一种基于Android智能终端的彩信取证分析方法

陈祥奎

摘要：当今Android操作系统已成为全球最受欢迎的智能终端操作系统之一，涉案Android智能终端已成为重要的证据来源。针对当前以彩信为栽体的网络违法犯罪多发的问题，该文详细分析Android平台下彩信的数据取证分析方法。

关键词：智能终端取;Android;彩信

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2020）01-0282-02

1背景

彩信（Multimedia Messaging Service，缩写为MMS），是在GPRS的支持下，以WAP无线应用协议为载体，可以传递包括文字、图像、声音等各种多媒体格式的信息。

近年来，有些不法分子利用彩信的便捷性，召集人员组织策划犯罪活动或冒充他人组织及个人到处诈骗钱财等违法犯罪活动，彩信正成为诱导犯罪、滋生罪恶的温床。随着新型智能终端设备、应用的快速发展，涉案智能终端中的数据已成为重要的破案线索和证据来源，针对智能终端设备上应用程序取证是打击这类犯罪的一个有效手段。本文的目的旨在对An-droid智能终端上彩信的取证方法进行研究和探讨，详细描述彩信数据取证的分析方法。

2彩信文件路径

使用手机自带备份功能将短信彩信备份出来，彩信数据保存在/Mms/文件夹下。

应用数据主要存在与mms_backup.xml和pdu文件中，其中mms_backup.xml保存每条彩信的时间、大小等信息，每个pdu文件都是一个完整的彩信，包含了彩信的绝大部分信息，是Android平台下彩信分析的关键文件。

3彩信应用数据分析

3.1彩信基本信息

通过文本查看器打开mms_backup.xml文件，如图2所示。

其中关键词段含义如表1：

3.2彩信联系人

用WinHex打开每一个pdu文件，如图3所示。文件主要分为两部分：文件头和文件体，文件头中包括联系人的电话号码，如果是同一条彩信群发出去，则文件头会同时保存多个联系人的电话号码。

首先需要从文件中取出文件的头部。需要注意的是彩信pdu文件有两种格式：一种是彩信中只有文本信息，另一种是彩信包含图片或视频信息。对于包含图片或视频信息的彩信而言，pdu文件体会以…开头，即之前的内容就是文件头。对于内容是纯文本的彩信来说，文件体会以*.txt开始，所以需要字符串匹配找到Txt开始的位置区分文件头和文件体。

然后是从文件頭中解析到联系人电话号码。经过多次调研，在二进制文件中，联系人的电话号码会以OxEA开头，以0x2F 0x54 0x59 0x50 0x45 Ox3D 0x50 0x4C 0x4D 0x4E（/TYPE=PLMN）结尾。为了保险起见，可以在解析出的数据中添加过滤条件，比如：电话号码的长度、电话号码不会有字母等。

3.3彩信内容

彩信内容就是指文本、图片、视频等信息。内容保存在pdu文件的文件体中。针对不同的彩信格式，有不同的解析方法。

对于只有文本信息的彩信。获取pdu文件的二进制字符串内容，使用KMP算法进行字符串匹配找到.txt的位置。将.txt之后的内容使用UTF-8格式进行编码得到的就是彩信的文本内容。

对于包含…的彩信而言。…数据块保存的就是彩信的布局信息，如图4所示。

从图中可以看出这部分内容是xml格式，包含彩信中所有文件的文件名，并且按顺序排列。按照从块解析出的文件名列表从之后依次解析分割出文件实体。经调研，每个文件名后面紧跟着的内容就是该文件的实体，一直到下个文件名或者结尾。

4结束语

本文通过对Android平台彩信的存储文件进行简单介绍，然后对数据存储文件进行深入分析，详细介绍彩信数据的取证方法。