安卓模拟器小知識

随着虛拟化技術的不斷成熟，越來越多的廠商加入到虛拟化産品的大軍中，而安卓模拟器就是應用虛拟化技術的佼佼者。

安卓模拟器，是能在電腦上模拟安卓操作系統，并能安裝、使用、卸載安卓應用的軟件，它能讓你在電腦上也能體驗操作安卓系統的全過程。目前比較常見的安卓模拟器有“Android SDK”、“BlueStacks”和“逍遙安卓模拟器”等。

由于安卓模拟器操作簡單，成本低，故一些不法分子就選擇利用安卓模拟器進行詐騙等違法犯罪行為。

本文将主要介紹基于逍遙安卓模拟器的數據提取分析方法。

逍遙安卓模拟器取證

逍遙安卓模拟器是一款基于VMware Workstation的強勁安卓模拟器，在實際運用過程中，為了方便數據的存儲和攜帶，可通過“逍遙安卓-多開管理器”導出擴展名為ova格式的虛拟包鏡像文件，該文件包含所有用于部署虛拟機的必要信息，是由DMTF（Distributed Management Task Force）所定義的。

解析vmdk虛拟磁盤文件

2、ova格式鏡像文件提取分析

在上文中我們已經知道逍遙安卓模拟器可以導出便于保存和攜帶的ova格式的鏡像文件，将ova格式鏡像進行解壓就可以獲得vmdk的虛拟磁盤文件，再通過電子取證工具對解壓後的vmdk虛拟磁盤文件提取分析即可；

逍遙安卓模拟器取證分析流程

逍遙安卓模拟器數據提取分析步驟

案例背景

案情簡介：不法分子利用逍遙安卓模拟器通過QQ、網銀等騙取錢财；

案件檢材：U盤鏡像（存儲逍遙安卓模拟器的ova格式鏡像文件）；

會使用到的取證分析工具

DRS6800數據恢複系統，以下簡稱“DRS”；

SPF9139智能手機數據恢複取證系統，以下簡稱“SPF9139”；

WinHex 16進制編輯器，以下簡稱“WinHex”；

具體操作步驟

針對案例中的情況，對此逍遙安卓虛拟機數據提取分析步驟如下：

1、通過DRS加載U盤鏡像文件，提取并恢複ova格式的全部文件；

快速掃描獲取ova格式文件

保存ova格式的正常文件

2、把提取恢複的ova格式鏡像文件全部改成壓縮格式文件（可通過DOS命令進行批量修改），然後對壓縮文件進行解壓，解壓後為vmdk虛拟磁盤文件；

對壓縮文件進行解壓

解壓後為vmdk虛拟磁盤文件

3、通過WinHex加載解壓後的vmdk虛拟磁盤文件，分析并定位數據區；

定位數據區

4、定位數據區後，通過DRS加載存放數據的vmdk虛拟磁盤文件進行提取分析，獲取到QQ應用數據包“com.tencent.mobileqq”文件夾并恢複保存到本地；

提取QQ應用程序數據

5、采用上述同樣的方法将QQ聊天記錄中多媒體緩存存放的數據包“tencent”文件夾恢複并導出，和QQ應用數據包“com.tencent.mobileqq”放到同一文件的根目錄下；

提取多媒體數據

6、最後使用SPF9139通過加載文件夾的方式進行取證分析，即可采集到逍遙安卓模拟器中QQ聊天記錄相關數據；

解析QQ應用程序數據

7、導出數據報告。

小編有話說

關于逍遙安卓模拟器數據提取分析方法的分享到這裡就告一段落了，希望我們的分享能讓大家有所收獲，也非常歡迎大家來跟我們分享、交流、探讨行業的新技術、新需求，大家一起共同學習成長。當然如果您們有模拟器相關案件協助也可以通過微信聯系我們哦！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!