安卓模擬器資料提取分析方法

安卓模擬器小知識

隨著虛擬化技術的不斷成熟，越來越多的廠商加入到虛擬化產品的大軍中，而安卓模擬器就是應用虛擬化技術的佼佼者。

安卓模擬器，是能在電腦上模擬安卓作業系統，並能安裝、使用、解除安裝安卓應用的軟體，它能讓你在電腦上也能體驗操作安卓系統的全過程。目前比較常見的安卓模擬器有“Android SDK”、“BlueStacks”和“逍遙安卓模擬器”等。

由於安卓模擬器操作簡單，成本低，故一些不法分子就選擇利用安卓模擬器進行詐騙等違法犯罪行為。

本文將主要介紹基於逍遙安卓模擬器的資料提取分析方法。

逍遙安卓模擬器取證

逍遙安卓模擬器是一款基於VMware Workstation的強勁安卓模擬器，在實際運用過程中，為了方便資料的儲存和攜帶，可通過“逍遙安卓-多開管理器”匯出副檔名為ova格式的虛擬包映象檔案，該檔案包含所有用於部署虛擬機器的必要資訊，是由DMTF（Distributed Management Task Force）所定義的。

通過對ova格式映象檔案的研究分析，發現ova格式映象檔案是一種單一的壓縮檔案，解壓完成之後就是vmdk虛擬磁碟檔案，因此對逍遙安卓模擬器資料提取分析只需對匯出的ova格式映象檔案中的vmdk虛擬磁碟檔案進行分析即可。

下文將具體介紹逍遙安卓模擬器資料提取思路和操作步驟。

逍遙安卓模擬器資料提取分析思路

對逍遙安卓模擬器資料進行提取分析時，最關鍵的就是找到對應的虛擬機器檔案，這樣就可以獲取到相應的安卓應用資料，進而通過手機取證分析軟體解析資料。獲取vmdk虛擬機器檔案的方式有：

1、直接查詢

逍遙模擬器安裝完成並啟動安卓模擬器之後，預設會在模擬器的安裝目錄下生成儲存資料的vmdk虛擬磁碟檔案，可以通過效率源DF6600電子資料分析系統對這些虛擬磁碟檔案解析、提取分析；

解析vmdk虛擬磁碟檔案

2、ova格式映象檔案提取分析

在上文中我們已經知道逍遙安卓模擬器可以匯出便於儲存和攜帶的ova格式的映象檔案，將ova格式映象進行解壓就可以獲得vmdk的虛擬磁碟檔案，再通過電子取證工具對解壓後的vmdk虛擬磁碟檔案提取分析即可；

逍遙安卓模擬器取證分析流程

逍遙安卓模擬器資料提取分析步驟

案例背景

案情簡介：不法分子利用逍遙安卓模擬器通過QQ、網銀等騙取錢財；

案件檢材：U盤映象（儲存逍遙安卓模擬器的ova格式映象檔案）；

會使用到的取證分析工具

DRS6800資料恢復系統，以下簡稱“DRS”；

SPF9139智慧手機資料恢復取證系統，以下簡稱“SPF9139”；

WinHex 16進位制編輯器，以下簡稱“WinHex”；

具體操作步驟

針對案例中的情況，對此逍遙安卓虛擬機器資料提取分析步驟如下：

1、通過DRS載入U盤映象檔案，提取並恢復ova格式的全部檔案；

快速掃描獲取ova格式檔案

儲存ova格式的正常檔案

2、把提取恢復的ova格式映象檔案全部改成壓縮格式檔案（可通過DOS命令進行批量修改），然後對壓縮檔案進行解壓，解壓後為vmdk虛擬磁碟檔案；

對壓縮檔案進行解壓

解壓後為vmdk虛擬磁碟檔案

3、通過WinHex載入解壓後的vmdk虛擬磁碟檔案，分析並定位資料區；

定位資料區

4、定位資料區後，通過DRS載入存放資料的vmdk虛擬磁碟檔案進行提取分析，獲取到QQ應用資料包“com.tencent.mobileqq”資料夾並恢復儲存到本地；

提取QQ應用程式資料

5、採用上述同樣的方法將QQ聊天記錄中多媒體快取存放的資料包“tencent”資料夾恢復並匯出，和QQ應用資料包“com.tencent.mobileqq”放到同一檔案的根目錄下；

提取多媒體資料

6、最後使用SPF9139通過載入資料夾的方式進行取證分析，即可採集到逍遙安卓模擬器中QQ聊天記錄相關資料；

解析QQ應用程式資料

7、匯出資料包告。

小編有話說

關於逍遙安卓模擬器資料提取分析方法的分享到這裡就告一段落了，希望我們的分享能讓大家有所收穫，也非常歡迎大家來跟我們分享、交流、探討行業的新技術、新需求，大家一起共同學習成長。當然如果您們有模擬器相關案件協助也可以通過微信聯絡我們哦！