搜索结果: GA/T 1571-2019, GA/T1571-2019, GAT 1571-2019, GAT1571-2019
| 标准编号 | GA/T 1571-2019 (GA/T1571-2019) | | 中文名称 | 法庭科学 Android系统应用程序功能检验方法 | | 英文名称 | Forensic sciences - Examination methods for functions of Android applications | | 行业 | 公安行业标准 (推荐) | | 中标分类 | A92 | | 国际标准分类 | 13.310 | | 字数估计 | 6,656 | | 发布日期 | 2019 | | 实施日期 | 2019-06-15 | | 发布机构 | 公安部 | GA/T 1571-2019
Forensic sciences - Examination methods for functions of Android applications
GA
中 华人 民 共和 国 公共 安 全 行 业 标准
法庭科学 Android系统应用程序功能检验方法
ICS 13.310
A 92
中华人民共和国公安部 发 布
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布
机构不承担识别这些专利的责任。
本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会(SAC/TC 179/SC 7)提
出。
本标准由全国刑事技术标准化技术委员会(SAC/TC 179)归口。
本标准起草单位:公安部网络安全保卫局、重庆市公安局。
本标准主要起草人:刘晓宇、田庆宜、罗珮允、李天长、付飞、向勇、李保顺、张江文、吴倩。
法庭科学 Android 系统应用程序功能检验方法
1 范围
本标准规定了法庭科学领域检验Android系统应用程序功能的方法。
本标准适用于法庭科学领域对Android系统特定应用程序的功能检验。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GA/T 756-2008 数字化设备证据数据发现提取固定方法
GA/T 757-2008 程序功能检验方法
GA/T 828-2009 电子物证软件功能检验技术规范
3 术语和定义
GA/T 756-2008、GA/T 757-2008、GA/T 828-2009界定的以及下列术语和定义适用于本文件。
3.1
Android系统应用程序 Android application
运行于Android系统之上具有某项或某几项特定功能的程序。
3.2
反编译 decompile
将应用程序文件还原成汇编或者高级语言代码的过程。
4 仪器设备
4.1 硬件
特定接口数据连接线、智能终端检验工作站。
4.2 软件
屏幕截图软件、送检应用程序所需的运行环境、反编译工具、分析检验所需工具软件等。
5 检验步骤
5.1 记录检材情况并编号
对送检的检材进行唯一性编号。
5.2 检材拍照
对送检的检材进行拍照。
5.3 对应用程序样本保全备份
5.3.1 对于检材为单一的应用程序文件,计算该文件的哈希值,并固定该应用程序文件。
5.3.2 对于检材为安装有应用程序的智能终端,应在信号阻断环境下使用应用程序备份等方法将该
程序固定提取,并计算备份程序文件的哈希值。
5.4 程序代码功能分析检验
5.4.1 获取程序文件的基本属性
获取程序的文件名、文件大小、文件最后修改时间、文件哈希值等属性。
5.4.2 静态分析程序
使用反编译工具对应用程序文件进行反编译,如应用程序采用加壳处理,对应用程序脱壳,查看
该程序具有的包名、权限、证书信息,根据测试目标和测试的功能分析程序代码。
对恶意类应用程序重点分析该程序是否具有:发送邮件、监听拦截转发短息、监视修改拨出电话、
获取(如GPS)定位等功能。使用截屏、拍照或录像的方式对检验结果进行固定。
5.4.3 动态分析程序
使用Android系统设备或Android SDK(Android系统专属软件开发工具包)等虚拟仿真环境根据
测试目标和测试的功能对应用程序文件进行动态检验,必要时,可以对应用程序网络行为进行抓包分
析,主要分析与应用程序通信的服务器IP、邮箱账号、密码等信息。使用截屏、拍照或录像的方式对
检验结果进行固定。
6 检验意见
根据检验情况依次列出检出的应用程序功能。如检出应用程序具有发送邮件、监听拦截转发短息、
监视修改拨出电话、获取(如GPS)定位等功能应单独列出。
7 附则
7.1 检验过程满足以下要求:
a)应做检验记录;
b)不应改变检验对象中的数据;
c)检出的数据应存储......
|