安卓模拟器小知识

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(1)

随着虚拟化技术的不断成熟,越来越多的厂商加入到虚拟化产品的大军中,而安卓模拟器就是应用虚拟化技术的佼佼者。

安卓模拟器,是能在电脑上模拟安卓操作系统,并能安装、使用、卸载安卓应用的软件,它能让你在电脑上也能体验操作安卓系统的全过程。目前比较常见的安卓模拟器有“Android SDK”、“BlueStacks”和“逍遥安卓模拟器”等。

由于安卓模拟器操作简单,成本低,故一些不法分子就选择利用安卓模拟器进行诈骗等违法犯罪行为。

本文将主要介绍基于逍遥安卓模拟器的数据提取分析方法。

逍遥安卓模拟器取证

逍遥安卓模拟器是一款基于VMware Workstation的强劲安卓模拟器,在实际运用过程中,为了方便数据的存储和携带,可通过“逍遥安卓-多开管理器”导出扩展名为ova格式的虚拟包镜像文件,该文件包含所有用于部署虚拟机的必要信息,是由DMTF(Distributed Management Task Force)所定义的。

解析vmdk虚拟磁盘文件

2、ova格式镜像文件提取分析

在上文中我们已经知道逍遥安卓模拟器可以导出便于保存和携带的ova格式的镜像文件,将ova格式镜像进行解压就可以获得vmdk的虚拟磁盘文件,再通过电子取证工具对解压后的vmdk虚拟磁盘文件提取分析即可;

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(2)

逍遥安卓模拟器取证分析流程

逍遥安卓模拟器数据提取分析步骤

案例背景

案情简介:不法分子利用逍遥安卓模拟器通过QQ、网银等骗取钱财;

案件检材:U盘镜像(存储逍遥安卓模拟器的ova格式镜像文件);

会使用到的取证分析工具

DRS6800数据恢复系统,以下简称“DRS”;

SPF9139智能手机数据恢复取证系统,以下简称“SPF9139”;

WinHex 16进制编辑器,以下简称“WinHex”;

具体操作步骤

针对案例中的情况,对此逍遥安卓虚拟机数据提取分析步骤如下:

1、通过DRS加载U盘镜像文件,提取并恢复ova格式的全部文件;

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(3)

快速扫描获取ova格式文件

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(4)

保存ova格式的正常文件

2、把提取恢复的ova格式镜像文件全部改成压缩格式文件(可通过DOS命令进行批量修改),然后对压缩文件进行解压,解压后为vmdk虚拟磁盘文件;

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(5)

对压缩文件进行解压

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(6)

解压后为vmdk虚拟磁盘文件

3、通过WinHex加载解压后的vmdk虚拟磁盘文件,分析并定位数据区;

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(7)

定位数据区

4、定位数据区后,通过DRS加载存放数据的vmdk虚拟磁盘文件进行提取分析,获取到QQ应用数据包“com.tencent.mobileqq”文件夹并恢复保存到本地;

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(8)

提取QQ应用程序数据

5、采用上述同样的方法将QQ聊天记录中多媒体缓存存放的数据包“tencent”文件夹恢复并导出,和QQ应用数据包“com.tencent.mobileqq”放到同一文件的根目录下;

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(9)

提取多媒体数据

6、最后使用SPF9139通过加载文件夹的方式进行取证分析,即可采集到逍遥安卓模拟器中QQ聊天记录相关数据;

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(10)

解析QQ应用程序数据

7、导出数据报告。

安卓怎么检测模拟器软件(安卓模拟器数据提取分析方法)(11)

小编有话说

关于逍遥安卓模拟器数据提取分析方法的分享到这里就告一段落了,希望我们的分享能让大家有所收获,也非常欢迎大家来跟我们分享、交流、探讨行业的新技术、新需求,大家一起共同学习成长。当然如果您们有模拟器相关案件协助也可以通过微信联系我们哦!

,