本发明专利技术公开了一种针对Twitter的分析取证方法,其包括:获得运行Twitter的智能终端的最高管理权;据此提取Twitter在智能终端中运行的数据信息;进行数据分析,取证Twitter用户的账号信息、用户关注的联系人账号和发布的消息,以及用户与好友的私信内容和用户的搜素历史记录。本发明专利技术提供的取证方案,完善了处理智能终端的手段,提高了取证的速度,对Twitter应用中的关注对象、好友、通信信息和搜索历史进行了分析,可以将账号、好友和通信信息进行关联,并且支持对通信消息中发送的图片进行查看。再者本方案支持Android和iOS系统的取证,取证内容多。
【技术实现步骤摘要】
本专利技术涉及电子数据取证技术,具体涉及推特(Twitter)应用的取证。
技术介绍
推特(Twitter)是一个社交网络和一个微博客服务,它可以让用户更新不超过140个字符的消息。Twitter作为世界上一个广受欢迎的社交工具,不免也会被犯罪人员利用作为相互联系的工具。Twitter在使用过程中,会在手机上保存登陆的用户账号信息,还保存用户关注的其他用户以及被哪些其他用户所关注;另外当前用户与其他用户的私信信息也会在本地有缓存记录。用户所发表过的推文以及查看过的推文均会在设备上保留一定的缓存数据。随着智能终端的高速发展,Twitter应用得到更为广泛的应用,成为一款非常流行的社交软件。由此对Twitter在使用过程中所产生的数据进行分析,将会显得极为重要。但是现有的一些数据取证方案在实际使用过程中存在取证速度慢,以及取证内容比较的少,无法对智能终端中Twitter应用进行全面有效的数据取证。
技术实现思路
针对现有针对Twitter应用的取证技术所存在的问题,需要一种新的取证方法,以进行全面有效的数据取证。由此,本专利技术实际要解决的技术问题是提供一种针对Twitter的分析取证方法,该方法能够对智能终端中Twitter应用进行全面有效的数据采集和分析。为了达到上述目的,本专利技术提供的一种针对Twitter的分析取证方法,其包括:获得运行Twitter的智能终端的最高管理权;据此提取Twitter在智能终端中运行的数据信息;进行数据分析,取证Twitter用户的账号信息、用户关注的联系人账号和发布的消息,以及用户与好友的私信内容和用户的搜素历史记录。优选的,所述分析取证方法中对于已经获取到Root权限或者支持Recovery模式的Android智能终端,直接通过ADB命令,即可从系统/data/data目录下提取到应用的数据信息。优选的,所述分析取证方法中对于已经越狱的iOS智能终端,在系统/AppDomain目录下定位到Twitter的路径,然后遍历路径获取账号信息、联系人、好友和搜索历史信息。优选的,所述分析取证方法中提取Twitter的运行数据信息的过程如下:(1)使用数据线连接智能终端和控制主机,判断智能终端类型为IOS智能终端或者Android智能终端;(2)若为Android智能终端,则判断Android智能终端是否Root,若系统已Root或越狱,可以直接获取操作系统文件信息,直接提取Twitter应用数据文件;若Android系统未Root,尝试通过Adb命令对Twitter应用程序及其数据进行备份;若为IOS智能终端,则判断IOS智能终端是否越狱若IOS系统未越狱,尝试使用itunes进行应用数据的备份;(3)将Twitter的应用数据从智能终端、备份或镜像中复制到连接智能终端的控制主机上:若为Android智能终端,提取系统:/data/data/com.twitter.android/目录下的文件;若为IOS智能终端,提取系统:/AppDomain/com.atebits.Tweetie2/目录下的文件。优选的,所述分析取证方法对Twitter用户的账号信息、用户关注的联系人账号和发布的消息进行关联。优选的,所述分析取证方法支持对通信消息中发送的图片进行查看。优选的,所述分析取证方法进行数据分析的过程如下:1.提取当前账号信息:针对Android智能终端,遍历系统下database文件夹,分析每个db文件的命名是否为[TwitterID]-***.db这样的结构,如果匹配则通过String.Split(‘-’)函数提取出字符串数组,其中字符数组中的第一个元素作为当前登陆用户的ID;接着,以当前登录的用户ID作为查询关键词从users表中可以获取登陆用户信息;针对IOS智能终端,遍历系统下database文件夹,分析每个文件夹的命名是否为[Twitter用户名称]-[Twitter用户id]这样的结构;如果匹配通过String.Split(‘-’)解析该文件夹的名称提取出字符数组,其中数组中的第一个元素为登录用户信息,第二个元素是用户登录ID。2.提取联系人,好友信息及发布信息:针对Android智能终端,在users表中分析提取好友信息,并根据该好友信息在status表中对应的提取关注的好友发布的消息;针对IOS智能终端,在users表中分析提取好友信息,并根据该好友信息在status表中对应的提取关注的好友发布的消息;3.提取通信信息:针对Android智能终端,提取分析messages表中sender_id、recipient_id、created和content字段,基于sender_id字段获得消息发送者的ID,基于recipient_id字段获得消息接收者的ID,基于created字段获得通信时间信息,基于content字段获得通信的文本内容和图片的URL;针对IOS智能终端,提取分析messages表中text、date、recipientId以及senderId字段,基于text字段获取发布消息正文,基于date字段获取消息发送时间,基于recipientId字段获取发布消息接收者的ID,基于senderId字段获取消息发送者的ID;4.提取搜索历史信息:针对Android智能终端,提取分析search_queries表表中name和time字段,基于name字段获取搜索内容信息;基于time字段获取搜索时间信息;针对IOS智能终端,首先提取名称格式为“app.acc.[Twitter用户名]-[TwitterID].detail.**”的文件,导出到创建的案件目录下;接着通过plist库解析该文件,通过关键词“$objects”解析出一个plist数组,然后在该数组第5个元素,通过关键词“recentSearches”得到一个数值;最后以该数值作为搜索历史在数组中存放的位置信息,在数组中提取搜索历史信息。本专利技术提供的取证方案,完善了处理智能终端的手段,提高了取证的速度,对Twitter应用中的关注对象、好友、通信信息和搜索历史进行了分析,可以将账号、好友和通信信息进行关联,并且支持对通信消息中发送的图片进行查看。再者本方案支持Android和iOS系统的取证,取证内容多。具体实施方式为了使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实例,进一步阐述本专利技术。本实例提供的针对Twitter的分析取证方法,其能够分别针对Android智能终端和IOS智能终端(如iPhone手机)下Twitter应用,取证Twitter用户的账号信息、用户关注的联系人账号和发布的消息,用户与好友的私信内容和用户的搜素历史记录。本取证方法在智能终端(Android智能终端或IOS智能终端)的最高管理权状态,对智能终端中Twitter应用数据进行取证,如下:对于已经获取到Root权限或者支持Recovery模式的Android智能终端,直接通过ADB命令,即可从/data/data目录下提取到应用的数据信息;对于已经越狱的iPhone手机,在/AppDomain目录下定位到Twitter的路径,然后遍历路径获取账号信息、联系人、好友和本文档来自技高网...
【技术保护点】
一种针对Twitter的分析取证方法,其特征在于,所述取证方法包括:获得运行Twitter的智能终端的最高管理权;据此提取Twitter在智能终端中运行的数据信息;进行数据分析,取证Twitter用户的账号信息、用户关注的联系人账号和发布的消息,以及用户与好友的私信内容和用户的搜素历史记录。
【技术特征摘要】
1.一种针对Twitter的分析取证方法,其特征在于,所述取证方法包括:获得运行Twitter的智能终端的最高管理权;据此提取Twitter在智能终端中运行的数据信息;进行数据分析,取证Twitter用户的账号信息、用户关注的联系人账号和发布的消息,以及用户与好友的私信内容和用户的搜素历史记录。2.根据权利要求1所述的一种针对Twitter的分析取证方法,其特征在于,所述分析取证方法中对于已经获取到Root权限或者支持Recovery模式的Android智能终端,直接通过ADB命令,即可从系统/data/data目录下提取到应用的数据信息。3.根据权利要求1所述的一种针对Twitter的分析取证方法,其特征在于,所述分析取证方法中对于已经越狱的iOS智能终端,在系统/AppDomain目录下定位到Twitter的路径,然后遍历路径获取账号信息、联系人、好友和搜索历史信息。4.根据权利要求1所述的一种针对Twitter的分析取证方法,其特征在于,所述分析取证方法中提取Twitter的运行数据信息的过程如下:(1)使用数据线连接智能终端和控制主机,判断智能终端类型为IOS智能终端或者Android智能终端;(2)若为Android智能终端,则判断Android智能终端是否Root,若系统已Root或越狱,可以直接获取操作系统文件信息,直接提取Twitter应用数据文件;若Android系统未Root,尝试通过Adb命令对Twitter应用程序及其数据进行备份;若为IOS智能终端,则判断IOS智能终端是否越狱若IOS系统未越狱,尝试使用itunes进行应用数据的备份;(3)将Twitter的应用数据从智能终端、备份或镜像中复制到连接智能终端的控制主机上:若为Android智能终端,提取系统:/data/data/com.twitter.android/目录下的文件;若为IOS智能终端,提取系统:/AppDomain/com.atebits.Tweetie2/目录下的文件。5.根据权利要求1所述的一种针对Twitter的分析取证方法,其特征在于,所述分析取证方法对Twitter用户的账号信息、用户关注的联系人账号和发布的消息进行关联。6.根据权利要求1所述的一种针对Twitter的分析取证方法,其特征在于,所述分析取证方法支持对通信消息中发送的图片进行查看。7.根据权利要求1所述的一种针对Twitter的分析取证方法,其特征在于,所述分析取证方法进行数据分析的过程如下:(1)提取当前账号信息:...
【专利技术属性】
技术研发人员:吴松洋,郭波,谢丽丽,刘善军,
申请(专利权)人:公安部第三研究所,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。