ICS13.310 A 92 GA 中华人民共和国公共安全行业标准 GA/TXXXX—XXXX 法庭科学Android系统应用程序功能检验方法 ForensicsciencesExaminationmethodsforfunctionsofAndroidapplications 行业标准信息服务平台 XXXX - XX - XX 发布 XXXX- XX- XX实施 发布 中华人民共和国公安部 GA/TXXXX-XXXX 前言 本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（SAC/TC179/SC7）提 出。 本标准由全国刑事技术标准化技术委员会（SAC/TC179）归口。 本标准起草单位：公安部网络安全保卫局、重庆市公安局。 本标准主要起草人：刘晓宇、田庆宜、罗允、李天长、付飞、向勇、李保顺、张江文、吴倩。 行业标准信息服务平台 GA/TXXXX-XXXX 法庭科学Android系统应用程序功能检验方法 1范围 本标准规定了法庭科学领域检验Android系统应用程序功能的方法 本标准适用于法庭科学领域对Android系统特定应用程序的功能检验。 2规范性引用文件 2 下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GA/T756一2008数字化设备证据数据发现提取固定方法 GA/T757—2008程序功能检验方法 GA/T828一2009电子物证软件功能检验技术规范 3术语和定义 GA/T756—2008、GA/T757—2008、GA/T828—2009界定的以及下列术语和定义适用于本文件。 3. 1 Android系统应用程序Androidapplication 运行于Android系统之上具有某项或某几项特定功能的程序。 3. 2 反编译decompile 将应用程序文件还原成汇编或者高级语言代码的过程。 业标准信息服务 4仪器设备 4.1硬件 特定接口数据连接线、智能终端检验工作站 4.2软件 屏幕截图软件、送检应用程序所需的运行环境、反编译工具、分析检验所需工具软件等。 5检验步骤 5.1记录检材情况并编号 对送检的检材进行唯一性编号。 1 GA/TXXXX-XXXX 5.2检材拍照 对送检的检材进行拍照。 5.3对应用程序样本保全备份 5.3.1对于检材为单一的应用程序文件，计算该文件的哈希值，并固定该应用程序文件。 5.3.2对于检材为安装有应用程序的智能终端，应在信号阻断环境下使用应用程序备份等方法将该 程序固定提取，并计算备份程序文件的哈希值。 5.4程序代码功能分析检验 5.4.1获取程序文件的基本属性 获取程序的文件名、文件大小、文件最后修改时间、文件哈希值等属性。 5.4.2静态分析程序 使用反编译工具对应用程序文件进行反编译，如应用程序采用加壳处理，对应用程序脱壳，查看 该程序具有的包名、权限、证书信息，根据测试自标和测试的功能分析程序代码。 对恶意类应用程序重点分析该程序是否具有：发送邮件、监听拦截转发短息、监视修改拨出电话、 获取（如GPS）定位等功能。使用截屏、拍照或录像的方式对检验结果进行固定。 5.4.3动态分析程序 使用Android系统设备或AndroidSDK（Android系统专属软件开发工具包）等虚拟仿真环境根据 测试目标和测试的功能对应用程序文件进行动态检验，必要时，可以对应用程序网络行为进行抓包分 析，主要分析与应用程序通信的服务器IP、邮箱账号、密码等信息。使用截屏、拍照或录像的方式对 检验结果进行固定。 6检验意见 根据检验情况依次列出检出的应用程序功能。如检出应用程序具有发送邮件、监听拦截转发短息、 监视修改拨出电话、获取（如GPS）定位等功能应单独列出。 业标准信息服务平台 7附则 7.1检验过程满足以下要求： a）应做检验记录； b）不应改变检验对象中的数据； c）检出的数据应存储到专用的存储介质中； d）宜对检验过程同步录像。 7.2应对送检检验对象做好防水、防磁、防静电和防震保护。 2