安卓智能手机蓝牙数据取证实战
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
作为一款基于 Linux 开发的操作系统,安卓( Android )智能系统由于其自由、价廉及开源性越来越多地受到手机厂家及消费者的青
睐。据统计,截至 2013 年的第四季度,全世界采用这款系统的设备数量已经达到 10 亿台,安卓系统的手机数量已占全球市场份额的 78.1% 。
正是由于该系统在手机应用的普及,安卓智能手机系统取证研究的论文已屡见不鲜,但是针对安卓系统内蓝牙数据的取证分析却是凤毛麟
角。而蓝牙技术作为一项免费的设备间近距离数据传输技术,在安卓系统内已广泛应用,同时由于其不会在移动通讯运营商服务器上遗留痕
迹,给相关案件的办理增加了难度。因此有必要对安卓系统手机的蓝牙数据进行分析研究。
蓝牙( Bluetooth )技术,是一种支持电子设备间近距离(一般小于 10 米)通信的 无线电 技术。能在包括移动电话、 PDA 、 无线耳
机 、笔记本电脑、导航仪等设备间进行无线信息交换。利用蓝牙技术,能够有效实现移动通信终端间的免费通信,也能够简化设备与因特网
之间的通信,从而使数据传输变得更加迅速高效。蓝牙采用分散式网络结构以及快跳频和短包技术,支持点对点及点对多点 通信 ,工作在
全球通用的 2.4GHz ISM (即工业、科学、医学) 频段 ,其数据传输速率可达 1Mbps 。一般情况下,每个蓝牙设备都有自己全球唯一的 MAC
地址。

2008 年 9 月,谷歌发布的第一款安卓( Android 1.0 )操作系统并没有嵌入蓝牙模块,直到 2009 年 5 月, Android 1.5 ( Cupcake )系统才正
式应用蓝牙技术,并一直应用到后期开发的所有安卓操作系统。成熟的安卓系统架构和其操作系统一样,都采用了分层的架构。从架构图
看, Android 分为四个层,从高层到低层分别是应用程序层、应用程序框架层、系统运行库层和 Linux 内核层。由 “ 安卓系统架构图 ” 可以看
出,蓝牙模块是内置于 Linux 操作系统的内核层,属于安卓操作系统的核心部分。

由于蓝牙模块是内置于 Linux 操作系统的 内核 层,利用蓝牙技术进行数据传输必然会在安卓系统由低向高各层,即 内核 层、系统运行
库层、应用程序框架层和应用程序层遗留各种痕迹。因此,我们有必要对整个系统的系统日志、数据库记录、应用程序文件、传输文件等进
行解析研究。由系统结构看,越是高层的痕迹数据越易于获取,同时也更易被破坏。相反,越是低层的痕迹数据越难于获取,同时也不易被
破坏。为了提取更详尽的数据,一般需要获取安卓系统的 ROOT 权限。在移动电话机身获取系统日志 “/log.txt” 文件和蓝牙数据库日志记
录 “/bluedroid/bt_config.xml” (高版本)或者 “/bluetoothd/ 蓝牙 MAC 地址 /lastseen” (低版本)文件;在机身获取数据
库 “com.android.bluetooth/databases/btopp.db” 文件,在机身或存储卡 “/Bluetooth” 目录下获取蓝牙传输文件。系统日志文件和蓝牙数据库日志文
件一般会记录本机蓝牙的启动时间、配对对象、每个配对对象的最后一次配对时间。蓝牙数据库文件一般会记录传输文件的时间、传输方
向、目的蓝牙 MAC 地址以及传输文件的名称、类型、物理大小、原始路径、保存路径、传输数据量、是否成功等数据痕迹。
囡サ蓣牟伦辙敶捴皊揖叜叐庚甮
根据上述蓝牙技术应用痕迹,一方面可以分析该设备曾经与哪些蓝牙设备配对连接过,根据这些线索搜查未发现的蓝牙设备;另一方
面可以分析该设备曾经与哪些设备,在什么时间,传输过什么数据,便于查清案情,证实犯罪。
下面,我们根据一个典型案例来说明蓝牙数据的提取及应用。借助软件工具主要有:一键 ROOT 工具、 MPE+ 手机检验软件、 Sqlite
Developer 数据库分析软件、 ecode.exe 等软件。
简要案情: 2014 年 5 月,某城郊检察院在对该市看守所进行巡视检查时,发现该所账目混乱,所长曹某某涉嫌滥用职权,套取基本经
费中在押人员被服费、生活费等,私设小金库,用于走访、招待费等不正当开支,脱离市财政、市公安局管理,造成直接经济损失 70 余万
元。另有线索表明,曹某某任职期间,涉嫌贪污 10 余万元,玩忽职守造成 100 余万元的经济损失,市看守所私分国有资产 40 余万元。初查期
间,办案人员发现曹某某的下属杨某某通过手机录音的方式保存了其与领导关于私设小金库、套取基本经费谈话内容的关键录音证据。但杨
某某供述其已将本人手机内录音文件通过电脑拷贝至 U 盘,交予妻子保存后删除,拒绝向办案人员交出电脑和 U 盘。办案人员收集到杨某某
及其妻子的手机后送交我处,要求恢复提取该录音文件。
首先按照移动电话类案件的检验程序,使用 MPE+ 手机检验系统制作手机的机身镜像文件,然后分别检验两部手机。初检发现杨某某
的三星 GALAXY Note3 手机使用的是安卓 Android OS 4.3 操作系统,蓝牙 MAC 地址为 B4:3A:28:A4:51:B5 。获取 ROOT 权限后,发现机身通话记
录、短信息等用户数据均为 2014 年 6 月 12 日以后的数据,怀疑该手机于当日前被初始化,无法直接恢复相关录音。使用 MPE+ 手机检验系统和
FTK 分析软件对手机机身、镜像文件和内置 16G 存储卡进行综合检验、数据恢复,没有发现上述录音文件 。
杨某某妻子的三星 GALAXYS4 手机使用的是安卓 Android OS 4.2 操作系统,蓝牙 MAC 地址为
B8:D9:CE:3D:65:87 。手机机身 “/storage/emulated/0/Bluetooth” 目录下发现 “2014-5-18_21_47_24.mp3” 和 “2014-05-
20_15_07_33.mp3” 两个音频文件,文件大小分别为 15505030 bytes 和 10313977 bytes ,提取并试听后,正是委托要
求提取的录音文件。根据该文件所在的目录,推测该录音文件系使用蓝牙通信接收的。使用 MPE+ 手机检验系统加
载三星 GALAXY S4 手机机身镜像文件,提取该手机蓝牙配对文件 “/data/misc/bluedroid/bt_config.xml” ,用浏览器读
取,得知该手机于 2014 年 5 月 21 日 07:03 与蓝牙 MAC 地址为 B4:3A:28:A4:51:B5 的 GalaxyNote3 型号手机最后一次配对
成功。同时提取蓝牙传输记录数据库文件 “/data/user/0/com.android.bluetooth/databases/btopp.db” ,用 Sqlite
Developer 数据库分析软件和 ecode.exe 软件进行解析,得出蓝牙传输文件信息为:

根据上述表格可知杨某某妻子的三星 GALAXY S4 手机通过本机的蓝牙先后于 2014 年 5 月 19 日 19:06:37 和 2014 年 5 月 21 日 07:03:23 从杨某
某的三星 GALAXYNote3 手机接收了两个 mpeg 文件,存储在 “/storage/emulated/0/Bluetooth/” 目录下,大小分别为 15505030 bytes 和 10313977
bytes ,文件名称分别为 2014-05-18_21_47_24.mp3 和 2014-05-20_15_07_33.mp3 。对于这两个文件的描述,与从杨某某妻子的三星 GALAXY S4
手机内提取的两个音频文件比较,其文件名称、文件大小、传输(现存)路径、传输时间都一致,充分表明,这两个音频文件自蓝牙传入后
没有发生剪辑、修改等人为操作,保持了其相对完整性,正是杨某某利用三星 GALAXY Note3 手机录制的两个音频文件。
亚サ恁给
电子证据就是一个 “ 大现场 ” ,犯罪嫌疑人的每一步操作都会遗留痕迹。由于技术原因,我们可能暂时无法找到需要的目标,但是可以
通过寻找目标遗留的其它 “ 痕迹 ” ,来间接找到它,进而完善证据链条,强化证据。在检案中,我们要善于开动脑筋,综合运用多种技术,达
到办案效果。在上述案例中,办案人委托我们恢复提取三星 GALAXY Note3 手机内的录音文件,由于该手机案发后被初始化,用户数据全部
丢失,目标 “ 痕迹 ” 被人为清除,依靠现有技术无法恢复出该文件,可以说三星 GALAXY Note3 手机内 “ 现场 ” 被全部清理。当另一个 “ 完好现
场 ” 三星 GALAXYS4 手机出现时,我们很容易找到了录音文件,下面只需要找到录音文件在本手机内遗留的相关 “ 痕迹 ” ,并能通过该 “ 痕迹 ” 找
到 “ 原现场 ” 的相关 “ 痕迹 ” ,在证明了录音文件的相对完整性后,就基本达到了目的。通过对蓝牙传输数据的分析,不仅提取了真实的录音文
件还找到了其传输途径,强化了证据的真实性和关联性,开拓了取证的新思路。面对一份电子数据时,不仅要考虑数据本身,还要考虑其可
能来源,这对全案侦破可能起到重要证明或启示作用。
当然,在本案例中,我们只是解析了蓝牙技术遗留的部分痕迹数据,属于蓝牙取证技术的粗浅研究。下一步,我们将对安卓系统蓝牙
数据取证技术进行系统分析,总结出更加全面的知识体系,为侦查办案服务。
参考文献:
[1] (美) Andrew Hoog 著 . 何泾沙等译 .Android 取证实战 [M]. 北京:机械工业出版社, 2013 年。
[2] 戴士剑,刘品新 . 《电子证据调查指南》 [M]. 北京:中国检察出版社, 2014 年。
[3] 罗会明 . Android 智能手机取证研究 [D]. 北京:北京化工大学硕士学位论文, 2013 年。
原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/944.html