大数跨境
首页
>
【龙信公开课】“安卓模拟器”-取证新思路
>

【龙信公开课】“安卓模拟器”-取证新思路

【龙信公开课】“安卓模拟器”-取证新思路 苏州龙信信息科技有限公司
2021-05-20
6
导读:给安卓模拟器取证“抄近道”
本文大概
2477字
阅读需要
5分钟


龙信公开课
新 一 代 电 子 数 据 取 证 专 家
DIGITAL FORENSICS COURSE OF LONGXIN
本期讲师
邓 佳 川

中科院硕士

龙信科技高级研发工程师

龙信科技明星讲师


教学风格轻快活泼,语言幽默,内容扎实


本 期 主 题

安卓模拟器取证

课 程 目 的

使取证人员快速应对不同模拟器取证

特 别 鸣 谢

山东省青州市公安局  汪昆明


ying
yong
bei
jing


不少客户反应,利用安卓模拟器实施的诈骗活动近来愈发猖獗。由于模拟器种类繁多、变化快,取证人员无法快速实现高效取证目的。


随着反诈行动如火如荼地展开,龙信科技研发中心开展了基于安卓模拟器的取证技术研发,并在实际工作中,为客户带去便利。


今天的龙信公开课主要针对“安卓模拟器”这一技术,和大家一起来探索如何实现对基于安卓模拟器的快速取证,如何进行基于安卓模拟器的取证技术创新。


ji
chu
zhi
shi




01
安卓模拟器是什么



安卓模拟器是一种能在电脑上运行模拟安卓手机系统的软件,它支持安装、使用、卸载安卓软件,利用它可以使用户脱离真实设备的硬件限制。早时安卓模拟器一般是用来给开发者做调试等,现今大部分模拟器一般做成一种体验手游平台。




02
安卓模拟器的特点



①永不掉线,免除电池能续航等硬件问题。

②软件多开,可以突破手机应用分身多开限制。

③方便操作,以鼠标代替拇指提高效率。

④成本低廉,免除手机更新换代等限制。




03
安卓模拟器的工作原理



目前所有的安卓模拟器基本上都是运用虚拟化技术来模拟安卓手机的硬件操作。


所谓虚拟化是指将网络、CPU、存储等硬件资源经过抽象、转换然后呈现出来,使得用户使用时感觉如同在使用真机一般。


目前主根据存储格式主要分为两类:


①VMDK的文件格式(VMware),代表有夜神模拟器、雷电模拟器、逍遥模拟器等;


②VDI的文件格式(Oracle VM VirtualBox Disk Image),代表有Bluestacks、MuMu模拟器、手机模拟大师等。




04
安卓模拟器的种类



夜神模拟器
emulator


官网:https://www.yeshen.com/

当前版本:7.0.1.0(2021-03-06)



数据存储目录:

路径 样例

D:\Program Files\Nox\bin\data

D:\Program Files\Nox\bin\BignoxVMS\nox


雷电模拟器
emulator


官网:https://www.ldmnq.com/

当前版本:4.0.54(2021-04-15)



数据存储目录:


路径 样例

D:\LeiDian\LDPlayer4.0\vms\leidian0


逍遥模拟器
emulator


官网:http://www.xyaz.cn/

当前版本:7.5.0(2021-03-26)



数据存储目录:


路径 样例

D:\Program Files\Microvirt\MEmu\image

D:\Program Files\Microvirt\MEmu\MemuHyperv VMs\MEmu


Bluestacks蓝叠模拟器
Blustacks emulator


官网:https://www.bluestacks.cn/

当前版本:v4.280.0(2021-03-25)



数据存储目录:


路径 样例

D:\Program Files (x86)\BluestacksCN\Engine\ProgramData\Engine\Android


MuMu模拟器
emulator


官网:http://mumu.163.com/

当前版本:2.5.6(2021-04-09)



数据存储目录:


路径 样例

C:\Program Files\MuMu\emulator\nemu\vm


手机模拟大师
emulator


官网:http://g.monidashi.cn/

当前版本:7.1.3587.2240(2021-04-17)



数据存储目录:


路径 样例

D:\MobileEmuMaster\LDSGamePlayerPK\vms


gong
ju
zhun
bei


1、电脑 WINDOWS 7及以上版本

2、上述任意一款安卓模拟器

3、龙信LX-A200手机数据取证系统

4、FTK image 



cao
zuo
bu
zhou




01
镜像挂载



模拟器数据存储格式主要有.vmdk或者.vdi两种,我们简称这些格式文件为镜像文件,如下结合FTK-Imager等工具对这两类镜像进行挂载。


VDMK镜像
vdmk



vmdk的镜像代表有3个以上,如下以雷电模拟器的镜像为例


Step1:定位安卓微信所在镜像

Step2:使用FTK-Imager打开data.vmdk镜像



Step3:导出微信数据(com.tencent.mm)



VDI镜像
vdi


Vdi镜像格式的模拟器也有3个,此处以Bluestacks镜像为例,由于vdi镜像是Oracle VM VirtualBox Disk Image自定义的一种镜像格式,FTK-Imager 4.1.1并不能完整挂载,于是我们借助VirtualBox的工具VBoxManager.exe对该镜像进行一次转化。


Step1:定位微信所在镜像(记为Data_0.vdi)

Step2:使用VBoxManage.exe将vdi镜像转为vmdk镜像



Step3:使用FTK-Imager打开Data_0.vmdk镜像



Step4:导出微信数据(com.tencent.mm)




02
取证分析



打开LX-A200对上述导致的微信数据进行取证分析


Step1:创建wechat/data目录,

".auth_cache""MicroMsg""shared_prefs"拷入其下



Step2:创建wechat/attachment目录,

将"/data/media/0/tencent/MicroMsg/"

"/data/media/0/Android/data/com.tencent.mm/MicroMsg/"等目录拷入



Step3:使用LX-A200软件的自识别结构对WeChat目录进行扫描



以上就是本期关于安卓模拟器的取证教程, 感谢大家观看,我们下期见。    


推荐阅读
203+207=?
 
【龙信公开课】这些都不知道,还谈什么Android端逆向
 
【版本更新】还有谁!1小时轻松搞定256G手机数据信息提取解析
 


服务宗旨


苏州龙信不忘初心,以专业的技术为各级行政执法部门打击违法犯罪活动提供更快速全面的技术解决方案。

如有需要请联系我们或您所在地我们的合作伙伴。


【声明】内容源于网络
0
0
苏州龙信信息科技有限公司
公司成立于2017年,立足于国内信息安全、计算机取证、犯罪调查领域,为公安、司法、军队、调查机构提供先进的电子数据取证产品。同时针对客户的不同需要,开展取证产品定制研发。公司目前已拥有多项软件著作权及技术专利。
内容 73
粉丝 0
苏州龙信信息科技有限公司 公司成立于2017年,立足于国内信息安全、计算机取证、犯罪调查领域,为公安、司法、军队、调查机构提供先进的电子数据取证产品。同时针对客户的不同需要,开展取证产品定制研发。公司目前已拥有多项软件著作权及技术专利。
总阅读48
粉丝0
内容73