安卓模拟器作为一类常见的手机系统模拟器,能在电脑上运行并模拟安卓手机系统环境,以达到在电脑上安装、使用安卓应用程序的目的。
在取证领域,安卓模拟器常被用于“对恶意应用程序逆向”的实战场景。但也有很多不法分子也会通过模拟器,进行一些违法犯罪活动。
通过本文,我们将与大家分享一下,案件中如果遇到犯罪分子使用模拟器的情况,我们应该如何取证。内容涉及夜神模拟器、雷电模拟器以及mumu模拟器三款常见模拟器。
本文将使用到平航手机多路取证分析PF5200系列产品
实战分析
夜神模拟器不同版本可获取到的数据格式不同,如vmdk虚拟硬盘格式文件、npbk格式。不论哪种格式的数据文件都可以使用平航手机多路取证分析软件PF5200进行解析。
其中,解压npbk格式文件后可得到一个wmdk镜像虚拟硬盘格式文件,将wmdk文件直接导入PF5200,软件会自动识别模拟器镜像,点击批量提取就可以完成数据提取分析。
相较于夜神模拟器不同版本的差异,雷电模拟器的数据文件较为单一,找到data.vmdk数据文件
同样也是可以直接导入PF5200中进行识别解析,点击批量提取就可以完成数据提取分析。
Mumu模拟器里面无备份设置,需要我们手工去找到本地数据文件:data.vdi
将解压缩后的img文件导入PF5200,并在数据类型中选择修改为“模拟器镜像”,再点击批量提取即可完成数据提取分析。
如果大家在实战过程中也有类似问题或需求,也可以联系平航官方获取更多、更高效的专业技术支持!
产品试用请联系平航区域业务人员或拨打4008-390-960
扫描下方二维码,获得不同权益!
1. 关注平航科技官方微信公众号,掌握第一手产品、技术、热点资讯!
2.添加平航科技远程技术中心企业微信,实战技术难题、产品使用问题、产品建议意见反馈,通道畅通无阻!
3. 扫码填写信息,订阅平航科技取证技术简报,每个季度的新兴技术、实战经验等,与您共享!
平航科技
官方微信公众号
平航科技
远程技术中心
平航科技
技术简报订阅
*平航取证技术简报限【公检法用户】订阅,请务必提供您的任职单位信息~ 不符合要求的订阅申请,暂不受理。
杭州平航科技有限公司
全国技术热线 : 4008-390-960
杭州总部地址:
杭州市 滨江区滨安路650号A座16层
北京办事处地址:
北京市 西城区莲花池甲5号1号楼2单元507室
广东办事处地址:
广州市 越秀区环市东路370-372号2616室
江苏办事处地址:
南京市 玄武区珠江路88号A座2110室
原文始发于微信公众号(平航科技):【技术分享】常见三种安卓模拟器的取证方式
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论