◆李鹏超 杨 鹏
(重庆警察学院信息安全系 重庆 401331)
基于Android手机的音频文件取证技术研究
◆李鹏超 杨 鹏
(重庆警察学院信息安全系 重庆 401331)
近年来随着手机智能化程度的不断提高,手机在人们日常生活中所起到的作用愈加凸显。在侦查人员办理与智能手机相关的违法犯罪案件中,通常会发现手机中存储了大量有价值的用户信息,其中包括与犯罪相关的通话记录、图像、音频、视频等信息。智能手机中存储的各种类型音频文件已经成为一种普遍存在的信息,因此在手机取证工作中如何将种类繁多的音频信息提取并恢复已经成为手机取证领域研究的热点内容。本文通过在Android智能手机中音频文件取证技术的研究,提出一种解决方案,该方案能成功恢复并通过转码的方式正常播放已被删除的音频数据。与传统手机取证方法相比,此方案能够在不影响信息提取精确度的前提下提高智能手机中被删除音频数据的恢复效率。
数据恢复;转码;Android系统;手机取证
随着智能手机相关技术的不断发展,智能手机的操作系统也已经呈现出了多样性,主流智能手机系统包括 Android、Windows、iOS等[1]。在众多系统中,Android系统因其开源的特点,倍受开发人员和用户的喜爱,其在智能手机市场份额中已经占据主导地位。根据知名数据研究公司 International Data Corporation(IDC)的最新调查表明[2],Android 系统手机已占全球智能手机市场近70%的份额,到 2019年市场占有率将上升至82.6%。随着 Android系统手机用户数量的爆发式增长,Android系统已经成为移动互联网恶意程序攻击的主要对象。根据相关调查显示[3],2016年针对Android平台开发的互联网恶意攻击程序,共有2,053,450个,占99%以上,位居第一。在移动互联网恶意程序攻击的背后隐藏着庞大的基于手机用户的违法犯罪活动,已经对社会造成严重的危害。为了有效打击非法犯罪活动,存储于手机中的电子数据已经成为一种新的证据形式[4]。目前大多数基于手机的犯罪活动在最终侦破过程中电子证据都起到了至关重要的作用[5]。但是,智能手机上存储的电子数据因其脆弱性会给手机上电子证据的提取带来困难。同时,伴随犯罪嫌疑人的反侦察意识和技术的不断提高,犯罪嫌疑人会通过各种技术手段对智能手机上存储的电子数据,如短信、通话记录、音频、视频等进行删除或销毁。如何有效的将智能手机系统中已经被破坏或销毁的电子数据恢复已经成为司法取证的关键,并直接影响案件能否成功侦破。
Android系统手机数据取证技术是通过技术手段获取犯罪嫌疑人使用的Andriod系统手机中存储的关键数据线索,包括存储的短信、微信、QQ等已删除但没有被覆盖的电子数据等内容[6]。
近年来,由于智能手机可以安装微信、QQ等通信工具为人们的生活和交流提供便利。根据中国2016年有关手机用户日常行为调查报告显示,手机用户除了打电话、发信息等基本通讯功能的使用外, 手机软件如,微信、QQ等应用已经成为绝大多数手机用户打发碎片时间、获取资讯、信息交互的主要渠道和日常行为。其中使用的手机通信软件中应用最多的为QQ和微信。这些通信软件也逐渐被犯罪嫌疑人利用作为从事违法犯罪活动的通讯或传输信息的工具。因此,在对违法犯罪案件证据提取的过程中,智能手机中保存的音频文件,如通话录音、手机录音、微信语音、QQ语音等,已经成为侦查人员重点关注的信息。但由于智能手机类型繁多且其中安装的软件种类各不相同,导致智能手机中存储的语音文件类型多、存储原理复杂,同时由于智能手机犯罪的隐蔽性和部分犯罪嫌疑人具有很强的反侦察意识,会利用删除、刷机、格式化、破坏手机硬件等手段销毁证据。因此,直接针对智能手机中音频文件的取证已经变得非常困难,在很大程度给司法机关侦破与之相关的违法犯罪案件带来了障碍。因此,研究一套针对Android智能手机中存储的各类音频文件的检测、判别、提取、恢复的方案已经成为一项迫在眉睫的工作。
目前市面上已经出现了较多带有音频文件恢复功能的智能手机取证工具,可以恢复文本、图片、视频、音频等数据。其不足在于这些智能手机取证软件应用范围局限性很大,受到手机品牌、型号、存储原理、文件类型、丢失原因等限制,很可能找不到丢失的有效音频数据或无法对音频信息进行恢复。同时,这些手机取证工具还会因为音频文件格式不兼容等问题遇到“不支持QQ、微信语音文件播放”的问题。因此,常规手机取证工具可在一定程度上协助调取音频文件,但不能作为主要音频文件取证手段。本文为解决Android智能手机中音频文件信息快速、准确恢复和播放问题,提出一种全新的技术解决方案,通过从手机数据底层着手分析,解决有效音频数据的查找、恢复和音频文件解码播放(QQ、微信语音播放)等问题。本设计方案可以不受反侦察手段、手机品牌及音频格式等限制,实现快速、现场对Android手机中存储的音频文件进行取证。
在对Android智能手机中的音频文件进行取证时,首先要分析音频帧类型和结构,计算音频帧数量(由音频文件大小和帧大小决定),以判断储存在Android智能手机中的音频数据是否有效(没有被破坏或覆盖)、是否值得恢复、是否可恢复。音频帧结构一般包括四个部分:帧头、错误校验、音频信息和辅助数据[7]。不同音频格式,音频帧结构不同,具体的音频帧大小计算方法也各不同。判断与计算的前提是要确定音频类型,当前Android智能手机音频文件格式主要包括AMR、SILK、MIDI、MP3、AAC、WAV、W4A、WMA、OGG等。其中,以AMR和SILK文件格式为主。SILK来源于即时通讯软件Skype,主要是指微信、QQ等聊天软件中产生的音频文件[8]。AMR主要是指手机录音、通话录音等手机自带录音功能产生的音频文件,AMR称为自适应多速率语音编码,主要用于移动设备的音频,压缩比比较大,相对其他的压缩格式质量比较差,因此多用于人声通话[7]。音频文件由文件头和数据帧组成,文件头标识占6个字节,后面紧跟着就是音频帧,通过文件头中的信息可以确定音频文件的类型和数据帧的大小,按照音频文件的结构特征对文件进行提取。
在成功检测并判别出有效音频数据帧后,再对音频文件进行恢复。Android手机中音频数据的恢复关键是提取手机存储器中未被覆写的数据并进行对应的还原。
Android智能手机在存储文件时除文件内容外,还将文件名、创建时间、长度等相关数据进行存储,在存储过程中创建链表,对存储文件需要占用的空间进行标记。这样有利于其文件系统的识别并显示出哪个区域已存储了文件。当对Android智能手机中的某个音频数据文件进行删除操作时,手机闪存中的数据不会改变,而只是将该文件相关数据状态标记为已删除状况。若要进行彻底删除时,才将手机存储器中的存储位置擦涂成空白状态(全0或全1),用于后续新数据的存储。在对音频文件进行恢复时,首先要了解音频文件的存储格式,音频格式即保存在智能终端中音频文件存放的格式。上文中提到音频文件种类繁多,不同的音频文件由于推出厂家、研发技术的不同,各有差异,文件结构也各不相同。在对不同类型音频文件进行恢复时需要结合音频文件的具体类型正确对相关文件进行检测和恢复。虽然音频文件种类繁多,格式多样,但是在进行取证恢复时的原理基本一致。虽然不同格式的音频文件以各自特定的编码方式进行编排,但是每类音频文件的头部信息具有其唯一性。Android系统就是通过音频文件的头部信息识别不同类型的音频数据。本文利用音频文件头部信息的这一特性规律,完成对删除音频文件的恢复和取证。具体过程和原理如下:
首先,对取证对象作镜像[8],利用相关软件打开镜像文件,并根据所要恢复的音频信息头文件的特征标识,如SILK音频文件的头部标识SILK_V3进行全面搜素,以确定要恢复的音频文件在磁盘中的准确位置。
然后,结合该类音频文件的结构和文件头部标识进行分析,寻找出文件被删除时出现异常的位置及异常的类型。
最后,对文件的异常进行修复,恢复文件的完整性使得音频文件恢复可用性和可读性。
因此,本方案就是利用不同类型音频文件所具有的特定头部特征码,对音频文件以十六进制的形式进行深入分析,能够比较高效地检测到被破坏或删除的音频文件位置,并进行分析、修改和恢复。
对于常规音频文件数据恢复工具和数据恢复方法而言,要实现音频文件的检索、提取和恢复并不难,真正的难点在于如何将恢复后的音频文件进行正常播放,以达到音频文件作为证据或线索的可用性之目的。上文中已经提到手机音频文件格式主要包括AMR、SILK、MIDI、MP3、WAV等类型,不同品牌、不同操作系统、不同版本的手机可能使用不同的音频格式。比如微信及QQ的音频格式文件类型为SILK。其实,在用户直接获取的微信的语音文件是以.AMR为后缀的文件,但其本身并不是真正的AMR类型文件,如果直接将其用以播放AMR类型的播放器不能对音频文件正常播放 ,它其实是SILK_ V3格式。 对于常见的音频文件格式如,MIDI、WAV等其他格式的音频文件能通过暴风影音等任意第三方工具播放,但对于SILK类型的音频文件则失效,必须将SILK文件进行转码[9]。而SILK音频文件解码就是音频文件取证的最大难点。本文提出的手机音频文件提取技术方案中使用了基于Skype官方提供的SDK设计一种基于SILK的音频文件编解码算法,可将SILK音频文件直接解码成MP3格式,在手机或电脑上(微软Windows Media Player)直接播放。SILk的音频文件编解码算法原理:
首先,将恢复后的SILK源文件解码为PCM类型的音频文件,PCM格式的音频数据是最原始音频数据,可以被声卡直接识别并接收。
然后,将PCM格式的音频文件转码成MP3格式。将所提取和恢复的音频文件进行编码转码成 MP3格式后,取证人员就可在现场直接提取并正常播放被删除的 QQ、微信等语音文件,提升取证效率。
与常规数据恢复手段相比,本文所提出的手机音频文件取证技术方案优点在于通过判断音频文件格式和类型准确、快速地找到智能手机中的已经被删除的音频文件位置,并根据格式解析音频文件结构和头部的特征码分析出音频文件出现异常的原因,对音频文件加以恢复,最后通过相应的音频解码算法将音频文件组合为手机或电脑直接可播放的形式,帮助取证人员快速获取Android智能手机中的存储的音频电子证据。
但是,由于犯罪嫌疑人出于反侦察或节省流量等方面原因考虑,会对于一些即时通信的语音文件或即时通信录音数据做一定的压缩再进行存储,如果这样的文件被删除后,因为无法正确查找到其特征码而给取证带来极大的困难。
另外,如果音频文件是按顺序存储在手机存储器中同一区域,那么这类音频文件很容易被取证。例如两个连续存储的音频文件在物理地址上是连贯存储的且中间数据没有隔断,在对手机音频文件恢复时只需判断出视频文件大小,再将数据文件内容提取出就可以将整个音频文件进行恢复。如果需要取证的犯罪嫌疑人的Android手机使用了比较长的时间,其存储器的可用存储空间比较少时,这些音频文件就会被存储在不同区域,缺少数据与文件之间的关联性,取证时需要把很多文件碎片拼凑成完整的音频文件就会变得相当困难,这也为音频文件取证工作带了挑战。
[1] Wikipedia.Smartphone[EB/OL].https://en.wikipedia.org/wiki/Smartphone.
[2] Android and iOS Squeeze the Competition, Swelling to 96.3% of the Smartphone Operating System Market for Both 4Q14 and CY14,According to IDC[EB/OL].http://www.idc.com/getdoc.jsp?container Id=pr US25450615.
[3] 刘洪伟,戴芬,李璐.Android手机手工恢复文件方法研究[J].信息通信,2016.
[4] 陈浩.Android手机的 SQLite数据恢复技术研究[D].浙江:杭州电子科技大学,2016.
[5] 杨卫军.Android手机短信获取与恢复方法[J].警察技术,2013.
[6] 危蓉,麦永浩.基于winhex手机图片信息的取证与技术[J].信息安全研究,2016.
[7] 张瑜.音频文件格式的转换研究与实现[J].微型电脑应用,2008.
[8] 方冬蓉.基于 Android手机的数据恢复方法研究及应用[D].甘肃:兰州理工大学,2014.
[9] 童文.基于安卓的乐音识别及 MIDI文件输出的研究和实现[D].北京:中国科技大学,2013.
本论文由重庆警察学院院级科研课题资助。