|
来源:盘石软件PANSAFE(ID:Pansafe) 一、基本情况 鉴定人员在鉴定过程中遇到一部华为手机,该手机中存在应用“双开助手”。打开该应用,发现该应用中存在微信应用的图标。 由于微信官方的限制,正常运行的情况下,一部手机同时只能以一个账号登录微信,如果有多个微信账号就要准备多部手机,或者在不同时间内在同一部手机上分别以不同账号登录微信。但是对于一些特殊人群,比如微商,可能会需要在同一部手机上同时登录多个微信。一些软件开发商瞄准这个需求,针对官方的微信程序进行修改,使得可以同时运行多个微信,这种被称为“微信分身”或者“微信多开”。我们遇到的“双开助手”就是一个可以实现类似功能的软件。 在互联网中搜索“双开助手”,发现该应用存在官方网站。该应用的官网网址为“http:///”。官网中对该应用的解释为:“双开助手是一款安卓系统通用的免费双开工具;双开微信、QQ、陌陌、等几乎所有应用;支持工作/生活互不干扰;包体很小,适合大部分智能手机”。 百度百科中对“双开助手”应用的解释:“双开助手”是一款通用的双开工具,能够支持几乎所有的手机上常用软件的双开,包括微信、QQ、陌陌、Facebook、Whatsapp、手机游戏。 在“双开助手”中点击微信图标,发现该程序启动了微信应用程序,且账号为有锁状态。 查看手机中的官方“微信”应用,发现“微信”应用登陆的账号不同于上述“双开助手”中的账号,且“微信”应用中的账号为登入状态。 由上述资料可知,该检材手机中“双开助手”应用对手机中的微信进行了双开。且双开微信的登陆账号与手机中官方微信的登陆账号不一致。 “微信分身”或者“微信双开”给手机取证带来了新的挑战,一方面由于“微信分身”程序或者类似“双开助手”的存在,使得调查人员可能会错过对这些微信“变种”的取证,导致证据获取不够完备;另外一方面,这些程序与原始微信应用在数据存储等方面有所不同,因此需要考虑对原有微信数据取证方式进行改进。本文就试图对“双开助手”实现的“微信分身”提出一种手工取证的方法。 二、取证思路 针对此种情况,可利用adb数据备份进行尝试。adb数据备份步骤如下: 1.查看“双开助手”应用的包名。关闭手机上所有的应用程序,打开“双开助手”应用,连接电脑,使用命令adb shell dumpsys activity activities 查看“双开助手”应用程序包名。 该应用程序的包名为“com.excelliance.dualaid”。 2.进行应用程序数据备份。使用命令 “adb backup –f D:\11\fszs.ab com.excelliance.dualaid” 备份 “双开助手”应用程序的数据。备份完成后得到fszs.ab文件。该文件大小为“57,866,697“字节,说明adb命令已经备份到该应用的数据。 3.将该ab文件解压成文件夹形式。使用盘石取证大黄蜂的“文件解析”界面添加上述得到的备份文件: 添加完成后在“数据类型选项”界面任意勾选一个选项,在“提取选项”中勾选”保存采集文件“,可以将刚得到的ab文件转换为文件目录: 点击确定后,开始解析备份文件。解析完成后界面如下图所示: 查看盘石取证大黄蜂的数据库中提取到的文件: 其中在“gameplugins”目录下存在com.tencent.mm目录,com.tencent.mm目录的结构如下图所示:
在com.tencent.mm目录中发现存在名为“EnMicroMsg.db”的文件。 微信应用程序的包名为”“com.tencent.mm”,且微信应用程序的数据目录中存在“EnMicroMsg.db”文件。因此,推测该检材手机中“双开助手”应用程序双开的微信数据目录存放在“gameplugins”目录中。 4.提取微信内容。 使用盘石取证大黄蜂的”文件解析“功能,添加上述的com.tencent.mm目录:
在”数据类型选项”界面勾选微信选项:
点击确定开始解析微信,解析完成后成功解析出微信聊天记录:
通过上述步骤,成功解析出“双开助手”应用中的微信聊天记录。 上述结果表明,该应用程序可通过adb备份命令备份出数据,且该应用在“gameplugins”目录下存储双开应用的数据目录。 三、分析说明 目前市面上针对手机和移动终端的取证工具有很多种,大部分的手机取证工具对常见应用的支持会比较好,但是小众应用或者类似“微信分身”这样的非官方应用的支持就会比较差或者根本不支持。这就需要我们具备一定的手工分析能力。在本例中,在尽量不改变检材原始性的原则下,针对此种情况,使用adb备份命令备份应用程序数据目前是获取Android系统中应用程序数据比较常规的一种思路。使用adb命令可以在免root手机的情况下完整地获取到应用程序的数据目录。另一种鉴定思路是利用检材手机系统中自带的备份功能备份应用程序的数据。不过目前市场上的手机种类繁多,情况复杂。部分机型没有自备份功能,部分机型的自备份功能无法备份到外置SD卡中,部分机型的自备份功能备份出的数据有特殊格式,需要对数据格式进行格式分析。当相关文件提取出来以后,我们可以手工使用二进制分析工具(如Winhex)或者特定的数据格式分析工具(如SQLiteManager for Firefox)来分析,也可以使用盘石手机取证大黄蜂的“文件解析”功能进行辅助分析。 |
|
|
