|
(本文作者:王景国、王宗利,系山东省人民检察院检察官) 一、研究背景 作为一款基于Linux开发的操作系统,安卓(Android)智能系统由于其自由、价廉及开源性越来越多地受到手机厂家及消费者的青睐。据统计,截至2013年的第四季度,全世界采用这款系统的设备数量已经达到10亿台,安卓系统的手机数量已占全球市场份额的78.1%。正是由于该系统在手机应用的普及,安卓智能手机系统取证研究的论文已屡见不鲜,但是针对安卓系统内蓝牙数据的取证分析却是凤毛麟角。而蓝牙技术作为一项免费的设备间近距离数据传输技术,在安卓系统内已广泛应用,同时由于其不会在移动通讯运营商服务器上遗留痕迹,给相关案件的办理增加了难度。因此有必要对安卓系统手机的蓝牙数据进行分析研究。 二、蓝牙技术简介 蓝牙(Bluetooth)技术,是一种支持电子设备间近距离(一般小于10米)通信的无线电技术。能在包括移动电话、PDA、无线耳机、笔记本电脑、导航仪等设备间进行无线信息交换。利用蓝牙技术,能够有效实现移动通信终端间的免费通信,也能够简化设备与因特网之间的通信,从而使数据传输变得更加迅速高效。蓝牙采用分散式网络结构以及快跳频和短包技术,支持点对点及点对多点通信,工作在全球通用的2.4GHz ISM(即工业、科学、医学)频段,其数据传输速率可达1Mbps。一般情况下,每个蓝牙设备都有自己全球唯一的MAC地址。 三、蓝牙技术在安卓系统的应用 2008年9月,谷歌发布的第一款安卓(Android 1.0)操作系统并没有嵌入蓝牙模块,直到2009年5月,Android 1.5(Cupcake)系统才正式应用蓝牙技术,并一直应用到后期开发的所有安卓操作系统。成熟的安卓系统架构和其操作系统一样,都采用了分层的架构。从架构图看,Android分为四个层,从高层到低层分别是应用程序层、应用程序框架层、系统运行库层和Linux内核层。由“安卓系统架构图”可以看出,蓝牙模块是内置于Linux操作系统的内核层,属于安卓操作系统的核心部分。 安卓系统架构图 三、安卓系统内蓝牙技术的应用痕迹 由于蓝牙模块是内置于Linux操作系统的内核层,利用蓝牙技术进行数据传输必然会在安卓系统由低向高各层,即内核层、系统运行库层、应用程序框架层和应用程序层遗留各种痕迹。因此,我们有必要对整个系统的系统日志、数据库记录、应用程序文件、传输文件等进行解析研究。由系统结构看,越是高层的痕迹数据越易于获取,同时也更易被破坏。相反,越是低层的痕迹数据越难于获取,同时也不易被破坏。为了提取更详尽的数据,一般需要获取安卓系统的ROOT权限。在移动电话机身获取系统日志“/log.txt”文件和蓝牙数据库日志记录“/bluedroid/bt_config.xml”(高版本)或者“/bluetoothd/蓝牙MAC地址/lastseen”(低版本)文件;在机身获取数据库“com.android.bluetooth/databases/btopp.db”文件,在机身或存储卡“/Bluetooth”目录下获取蓝牙传输文件。系统日志文件和蓝牙数据库日志文件一般会记录本机蓝牙的启动时间、配对对象、每个配对对象的最后一次配对时间。蓝牙数据库文件一般会记录传输文件的时间、传输方向、目的蓝牙MAC地址以及传输文件的名称、类型、物理大小、原始路径、保存路径、传输数据量、是否成功等数据痕迹。 四、蓝牙传输数据的提取及应用 根据上述蓝牙技术应用痕迹,一方面可以分析该设备曾经与哪些蓝牙设备配对连接过,根据这些线索搜查未发现的蓝牙设备;另一方面可以分析该设备曾经与哪些设备,在什么时间,传输过什么数据,便于查清案情,证实犯罪。 下面,我们根据一个典型案例来说明蓝牙数据的提取及应用。借助软件工具主要有:一键ROOT工具、MPE+手机检验软件、Sqlite Developer数据库分析软件、ecode.exe等软件。 简要案情:2014年5月,某城郊检察院在对该市看守所进行巡视检查时,发现该所账目混乱,所长曹某某涉嫌滥用职权,套取基本经费中在押人员被服费、生活费等,私设小金库,用于走访、招待费等不正当开支,脱离市财政、市公安局管理,造成直接经济损失70余万元。另有线索表明,曹某某任职期间,涉嫌贪污10余万元,玩忽职守造成100余万元的经济损失,市看守所私分国有资产40余万元。初查期间,办案人员发现曹某某的下属杨某某通过手机录音的方式保存了其与领导关于私设小金库、套取基本经费谈话内容的关键录音证据。但杨某某供述其已将本人手机内录音文件通过电脑拷贝至U盘,交予妻子保存后删除,拒绝向办案人员交出电脑和U盘。办案人员收集到杨某某及其妻子的手机后送交我处,要求恢复提取该录音文件。 首先按照移动电话类案件的检验程序,使用MPE+手机检验系统制作手机的机身镜像文件,然后分别检验两部手机。初检发现杨某某的三星GALAXY Note3手机使用的是安卓Android OS 4.3操作系统,蓝牙MAC地址为B4:3A:28:A4:51:B5。获取ROOT权限后,发现机身通话记录、短信息等用户数据均为2014年6月12日以后的数据,怀疑该手机于当日前被初始化,无法直接恢复相关录音。使用MPE+手机检验系统和FTK分析软件对手机机身、镜像文件和内置16G存储卡进行综合检验、数据恢复,没有发现上述录音文件。 杨某某妻子的三星GALAXYS4手机使用的是安卓Android OS 4.2操作系统,蓝牙MAC地址为B8:D9:CE:3D:65:87。手机机身“/storage/emulated/0/Bluetooth”目录下发现“2014-5-18_21_47_24.mp3”和“2014-05-20_15_07_33.mp3”两个音频文件,文件大小分别为15505030 bytes和10313977 bytes,提取并试听后,正是委托要求提取的录音文件。根据该文件所在的目录,推测该录音文件系使用蓝牙通信接收的。使用MPE+手机检验系统加载三星GALAXY S4手机机身镜像文件,提取该手机蓝牙配对文件“/data/misc/bluedroid/bt_config.xml”,用浏览器读取,得知该手机于2014年5月21日 07:03与蓝牙MAC地址为B4:3A:28:A4:51:B5的GalaxyNote3型号手机最后一次配对成功。同时提取蓝牙传输记录数据库文件“/data/user/0/com.android.bluetooth/databases/btopp.db”,用Sqlite Developer数据库分析软件和ecode.exe软件进行解析,得出蓝牙传输文件信息为:
根据上述表格可知杨某某妻子的三星GALAXY S4手机通过本机的蓝牙先后于2014年5月19日19:06:37和2014年5月21日07:03:23从杨某某的三星GALAXYNote3手机接收了两个mpeg文件,存储在“/storage/emulated/0/Bluetooth/”目录下,大小分别为15505030 bytes和10313977 bytes,文件名称分别为2014-05-18_21_47_24.mp3和2014-05-20_15_07_33.mp3。对于这两个文件的描述,与从杨某某妻子的三星GALAXY S4手机内提取的两个音频文件比较,其文件名称、文件大小、传输(现存)路径、传输时间都一致,充分表明,这两个音频文件自蓝牙传入后没有发生剪辑、修改等人为操作,保持了其相对完整性,正是杨某某利用三星GALAXY Note3手机录制的两个音频文件。 五、总结 电子证据就是一个“大现场”,犯罪嫌疑人的每一步操作都会遗留痕迹。由于技术原因,我们可能暂时无法找到需要的目标,但是可以通过寻找目标遗留的其它“痕迹”,来间接找到它,进而完善证据链条,强化证据。在检案中,我们要善于开动脑筋,综合运用多种技术,达到办案效果。在上述案例中,办案人委托我们恢复提取三星GALAXY Note3手机内的录音文件,由于该手机案发后被初始化,用户数据全部丢失,目标“痕迹”被人为清除,依靠现有技术无法恢复出该文件,可以说三星GALAXY Note3手机内“现场”被全部清理。当另一个“完好现场”三星GALAXYS4手机出现时,我们很容易找到了录音文件,下面只需要找到录音文件在本手机内遗留的相关“痕迹”,并能通过该“痕迹”找到“原现场”的相关“痕迹”,在证明了录音文件的相对完整性后,就基本达到了目的。通过对蓝牙传输数据的分析,不仅提取了真实的录音文件还找到了其传输途径,强化了证据的真实性和关联性,开拓了取证的新思路。面对一份电子数据时,不仅要考虑数据本身,还要考虑其可能来源,这对全案侦破可能起到重要证明或启示作用。 当然,在本案例中,我们只是解析了蓝牙技术遗留的部分痕迹数据,属于蓝牙取证技术的粗浅研究。下一步,我们将对安卓系统蓝牙数据取证技术进行系统分析,总结出更加全面的知识体系,为侦查办案服务。 参考文献: [1](美)Andrew Hoog著.何泾沙等译.Android取证实战 [M]. 北京:机械工业出版社,2013年。 [2]戴士剑,刘品新. 《电子证据调查指南》[M]. 北京:中国检察出版社,2014年。 [3] 罗会明. Android智能手机取证研究[D]. 北京:北京化工大学硕士学位论文,2013年。
|
|
|
