不同于静态内存中敏感数据被加密存储,Android动态内存中一些敏感信息以明文的形式存在,如应用程序账户、密码、加密密钥以及一些缓存的应用数据等,这些数据具有极大的取证价值。而且随着智能手机动态内存容量的不断增大,越来越多的应用数据被缓存至动态内存中,针对Android智能手机动态内存的电子数据取证研究具有重要意义。文章分析对比了LiME及其改进方法、FROST、MEMGRAB及其改进方法、硬件提取方法等主要的Android智能手机动态内存提取技术,分析了进程分析、系统信息分析、密钥分析、账号密码和应用缓存数据分析等主流的Android智能手机动态内存分析技术。文章通过分析得出了这些方法存在的问题和不足并提出未来研究方向的建议,以帮助取证人员更好地开展Android智能手机的取证工作。

• 出版日期2019
• 单位广州中国科学院软件应用技术研究所; 中国科学院大学; 浙江警察学院; 中国科学院软件研究所