编程日记 13-11-25

今天继续学习了android取证。Android软件开发套件。

SDK：android的软件开发套件，提供工具及让应用程序在android平台上运行。

对软件开发套件的深入了解，对数据，终端设备以及重要的共享程序库的取证有帮助。

同时SDK也是更能强大的取证工具。如取证调查



Android平台：

Android的硬件广泛与开发形成一个广阔的生态系统，对取证与安全人员来说相当复杂。

Android的一个直接特点，android平台的版本，每一个版本都被赋予一个应用程序编程接口（API）级别，所有新的代码都有一个代码名。另外，平台是决定终端设备所支持功能的一个重要因素。

最早的android版本。。。。。。。2008年9月23日，如见以为android4.4最新2013年9月3日



随着版本的更新，用户也跟着更新，但新版本和老版本总是少数的。取证和安全人员不能因此忽视旧版本。





软件开发套件的安装：(详细过程应再参考andorid取证书的第三章)

取证工具的关键，安装过程应当熟悉

1. Linux上安装SDK

Ubuntu虚拟机。编译android开放源码项目（AOSP）
前提！

选择64位的Ubuntu虚拟机，还要先安装32位的共享程序库（SDK安装前）.

还设计USB的系统配置（没搞懂）udev规则。MD还设计了权限问题。。。。。

Android虚拟终端设备（***D）

仿真器对于开发者开发个性化的应用特别有帮助。他对取证和安全也很重要，描述了应用程序如何在一个终端设备上被执行。这也对验证取证调查中的发现和测试取证工具如何影响一个android终端设备非常重要。



***D非常耗资源（好吧，我被严重折磨过，如果再加载个Ubuntu，电脑还能动么。。。内存）



操作系统的路径:

Tools目录。

***D的.android目录中有***D所需要的配置文件和数据文件

取证和安全人员感兴趣的文件

Cache.img:/cache分区的磁盘映像；

Sdcard.img:SD卡的磁盘映像

Userdata-qemu.img: /data分区的磁盘映像



Cache.img:/cache和Userdata-qemu.img2个文件属于YAFFS2文件系统（没搞懂）

Sdcard.img属于FAT32文件系统

据说11年取证分析工具还未对YAFFS2文件系统提供支持（待验证）



取证可以通过***D对网络，文件系统以及数据的各种呈现方式进行检查。。。可以学习到很多android以及如何运行方面的知识。





Android操作系统体系结构：



非常重要，逻辑取证分析

Android的基础是Linux2.6内核，他为android提供了启动和管理硬件以及android应用程序的最基本的软件。



有个android系统结构图。。。。



底层功能包括能量管理，WI_FI,显示，音响驱动程序等。。。

对于取证人员来说 最重要的就是闪存驱动程序（第4章介绍）

在内核之上，是一些列的共享程序库…

至于共享程序库，应重点理解。



SQLite共享程序库提供在android上进行结构化数据存储方法，对取证人员应关注



抽取数据的主要机制，应用框架重要方面之一的内容提供者，在探讨逻辑取证技术时详解。



Dalvik虚拟机

高效，安全的移动应用环境而生。

允许很多虚拟机同时运行，严重依赖于Linux操作系统提供的底层功能，对核心共享程序库以及硬件的访问，威胁与安全管理，存储管理等。

为虚拟机而特意创造的Dalvik Executable(.dex)文件。JDK编写和编译程序，产生的二进制代码转换成dex文件，以是吸纳高效存储以及在虚拟机环境中优化的运行。

虚拟机是android独特的成分，是取证和安全人员的关键部件

本地开发套件NDK。。

允许C/C++编写，直接为CPU编译。C/C++组件被封装在应用程序的APK文件内。让虚拟机调用