--在数字取证近十年来的研究和发展过程当中,其研究所覆盖的范围和对现代社会带来的影响都在飞速增长。随着越来越多事物被数字化,人们身边充斥着各种各样的数字设备。这些数字设备当中存储的信息则包含了人们生活的方方面面。当今社会最常用的,也可能包含最多个人信息的数字设备就是智能移动设备(Mobile devices)。其中市场占有率最大的移动设备所搭载的操作系统为安卓(Android)操作系统。据不完全统计全球市场上正在投入使用的安卓操作系统智能手机为14亿部。因此如何针对安卓操作系统下的移动设备进行取证将对于信息安全管理,打击犯罪等问题具有十分重要意义。然而,由于当前的数字取证研究领域仍然处于一种新兴的状态,无论是信息科学较为发达的西方国家还是相比在该领域起步较晚的我国都处于研究成果和学科开展力度相对欠缺的阶段。这直接导致了在某些领域已经出现了由于数字取证经验和能力不足以及数字取证方法和标准的缺失所带来的严重问题。例如2016年1月7日,受到社会广泛关注的深圳市快播科技有限公司所涉及的“快播”案就是在数字取证过程中没有遵循科学标准且缺乏相关处理技术和经验的情况下导致检方所获取的数字证据在技术上无法进行有效性证明。而更多类似问题也将出现在移动设备上。本文以装载安卓操作系统的移动设备为目标提出较为系统的数字取证方法,主要内容如下。首先,由于取证领域早期所提出的数字取证或计算机取证的框架已经在数字取证科学的发展过程中无法完全满足当前的移动设备取证的需求。鉴于无法通过直接套用这些传统框架,本文提出了一个能够适应移动设备取证的框架。该框架对移动设备取证进行阶段性划分,能够使该领域研究人员更好的理解不同阶段的移动设备取证工作所面临的关键性问题和研究目标。另外,本文描述了多种获取安卓智能设备当中数据的方法。除传统方法外,最新的改进技术能够在不进入恢复模式更改系统镜像文件,也不利用操作系统漏洞的情况下,通过对智能手机开发商的固件更新程序进行逆向工程,从而达到对智能机当中的数据进行物理转储(Physical dump)的目的。接下来,本文重点介绍了安卓应用程序的取证方法,即如何从安卓应用程序当中获得分析人员感兴趣的信息。并且提出了一种改进方法。相对于传统方法,改进后的方法可以1)更好的支持面向大量样本的自动分析工作2)可以使分析人员在分析过程中不需要承担由生成任何中间表达形式(代码)产生的额外的时间和空间开销3)不需要熟悉任何中间表达形式的语法4)具备更高的可靠性和稳定性5)可以获得信息在原文件当中的位置。这不仅可以辅助取证人员构建分析结果与证据源之间的对应关系,即证据的有效性证明。也可以在动态分析当中对关键信息进行定位。6)在执行效率方面改进方法也有着质的飞跃。实验结果显示,处理总大小为22.35GB的应用程序样本,传统方法用时为23小时,而改进方法则仅为1.5小时。最后,本文提出了一种针对恶意应用程序检测的方法。与基于恶意代码“指纹”识别的传统检测方法不同,本文提出的改进方法是基于机器学习实现的。根据人工分析过程中发现的规律,即安卓应用程序当中的应用程序组件和系统API之间的调用关系在普通应用程序和恶意应用程序当中的表现形式不同。根据这一“特征”进行机器学习,可以将正常的或恶意的应用程序进行有效区分。通过实验,在12428个应用程序组成的样本中,改进方法可以获得98%的分析准确率。最后本文还对现有方法和改进方法在不同机器学习算法下的性能表现进行了对比。结果表明无论是效率还是准确率都是改进方法更胜一筹。总的来说,本文主要贡献包括以下几点:1.提出了一个能够适应移动设备取证的新框架,将该取证过程划分阶段,有助于确定取证关键问题和目标。2.提出了根据所获取设备的状态选择相应数据转储方法的取证方式,即目标设备所处不同状态对应在此状态下最有效的数据转储方法。3.提出了一种改进的安卓应用程序取证的方法RAPID。实验结果表明信息获取速度得到大幅提高,并且RAPID被实现为开源工具。4.提出了一种识别性能更好的基于机器学习以及应用程序组件当中存在的特征的安卓恶意应用程序检测方法。综上所述,本文通过分阶段描述安卓操作系统取证的关键问题和解决方法,可以帮助分析人员了解安卓取证,加强对安卓操作系统及其应用程序当中数据的获取和分析的能力,了解当前数字取证技术在安卓平台下的限制等。