一種基于Android平臺百度貼吧取證分析方法

郭波

摘要：當(dāng)今Android操作系統(tǒng)已成為全球最受歡迎的智能終端操作系統(tǒng)之一，涉案Android智能終端已成為重要的證據(jù)來源。針對當(dāng)前以百度貼吧為平臺的網(wǎng)絡(luò)違法犯罪多發(fā)的問題，該文詳細分析Android平臺下百度貼吧的數(shù)據(jù)取證分析方法。

關(guān)鍵詞：智能終端取證；Android；百度貼吧

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2018）33-0086-03

1 背景

百度貼吧是全球最大的中文社區(qū)，從2003年至今，百度貼吧擁有10億注冊用戶，2000多萬貼吧，每天都有數(shù)千萬用戶在線。

近年來，有些不法分子利用百度貼吧的影響力，召集人員組織策劃犯罪活動或冒充他人組織及個人到處詐騙錢財?shù)冗`法犯罪活動，百度貼吧正成為誘導(dǎo)犯罪、滋生罪惡的溫床。隨著新型智能終端設(shè)備、應(yīng)用的快速發(fā)展，涉案智能終端中的數(shù)據(jù)已成為重要的破案線索和證據(jù)來源，針對智能終端設(shè)備上應(yīng)用程序取證是打擊這類犯罪的一個有效手段。該文的目的旨在對Android智能終端上百度貼吧的取證方法進行研究和探討，詳細描述百度貼吧數(shù)據(jù)取證的分析方法。

2 百度貼吧文件路徑

百度貼吧在Android智能終端文件系統(tǒng)存儲路徑：/data/data/com.baidu.tieba/。

應(yīng)用數(shù)據(jù)主要存在在databases和shared_prefs文件夾下，其中shared_prefs存在一些配置信息，databases文件夾包含了貼吧賬戶的絕大部分信息，是Android平臺下百度貼吧分析的關(guān)鍵文件夾。

3 百度貼吧應(yīng)用數(shù)據(jù)分析

3.1 貼吧賬號信息

賬號信息對應(yīng)的文件路徑：Android貼吧主目錄/databases/baidu_tieba.db，通過SQLite查看器打開如圖2所示：

其中account_data數(shù)據(jù)庫表存儲著賬號信息，關(guān)鍵字段含義如表1：

3.2 貼吧消息

根據(jù)在account_data數(shù)據(jù)表中獲取的id，在Android貼吧主目錄/databases/找到對應(yīng)的數(shù)據(jù)庫文件名稱，例如id是269144100，則269144100.db是對應(yīng)賬號消息的數(shù)據(jù)庫文件。由于id是唯一的，所以理論上在手機上登錄幾個賬號，就有幾個這樣的數(shù)據(jù)庫文件。通過SQLite查看器打開269144100.db，如圖3所示：

其中tb_message_center數(shù)據(jù)表存儲著消息記錄，關(guān)鍵字段含義如表2：

“the_offical_msg_xxx”和“the_private_msg_xxx”（xxx代表gid）數(shù)據(jù)表存儲當(dāng)前登錄賬號和某聯(lián)系人具體的消息內(nèi)容。以the_private_msg_3474404470為例，在tb_message_center數(shù)據(jù)表gid字段中查找3474404470，獲取相關(guān)聯(lián)的group_name是trims16，所以the_private_msg_3474404470表示當(dāng)前賬號和百度貼吧用戶名為trimps16的消息記錄。the_private_msg_3474404470數(shù)據(jù)表中，content字段以二進制形式存儲著消息內(nèi)容，點擊content字段上的按鈕如圖4所示：

點擊content下Auto按鈕，如圖5所示：

點擊Save，命名文件名稱然后保存。使用winhex打開該文件，UTF8編碼查看：

通過這種方法獲取消息內(nèi)容的文本編碼方式為UTF8編碼，對應(yīng)的將 content字段以UTF8解碼方式將二進制文件轉(zhuǎn)換為文該文件。

3.3 關(guān)注的吧

關(guān)注的吧指用戶關(guān)注的貼吧信息。百度貼吧關(guān)注的吧對應(yīng)存儲文件路徑：Android貼吧主目錄/databases/baidu_adp.db。baidu_adp.db中表cache_meta_inf存儲其它數(shù)據(jù)表信息，tableName字段存儲著數(shù)據(jù)表名稱，nameSpace字段表示tableName字段對應(yīng)的表存儲的主題信息，cacheType表示tableName字段對應(yīng)的數(shù)據(jù)表存儲數(shù)據(jù)的方式，nameSpace字段中以賬號id或賬號用戶名結(jié)尾的，表示對應(yīng)相關(guān)賬號信息，如圖7紅色框部分所示：

其中“tb_user_profilexxx”（xxx代表賬號用戶名）表示賬號主頁信息，對應(yīng)的數(shù)據(jù)表存儲著關(guān)注的貼吧信息，如：“the_user_profile九班十班”，對應(yīng)的表名是cache_kv_b853781090，在baidu_adp.db數(shù)據(jù)庫找到該數(shù)據(jù)表，如圖8：

獲取關(guān)注的貼吧信息，需要定位到存儲關(guān)注貼吧內(nèi)容的偏移量。如何有規(guī)律的定位到存儲關(guān)注貼吧的偏移量是獲取關(guān)注貼吧內(nèi)容的關(guān)鍵。m_value字段存儲的二進制文件從偏移00000000到存儲關(guān)注的吧內(nèi)容的偏移之間數(shù)據(jù)結(jié)構(gòu)如圖9所示：

3.4 瀏覽記錄

其中forum_name代表瀏覽內(nèi)容所屬的貼吧，thread_id 代表該內(nèi)容的id值，thread_time代表該瀏覽內(nèi)容發(fā)布的時間，thread_name代表瀏覽內(nèi)容的主題。

3.5 搜索記錄

搜索記錄指用戶在頁面搜索欄中搜索的關(guān)鍵字信息。通過SQLite查看器打開baidu_tieba.db，其中search_data數(shù)據(jù)庫表存儲著搜索信息。

其中key字段表示搜索的內(nèi)容，account字段表示對應(yīng)的賬號id，time字段存儲的是13位時間戳，精度是毫秒，可以轉(zhuǎn)換為正常格式的時間。

4 結(jié)束語

該文通過對Android平臺百度貼吧的存儲文件進行簡單介紹，然后對貼吧賬號信息、搜索記錄、貼吧消息、關(guān)注的吧和瀏覽記錄數(shù)據(jù)庫表結(jié)構(gòu)進行深入分析，詳細介紹貼吧數(shù)據(jù)取證方法。

參考文獻：

[1] 金波， 吳松洋. 新型智能終端取證技術(shù)研究[J]. 信息安全學(xué)報， 2016（7）.

[2] 姚偉， 沙晶. Android智能手機的取證[J]. 中國司法鑒定， 2012（1）.

【通聯(lián)編輯：謝媛媛】