首页 > 关于效率源 > 新闻和事件 > 技术视界
「王老师实操课」安卓模拟器取证方法探析
2021年12月30日

课前提要

叮~~不知不觉,王老师实操课也陪伴大家到了今年最后一期了。

首先,感谢大家对王老师一直以来的关注与支持。在栏目第一期时王老师说过,【王老师实操课】栏目的初衷是在分享技术理论的同时,辅助更多的案例实操,来更好地消化理论知识,以便为各位以后的工作积累更多的实战经验。不知道经过这一年的学习,大家收获到了哪些理论知识和实战经验呢?

不忘初心,方得始终。今年最后一期,王老师将继续为大家分享安卓模拟器的取证实操。

上课之前,先来公布上期的试题答案:6。

一、概述

安卓模拟器能在电脑上模拟安卓操作系统,并能安装、使用、卸载安卓应用的工具类软件,让用户在电脑上也能体验操作安卓系统的全过程。安卓模拟器由于操作简单、成本低,常被一些不法分子用来进行违法犯罪活动。对于安卓模拟器内微信、QQ等应用的电子数据,如果在取证过程中技术人员对相关的犯罪技术手法不了解,就会造成安卓模拟器运行的应用数据漏提,所以我们需要了解安卓模拟的数据情况,掌握其取证方法。目前比较常见的安卓模拟器有“夜神模拟器”、“雷电模拟器”和“逍遥模拟器”等等。

二、取证思路分析

步骤一:查找并确认安卓模拟器

首先,需要注意可能存在的情况:

①安卓模拟器存在多开;

②安卓模拟器软件被卸载或数据被删除;

③安装有多个安卓模拟器或安卓模拟器安装在VM虚拟机中。

步骤二:提取或恢复安卓模拟器数据

1.通用提取关键点

●找到镜像里对应的虚拟机vmdk磁盘文件(模拟器的数据采用虚拟磁盘文件进行存储),也可能是其他格式的虚拟磁盘文件,如:vdi。

●查找vmdk方法:可以在模拟器安装目录直接搜索“vmdk”,其他格式也可采用上述方法查找。

夜神安卓模拟器vmdk路径:

D:\Program Files\Nox\bin\BignoxVMS\Nox

雷电模拟器vmdk路径:

D:\Program Files\LeiDian\LDPlayer4.0\vms\leidian

逍遥模拟器vmdk路径:

D:\Program Files\Microvirt\MEmu\image\71

MuMu模拟器vdi路径:

D:\Program Files\mumu\emulator\nemu\vms\nemu-6.0-x64-default



2.相关情况的提取方法

①安卓模拟器存在多开:可以在模拟器的设置中找到相关的信息确认,再进行提取。



②安卓模拟器软件被卸载或数据被删除:

方法一:在安卓模拟器被卸载或数据被删除的情况下,可以通过对该模拟器虚拟磁盘文件进行数据恢复,恢复数据的扫描路径以虚拟磁盘文件存储的路径位置为参考,具体需要视情况而定(此类虚拟磁盘在数据层次类似于在分区中再划分分区空间,数据底层未加密);

方法二:尝试查找模拟器的备份文件,通过还原备份文件再提取数据的方式提取,安卓模拟器可以通过自带的备份工具进行备份,就会得到后缀名为“.xxx”的镜像文件(夜神模拟器是“.nupk”;雷电模拟器是“.ldbk”;逍遥模拟器是“.ova”的镜像文件)。

③存在多个安卓模拟器或安卓模拟器安装在如:VM虚拟机中的情况,只需多做查找即可,定位安卓模拟器后再进行相关数据提取。

步骤三:手机取证工具解析数据

将找到的安卓模拟器的虚拟机vmdk磁盘文件加载到手机取证工具中进行解析,即可得到相关的数据,部分模拟器需要手动从vmdk磁盘文件中提取出涉案的数据文件再进行解析才能获得相关的数据。

三、 案例实操

以夜神模拟器备份文件为例,进行数据提取操作。

工具:夜神模拟器7.0.1.3、SPF9139智能手机数据恢复取证系统

检材:xxxx.npbk

操作步骤:

1. 首先安装新的夜神模拟器,通过导入还原备份文件还原安卓模拟器,通过查找找到模拟器的vmdk数据镜像。







2. 手机取证工具解析数据。

(1)将虚拟磁盘文件加载到SPF9139智能手机数据恢复取证系统中进行解析;



(2)选择自动提取,提取完成。如下图所示,微信和QQ正常数据均能提取出来,包括一些删除的数据。



四、 注意事项

1.如果在涉案计算机的安装软件中没有找到相关的安卓模拟器,可以结合软件运行痕迹、软件安装包、浏览器历史记录等排查情况,避免遗漏;

2.安卓模拟器内的APP卸载后,数据的恢复较物理机存在更大的恢复概率,注意数据恢复方法的选择;

3.其他探讨情况欢迎留言反馈。

五、 案例练习

现在有一个安卓模拟器镜像“备份.npbk”,请找出该镜像里面诈骗人员的银行账户。

链接:pan.baidu.com/s/1VaovCr

提取码:m76v