阅读744 返回首页    go 微软 go windows

Windows安卓模拟器的取证方法

前言

随着安卓应用越来越丰富,有很多比较好玩的应用是windows上不具备的,在这样的前提下很多玩家会选择使用windows安卓模拟器,在电脑上模拟安卓环境来达到在电脑上使用安卓应用。事有好坏,由于安卓模拟器方便易操作,有些不法分子使用安卓模拟用于各种违法活动,即方便操作又能节约成本。今天我们带大家分析一下安卓模拟器该怎么取证。

安卓模拟器简介

安卓模拟器是能在电脑上模拟安卓操作系统,并能安装、使用、卸载安卓应用的软件,它能让你在电脑上也能体验操作安卓系统的全过程。

比较常用的安卓模拟器有:逍遥、蓝叠。

取证分析

对安卓手机取证我们都非常熟悉,用户数据大都存data分区的/data目录下。安卓模拟器取证原理一样,需要找到用户数据存储位置,然后再确认如何分析相关文件。

用户数据存储位置

现在流行的大多数安卓模拟器使用的是虚拟机方式,我们要取证相关数据,首先的找到安卓模拟器存储数据的虚拟硬盘文件。虚拟硬盘文件都会占用比较大的空间,一般情况下在安装目录下可根据文件大小查找。如下图所示,是蓝叠模拟器的VDI虚拟硬盘文件。

如下图所示,是逍遥模拟器的VMDK虚拟硬盘文件。

有时候证据已固定好,我们并不知道软件的安装目录,也可以使用取证大师对硬盘自动取证,正常会检测出相关的虚拟硬盘文件,如下图所示。

数据解析的方法

具体操作如下

1

用取证大师软件加载虚拟硬盘文件,找到用户数据data目录,并导出data文件夹或者制作data区的DD镜像。

将/data目录下面的所有数据导出来。

也可以针对这个data分区做成DD镜像。

2

用手机取证软件解析签名导出的data文件或者解析前面制作的data镜像。

解析data文件结果的界面如下图所示。

如下图所示为添加镜像解析的结果(建议使用镜像,因为有些数据据是缓存的,直接导出data目录可能缓存数据无法取证)。

总结

以上就是我们今天要分享的如何取证安卓模拟器,但安卓模拟器市面上的软件非常多,有可能会有不一样的情况。原理都差不多,我们这边主要是让家有一个思路,具体情况视不同情况而定。

最后更新:2017-10-21 18:49:59

  上一篇:go Windows 10创意者更新秋季版蓝屏问题(已抓DMP文件)
  下一篇:go win10 1703 版本 开始菜单和搜索点不开