当前位置: 主页 > 关于效率源 > 行业洞察 > 热点技术

安卓模拟器数据提取分析方法

2018-03-14 14:04

安卓模拟器小知识

随着虚拟化技术的不断成熟,越来越多的厂商加入到虚拟化产品的大军中,而安卓模拟器就是应用虚拟化技术的佼佼者。

安卓模拟器,是能在电脑上模拟安卓操作系统,并能安装、使用、卸载安卓应用的软件,它能让你在电脑上也能体验操作安卓系统的全过程。目前比较常见的安卓模拟器有“Android SDK”、“BlueStacks”和“逍遥安卓模拟器”等。

由于安卓模拟器操作简单,成本低,故一些不法分子就选择利用安卓模拟器进行诈骗等违法犯罪行为。

本文将主要介绍基于逍遥安卓模拟器的数据提取分析方法。

逍遥安卓模拟器取证

逍遥安卓模拟器是一款基于VMware Workstation的强劲安卓模拟器,在实际运用过程中,为了方便数据的存储和携带,可通过“逍遥安卓-多开管理器”导出扩展名为ova格式的虚拟包镜像文件,该文件包含所有用于部署虚拟机的必要信息,是由DMTF(Distributed Management Task Force)所定义的。

通过对ova格式镜像文件的研究分析,发现ova格式镜像文件是一种单一的压缩文件,解压完成之后就是vmdk虚拟磁盘文件,因此对逍遥安卓模拟器数据提取分析只需对导出的ova格式镜像文件中的vmdk虚拟磁盘文件进行分析即可。

下文将具体介绍逍遥安卓模拟器数据提取思路和操作步骤。

逍遥安卓模拟器数据提取分析思路

对逍遥安卓模拟器数据进行提取分析时,最关键的就是找到对应的虚拟机文件,这样就可以获取到相应的安卓应用数据,进而通过手机取证分析软件解析数据。获取vmdk虚拟机文件的方式有:

1、直接查找

逍遥模拟器安装完成并启动安卓模拟器之后,默认会在模拟器的安装目录下生成存储数据的vmdk虚拟磁盘文件,可以通过效率源DF6600电子数据分析系统对这些虚拟磁盘文件解析、提取分析;

虚拟机1.png

解析vmdk虚拟磁盘文件

2、ova格式镜像文件提取分析

在上文中我们已经知道逍遥安卓模拟器可以导出便于保存和携带的ova格式的镜像文件,将ova格式镜像进行解压就可以获得vmdk的虚拟磁盘文件,再通过电子取证工具对解压后的vmdk虚拟磁盘文件提取分析即可;

1111.jpg

逍遥安卓模拟器取证分析流程

逍遥安卓模拟器数据提取分析步骤

案例背景

案情简介:不法分子利用逍遥安卓模拟器通过QQ、网银等骗取钱财;

案件检材U盘镜像(存储逍遥安卓模拟器的ova格式镜像文件);

会使用到的取证分析工具

DRS6800数据恢复系统,以下简称“DRS”;

SPF9139智能手机数据恢复取证系统,以下简称“SPF9139”;

WinHex 16进制编辑器,以下简称“WinHex”;

具体操作步骤

针对案例中的情况,对此逍遥安卓虚拟机数据提取分析步骤如下:

1、通过DRS加载U盘镜像文件,提取并恢复ova格式的全部文件;

222.jpg

快速扫描获取ova格式文件

333.jpg

保存ova格式的正常文件

2、把提取恢复的ova格式镜像文件全部改成压缩格式文件(可通过DOS命令进行批量修改),然后对压缩文件进行解压,解压后为vmdk虚拟磁盘文件;

444.jpg

对压缩文件进行解压

555.jpg

解压后为vmdk虚拟磁盘文件

3、通过WinHex加载解压后的vmdk虚拟磁盘文件,分析并定位数据区;

66.jpg

定位数据区

4、定位数据区后,通过DRS加载存放数据的vmdk虚拟磁盘文件进行提取分析,获取到QQ应用数据包“com.tencent.mobileqq”文件夹并恢复保存到本地;

QQ文件1.png

提取QQ应用程序数据

5、采用上述同样的方法将QQ聊天记录中多媒体缓存存放的数据包“tencent”文件夹恢复并导出,和QQ应用数据包“com.tencent.mobileqq”放到同一文件的根目录下;

提取多媒体数据1.png

提取多媒体数据

6、最后使用SPF9139通过加载文件夹的方式进行取证分析,即可采集到逍遥安卓模拟器中QQ聊天记录相关数据;

99.png

解析QQ应用程序数据

7、导出数据报告。

10.png

小编有话说!

关于逍遥安卓模拟器数据提取分析方法的分享到这里就告一段落了,希望我们的分享能让大家有所收获,也非常欢迎大家来跟我们分享、交流、探讨行业的新技术、新需求,大家一起共同学习成长。当然如果您们有模拟器相关案件协助也可以通过微信联系我们哦!