閱讀744 返回首頁    go 微軟 go windows

Windows安卓模擬器的取證方法

前言

隨著安卓應用越來越豐富,有很多比較好玩的應用是windows上不具備的,在這樣的前提下很多玩家會選擇使用windows安卓模擬器,在電腦上模擬安卓環境來達到在電腦上使用安卓應用。事有好壞,由於安卓模擬器方便易操作,有些不法分子使用安卓模擬用於各種違法活動,即方便操作又能節約成本。今天我們帶大家分析一下安卓模擬器該怎麼取證。

安卓模擬器簡介

安卓模擬器是能在電腦上模擬安卓操作係統,並能安裝、使用、卸載安卓應用的軟件,它能讓你在電腦上也能體驗操作安卓係統的全過程。

比較常用的安卓模擬器有:逍遙、藍疊。

取證分析

對安卓手機取證我們都非常熟悉,用戶數據大都存data分區的/data目錄下。安卓模擬器取證原理一樣,需要找到用戶數據存儲位置,然後再確認如何分析相關文件。

用戶數據存儲位置

現在流行的大多數安卓模擬器使用的是虛擬機方式,我們要取證相關數據,首先的找到安卓模擬器存儲數據的虛擬硬盤文件。虛擬硬盤文件都會占用比較大的空間,一般情況下在安裝目錄下可根據文件大小查找。如下圖所示,是藍疊模擬器的VDI虛擬硬盤文件。

如下圖所示,是逍遙模擬器的VMDK虛擬硬盤文件。

有時候證據已固定好,我們並不知道軟件的安裝目錄,也可以使用取證大師對硬盤自動取證,正常會檢測出相關的虛擬硬盤文件,如下圖所示。

數據解析的方法

具體操作如下

1

用取證大師軟件加載虛擬硬盤文件,找到用戶數據data目錄,並導出data文件夾或者製作data區的DD鏡像。

將/data目錄下麵的所有數據導出來。

也可以針對這個data分區做成DD鏡像。

2

用手機取證軟件解析簽名導出的data文件或者解析前麵製作的data鏡像。

解析data文件結果的界麵如下圖所示。

如下圖所示為添加鏡像解析的結果(建議使用鏡像,因為有些數據據是緩存的,直接導出data目錄可能緩存數據無法取證)。

總結

以上就是我們今天要分享的如何取證安卓模擬器,但安卓模擬器市麵上的軟件非常多,有可能會有不一樣的情況。原理都差不多,我們這邊主要是讓家有一個思路,具體情況視不同情況而定。

最後更新:2017-10-21 18:49:59

  上一篇:go Windows 10創意者更新秋季版藍屏問題(已抓DMP文件)
  下一篇:go win10 1703 版本 開始菜單和搜索點不開