(jù)的取證分析卻是鳳毛麟角。而藍牙技術(shù)作為一項免費的設(shè)備間近距離數(shù)據(jù)傳輸技術(shù)��,在安卓系統(tǒng)內(nèi)已廣泛應(yīng)用����,同時由于其不會在移動通訊運營商服務(wù)器上遺留痕跡,給相關(guān)案件的辦理增加了難度�。因此有必要對安卓系統(tǒng)手機的藍牙數(shù)據(jù)進行分析研究。 二��、藍牙技術(shù)簡介 藍牙(Bluetooth)技術(shù)�����,是一種支持電子設(shè)備間近距離(一般小于10米)通信的無線電技術(shù)。能在包括移動電話�����、PDA��、無線耳機�、筆記本電腦、導(dǎo)航儀等設(shè)備間進行無線信息交換��。利用藍牙技術(shù)���,能夠有效實現(xiàn)移動通信終端間的免費通信�,也能夠簡化設(shè)備與因特網(wǎng)之間的通信�����,從而使數(shù)據(jù)傳輸變得更加迅速高效�����。藍牙采用分散式網(wǎng)絡(luò)結(jié)構(gòu)以及快跳頻和短包技術(shù),支持點對點及點對多點通信�����,工作在全球通用的2.4GHz ISM(即工業(yè)���、科學�����、醫(yī)學)頻段��,其數(shù)據(jù)傳輸速率可達1Mbps�����。一般情況下,每個藍牙設(shè)備都有自己全球唯一的MAC地址�。 
三、藍牙技術(shù)在安卓系統(tǒng)的應(yīng)用 2008年9月�����,谷歌發(fā)布的第一款安卓(Android 1.0)操作系統(tǒng)并沒有嵌入藍牙模塊����,直到2009年5月�,Android 1.5(Cupcake)系統(tǒng)才正式應(yīng)用藍牙技術(shù)���,并一直應(yīng)用到后期開發(fā)的所有安卓操作系統(tǒng)�。成熟的安卓系統(tǒng)架構(gòu)和其操作系統(tǒng)一樣����,都采用了分層的架構(gòu)。從架構(gòu)圖看���,Android分為四個層��,從高層到低層分別是應(yīng)用程序?qū)?、?yīng)用程序框架層�����、系統(tǒng)運行庫層和Linux內(nèi)核層�。由“安卓系統(tǒng)架構(gòu)圖”可以看出,藍牙模塊是內(nèi)置于Linux操作系統(tǒng)的內(nèi)核層����,屬于安卓操作系統(tǒng)的核心部分�。 
安卓系統(tǒng)架構(gòu)圖 三����、安卓系統(tǒng)內(nèi)藍牙技術(shù)的應(yīng)用痕跡 由于藍牙模塊是內(nèi)置于Linux操作系統(tǒng)的內(nèi)核層,利用藍牙技術(shù)進行數(shù)據(jù)傳輸必然會在安卓系統(tǒng)由低向高各層�����,即內(nèi)核層�����、系統(tǒng)運行庫層���、應(yīng)用程序框架層和應(yīng)用程序?qū)舆z留各種痕跡����。因此��,我們有必要對整個系統(tǒng)的系統(tǒng)日志��、數(shù)據(jù)庫記錄����、應(yīng)用程序文件、傳輸文件等進行解析研究�。由系統(tǒng)結(jié)構(gòu)看,越是高層的痕跡數(shù)據(jù)越易于獲取��,同時也更易被破壞���。相反�����,越是低層的痕跡數(shù)據(jù)越難于獲取�,同時也不易被破壞�。為了提取更詳盡的數(shù)據(jù),一般需要獲取安卓系統(tǒng)的ROOT權(quán)限����。在移動電話機身獲取系統(tǒng)日志“/log.txt”文件和藍牙數(shù)據(jù)庫日志記錄“/bluedroid/bt_config.xml”(高版本)或者“/bluetoothd/藍牙MAC地址/lastseen”(低版本)文件;在機身獲取數(shù)據(jù)庫“com.android.bluetooth/databases/btopp.db”文件�����,在機身或存儲卡“/Bluetooth”目錄下獲取藍牙傳輸文件����。系統(tǒng)日志文件和藍牙數(shù)據(jù)庫日志文件一般會記錄本機藍牙的啟動時間���、配對對象、每個配對對象的最后一次配對時間��。藍牙數(shù)據(jù)庫文件一般會記錄傳輸文件的時間����、傳輸方向、目的藍牙MAC地址以及傳輸文件的名稱���、類型�、物理大小�����、原始路徑�����、保存路徑�、傳輸數(shù)據(jù)量、是否成功等數(shù)據(jù)痕跡��。 四����、藍牙傳輸數(shù)據(jù)的提取及應(yīng)用 根據(jù)上述藍牙技術(shù)應(yīng)用痕跡,一方面可以分析該設(shè)備曾經(jīng)與哪些藍牙設(shè)備配對連接過����,根據(jù)這些線索搜查未發(fā)現(xiàn)的藍牙設(shè)備;另一方面可以分析該設(shè)備曾經(jīng)與哪些設(shè)備�����,在什么時間���,傳輸過什么數(shù)據(jù)�����,便于查清案情�����,證實犯罪��。 下面���,我們根據(jù)一個典型案例來說明藍牙數(shù)據(jù)的提取及應(yīng)用�����。借助軟件工具主要有:一鍵ROOT工具����、MPE+手機檢驗軟件�����、Sqlite Developer數(shù)據(jù)庫分析軟件���、ecode.exe等軟件��。 簡要案情:2014年5月���,某城郊檢察院在對該市看守所進行巡視檢查時,發(fā)現(xiàn)該所賬目混亂��,所長曹某某涉嫌濫用職權(quán)�,套取基本經(jīng)費中在押人員被服費、生活費等��,私設(shè)小金庫,用于走訪���、招待費等不正當開支,脫離市財政�����、市公安局管理���,造成直接經(jīng)濟損失70余萬元�����。另有線索表明�����,曹某某任職期間�,涉嫌貪污10余萬元�����,玩忽職守造成100余萬元的經(jīng)濟損失���,市看守所私分國有資產(chǎn)40余萬元��。初查期間���,辦案人員發(fā)現(xiàn)曹某某的下屬楊某某通過手機錄音的方式保存了其與領(lǐng)導(dǎo)關(guān)于私設(shè)小金庫���、套取基本經(jīng)費談話內(nèi)容的關(guān)鍵錄音證據(jù)。但楊某某供述其已將本人手機內(nèi)錄音文件通過電腦拷貝至U盤���,交予妻子保存后刪除�����,拒絕向辦案人員交出電腦和U盤����。辦案人員收集到楊某某及其妻子的手機后送交我處����,要求恢復(fù)提取該錄音文件。 首先按照移動電話類案件的檢驗程序��,使用MPE+手機檢驗系統(tǒng)制作手機的機身鏡像文件�,然后分別檢驗兩部手機。初檢發(fā)現(xiàn)楊某某的三星GALAXY Note3手機使用的是安卓Android OS 4.3操作系統(tǒng),藍牙MAC地址為B4:3A:28:A4:51:B5��。獲取ROOT權(quán)限后���,發(fā)現(xiàn)機身通話記錄��、短信息等用戶數(shù)據(jù)均為2014年6月12日以后的數(shù)據(jù),懷疑該手機于當日前被初始化��,無法直接恢復(fù)相關(guān)錄音���。使用MPE+手機檢驗系統(tǒng)和FTK分析軟件對手機機身�、鏡像文件和內(nèi)置16G存儲卡進行綜合檢驗�����、數(shù)據(jù)恢復(fù)�,沒有發(fā)現(xiàn)上述錄音文件。 楊某某妻子的三星GALAXYS4手機使用的是安卓Android OS 4.2操作系統(tǒng)�,藍牙MAC地址為B8:D9:CE:3D:65:87。手機機身“/storage/emulated/0/Bluetooth”目錄下發(fā)現(xiàn)“2014-5-18_21_47_24.mp3”和“2014-05-20_15_07_33.mp3”兩個音頻文件����,文件大小分別為15505030 bytes和10313977 bytes,提取并試聽后,正是委托要求提取的錄音文件����。根據(jù)該文件所在的目錄,推測該錄音文件系使用藍牙通信接收的����。使用MPE+手機檢驗系統(tǒng)加載三星GALAXY S4手機機身鏡像文件,提取該手機藍牙配對文件“/data/misc/bluedroid/bt_config.xml”�,用瀏覽器讀取,得知該手機于2014年5月21日 07:03與藍牙MAC地址為B4:3A:28:A4:51:B5的GalaxyNote3型號手機最后一次配對成功�。同時提取藍牙傳輸記錄數(shù)據(jù)庫文件“/data/user/0/com.android.bluetooth/databases/btopp.db”,用Sqlite Developer數(shù)據(jù)庫分析軟件和ecode.exe軟件進行解析�,得出藍牙傳輸文件信息為: 原始路徑 | /media/external/audio/media/6659 | /media/external/audio/media/6804 | 文件名稱 | 2014-05-18_21_47_24.mp3 | 2014-05-20_15_07_33.mp3 | 保存路徑 | /storage/emulated/0/Bluetooth/2014-05-18_21_47_24.mp3 | /storage/emulated/0/Bluetooth/2014-05-20_15_07_33.mp3 | 文件類型 | audio/mpeg | audio/mpeg | 傳輸類型 | 接收 | 接收 | 對方 MAC地址 | B4:3A:28:A4:51:B5 | B4:3A:28:A4:51:B5 | 文件大小 | 15505030 bytes | 10313977 bytes | 傳輸大小 | 15505030 bytes | 10313977 bytes | 是否成功 | 是 | 是 | 時間戳 | 2014-05-19 19:06:37 | 2014-05-21 07:03:23 |
根據(jù)上述表格可知楊某某妻子的三星GALAXY S4手機通過本機的藍牙先后于2014年5月19日19:06:37和2014年5月21日07:03:23從楊某某的三星GALAXYNote3手機接收了兩個mpeg文件,存儲在“/storage/emulated/0/Bluetooth/”目錄下�,大小分別為15505030 bytes和10313977 bytes,文件名稱分別為2014-05-18_21_47_24.mp3和2014-05-20_15_07_33.mp3�����。對于這兩個文件的描述�����,與從楊某某妻子的三星GALAXY S4手機內(nèi)提取的兩個音頻文件比較��,其文件名稱、文件大小�、傳輸(現(xiàn)存)路徑、傳輸時間都一致�,充分表明,這兩個音頻文件自藍牙傳入后沒有發(fā)生剪輯�����、修改等人為操作�����,保持了其相對完整性���,正是楊某某利用三星GALAXY Note3手機錄制的兩個音頻文件。 五�、總結(jié) 電子證據(jù)就是一個“大現(xiàn)場”,犯罪嫌疑人的每一步操作都會遺留痕跡��。由于技術(shù)原因�����,我們可能暫時無法找到需要的目標��,但是可以通過尋找目標遺留的其它“痕跡”,來間接找到它�����,進而完善證據(jù)鏈條�,強化證據(jù)。在檢案中����,我們要善于開動腦筋,綜合運用多種技術(shù)��,達到辦案效果����。在上述案例中,辦案人委托我們恢復(fù)提取三星GALAXY Note3手機內(nèi)的錄音文件���,由于該手機案發(fā)后被初始化���,用戶數(shù)據(jù)全部丟失,目標“痕跡”被人為清除�,依靠現(xiàn)有技術(shù)無法恢復(fù)出該文件,可以說三星GALAXY Note3手機內(nèi)“現(xiàn)場”被全部清理�����。當另一個“完好現(xiàn)場”三星GALAXYS4手機出現(xiàn)時,我們很容易找到了錄音文件���,下面只需要找到錄音文件在本手機內(nèi)遺留的相關(guān)“痕跡”�,并能通過該“痕跡”找到“原現(xiàn)場”的相關(guān)“痕跡”���,在證明了錄音文件的相對完整性后�,就基本達到了目的��。通過對藍牙傳輸數(shù)據(jù)的分析�����,不僅提取了真實的錄音文件還找到了其傳輸途徑���,強化了證據(jù)的真實性和關(guān)聯(lián)性,開拓了取證的新思路����。面對一份電子數(shù)據(jù)時,不僅要考慮數(shù)據(jù)本身��,還要考慮其可能來源,這對全案偵破可能起到重要證明或啟示作用�。 當然,在本案例中����,我們只是解析了藍牙技術(shù)遺留的部分痕跡數(shù)據(jù),屬于藍牙取證技術(shù)的粗淺研究��。下一步��,我們將對安卓系統(tǒng)藍牙數(shù)據(jù)取證技術(shù)進行系統(tǒng)分析���,總結(jié)出更加全面的知識體系���,為偵查辦案服務(wù)。 參考文獻: [1](美)Andrew Hoog著.何涇沙等譯.Android取證實戰(zhàn) [M]. 北京:機械工業(yè)出版社�,2013年。 [2]戴士劍���,劉品新. 《電子證據(jù)調(diào)查指南》[M]. 北京:中國檢察出版社����,2014年����。 [3] 羅會明. Android智能手機取證研究[D]. 北京:北京化工大學碩士學位論文�,2013年��。
|
