来源: 时间:2022-02-14 18:35:04
研究人员说,一种恢复存储在智能手机易失性存储器中的信息的新工具可以为调查人员提供解决刑事案件的重要线索。
有了新设备,普渡大学的研究人员将重点从智能手机的硬盘驱动器 (在手机关闭后保存信息) 转移到设备的RAM (易失性存储器)。
“我们认为这是网络犯罪调查的前沿,因为易失性存储器从所有应用程序的执行中获得了最新鲜的信息,” 首席研究员徐东彦说。
“调查人员能够获得更及时的法医信息,以解决犯罪或袭击,” 徐说。
尽管手机一关机,易失性存储器的内容就消失了,但如果设备启动并运行,它可能会显示出惊人数量的取证数据。
该团队的早期研究导致了可以恢复Android应用程序显示的最后一个屏幕的工作。
Xu说,在此基础上,发现应用程序在显示数据很久之后就在易失性存储器中留下了很多数据。
RetroScope利用Android使用的通用渲染框架来发出重绘命令,并为任何Android应用程序获取与易失性存储器中可用的先前屏幕一样多的内容。
该设备不需要有关应用程序内部数据的先前信息。
从应用程序显示的最后一个屏幕开始,恢复的屏幕按照以前看到的顺序显示。
徐说: “使用时屏幕上显示的任何内容都由恢复的屏幕显示,为调查人员提供了一系列信息。”
在测试中,RetroScope在15个不同的应用程序中恢复了从3个到11个以前的屏幕,每个应用程序平均有5个页面。
调查结果是在德克萨斯州奥斯汀举行的USENIX安全研讨会上发表的。
他说: “我们毫不夸张地认为,这项技术确实代表了智能手机取证的新范式。”
“它与所有现有的分析硬盘和易失性存储器的方法非常不同,” Xu指出。
相关推荐
猜你喜欢
