Android系统手机网盘客户端的取证

李 杨谷学汇贾英杰

（1 铁道警察学院公安技术系 河南 郑州 450003；2 禹城市公安局网安大队 山东 禹城 251200）

Android系统手机网盘客户端的取证

李 杨1谷学汇1贾英杰2

（1 铁道警察学院公安技术系 河南 郑州 450003；2 禹城市公安局网安大队 山东 禹城 251200）

犯罪分子利用手机网盘客户端传播淫秽视频、暴恐音视频等类案件，常用手机系统无法获取手机网盘客户端中的数据信息，给侦查办案带来了巨大困难。从Android 系统手机的数据存储位置出发，通过提升用户对手机数据文件的操作权限，进而对手机中的网盘客户端进行数据传输与存储的操作日志进行提取和分析，对获取手机中电子数据信息提供了一种新的方法。

手机 Android系统 网盘客户端 数据 提取分析

1 引言

随着手机的不断发展，智能手机用户不断增多，Android系统手机用户更是占据了巨大份额，以云存储平台的手机网盘客户端便是使用量日益增多的一款重要软件。借助于网盘客户端，人们可以将手机中的图片、通讯录等手机中的数据信息快速地上传到网盘中，也可以将网盘中的信息在手机上进行下载或者直接通过网盘客户端对网盘文件进行浏览，提高了手机可用空间及数据存储的便利性。然而网盘客户端给人们的生活带来巨大便利的同时，也给不法分子提供了一个可利用的工具。不法分子借助于网盘传播信息的高效性及隐蔽性，利用网盘传播淫秽视频、反动及暴恐音视频，而现有的取证工具又无法对网盘中的数据进行取证分析，给取证工作造成了很大的困难。因此，寻求一种获取手机网盘客户端浏览记录的方法具有重要意义。

2 Android系统手机数据与取证

Android系统是基于Linux基础的开源系统[1]，可以借助于adb（全称为Android Debug Bridge）与电脑进行相互通信[2]，adb 工具是属于Android 开发者工具的一部分[3]，包含在sdk中，当手机开启USB 调试并通过数据线连接到计算机（已安装好USB 驱动）的时候，通过adb我们可以在Eclipse中通过DDMS来调试Android程序；还可以针对手机进行很多操作，如安装或卸载软件、系统升级、运行shell命令等。简而言之，adb就是连接Android系统手机与计算机的桥梁，可以让用户在电脑上对手机进行全面的操作。借助于adb命令，可以对手机中的数据进行提取分析，从而获取有效的电子数据。

Android系统手机中的数据文件主要存储于data文件夹下[4]，如短信息数据库文件的存储位置为data/data/com.android.mms。通常情况下，用户对数据库文件夹的读取权限很低，甚至无法查看其内部数据，因此，我们需要对手机中的data数据库文件进行权限的提升，将所需数据库文件的权限提升为读写后，就可以对其进行导出，并在数据库管理平台对提取的数据进行浏览分析。

手机取证主要分为两大部分：数据提取和数据分析。数据提取就是取证工作人员为了案件的需要将涉案手机中的数据提取出来，保存至本地计算机；数据分析则是取证工作人员对所提取到的手机中的数据进行详细分析的过程。

3 网盘及网盘客户端

网盘，是用户在Web、PC、Android、iPhone和WindowsPhone手机客户端多平台进行数据共享的云存储平台。该平台依托于强大的云存储集群机制，发挥了强有力的云端存储优势，提供超大的网络存储空间，如目前百度云网盘存储空间为2056G。用户可以轻松把自己的文件上传到网盘上，并可以随时随地跨终端浏览或下载分享等。

网盘客户端是指安装在手机上的应用软件，如QQ、微信客户端一样，通过账号密码登录。安装在Android系统手机中的网盘客户端主要有以下几个方面的特性：手机中的照片、音乐以及小视频等各种数据，都可轻松的上传至网盘，也支持批量上传，不受手机本地空间容量的束缚；支持手机通讯录以及短信息等与网盘同步备份功能，并可将备份信息恢复至手机，确保了手机数据的安全性；电脑上传至网盘的文件，可随身随地在手机上查看或者下载，不再依赖数据线，更高效更便利；支持短信、微信、邮件、朋友圈等的分享方式，文件或文件夹都能一键分享给好友；网盘存储的视频文件可在线播放，支持主流视频格式、字幕选择；其巨大的存储容量（如百度云网盘容量为2056G）也使得我们随时将拍下的风景照片或喜欢的电影上传至网盘中，很大程度上解决了手机存储不足带来的困扰。

4 获取Android系统手机网盘客户端数据

Android系统手机的文件主要存储于data文件夹下，其存储位置一般为data下的子文件夹中，如百度云网盘的存储位置为data/data/com.baidu.netdisk，其文件夹下有6个部分组成：app_webview、cache、code_cache、databases、files、lib和shared_prefs. 数据库文件存储于databases文件夹下，其存储了网盘中的所有上传或下载以及浏览的操作记录。因此，只要我们将此文件夹内容读取出来，就可以实现取证的目的。

Databases文件下的数据库文件主要包括以下几个方面：Cloud-image.db：主要存储图片信息，包括手机上传的和电脑上传的图片信息；Filelist.db：存储所有文件的信息，包括上传、下载及浏览过的图片、音视频等文件信息；cloudp2p.db：主要存储通讯录信息以及备份的短信息等；account.db：存储了用户的账号信息。只要我们对手机网盘客户端内容进行了浏览、上传下载等操作，其操作信息都会存储于此数据库中。

本文以百度云网盘客户端数据库为提取目标，对安装在海信e602t手机中的百度云网盘客户端进行了实验。具体过程如下：

第1步：实验准备，申请1个百度云网盘账号，昵称为：“取证实验”，并在电脑中上传至百度云网盘图片10张，通过手机登录百度云网盘账号，上传手机通讯录信息3条进行备份，小视频1个，如图1所示。

图1 Pc端百度云网盘中信息

第2步：将手机连接至电脑，打开手机USB调试（设置—开发人员选项—USB调试），通过adb命令 adb devices 查看手机连接情况，如图2所示。

图2 查看手机与电脑连接

手机连接成功后，进入到data文件夹下（命令：cd data），查看data文件夹下的内容（命令：ls -l），如图3所示。

图3 adb命令下查看data文件夹内容

第3步：由图3可以知道，对data文件夹下的数据没有读取权限，进而在DDMS中将数据打开，亦发现无法对其数据进行读取操作，如图4所示。

图4 DDMS中的data文件夹

因此，我们需要对其进行读取权限的提升（命令为：chmod 777 data），如图5、图6所示。

图5 提升权限

图6 提升权限后的data文件夹

第4步：将百度云网盘客户端数据库文件夹进行读取权限提升（chmod 777 -R data/data/com.baidu. netdisk/databases），最终达到可以读取数据库文件的目的。将提升权限后的百度云网盘客户端数据库文件夹导出至本地电脑中，进而通过数据库管理平台对其进行查看，如图7、图8所示。

最后，对导出的百度云网盘客户端数据库文件在SQLite databasesBtoserPortable数据库管理器中进行打开分析，其结果如图9所示。

图7 对权限完全提升后可看到的百度云网盘数据库存储内容

图8 DDMS下查看百度云网盘下的数据库文件

图9 百度云网盘中的账户信息

其上传的通讯录、手机信息如图10、图11所示。

图10 百度云网盘中存储的手机通讯录

图11 百度云网盘中的图片等文件信息

实验数据显示，手机中的网盘可以存储大量的电子数据，如通讯录、短信息、照片以及保存在网盘中的音视频等，而且只要在手机中浏览过或者是手机上传、下载过的信息，都可以将其中的数据浏览信息进行查看，初步了解其是否含有对案件侦查有价值的信息，从而进一步确定如何获取更多的证据。同时本实验利用adb提升权限的方法获取云网盘数据浏览信息具有可行性和通用性，对未来办案提供了一种新思路，同时为取证工具进行功能提升指出了新的方向。

5 结论

手机中的电子数据已不再是机身内存和存储卡信息，而依托于云存储的网盘存储也将是获取手机电子数据的关键。本文以Android手机中电子数据的提取与分析为方向，从存储于手机中数据文件的存储位置入手，将安装于Android系统手机中的网盘客户端为提取目标，通过adb提升手机数据文件的读取权限，进而对获取的手机网盘客户端数据库文件进行浏览分析。实验有效地提取出了上传至网盘的数据以及浏览网盘文件的信息。

[1]Andrew Hoog.Android取证实战(调查分析与移动安全)[M].北京:机械工业出版社,2013:82-83.

[2]危蓉,麦永浩.锁屏Android智能手机取证方法的研究[J].中国司法鉴定,2015(1):67-68.

[3]杜江.Android手机取证之权限提升[J].技术研发,2013(14):50-51.

[4]钟华,缪红,李进.面向Android 智能手机的电子数据取证分析[J].信息安全与通信保密,2014(7):103-104.

（责任编辑：于 萍）

Forensics of Android Mobile Phone SkyDrive Client

LI Yang1GU Xue-hui1JIA Ying-jie2
(1 The Public Security Department of Railway Police College Henan Zhengzhou 450003; 2 Network Security Brigade of Yucheng Public Security Bureau Shandong Yucheng 251200)

The mobile phone SkyDrive client is used by criminals to disseminate the pornographic video, audio and video of terrorist and violence. The commonly used mobile phone systems cannot be used to obtain the data information of mobile phone SkyDrive client, which brings huge diff culties to the investigation. Starting from the data storage location of the Android mobile phone system and through the promotion of operating authorization, the operation log of the data transmission and storage of mobile phone in the SkyDrive client is extracted and analyzed, which provides a new method of obtaining electronic data information of mobile phone.

Mobile phone Android SkyDrive client Data Extraction and analysis

TP309.1

A

2095-7939(2017)02-0107-04

10.14060/j.issn.2095-7939.2017.02.022

2016-11-14

公安部技术研究计划项目（编号：2016JSYJB38）；河南省高等学校重点科研项目计划资助（编号：15A520092）；中央高校基本科研业务经费项目（编号：2016TJJBKY021）。

李杨（1989-），男，山东禹城人，铁道警察学院公安技术系助教，主要从事网络安全执法研究。