◆李鵬超 楊 鵬

（重慶警察學院信息安全系 重慶 401331）

基于Android手機的音頻文件取證技術(shù)研究

◆李鵬超 楊 鵬

（重慶警察學院信息安全系 重慶 401331）

近年來隨著手機智能化程度的不斷提高，手機在人們?nèi)粘Ｉ钪兴鸬降淖饔糜油癸@。在偵查人員辦理與智能手機相關(guān)的違法犯罪案件中，通常會發(fā)現(xiàn)手機中存儲了大量有價值的用戶信息，其中包括與犯罪相關(guān)的通話記錄、圖像、音頻、視頻等信息。智能手機中存儲的各種類型音頻文件已經(jīng)成為一種普遍存在的信息，因此在手機取證工作中如何將種類繁多的音頻信息提取并恢復已經(jīng)成為手機取證領域研究的熱點內(nèi)容。本文通過在Android智能手機中音頻文件取證技術(shù)的研究，提出一種解決方案，該方案能成功恢復并通過轉(zhuǎn)碼的方式正常播放已被刪除的音頻數(shù)據(jù)。與傳統(tǒng)手機取證方法相比，此方案能夠在不影響信息提取精確度的前提下提高智能手機中被刪除音頻數(shù)據(jù)的恢復效率。

數(shù)據(jù)恢復；轉(zhuǎn)碼；Android系統(tǒng)；手機取證

0 引言

隨著智能手機相關(guān)技術(shù)的不斷發(fā)展，智能手機的操作系統(tǒng)也已經(jīng)呈現(xiàn)出了多樣性，主流智能手機系統(tǒng)包括 Android、Windows、iOS等[1]。在眾多系統(tǒng)中，Android系統(tǒng)因其開源的特點，倍受開發(fā)人員和用戶的喜愛，其在智能手機市場份額中已經(jīng)占據(jù)主導地位。根據(jù)知名數(shù)據(jù)研究公司 International Data Corporation（IDC）的最新調(diào)查表明[2]，Android 系統(tǒng)手機已占全球智能手機市場近70%的份額，到 2019年市場占有率將上升至82.6%。隨著 Android系統(tǒng)手機用戶數(shù)量的爆發(fā)式增長，Android系統(tǒng)已經(jīng)成為移動互聯(lián)網(wǎng)惡意程序攻擊的主要對象。根據(jù)相關(guān)調(diào)查顯示[3]，2016年針對Android平臺開發(fā)的互聯(lián)網(wǎng)惡意攻擊程序，共有2，053，450個，占99%以上，位居第一。在移動互聯(lián)網(wǎng)惡意程序攻擊的背后隱藏著龐大的基于手機用戶的違法犯罪活動，已經(jīng)對社會造成嚴重的危害。為了有效打擊非法犯罪活動，存儲于手機中的電子數(shù)據(jù)已經(jīng)成為一種新的證據(jù)形式[4]。目前大多數(shù)基于手機的犯罪活動在最終偵破過程中電子證據(jù)都起到了至關(guān)重要的作用[5]。但是，智能手機上存儲的電子數(shù)據(jù)因其脆弱性會給手機上電子證據(jù)的提取帶來困難。同時，伴隨犯罪嫌疑人的反偵察意識和技術(shù)的不斷提高，犯罪嫌疑人會通過各種技術(shù)手段對智能手機上存儲的電子數(shù)據(jù)，如短信、通話記錄、音頻、視頻等進行刪除或銷毀。如何有效的將智能手機系統(tǒng)中已經(jīng)被破壞或銷毀的電子數(shù)據(jù)恢復已經(jīng)成為司法取證的關(guān)鍵，并直接影響案件能否成功偵破。

1 問題提出

Android系統(tǒng)手機數(shù)據(jù)取證技術(shù)是通過技術(shù)手段獲取犯罪嫌疑人使用的Andriod系統(tǒng)手機中存儲的關(guān)鍵數(shù)據(jù)線索，包括存儲的短信、微信、QQ等已刪除但沒有被覆蓋的電子數(shù)據(jù)等內(nèi)容[6]。

近年來，由于智能手機可以安裝微信、QQ等通信工具為人們的生活和交流提供便利。根據(jù)中國2016年有關(guān)手機用戶日常行為調(diào)查報告顯示，手機用戶除了打電話、發(fā)信息等基本通訊功能的使用外， 手機軟件如，微信、QQ等應用已經(jīng)成為絕大多數(shù)手機用戶打發(fā)碎片時間、獲取資訊、信息交互的主要渠道和日常行為。其中使用的手機通信軟件中應用最多的為QQ和微信。這些通信軟件也逐漸被犯罪嫌疑人利用作為從事違法犯罪活動的通訊或傳輸信息的工具。因此，在對違法犯罪案件證據(jù)提取的過程中，智能手機中保存的音頻文件，如通話錄音、手機錄音、微信語音、QQ語音等，已經(jīng)成為偵查人員重點關(guān)注的信息。但由于智能手機類型繁多且其中安裝的軟件種類各不相同，導致智能手機中存儲的語音文件類型多、存儲原理復雜，同時由于智能手機犯罪的隱蔽性和部分犯罪嫌疑人具有很強的反偵察意識，會利用刪除、刷機、格式化、破壞手機硬件等手段銷毀證據(jù)。因此，直接針對智能手機中音頻文件的取證已經(jīng)變得非常困難，在很大程度給司法機關(guān)偵破與之相關(guān)的違法犯罪案件帶來了障礙。因此，研究一套針對Android智能手機中存儲的各類音頻文件的檢測、判別、提取、恢復的方案已經(jīng)成為一項迫在眉睫的工作。

2 音頻文件取證解決方案

目前市面上已經(jīng)出現(xiàn)了較多帶有音頻文件恢復功能的智能手機取證工具，可以恢復文本、圖片、視頻、音頻等數(shù)據(jù)。其不足在于這些智能手機取證軟件應用范圍局限性很大，受到手機品牌、型號、存儲原理、文件類型、丟失原因等限制，很可能找不到丟失的有效音頻數(shù)據(jù)或無法對音頻信息進行恢復。同時，這些手機取證工具還會因為音頻文件格式不兼容等問題遇到“不支持QQ、微信語音文件播放”的問題。因此，常規(guī)手機取證工具可在一定程度上協(xié)助調(diào)取音頻文件，但不能作為主要音頻文件取證手段。本文為解決Android智能手機中音頻文件信息快速、準確恢復和播放問題，提出一種全新的技術(shù)解決方案，通過從手機數(shù)據(jù)底層著手分析，解決有效音頻數(shù)據(jù)的查找、恢復和音頻文件解碼播放（QQ、微信語音播放）等問題。本設計方案可以不受反偵察手段、手機品牌及音頻格式等限制，實現(xiàn)快速、現(xiàn)場對Android手機中存儲的音頻文件進行取證。

2.1 檢測音頻幀大小，判別音頻文件有效性

在對Android智能手機中的音頻文件進行取證時，首先要分析音頻幀類型和結(jié)構(gòu)，計算音頻幀數(shù)量（由音頻文件大小和幀大小決定），以判斷儲存在Android智能手機中的音頻數(shù)據(jù)是否有效（沒有被破壞或覆蓋）、是否值得恢復、是否可恢復。音頻幀結(jié)構(gòu)一般包括四個部分：幀頭、錯誤校驗、音頻信息和輔助數(shù)據(jù)[7]。不同音頻格式，音頻幀結(jié)構(gòu)不同，具體的音頻幀大小計算方法也各不同。判斷與計算的前提是要確定音頻類型，當前Android智能手機音頻文件格式主要包括AMR、SILK、MIDI、MP3、AAC、WAV、W4A、WMA、OGG等。其中，以AMR和SILK文件格式為主。SILK來源于即時通訊軟件Skype，主要是指微信、QQ等聊天軟件中產(chǎn)生的音頻文件[8]。AMR主要是指手機錄音、通話錄音等手機自帶錄音功能產(chǎn)生的音頻文件，AMR稱為自適應多速率語音編碼，主要用于移動設備的音頻，壓縮比比較大，相對其他的壓縮格式質(zhì)量比較差，因此多用于人聲通話[7]。音頻文件由文件頭和數(shù)據(jù)幀組成，文件頭標識占6個字節(jié)，后面緊跟著就是音頻幀，通過文件頭中的信息可以確定音頻文件的類型和數(shù)據(jù)幀的大小，按照音頻文件的結(jié)構(gòu)特征對文件進行提取。

2.2 好智能手機中QQ、微信音頻等電子數(shù)據(jù)的恢復原理

在成功檢測并判別出有效音頻數(shù)據(jù)幀后，再對音頻文件進行恢復。Android手機中音頻數(shù)據(jù)的恢復關(guān)鍵是提取手機存儲器中未被覆寫的數(shù)據(jù)并進行對應的還原。

Android智能手機在存儲文件時除文件內(nèi)容外，還將文件名、創(chuàng)建時間、長度等相關(guān)數(shù)據(jù)進行存儲，在存儲過程中創(chuàng)建鏈表，對存儲文件需要占用的空間進行標記。這樣有利于其文件系統(tǒng)的識別并顯示出哪個區(qū)域已存儲了文件。當對Android智能手機中的某個音頻數(shù)據(jù)文件進行刪除操作時，手機閃存中的數(shù)據(jù)不會改變，而只是將該文件相關(guān)數(shù)據(jù)狀態(tài)標記為已刪除狀況。若要進行徹底刪除時，才將手機存儲器中的存儲位置擦涂成空白狀態(tài)（全0或全1），用于后續(xù)新數(shù)據(jù)的存儲。在對音頻文件進行恢復時，首先要了解音頻文件的存儲格式，音頻格式即保存在智能終端中音頻文件存放的格式。上文中提到音頻文件種類繁多，不同的音頻文件由于推出廠家、研發(fā)技術(shù)的不同，各有差異，文件結(jié)構(gòu)也各不相同。在對不同類型音頻文件進行恢復時需要結(jié)合音頻文件的具體類型正確對相關(guān)文件進行檢測和恢復。雖然音頻文件種類繁多，格式多樣，但是在進行取證恢復時的原理基本一致。雖然不同格式的音頻文件以各自特定的編碼方式進行編排，但是每類音頻文件的頭部信息具有其唯一性。Android系統(tǒng)就是通過音頻文件的頭部信息識別不同類型的音頻數(shù)據(jù)。本文利用音頻文件頭部信息的這一特性規(guī)律，完成對刪除音頻文件的恢復和取證。具體過程和原理如下：

首先，對取證對象作鏡像[8]，利用相關(guān)軟件打開鏡像文件，并根據(jù)所要恢復的音頻信息頭文件的特征標識，如SILK音頻文件的頭部標識SILK_V3進行全面搜素，以確定要恢復的音頻文件在磁盤中的準確位置。

然后，結(jié)合該類音頻文件的結(jié)構(gòu)和文件頭部標識進行分析，尋找出文件被刪除時出現(xiàn)異常的位置及異常的類型。

最后，對文件的異常進行修復，恢復文件的完整性使得音頻文件恢復可用性和可讀性。

因此，本方案就是利用不同類型音頻文件所具有的特定頭部特征碼，對音頻文件以十六進制的形式進行深入分析，能夠比較高效地檢測到被破壞或刪除的音頻文件位置，并進行分析、修改和恢復。

2.3 QQ、微信等軟件音頻文件的解碼播放

對于常規(guī)音頻文件數(shù)據(jù)恢復工具和數(shù)據(jù)恢復方法而言，要實現(xiàn)音頻文件的檢索、提取和恢復并不難，真正的難點在于如何將恢復后的音頻文件進行正常播放，以達到音頻文件作為證據(jù)或線索的可用性之目的。上文中已經(jīng)提到手機音頻文件格式主要包括AMR、SILK、MIDI、MP3、WAV等類型，不同品牌、不同操作系統(tǒng)、不同版本的手機可能使用不同的音頻格式。比如微信及QQ的音頻格式文件類型為SILK。其實，在用戶直接獲取的微信的語音文件是以.AMR為后綴的文件，但其本身并不是真正的AMR類型文件，如果直接將其用以播放AMR類型的播放器不能對音頻文件正常播放 ，它其實是SILK_ V3格式。 對于常見的音頻文件格式如，MIDI、WAV等其他格式的音頻文件能通過暴風影音等任意第三方工具播放，但對于SILK類型的音頻文件則失效，必須將SILK文件進行轉(zhuǎn)碼[9]。而SILK音頻文件解碼就是音頻文件取證的最大難點。本文提出的手機音頻文件提取技術(shù)方案中使用了基于Skype官方提供的SDK設計一種基于SILK的音頻文件編解碼算法，可將SILK音頻文件直接解碼成MP3格式，在手機或電腦上（微軟Windows Media Player）直接播放。SILk的音頻文件編解碼算法原理：

首先，將恢復后的SILK源文件解碼為PCM類型的音頻文件，PCM格式的音頻數(shù)據(jù)是最原始音頻數(shù)據(jù)，可以被聲卡直接識別并接收。

然后，將PCM格式的音頻文件轉(zhuǎn)碼成MP3格式。將所提取和恢復的音頻文件進行編碼轉(zhuǎn)碼成 MP3格式后，取證人員就可在現(xiàn)場直接提取并正常播放被刪除的 QQ、微信等語音文件，提升取證效率。

3 結(jié)語

與常規(guī)數(shù)據(jù)恢復手段相比，本文所提出的手機音頻文件取證技術(shù)方案優(yōu)點在于通過判斷音頻文件格式和類型準確、快速地找到智能手機中的已經(jīng)被刪除的音頻文件位置，并根據(jù)格式解析音頻文件結(jié)構(gòu)和頭部的特征碼分析出音頻文件出現(xiàn)異常的原因，對音頻文件加以恢復，最后通過相應的音頻解碼算法將音頻文件組合為手機或電腦直接可播放的形式，幫助取證人員快速獲取Android智能手機中的存儲的音頻電子證據(jù)。

但是，由于犯罪嫌疑人出于反偵察或節(jié)省流量等方面原因考慮，會對于一些即時通信的語音文件或即時通信錄音數(shù)據(jù)做一定的壓縮再進行存儲，如果這樣的文件被刪除后，因為無法正確查找到其特征碼而給取證帶來極大的困難。

另外，如果音頻文件是按順序存儲在手機存儲器中同一區(qū)域，那么這類音頻文件很容易被取證。例如兩個連續(xù)存儲的音頻文件在物理地址上是連貫存儲的且中間數(shù)據(jù)沒有隔斷，在對手機音頻文件恢復時只需判斷出視頻文件大小，再將數(shù)據(jù)文件內(nèi)容提取出就可以將整個音頻文件進行恢復。如果需要取證的犯罪嫌疑人的Android手機使用了比較長的時間，其存儲器的可用存儲空間比較少時，這些音頻文件就會被存儲在不同區(qū)域，缺少數(shù)據(jù)與文件之間的關(guān)聯(lián)性，取證時需要把很多文件碎片拼湊成完整的音頻文件就會變得相當困難，這也為音頻文件取證工作帶了挑戰(zhàn)。

[1] Wikipedia．Smartphone[EB/OL]．https：//en．wikipedia．org/wiki/Smartphone．

[2] Android and iOS Squeeze the Competition， Swelling to 96．3% of the Smartphone Operating System Market for Both 4Q14 and CY14,According to IDC[EB/OL]．http：//www．idc．com/getdoc．jsp?container Id=pr US25450615．

[3] 劉洪偉，戴芬，李璐．Android手機手工恢復文件方法研究[J]．信息通信，2016．

[4] 陳浩．Android手機的 SQLite數(shù)據(jù)恢復技術(shù)研究[D]．浙江：杭州電子科技大學，2016．

[5] 楊衛(wèi)軍．Android手機短信獲取與恢復方法[J]．警察技術(shù)，2013．

[6] 危蓉，麥永浩．基于winhex手機圖片信息的取證與技術(shù)[J]．信息安全研究，2016．

[7] 張瑜．音頻文件格式的轉(zhuǎn)換研究與實現(xiàn)[J]．微型電腦應用，2008．

[8] 方冬蓉．基于 Android手機的數(shù)據(jù)恢復方法研究及應用[D]．甘肅：蘭州理工大學，2014．

[9] 童文．基于安卓的樂音識別及 MIDI文件輸出的研究和實現(xiàn)[D]．北京：中國科技大學，2013．

本論文由重慶警察學院院級科研課題資助。