安卓模拟器数据提取分析方法
安卓模拟器小知识
随着虚拟化技术的不断成熟,越来越多的厂商加入到虚拟化产品的大军中,而安卓模拟器就是应用虚拟化技术的佼佼者。
安卓模拟器,是能在电脑上模拟安卓操作系统,并能安装、使用、卸载安卓应用的软件,它能让你在电脑上也能体验操作安卓系统的全过程。目前比较常见的安卓模拟器有“Android SDK”、“BlueStacks”和“逍遥安卓模拟器”等。
由于安卓模拟器操作简单,成本低,故一些不法分子就选择利用安卓模拟器进行诈骗等违法犯罪行为。
本文将主要介绍基于逍遥安卓模拟器的数据提取分析方法。
逍遥安卓模拟器取证
逍遥安卓模拟器是一款基于VMware Workstation的强劲安卓模拟器,在实际运用过程中,为了方便数据的存储和携带,可通过“逍遥安卓-多开管理器”导出扩展名为ova格式的虚拟包镜像文件,该文件包含所有用于部署虚拟机的必要信息,是由DMTF(Distributed Management Task Force)所定义的。
通过对ova格式镜像文件的研究分析,发现ova格式镜像文件是一种单一的压缩文件,解压完成之后就是vmdk虚拟磁盘文件,因此对逍遥安卓模拟器数据提取分析只需对导出的ova格式镜像文件中的vmdk虚拟磁盘文件进行分析即可。
下文将具体介绍逍遥安卓模拟器数据提取思路和操作步骤。
逍遥安卓模拟器数据提取分析思路
对逍遥安卓模拟器数据进行提取分析时,最关键的就是找到对应的虚拟机文件,这样就可以获取到相应的安卓应用数据,进而通过手机取证分析软件解析数据。获取vmdk虚拟机文件的方式有:
1、直接查找
逍遥模拟器安装完成并启动安卓模拟器之后,默认会在模拟器的安装目录下生成存储数据的vmdk虚拟磁盘文件,可以通过效率源DF6600电子数据分析系统对这些虚拟磁盘文件解析、提取分析;
解析vmdk虚拟磁盘文件
2、ova格式镜像文件提取分析
在上文中我们已经知道逍遥安卓模拟器可以导出便于保存和携带的ova格式的镜像文件,将ova格式镜像进行解压就可以获得vmdk的虚拟磁盘文件,再通过电子取证工具对解压后的vmdk虚拟磁盘文件提取分析即可;
逍遥安卓模拟器取证分析流程
逍遥安卓模拟器数据提取分析步骤
案例背景
案情简介:不法分子利用逍遥安卓模拟器通过QQ、网银等骗取钱财;
案件检材:U盘镜像(存储逍遥安卓模拟器的ova格式镜像文件);
会使用到的取证分析工具
DRS6800数据恢复系统,以下简称“DRS”;
SPF9139智能手机数据恢复取证系统,以下简称“SPF9139”;
WinHex 16进制编辑器,以下简称“WinHex”;
具体操作步骤
针对案例中的情况,对此逍遥安卓虚拟机数据提取分析步骤如下:
1、通过DRS加载U盘镜像文件,提取并恢复ova格式的全部文件;
快速扫描获取ova格式文件
保存ova格式的正常文件
2、把提取恢复的ova格式镜像文件全部改成压缩格式文件(可通过DOS命令进行批量修改),然后对压缩文件进行解压,解压后为vmdk虚拟磁盘文件;
对压缩文件进行解压
解压后为vmdk虚拟磁盘文件
3、通过WinHex加载解压后的vmdk虚拟磁盘文件,分析并定位数据区;
定位数据区
4、定位数据区后,通过DRS加载存放数据的vmdk虚拟磁盘文件进行提取分析,获取到QQ应用数据包“com.tencent.mobileqq”文件夹并恢复保存到本地;
提取QQ应用程序数据
5、采用上述同样的方法将QQ聊天记录中多媒体缓存存放的数据包“tencent”文件夹恢复并导出,和QQ应用数据包“com.tencent.mobileqq”放到同一文件的根目录下;
提取多媒体数据
6、最后使用SPF9139通过加载文件夹的方式进行取证分析,即可采集到逍遥安卓模拟器中QQ聊天记录相关数据;
解析QQ应用程序数据
7、导出数据报告。
小编有话说
关于逍遥安卓模拟器数据提取分析方法的分享到这里就告一段落了,希望我们的分享能让大家有所收获,也非常欢迎大家来跟我们分享、交流、探讨行业的新技术、新需求,大家一起共同学习成长。当然如果您们有模拟器相关案件协助也可以通过微信联系我们哦!