趙斌 何涇沙 萬雪姣 張玉強(qiáng) 劉公政 北京工業(yè)大學(xué)

針對(duì)安卓移動(dòng)終端設(shè)備的數(shù)據(jù)取證技術(shù)分析

趙斌 何涇沙 萬雪姣 張玉強(qiáng) 劉公政 北京工業(yè)大學(xué)

從技術(shù)層面介紹了安卓系統(tǒng)移動(dòng)終端數(shù)據(jù)恢復(fù)的邏輯技術(shù)和物理技術(shù)，并提出了時(shí)間序列、文件系統(tǒng)、字符串匹配等相關(guān)的數(shù)據(jù)分析技術(shù)。

安卓 取證 數(shù)據(jù)恢復(fù) 數(shù)據(jù)分析

一、引言

隨著安卓操作系統(tǒng)在移動(dòng)終端中的應(yīng)用越來越廣泛，針對(duì)安卓版本的移動(dòng)終端設(shè)備數(shù)據(jù)取證成為當(dāng)前的研究重點(diǎn)之一。在取證過程中，電子數(shù)據(jù)信息是用二進(jìn)制數(shù)據(jù)表示的，以數(shù)字信號(hào)的方式存在，而數(shù)字信號(hào)是非連續(xù)性的，故意或由于其他差錯(cuò)對(duì)數(shù)字證據(jù)進(jìn)行的變更、刪除、刪減、剪接、截收和監(jiān)聽等，都會(huì)導(dǎo)致對(duì)數(shù)據(jù)的篡改。因此，應(yīng)融合磁盤及內(nèi)存數(shù)據(jù)恢復(fù)、數(shù)據(jù)挖掘、加密、反向工程、解決技術(shù)等其它理論和技術(shù)，對(duì)證據(jù)給予充分的安全保障。

本文針對(duì)司法鑒定中所涉及的安卓版本移動(dòng)終端設(shè)備的數(shù)字取證問題，從技術(shù)層面闡述了數(shù)據(jù)恢復(fù)和分析的相關(guān)技術(shù)。

二、數(shù)據(jù)恢復(fù)技術(shù)

針對(duì)安卓系統(tǒng)的取證技術(shù)，從本質(zhì)上分為邏輯技術(shù)和物理技術(shù)兩類，即邏輯數(shù)據(jù)恢復(fù)技術(shù)和物理數(shù)據(jù)恢復(fù)技術(shù)。

邏輯技術(shù)通過訪問文件系統(tǒng)的手段來實(shí)現(xiàn)對(duì)所分配的數(shù)據(jù)進(jìn)行挖掘；所分配的數(shù)據(jù)是指那些沒有被刪除的數(shù)據(jù)，可以通過訪問文件系統(tǒng)獲得。針對(duì)安卓系統(tǒng)的邏輯數(shù)據(jù)恢復(fù)技術(shù)一般指從當(dāng)前的文件目錄下獲取數(shù)據(jù)文件，并進(jìn)行邏輯分析的技術(shù)。當(dāng)前對(duì)于使用安卓操作系統(tǒng)的移動(dòng)終端設(shè)備來說，所有與應(yīng)用程序相關(guān)的數(shù)據(jù)和信息都存放在data/data/目錄下，每種不同的應(yīng)用程序在該目錄下用可區(qū)分的不同子目錄存放本程序的數(shù)據(jù)文件，例如：手機(jī)彩信相關(guān)文件所在目錄為data/data/com.Android.mms、聯(lián)系人相關(guān)文件所在目錄為data/data/com.Android. Contacts等。上述的每個(gè)目錄下都會(huì)有一個(gè)databases目錄，這個(gè)目錄中所存儲(chǔ)的是一些對(duì)應(yīng)于該應(yīng)用程序的SQLite數(shù)據(jù)庫文件（SQLite是安卓操作系統(tǒng)所采用的數(shù)據(jù)庫程序）。通過Google官方提供的調(diào)試工具adb，可以查

（一）邏輯數(shù)據(jù)恢復(fù)技術(shù)

看所有目錄中存儲(chǔ)的文件，并可以方便地將需要用于邏輯分析的SQLite數(shù)據(jù)庫文件提取到運(yùn)行adb工具的PC機(jī)上，然后就可以使用某種數(shù)據(jù)庫文件查看器（如SQLite expert）對(duì)提取到的數(shù)據(jù)庫文件進(jìn)行查看和分析。

這種數(shù)據(jù)獲取和分析方式操作簡單、易于實(shí)現(xiàn)，可以從SQLite數(shù)據(jù)庫文件中獲取大量信息，例如瀏覽器瀏覽記錄、聯(lián)系人、短信/彩信記錄等。但是這種方式的缺陷也很明顯，用該方法進(jìn)行數(shù)據(jù)取證的唯一來源就是各種應(yīng)用程序正在使用的SQLite數(shù)據(jù)庫文件當(dāng)前內(nèi)容，一旦某些應(yīng)用程序已經(jīng)卸載而致使該類型數(shù)據(jù)庫文件不再存在，或者應(yīng)用程序?qū)?shù)據(jù)庫中的某些內(nèi)容已經(jīng)作過刪除處理，這些信息就無法從數(shù)據(jù)庫文件中獲取。另外，SQLite 數(shù)據(jù)庫的某些文件中數(shù)據(jù)庫記錄一旦被刪除，也將不能顯示。

與傳統(tǒng)的邏輯技術(shù)相比較，在安卓取證中采用一些特殊的工具與技術(shù)，依賴于內(nèi)容提供商內(nèi)置在安卓平臺(tái)或軟件開發(fā)套件（SDK）技術(shù)，從所獲取的邏輯數(shù)據(jù)中恢復(fù)被刪除的數(shù)據(jù)庫數(shù)據(jù)。

物理技術(shù)直接將存儲(chǔ)數(shù)據(jù)的物理介質(zhì)作為目標(biāo)，而不是依賴于文件系統(tǒng)來實(shí)現(xiàn)對(duì)數(shù)據(jù)的訪問。物理技術(shù)最重要的優(yōu)點(diǎn)在于可以訪問到大量被刪除的數(shù)據(jù)。

針對(duì)安卓系統(tǒng)的物理數(shù)據(jù)恢復(fù)技術(shù)指通過某種手段直接對(duì)安卓設(shè)備的硬件存儲(chǔ)區(qū)域直接進(jìn)行鏡像，生成數(shù)據(jù)鏡像文件并進(jìn)一步分析的技術(shù)。獲取目標(biāo)數(shù)據(jù)存儲(chǔ)的物理映像取證技術(shù)通常能夠繞過口令的保護(hù)，獲得被修復(fù)的數(shù)據(jù)按照指數(shù)數(shù)量級(jí)增加；不僅能夠訪問到已經(jīng)被刪除的數(shù)據(jù)，而且還能夠訪問到系統(tǒng)認(rèn)為不再需要而丟棄的數(shù)據(jù)。從結(jié)構(gòu)上說，物理數(shù)據(jù)恢復(fù)在邏輯數(shù)據(jù)恢復(fù)的下層，是邏輯數(shù)據(jù)恢復(fù)的基礎(chǔ)。依據(jù)獲取鏡像手段的不同，可以分為基于硬件的物理數(shù)據(jù)恢復(fù)技術(shù)以及基于軟件的物理數(shù)據(jù)恢復(fù)技術(shù)二大類：

（1）基于硬件的技術(shù)：將硬件與終端設(shè)備實(shí)現(xiàn)連接的方法，或者是物理上實(shí)際獲取終端設(shè)備部件的方法；

（2）基于軟件的技術(shù)：將終端設(shè)備中的軟件在具有root 訪問權(quán)限條件下運(yùn)行的技術(shù)，以獲得數(shù)據(jù)分區(qū)完整的物理映像。

基于硬件的方法需要專門并且通常很昂貴的儀器以及對(duì)取證人員培訓(xùn)，但是對(duì)于無法獲得 root 訪問權(quán)限的終端設(shè)備非常有效?；谲浖奈锢砑夹g(shù)是一個(gè)更加直接的數(shù)據(jù)獲取途徑，因而通常也是最好的開始點(diǎn)。當(dāng)然，必須首先獲得終端設(shè)備上的 root 訪問權(quán)限，基于軟件的技術(shù)

（二）物理數(shù)據(jù)恢復(fù)技術(shù)

才成為可行。

1. 基于硬件的物理技術(shù)

（1）JTAG技術(shù)

JTAG 技術(shù)于上世紀(jì)80年代提出，目的是為印刷電路板布線和相互連接的測(cè)試制訂一個(gè)標(biāo)準(zhǔn)。到1990年，此標(biāo)準(zhǔn)完成了制訂，正式成為電機(jī)與電子工程師協(xié)會(huì)（Institute of Electrical and Electronics Engineers，IEEE）的標(biāo)準(zhǔn)，具體來說就是 IEEE 1149.1-1990（IEEE SA, n.d.），隨后又在2001年進(jìn)行了更新，標(biāo)準(zhǔn)也變?yōu)镮EEE 1149.1-2001。此標(biāo)準(zhǔn)得到廣泛接受，目前，大多數(shù)印刷電路板都有JTAG 測(cè)試訪問接口（JTAG Test Access Ports，TAPs），支持對(duì)中央處理器（CPU）進(jìn)行訪問。

每一個(gè)JTAG 測(cè)試訪問接口都會(huì)向外呈現(xiàn)不同的信號(hào)，大多數(shù)的移動(dòng)終端設(shè)備都擁有以下接口：

·TDI Test Data In（測(cè)試數(shù)據(jù)入）

·TDO Test Data Out（測(cè)試數(shù)據(jù)出）

·TCK Test Clock（測(cè)試時(shí)鐘）

·TMS Test Mode Select（測(cè)試模式選擇）

·TRST Test Reset（測(cè)試初始重置）

·RTCK Return Test Clock（返回測(cè)試時(shí)鐘）

雖然JTAG 是從安卓終端設(shè)備的 NAND 閃存中抽取數(shù)據(jù)的一種途徑，但因其操作復(fù)雜性和困難度較大，在處理 JTAG焊接點(diǎn)過程出現(xiàn)任何差錯(cuò)，或者是給電路板供應(yīng)錯(cuò)誤的電壓，不但會(huì)造成JTAG無法再使用，而且會(huì)對(duì)終端設(shè)備造成嚴(yán)重的損壞，因此只能由接受過足夠的培訓(xùn)以及具有處理微印刷電路板焊接點(diǎn)經(jīng)驗(yàn)的人員勝任，故JTAG通常不是物理獲取安卓終端設(shè)備取證映像的首選。

（2）芯片摘?。–hip-off）

芯片摘取技術(shù)實(shí)際上就是將 NAND 閃存從終端設(shè)備中取出，在外部對(duì)其進(jìn)行檢查、分析，獲得存儲(chǔ)在 NAND閃存芯片中數(shù)據(jù)的物理映像的技術(shù)。此技術(shù)不但可以用于修復(fù)已經(jīng)遭到毀壞的終端設(shè)備中的數(shù)據(jù)，也可以有效地分析使用口令保護(hù)的終端設(shè)備，獲得取證數(shù)據(jù)。

芯片摘取技術(shù)涉及到以下三個(gè)主要環(huán)節(jié)：

第一步，將NAND閃存從終端設(shè)備中實(shí)際地取出。可以通過斷開焊接點(diǎn)或者使用特殊儀器設(shè)備，通過噴出熱氣及吸取的方式將芯片取出；還可以將芯片加熱到特定溫度后，將 NAND 閃存從終端設(shè)備中取出。在這個(gè)過程中，NAND閃存很容易遭到損壞，但是通過特殊硬件，配以控制軟件，可以將NAND閃存從終端設(shè)備中實(shí)際地取出。

第二步，重建導(dǎo)電球。修復(fù)芯片底部的導(dǎo)電球的過程被稱為重建導(dǎo)電球，在修復(fù)之前芯片必須首先經(jīng)過清洗，然后再進(jìn)行修復(fù)，這是因?yàn)槿〕鲂酒^程常常會(huì)損壞芯片底部的連接頭。

第三步，將取出的芯片插入到配有NAND 閃存設(shè)置程序的特殊硬件設(shè)備中，以對(duì)芯片進(jìn)行讀取，獲得存儲(chǔ)在NAND閃存芯片中數(shù)據(jù)的物理映像。應(yīng)該注意的是：這些特殊硬件設(shè)備必須能夠?yàn)榫唧w的NAND閃存通過程序進(jìn)行設(shè)置，并且能夠支持若干很流行的芯片。

雖然芯片摘取技術(shù)在數(shù)據(jù)恢復(fù)過程中非常有效，是執(zhí)法機(jī)構(gòu)認(rèn)可、且非常有用的取證技術(shù)之一，但是將NAND閃存取出的過程將是毀滅性的，將NAND閃存重新粘連到印刷電路板上并使其正常運(yùn)行是非常困難的；不僅要求取證檢查師具有非常專業(yè)化的訓(xùn)練和技能，還需要擁有干凈并受到電磁場(chǎng)輻射保護(hù)的操作環(huán)境。

2. 基于軟件的物理技術(shù)

基于軟件的物理技術(shù)與基于硬件的物理技術(shù)相比較具有很多優(yōu)勢(shì)?；谲浖募夹g(shù)更容易執(zhí)行，因?yàn)橥ǔＶ苯訉?duì)文件系統(tǒng)進(jìn)行訪問，能夠完整地拷貝出所有的邏輯文件（簡化某些分析），幾乎沒有損壞終端設(shè)備或丟失數(shù)據(jù)的風(fēng)險(xiǎn)。

要使用基于軟件的物理技術(shù)，首先必須獲得root訪問權(quán)限，然后才能運(yùn)行數(shù)據(jù)獲取程序。安卓終端設(shè)備上的root訪問權(quán)限并不能夠默認(rèn)地獲得；如果在某些特定情況下想要獲得 root 訪問權(quán)限，通常只對(duì)完整的、可持續(xù)的root 訪問權(quán)限進(jìn)行跟蹤。然而，從取證分析的角度來看，則更加希望獲得臨時(shí)的root訪問權(quán)限或者是通過特定的修復(fù)模式而獲得的root訪問權(quán)限。獲得root訪問權(quán)限需要注意以下問題：

（1）在很多情況下，獲得root訪問權(quán)限會(huì)改變終端設(shè)備。

（2）root訪問權(quán)限技術(shù)不但隨著制造商以及終端設(shè)備的不同而不同，而且還隨著不同版本的安卓系統(tǒng)，甚至隨著系統(tǒng)所使用的Linux核的不同而不同。

（3）獲得root訪問權(quán)限的多數(shù)技術(shù)并不理想，權(quán)限數(shù)據(jù)常包含不準(zhǔn)確的信息。

root訪問權(quán)限一般分為以下三種類型：

·利用相關(guān)技術(shù)獲得臨時(shí)的root訪問權(quán)限：這種root訪問權(quán)限通常在系統(tǒng)重啟后就不再有效。在這種情況下，adb后臺(tái)進(jìn)程通常在沒有root訪問權(quán)限的條件下運(yùn)行。

·通過定制的只讀內(nèi)存（ROM）而獲得的root 訪問權(quán)限：定制的只讀內(nèi)存（ROM）通常將 adb 后臺(tái)進(jìn)程在具有 root 訪問權(quán)限的條件下運(yùn)行。

·修復(fù)模式 root訪問權(quán)限：通過閃建一個(gè)特定的修復(fù)分區(qū)，或閃建定制的只讀內(nèi)存（ROM）的部分內(nèi)容而獲得的修復(fù)模式 root訪問權(quán)限。定制的只讀內(nèi)存（ROM）通常將adb后臺(tái)進(jìn)程運(yùn)行在具有 root訪問權(quán)限的條件下，大多數(shù)被修改過的修復(fù)分區(qū)也如此。

獲得一個(gè)新的終端設(shè)備或者是一個(gè)新版本的root訪問權(quán)限，必須要有一個(gè)獨(dú)立的終端設(shè)備用于測(cè)試，在保證整個(gè)測(cè)試過程運(yùn)行正常、數(shù)據(jù)沒有丟失的情況下，通過測(cè)試技術(shù)來確定root訪問權(quán)限。在此情況下，雖然測(cè)試工作非常耗費(fèi)時(shí)間，但測(cè)試是一個(gè)非常重要的步驟。

三、數(shù)據(jù)分析技術(shù)

（一）時(shí)間序列分析技術(shù)

時(shí)間序列分析是定量的預(yù)測(cè)方法之一，是任何取證調(diào)查中的關(guān)鍵，是利用按時(shí)間順序排列的一組數(shù)據(jù)序列，應(yīng)用數(shù)理統(tǒng)計(jì)方法加以處理，以預(yù)測(cè)未來事物的發(fā)展。因?yàn)槿魏问录陌l(fā)生時(shí)間都是取證過程中的參考指標(biāo)，在數(shù)據(jù)分析過程中構(gòu)造出正確無誤的取證時(shí)間序列極其重要。

時(shí)間序列信息主要來源于文件系統(tǒng)的元數(shù)據(jù)，包括修改（文件元數(shù)據(jù)）、訪問、變化（文件內(nèi)容）及創(chuàng)建等時(shí)間戳信息。文件系統(tǒng)跟蹤不同的時(shí)間戳，在取證分析的過程中計(jì)算延遲和精確度，得出細(xì)微的時(shí)間差別。如果人工分析時(shí)間序列，將耗費(fèi)巨大的工作量。目前，對(duì)于支持的文件系統(tǒng)（如SD卡以及嵌入式多媒體卡上的FAT16/FAT32文件系統(tǒng)），已經(jīng)存在有數(shù)種可以用于構(gòu)建時(shí)間序列的算法。然而，目前沒有任何分析工具支持YAFFS2文件系統(tǒng)，對(duì)于不同的安卓終端設(shè)備以及不同的安卓版本，相關(guān)的文件系統(tǒng)都會(huì)有所不同。因而在現(xiàn)有基于Apriori性質(zhì)的時(shí)間序列分析算法的基礎(chǔ)上，需構(gòu)建、設(shè)計(jì)新的自適應(yīng)時(shí)間序列算法來應(yīng)對(duì)安卓操作系統(tǒng)的更新變化。

新的自適應(yīng)時(shí)間序列算法通過分析來自程序調(diào)試日志、stat命令以及模擬NAND閃存設(shè)備中nanddump的相互對(duì)立數(shù)據(jù)，為在NAND閃存上的每一個(gè)文件和目錄都生成相應(yīng)的MAC時(shí)間點(diǎn)，根據(jù)時(shí)間點(diǎn)，從NAND閃存或ObjectHeaders（從系統(tǒng)提供但是不存在的塊中的垃圾回收站中找到的）中所收集的完整元數(shù)據(jù)信息中得到完整的時(shí)間信息。新的自適應(yīng)時(shí)間序列算法將是對(duì)YAFFS2文件系統(tǒng)開展取證研究的基礎(chǔ)。

（二）文件系統(tǒng)分析技術(shù)

安卓系統(tǒng)是基于Linux內(nèi)核的開源手機(jī)操作系統(tǒng)，與其他操作系統(tǒng)一樣，采用了分層的架構(gòu)。從高層到低層分成應(yīng)用程序?qū)?、?yīng)用程序框架層、中間件層和Linux核心層四個(gè)層。

文件系統(tǒng)分析算法通過創(chuàng)建一定容量的nandsim終端設(shè)備，容納下Droid中的“/data”分區(qū)。使用nandwrite命令將數(shù)據(jù)和OOB區(qū)域拷貝到模擬的NAND閃存中去。對(duì)于從Droid 上獲得的完整的“/data”文件系統(tǒng)，從工作站上可以進(jìn)行訪問，匹配適應(yīng)的數(shù)據(jù)分析技術(shù)（SQLite數(shù)據(jù)庫查看器）就可以對(duì)相關(guān)數(shù)據(jù)進(jìn)行分析鑒定。

（三）文件分割技術(shù)

文件分割技術(shù)是指對(duì)具體的文件類型進(jìn)行查找與獲取的技術(shù)，它的基本理論是將目標(biāo)文件以二進(jìn)制形式進(jìn)行讀寫，并分割成一定大小的多個(gè)二進(jìn)制文件，傳送到目的地后得到的是整個(gè)磁盤或分區(qū)的取證映像。文件分割的工作原理是基于已知的文件頭信息，通過檢查二進(jìn)制數(shù)據(jù)對(duì)文件進(jìn)行識(shí)別。如果從文件的格式定義中知曉文件尾，文件分割將從文件頭開始掃描，直至找到文件尾（或者是在配置文件中設(shè)置的文件最大長度），然后將分割的文件保存在磁盤上，以備隨后對(duì)其進(jìn)行取證檢查。

傳統(tǒng)的文件分割技術(shù)要求映像中的數(shù)據(jù)按照順序進(jìn)行存儲(chǔ)，因此在文件分段存儲(chǔ)的情況無法獲得整個(gè)文件。將文件分段存儲(chǔ)的原因是由于文件分割隨著文件系統(tǒng)類型的不同而變化，而且根據(jù)內(nèi)存的不同而不同，如 NAND 閃存中非常大的文件（如視頻文件）很難被恢復(fù)。

針對(duì)碎片文件的制約問題，設(shè)計(jì)獨(dú)立于任何文件系統(tǒng)的文件分割算法，從配置文件中讀取滿足要求的文件頭和文件尾定義，使它能夠從原始映像中抽取出文件，用于恢復(fù)文件系統(tǒng)中的重要元素，對(duì)于取證分析來說是一個(gè)非常有價(jià)值的工具。

（四）字符串匹配技術(shù)

串匹配問題是計(jì)算機(jī)科學(xué)中的一個(gè)基本問題，也是復(fù)雜性理論中研究得最廣泛的問題之一。它在文字編輯處理、圖像處理、文獻(xiàn)檢索、自然語言識(shí)別、入侵檢測(cè)等領(lǐng)域有著廣泛的應(yīng)用。串匹配問題實(shí)際上就是一種模式匹配問題，即在給定的文本串中找出與模式串匹配的子串的起始位置。字符串匹配技術(shù)在數(shù)字取證時(shí)，根據(jù)已知信息對(duì)二進(jìn)制信息進(jìn)行快速查找，即通過關(guān)鍵字搜索獲得準(zhǔn)確信息。字符串匹配的實(shí)現(xiàn)可以有多種算法，如BF算法、KMP算法、BM算法等。

由于谷歌地圖服務(wù)已經(jīng)緊密地集成在安卓操作系統(tǒng)中，使安卓終端設(shè)備存在著大量的位置信息，設(shè)計(jì)運(yùn)行于Ubuntu虛擬機(jī)中、支持功能強(qiáng)大以及正項(xiàng)表達(dá)式的復(fù)雜模式匹配算法是必要的。

（五）其它技術(shù)

在很多取證過程中，基于物理獲取數(shù)據(jù)之后的邏輯獲取、分析通?？梢缘玫阶銐虻陌讣畔?。然而，某些案件還是需要更深入的分析，以找到已經(jīng)被刪除的文件或未知的文件結(jié)構(gòu)之間內(nèi)在的聯(lián)系，這就會(huì)涉及到更多的相關(guān)技術(shù)，如數(shù)據(jù)庫技術(shù)和數(shù)據(jù)挖掘技術(shù)，XML解析技術(shù)，這些成為安卓取證中必不可少的技術(shù)；如十六進(jìn)制編輯器可以幫助辦案人員準(zhǔn)確地看到存儲(chǔ)的是什么數(shù)據(jù)。尋找其模式，或?qū)⒖梢宰R(shí)別被刪除的或從前見過的數(shù)據(jù)結(jié)構(gòu)。

本文介紹了針對(duì)基于安卓系統(tǒng)的移動(dòng)終端數(shù)據(jù)恢復(fù)的邏輯技術(shù)和物理技術(shù)及數(shù)據(jù)分析技術(shù)，有助于公安辦案人員獲取涉案人員在所使用的智能手機(jī)或其他移動(dòng)終端設(shè)備中存有的通訊錄、通話記錄、來往信息、數(shù)碼照片、各類文件等用戶信息和數(shù)據(jù)，并盡可能對(duì)已經(jīng)被刪除的以上信息和數(shù)據(jù)進(jìn)行恢復(fù)，以滿足案件偵查的需要。另外，能夠增強(qiáng)人們對(duì)相關(guān)信息和數(shù)據(jù)的保護(hù)意識(shí)，并利用更加有效的手段來保護(hù)這些信息和數(shù)據(jù)的安全。

四、總結(jié)

[1] 周敏,龔箭. 分布式計(jì)算機(jī)取證模型研究[J]. 微電子學(xué)與計(jì)算機(jī),2012,2(29):40-43.

[2] 王雪玉. 云計(jì)算取證的5項(xiàng)基本技能[J]. 金融科技時(shí)代, 2012,(01):45-46.

[3] 武魯,王連海,顧衛(wèi)東. 基于云的計(jì)算機(jī)取證系統(tǒng)研究[J]. 計(jì)算機(jī)科學(xué),2012,5(39):83-85.

[4]陳丹. 計(jì)算機(jī)取證技術(shù)探討[J].福建電腦,2013(01):78-79.

[5] 郭陳陽,楊龍. 計(jì)算機(jī)取證技術(shù)在打擊犯罪中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2012(09):82-83.

[6] 吳紹兵. 云計(jì)算環(huán)境下的電子證據(jù)取證關(guān)鍵技術(shù)研究[J]. 計(jì)算機(jī)科學(xué),2012,11(39):139-142.

[7] 張俊,麥永浩. 云計(jì)算環(huán)境下仿真計(jì)算機(jī)取證研究[J].信息網(wǎng)絡(luò)安全,2011(10):7-9,12.

[8] 楊衛(wèi)軍,張佩軍,溫萬造.Android手機(jī)短信獲取與恢復(fù)方法.警察技術(shù),2013(03).

[9] 王雪玉. 云計(jì)算取證的5項(xiàng)基本技能[J].金融科技時(shí)代,2012(01): 45-46.