【GA公共安全标准】 法庭科学 Android系统应用程序功能检验方法

Ics13.310
iikAa~cJouakAa
中华人民共和国公共安全行业标准GA/TXXXX—XXXX
法庭科学Android系统应用程序功能检验方法Forensicsciences-Examinationmethodsforfunctions ofAndroidapplicationsxxXX-xX-xX 发布
中华人民共和国公安部
XXXX- XX-XX实施
iiiKAa~cJouaKAa
本标准按照GB/T1.12009给出的规则起草。GA/TXXXXXXXX
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（SAC/TC179/SC7）提本标准由全国刑事技术标准化技术委员会（SAC/TC179）归口。本标准起草单位：公安部网络安全保卫局、重庆市公安局。本标准主要起草人：刘晓宇、田庆宜、罗允、李天长、付飞、向勇、李保顺、张江文、吴倩。I
1范围
iiiKAa~cJouaKAa=
GA/TXXXX-XXXX
法庭科学Android系统应用程序功能检验方法本标准规定了法庭科学领域检验Android系统应用程序功能的方法。本标准适用于法庭科学领域对Android系统特定应用程序的功能检验，2规范性引用文件
下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GA/T756—一2008数字化设备证据数据发现提取固定方法GA/T757—2008程序功能检验方法GA/T828一2009电子物证软件功能检验技术规范术语和定义
GA/T756—2008、GA/T757—2008、GA/T828—2009界定的以及下列术语和定义适用于本文件。3.1
Android系统应用程序Androidapplication运行于Android系统之上具有某项或某几项特定功能的程序。3.2
反编译decompile
将应用程序文件还原成汇编或者高级语言代码的过程。4
仪器设备
4.1硬件
特定接口数据连接线、智能终端检验工作站。4.2软件
屏幕截图软件、送检应用程序所需的运行环境、反编译工具、分析检验所需工具软件等。检验步骤
5.1记录检材情况并编号
对送检的检材进行唯一性编号。1
5.2检材拍照wwW.bzxz.Net
iiiKAa~cJouaKAa=
对送检的检材进行拍照。
5.3对应用程序样本保全备份
GA/TXXXX-XXXX
5.3.1对于检材为单一的应用程序文件，计算该文件的哈希值，并固定该应用程序文件。5.3.2对于检材为安装有应用程序的智能终端，应在信号阻断环境下使用应用程序备份等方法将该程序固定提取，并计算备份程序文件的哈希值。5.4程序代码功能分析检验
5.4.1获取程序文件的基本属性
获取程序的文件名、文件大小、文件最后修改时间、文件哈希值等属性。5.4.2静态分析程序
使用反编译工具对应用程序文件进行反编译，如应用程序采用加壳处理，对应用程序脱壳，查看该程序具有的包名、权限、证书信息，根据测试目标和测试的功能分析程序代码。对恶意类应用程序重点分析该程序是否具有：发送邮件、监听拦截转发短息、监视修改拨出电话、获取（如GPS）定位等功能。使用截屏、拍照或录像的方式对检验结果进行固定。5.4.3动态分析程序
使用Android系统设备或AndroidSDK（Android系统专属软件开发工具包）等虚拟仿真环境根据测试目标和测试的功能对应用程序文件进行动态检验，必要时，可以对应用程序网络行为进行抓包分析，主要分析与应用程序通信的服务器IP、邮箱账号、密码等信息。使用截屏、拍照或录像的方式对检验结果进行固定。
6检验意见
根据检验情况依次列出检出的应用程序功能。如检出应用程序具有发送邮件、监听拦截转发短息、监视修改拨出电话、获取（如GPS）定位等功能应单独列出。7附则
7.1检验过程满足以下要求：
a）应做检验记录：
b）不应改变检验对象中的数据：c）检出的数据应存储到专用的存储介质中d）宜对检验过程同步录像。
7.2应对送检检验对象做好防水、防磁、防静电和防震保护。2