[Androidcachetaxonomyandforensicprocess.docxVIP

Android的高速缓存分类和取证过程 摘要 Android是一种最流行和广泛使用的移动操作系统和移动取证领域最活跃的研究产品之一。然而，机器人缓存分析一直以来，到今天为止，一个充分研究的研究课题，这限制了其潜在的用途在法庭调查。由于Android上的高速缓存格式的多样性，我们提出了一种基于应用程序的使用缓存的分类。使用这种分类法为基础，一个系统的过程，被称为Android的高速缓存取证过程中，提出了法医进行分类，提取和分析Android的高速缓存。 11流行的Andr??oid应用程序使用各种高速缓存格式进行了分析。作为该分析的一部分，一些缓存格式被解码和多个缓存格式常用Android应用从法医透视记载。根据我们的技术成果，在Android缓存查看器样机也被开发。这个原型是能够以便利的方式进行解码的一些机器人缓存格式和显示内容。介绍 Android的，截至2014年第四四分位数的，据报道有76％的手机市场份额[1]。在2014年，谷歌播放有代表发表在这一年[2]的应用程序的数量增加了一倍大约143万的Andr??oid应用程序。这是在这么短的时间显着增长。据桑德尔·皮蔡，Chrome和应用程序的谷歌高级副总裁，有超过十亿的Andr??oid设备激活为2013年9月的[3]。由于Android设备的流行，他们很可能会继续被用于传统的犯罪活动的行为，以及成为网络犯罪活动显著的目标（如恶意软件，方便数据被窃取）。这并不奇怪，因为量和存储在Android和其他移动设备的数据的性质已经从简单的联??系人列表十年前成长为潜在的敏感和个人身份信息（PII）今天几千兆字节。这种潜在的刑事开采必须满足与执法的相应能力，在这种情况表明需要移动取证。随着巴特勒和Choo的[4]解释说：“[G]伊芬的增加，信息通信技术在日常生活中[包括移动设备]，数字取证被越来越多的法院在澳大利亚和海外使用。这一概念的核心数字取证是数字证据“。数字取证是收集已涉及数字设备包括移动设备事故或犯罪证据的过程。此数据可以是在接触，浏览历史，说明和加密数据的形式，而在这个广泛的领域的挑战是有据可查的[5-7]。在Android的架构，标准库或API（应用程序接口），Linux内核及应用程序框架[8]之间坐。这些API可以使用缓存为自己的操作[9]，这是另一种可能的证据来源，并为所有的应用程序使用相同的API，他们的证据，在调查的潜在来源。而在Android的架构和开发人员的信息，如高速缓存分区和应用程序的高速缓存单元的一般信息，目前可[10]，也缺乏关于从数字取证的角度来看的应用程序缓存的具体信息，以及如何提取法医文物缓存。此外，在从Android设备伪像的萃取研究努力已被限制在日[5]相比于平台的生长。移动取证的子域是相对较新的[11]，并因此，并不十分了解在比较数字取证的其它区域。本文旨在对通过识别应用程序缓存格式和理解，记录和这些不同的格式进行分类填写的Android缓存取证的知识鸿沟作出贡献。在第二节中，我们提供了突出的数字取证的文献与此相关的研究进行了概述。第三节概述我们的Android缓存分类，以及我们提出的概念的Android缓存取证过程的基础上McKemmish[12]法医模型。第四节概述我们的实验环境，并用于存储过程用在我们的研究图像采集。第五节描述了从提出概念的Android缓存取证过程通过各种Android应用程序存储在缓存的分析中的应用我们的研究结果。第六节概述了我们的实现过程在软件原型，Android的缓存器，这是我们开发的这项研究的一部分的形式。最后，第七节总结本文并概述了今后的工作。II数字取证是研究的重点是利用计算机技术为基于计算机和传统犯罪调查现场。这就是俗称的识别潜在证据的来源，保护证据，防止无意或有意的变化，分析所收集的证据，最后提出法律上得到认可的证据在法庭上[12]的过程。除了这四个阶段，McKemmish提供了四个规则法医计算的，即行为，“原最少的处理”，“账户的任何变化”，“符合证据规则”和“不超过你的知识”[12，第3-4]。Android设备上的高速缓存取证也涉及这些相同的确定，保护，分析和提出的过程。由于McKemmish框架，Android的高速缓存取证的过程中这样的应用程序将有助于确保贡献我们的研究建议的过程是取证。高层框架提供指导，对取证调查行为的实践者。然而，在我们的文献回顾，我们无法找到任何突出的工艺或技术专门为Android应用程序缓存的分析。我们认为，这可能是由于在数字取证领域的背景下，相对较新的发展和Android应用的普及。除了缺乏具体的流程和方法，其他一些因素也很复杂的Android应用程序缓存法医检查。例如，对于Android应用程序没有单一通用的