一种对应用程序取证分析的方法和装置与流程

1.本发明涉及计算机技术领域，尤其涉及一种对应用程序取证分析的方法和装置。


背景技术：

2.现有技术中，在应用程序进行取证分析的方法中对数据库文件进行解密，获取解密密钥都是通过连接互联网，在联网的状态下实现对应用程序的取证分析。这样的取证方法就限制了一些在没有网络状态下的取证场景的要求，导致在不联网的应用场景下，无法对应用程序进行取证分析。


技术实现要素：

3.本发明提供一种对应用程序取证分析的方法和装置，实现了在不联网的情况下，能够对应用程序进行取证分析。
4.第一方面，本发明实施例提供了一种对应用程序取证分析的方法，包括：
5.获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件；
6.通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥；
7.基于所述解密密钥对所述数据库文件进行解密，获取所述历史登录账号对应的记录信息，完成对所述应用程序的取证分析。
8.根据本发明实施例提供的对应用程序取证分析的方法，所述获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件包括：
9.依据视窗操作系统版本的应用程序并将所述应用程序下载到本地，从本地的存储目录中获取应用程序的历史登录账号以及历史登录账号对应的数据库文件。
10.根据本发明实施例提供的对应用程序取证分析的方法，所述通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥包括：
11.通过逆向分析的方法对所述应用程序进行解析，并在所述应用程序对应的内存中获取所述数据库文件的解密密钥特征；
12.基于所述解密密钥特征，在所述应用程序对应的内存镜像文件中查找目标解密密钥特征，并通过目标解密密钥特征确定所述数据库文件的解密密钥。
13.根据本发明实施例提供的对应用程序取证分析的方法，所述基于所述解密密钥特征，在所述应用程序对应的内存镜像文件中查找目标解密密钥特征，并通过目标解密密钥特征确定所述数据库文件的解密密钥包括：
14.基于所述解密密钥特征，在所述应用程序的内存镜像文件中查找与所述解密密钥特征相同的目标解密密钥特征；
15.通过所述目标解密密钥特征的前缀标识确定所述数据库文件的解密密钥。
16.根据本发明实施例提供的对应用程序取证分析的方法，所述基于所述解密密钥对所述数据库文件进行解密，获取所述历史登录账号对应的记录信息包括：
17.基于所述解密密钥对所述数据库文件进行解密，生成所述数据库文件对应的用明文标识的数据库文件；
18.对所述用明文标识的数据库文件进行解析，获取数据表信息；
19.根据所述数据表信息，获取所述历史登录账号对应的记录信息。
20.第二方面，本发明实施例提供了一种对应用程序取证分析的装置，包括：
21.获取模块，用于获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件；
22.解析模块，用于通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥；
23.解密模块，用于基于所述解密密钥对所述数据库文件进行解密，获取所述历史登录账号对应的记录信息，完成对所述应用程序的取证分析。
24.根据本发明实施例提供的对应用程序取证分析的装置，所述获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件包括：
25.依据视窗操作系统版本的应用程序并将所述应用程序下载到本地，从本地的存储目录中获取应用程序的历史登录账号以及历史登录账号对应的数据库文件。
26.第三方面，本发明实施例提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一项所述对应用程序取证分析的方法的步骤。
27.第四方面，本发明实施例提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述对应用程序取证分析的方法的步骤。
28.第五方面，本发明实施例提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述对应用程序取证分析的方法的步骤。
29.本发明提供的一种对应用程序取证分析的方法和装置，通过获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件；通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥；基于所述解密密钥对所述数据库文件进行解密，获取所述历史登录账号对应的记录信息，由于获取应用程序对应的内存镜像文件是不需要网络的，因此能够通过内存镜像文件获取数据文件的解密密钥，实现了对应用程序进行取证分析。
附图说明
30.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
31.图1是本发明实施例提供的一种对应用程序取证分析的方法的流程示意图；
32.图2是本发明实施例提供的对聊天工具的应用程序取证分析的方法的流程示意图；
33.图3是本发明实施例提供的一种对应用程序取证分析的装置的结构示意图；
34.图4是本发明提供的电子设备的结构示意图。
具体实施方式
35.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
36.目前，windows版本应用程序在取证分析中数据库文件的解密密钥的获取都是通过连接互联网实现，比如windows版本的一种聊天工具的应用程序的数据库文件的解密密钥的获取是通过软件模拟触发聊天工具的登录二维码，手机端登录聊天工具的账号，扫描取证软件模拟的聊天工具的登录二维码，手机端通过登录授权，解密程序获取聊天工具的应用数据库文件的解密密钥，实现对聊天工具的应用程序的取证分析。这样的取证方法需要计算机处于联网状态，但是很多取证分析工作时不能联网的，因此这种方式不能满足一些取证场景的要求，同时模拟触发聊天工具的登录二维码，这需要逆向聊天工具的登录协议，当聊天工具的应用协议变更就需要重新逆向，需要掌握新的协议，并且这种方式需要手机端登录对应的聊天工具的账号，但是很多情况下无法实现此需求。
37.本发明实施例提供了一种对应用程序取证分析的方法，以一种聊天工具的应用程序为例，通过从聊天工具的应用程序运行的计算机内存文件中获取聊天工具的应用程序的解密密钥特征，然后从对应的内存镜像文件中查找相同的解密密钥特征，基于解密密钥特征获取解密密钥，对聊天工具的应用数据库文件进行解密，从而实现对聊天工具的应用的取证分析。该方案可以在不联网的状态下实现，并且也不需要借助手机端进行登录。
38.参照图1，为本发明实施例提供的一种对应用程序取证分析的方法的流程示意图，包括：
39.110，获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件。
40.该步骤中，应用程序指为完成某项或多项特定工作的计算机程序，它运行在用户模式，可以和用户进行交互，具有可视的用户界面。在本发明实施例中应用程序可以为一种聊天工具。
41.120，通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥。
42.该步骤中，逆向分析指的是从应用程序入手，推测对应的代码，了解经代码编译之后的应用程序是如何运行的。
43.内存映像文件可以理解为像使用虚拟内存一样，使用内存映像文件同样需要经过保留和提交两个过程，首先在进程内存空间保留一块区域，然后提交物理存储给这段映像。物理存储是来自于磁盘上的文件。也即将磁盘上指定的数据文件作虚拟内存，这个实现过程被称为文件映像，可以将文件全部或部分映像到进程的地址空间中。文件映像过以后，可以把文件映像的部分当作已全部被载入内存一样的去访问它，这时又称它为内存映像文件。
44.130，基于所述解密密钥对所述数据库文件进行解密，获取所述历史登录账号对应的记录信息，完成对所述应用程序的取证分析。
45.该步骤中，取证分析是基于计算机取证技术的一种技术手段，是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。从技术上而言，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。
46.对应地，基于解密密钥对数据库文件进行解密，获取历史登录账号的记录信息，完成了对应用程序入侵或犯罪的证据的获取。
47.本发明提供的一种对应用程序取证分析的方法，通过获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件；通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥；基于所述解密密钥对所述数据库文件进行解密，获取所述历史登录账号对应的记录信息，由于获取应用程序对应的内存镜像文件是不需要网络的，因此能够通过内存镜像文件获取数据文件的解密密钥，实现了对应用程序进行取证分析。
48.基于上述任一实施例，所述步骤110具体包括：
49.依据视窗操作系统版本的应用程序并将所述应用程序下载到本地，从本地的存储目录中获取应用程序的历史登录账号以及历史登录账号对应的数据库文件。
50.该步骤中，以应用程序为一种聊天工具进行举例，windows版本的聊天工具的也就是pc端的聊天工具，下载pc端聊天工具到本地，从本地的存储路径中获取聊天工具的历史登录账号和对应的数据库文件。
51.基于上述任一实施例，所述步骤120具体包括下述步骤121～122：
52.步骤121，通过逆向分析的方法对所述应用程序进行解析，并在所述应用程序对应的内存中获取所述数据库文件的解密密钥特征。
53.该步骤中，以应用程序为聊天工具的为例，解密密钥特征可以理解为密钥上下文特征，对应的密钥上下文特征可以是storagemgr、fts等。
54.步骤122，基于所述解密密钥特征，在所述应用程序对应的内存镜像文件中查找目标解密密钥特征，并通过目标解密密钥特征确定所述数据库文件的解密密钥。
55.该步骤中，根据在内存中的密钥上下文特征storagemgr、fts，在聊天工具的对应的内存镜像文件中查找，若在内存镜像文件中存在storagemgr、fts中的其中一个，并将查找到的这个解密密钥特征作为目标解密密钥特征，由此确定数据库文件的解密密钥。
56.基于上述任一实施例，所述步骤122具体包括下述步骤1221～1222：
57.步骤1221，基于所述解密密钥特征，在所述应用程序的内存镜像文件中查找与所述解密密钥特征相同的目标解密密钥特征。
58.该步骤中，根据内存中的解密密钥特征在应用程序对应的内存镜像文件中进行查找，查找的条件是与内存中存在的解密密钥特征相同。
59.步骤1222，通过所述目标解密密钥特征的前缀标识确定所述数据库文件的解密密钥。
60.该步骤中，比如查找到的目标解密密钥特征为storagemgr，对应的前缀标识为0x88，则0x88后跟着的16位字符串为聊天工具的数据库文件的解密密钥。
61.基于上述任一实施例，所述步骤130具体包括下述步骤131～133：
62.步骤131，基于所述解密密钥对所述数据库文件进行解密，生成所述数据库文件对
应的用明文标识的数据库文件。
63.该步骤中，解密可以理解为将“密文”变为“明文”的过程。用明文标识的数据库文件指的是指没有加密的文字或者字符串。
64.步骤132，对所述用明文标识的数据库文件进行解析，获取数据表信息。
65.该步骤中，以应用程序为聊天工具的举例说明，在用明文标识的聊天工具的数据库文件中可以包括多种类型的数据，比如，联系人、聊天内容、收藏信息、图片存储路径等。根据数据库文件中不同类型的数据获取对应的数据表信息。
66.步骤133，根据所述数据表信息，获取所述历史登录账号对应的记录信息。
67.该步骤中，以应用程序为聊天工具的举例说明，通过联系人、聊天内容对应的数据表信息，可以获取到历史登录账号对应的联系人和聊天内容。
68.进一步的，对本发明实施例作补充说明，以应用程序为聊天工具的进行举例，参照图2所示，为本发明实施例提供的对聊天工具的应用程序取证分析的方法的流程示意图。
69.210、根据windows版本的聊天工具的应用程序的特点，并将聊天工具下载到本地，从本地的存储目录中获取该聊天工具的历史登录账号以及历史登录账号对应的数据库文件。
70.220、通过逆向分析的方法解析windows聊天工具的应用程序，获得聊天工具的数据库文件的解密密钥特征，其中，解密密钥特征可以是storagemgr、fts等。
71.230、根据解密密钥特征，在对应的内存镜像文件中查找与解密密钥特征相同的目标解密密钥特征storagemgr，通过目标解密密钥特征的前缀标识0x88确定数据库文件的解密密钥。
72.240、通过解密密钥对聊天工具的数据库文件进行解密，解密成功后，生成对应的用明文标识的数据库文件。
73.250、对用明文标识的数据库文件进行解析，获取数据表信息。
74.260、根据数据库表中的记录信息，获取到该聊天工具的历史登录账号的联系人、聊天记录信息等，完成对windows版的聊天工具的应用程序的取证分析。
75.本发明实施例提供的对一种聊天工具的应用程序取证分析的方法，根据计算机运行特征，聊天工具的使用过程会将数据库文件的解密密钥信息保留在内存中，通过在聊天工具的应用程序对应的内存镜像文件中找到解密密钥，实现对聊天工具的数据库文件的解析，从而实现对聊天工具的应用的取证分析。实现了在一些无法联网情况下对聊天工具的应用程序进行取证分析。
76.下面对本发明提供的对应用程序取证分析的装置进行描述，下文描述的对应用程序取证分析的装置与上文描述的对应用程序取证分析的方法可相互对应参照。
77.参照图3，为本发明实施例提供的一种对应用程序取证分析的装置的结构示意图，包括：
78.获取模块310，用于获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件；
79.解析模块320，用于通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥；
80.解密模块330，用于基于所述解密密钥对所述数据库文件进行解密，获取所述历史
登录账号对应的记录信息，完成对所述应用程序的取证分析。
81.基于上述任一实施例，所述获取模块310具体用于：
82.依据视窗操作系统版本的应用程序并将所述应用程序下载到本地，从本地的存储目录中获取应用程序的历史登录账号以及历史登录账号对应的数据库文件。
83.基于上述任一实施例，所述装置还包括：
84.解析单元，用于通过逆向分析的方法对所述应用程序进行解析，并在所述应用程序对应的内存中获取所述数据库文件的解密密钥特征；
85.查找单元，用于基于所述解密密钥特征，在所述应用程序对应的内存镜像文件中查找目标解密密钥特征，并通过目标解密密钥特征确定所述数据库文件的解密密钥。
86.基于上述任一实施例，所述查找单元，具体用于：
87.基于所述解密密钥特征，在所述应用程序的内存镜像文件中查找与所述解密密钥特征相同的目标解密密钥特征；
88.通过所述目标解密密钥特征的前缀标识确定所述数据库文件的解密密钥。
89.基于上述任一实施例，所述解密模块330，具体用于：
90.基于所述解密密钥对所述数据库文件进行解密，生成所述数据库文件对应的用明文标识的数据库文件；
91.对所述用明文标识的数据库文件进行解析，获取数据表信息；
92.根据所述数据表信息，获取所述历史登录账号对应的记录信息。
93.图4示例了一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)410、通信接口(communications interface)420、存储器(memory)430和通信总线440，其中，处理器410，通信接口420，存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令，以执行一种对应用程序取证分析的方法，包括：获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件；通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥；基于所述解密密钥对所述数据库文件进行解密，获取所述历史登录账号对应的记录信息，完成对所述应用程序的取证分析。
94.此外，上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
95.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的一种对应用程序取证分析的方法，包括：获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件；通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥；基于所述解密密钥对
所述数据库文件进行解密，获取所述历史登录账号对应的记录信息，完成对所述应用程序的取证分析。
96.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的一种对应用程序取证分析的方法，包括：获取应用程序的历史登录账号以及所述历史登录账号对应的数据库文件；通过逆向分析的方法在所述应用程序对应的内存镜像文件中确定所述数据库文件的解密密钥；基于所述解密密钥对所述数据库文件进行解密，获取所述历史登录账号对应的记录信息，完成对所述应用程序的取证分析。
97.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
98.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
99.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。