当前位置: www.2977.com > 新闻中心 > 技术分享 > 【澳门葡京技术分享】第五十二期:基于阅后即焚数据的取证方法

【澳门葡京技术分享】第五十二期:基于阅后即焚数据的取证方法

【澳门葡京技术分享】第五十二期:基于阅后即焚数据的取证方法


编者按:根据上一期对钉钉和Telegram的数据分析可看出,不同应用的数据存储格式不一样,且同一应用其在不同平台对消息处理机制也可能存在区别。因此,本文以对钉钉、Telegram的分析为基础,分析具备阅后即焚功能的应用数据特性以及消息处理机制并总结阅后即焚数据的取证分析方法。


一、阅后即焚数据的特性析


阅后即焚即为消息被接收阅读后在特定时间内被销毁。该销毁操作包含对存储于服务端、手机端的数据进行销毁。根据对钉钉和Telegram的分析可看出,不同应用及平台对数据的销毁等级不一,如iPhone版钉钉仅对服务端的密聊数据进行销毁,手机端保留数据;而Android版钉钉和Telegram则将两端数据同时销毁。因此,可将阅后即焚的消息处理方式通俗地理解为除服务端不保留数据外,本地数据库中是否被真正销毁。


上一期中图2所示的为销毁后的数据仍保留于手机端的情况。从图中可看出对手机端数据做保留处理的销毁机制,其在数据库表中通过设置特定字段用于标识记录是否已被销毁。记录为未销毁状态时该字段设置为特定值,当其为销毁状态时,则修改该字段的取值,而其他存储消息内容等字段则保持不变。一旦手机端的数据被备份,即可轻而易举地取到被销毁的消息内容,因此,认为此类销毁机制的安全等级较低。


由于数据被删除后则无法查看到删除的数据,因此,对于从手机端销毁数据的情况,从SQLite数据库存储原理方面深入分析数据被销毁前后数据库文件的变化情况。


1489109315537559.jpg


图4所示的为Android钉钉密聊消息记录被删除前后,聊天记录表页头的变化对比情况。 图4 (a) 为数据未销毁时聊天记录表tbmsg_Aid_Bid所在页的页头,从中可看出当前页含有8个单元区、单元区内容的起始地址偏移量为0x0043以及记录了各单元区内容的地址偏移量。当被销毁后页头的相应区域被相应修改,如图4 (b)所示,其中记录单元区数量的两个字节被清零,即说明当前页的所有记录均被删除,而记录单元区内容的起始地址偏移量以及各单元区内容的地址偏移量的相应区域均被修改,且各单元区内容地址偏移量被统一设置为0x0043,即未删除前的单元区内容起始地址偏移量。


图5 所示的为Android钉钉密聊消息记录被删除前后相应单元区内容的变化对比情况。图5 (a) 为数据未销毁时,消息内容分别为“55555555” 和 “66666666” 的记录所在单元区内容;这两条记录被销毁后,其相应的单元区内容如图5 (b) 所示,从图中可看出,记录被删除后数据并未真正从数据库文件中被删除,且除最后一条记录的单元区内容前4字节未被修改外,其他单元区内容的前4字节均被修改。这说明了数据被删除后,这部分数据并未被真正删除,仅是存储数据的单元区内容头部被改变。因此,只要该部分区域未被覆盖,是有可能被恢复的。


1489109361639182.jpg


图6、7所示的为Android Telegram Secret Chat消息记录被删除前后,messages表页头及单元区内容变化对比情况。由图6可看出,消息记录被删除后页头的单元区数量以及单元区指针数组均被相应修改。图7所示的为消息内容分别为”secret chat”、”hi”和”test”三条记录在单元区内容被删除前后的对比情况。可看出,当消息记录被删除后,数据库中相应的单元区内容均被清零。因此,该部分记录一旦被删除则无法通过删除恢复技术获取到。


1489109394961721.jpg

1489109612415237.jpg


综上所述,可认为iPhone钉钉密聊消息的安全级别低于Android钉钉的密聊消息,而Telegram Secret Chat的消息安全级别则相对较高,其数据销毁后,将被清零。因此,可将销毁等级理解为是否对手机端保留的数据进行销毁以及销毁后数据的可恢复性。销毁后数据可恢复性越低,则说明销毁等级越高,相应的数据安全等级也越高。从而,可将阅后即焚的自动销毁机制分为以下三种情况:1)服务端不留存,手机端保留数据;2)服务端不留存,手机端数据销毁未清零;3)服务端不留存,手机端数据销毁且清零。其中第三种情况数据安全等级最高;第二种次之;第一种情况数据安全等级较低。


二、基于阅后即焚数据的取证方法


由上述对阅后即焚的数据特性分析可知,对上述三种不同销毁等级的数据相应的取证方法可做适当调整。(1)对于服务端不留存,手机端保留数据的情况。由于数据库中的数据仍被保留未被销毁,因此,可与其他普通模式下的聊天记录的获取方式一样,数据可直接从相应数据库表中查询获取。(2)对于服务端不留存,手机端数据销毁未清零的情况。可通过相应的删除恢复算法,恢复到数据。(3)对于服务端不留存,手机端数据被销毁且清零的情况。若是采用此类销毁机制,一旦数据被销毁,则无法恢复获取。


一般的取证分析方法的可分为以下四个主要步骤:

STEP1:文件备份及下载。通过手机助手等工具从待取证的手机设备将数据备份到本地。

STEP2:数据定位。分析应用数据文件的存储信息,包括数据包名、用户信息等重要数据的存储路径。

STEP3:数据分析。主要分析重要的数据文件是否被加密、用户基本信息、应用功能数据的存储位置以及数据存储格式。

STEP4:数据提取。将STEP3的分析结果,以文档或报告的方式输出。


图8所示的为具备阅后即焚功能特性的数据取证分析主要流程。从图中可看出,与一般取证分析流程不同的是,具有阅后即焚功能的数据,需预先分析消息销毁机制,并针对不同的机制采用与之相适应的取证方法。


1489109498561232.jpg


小结:本文首先分析钉钉和Telegram的数据存储格式;其次,通过对钉钉的密聊消息、Telegram的Secret Chat消息的销毁机制的深入分析,总结三种阅后即焚数据的销毁机制。旨在为取证分析工作提供参考依据。由于手机平台的多样性以及第三方应用程序的快速更新迭代等因素,本文所分析的取证方法存在一定的局限性。对分析的设备平台方面,本文仅针对已获取最高权限的已Root Android手机以及已越狱的iPhone手机作为分析载体,对于其他操作系统平台的应用并未涉及;对应用分析广度方面,仅选取部分较典型的具备阅后即焚功能特性的第三方应用进行分析,所涉及的应用量广度不是很全面。因此,分析其他平台的阅后即焚特性以及如何进一步提取规范的取证分析方法有待下一步深入研究。

该文已被中文核心期刊计算机科学收录,郭舒婷,罗珮允,陈明辉,范潮钦.基于阅后即焚数据的取证分析方法  [J].计算机科学,2016,43(12A):174-180

第一作者郭舒婷,现为线上澳门葡京网址手机取证研发中心研发工程师,自入职以来,一直致力于手机取证方面的研究,在文中以具备阅后即焚功能特性的钉钉、Telegram为例,分析其数据存储格式,阐述了应用数据取证方法。