在IOS、Android的智能设备当中,很多应用都会定位用户当前所在,如天气预报、城市问候语、地图软件、社交软件等,这些应用大都采用GPS和LBS基站进行定位,当然还有的采取是WiFi、A-GPS、GPS-one等进行定位。手机定位数据在应用的本地App中有所保存,有些也可能保存到应用云服务器上。针对手机取证而言,主要从本地App文件中提取地理信息。
GPS定位和LBS基站定位是手机定位数据主要来源,根据不同手机应用,具体又表现为多种不同形式手机数据源,以下为5种常见手机定位数据源及分析方法:
log.log日志为Android特有的设备日志,含有基站定位数据。其中,CellIdentityGsm开头的字段就是指基站信息。如图3所示,CellIdentityGsm字段内容中mMcc表示国家代码(中国的国家代码是460)、Mnc标识网络类型(移动的代码是1,联通的代码是0)、mLac标识基站的区域码、mCid标识基站编号。
DB数据库在IOS和Android应用大量采用,DB数据库文件用来存储App运行所需基本参数及运行中用户设置需要保存的数据。如图4所示,打开一个记录定位数据的DB数据库文件,loc字段为location缩写即含有信息的加密数据,time字段为Unix时间戳,经过一定的解密算法可以获取其中具体纬度、经度信息。
我们平时在用手机拍照或视频时可以设置是否保存当前,设置保存后拍摄的JPG 、MP4、MOV等文件属性中,就保存有拍摄时定位数据(如图5)。
通过以上对手机定位数据源进行提取和分析,可以得到手机定位点数据(其中,GPS定位数据结构为:时间、经度、纬度;基站数据结构为:时间、国家代码、网络号码、基站号,区域码)。针对这些手机定位点数据,通过第三方定位数据查询平台,如Google服务、百度解析API、LBS数据仓库、Haoservice、聚合数据等,可以对这些手机定位点数据进行进一步解析和地图展示。
备注:其中Google服务需结合VPN使用,百度API当前只能解析国内的信息,聚合数据等第三方专业数据接口供应商采用付费解析的方式解析。
针对②GPS点 [时间2015/7/15 15:31:25,经度104.063774,纬度30.570579],可以采取网站结合地图方式进行展示。打开经纬度查询网站(),在搜素栏中输入具体的经度、纬度,具体的街道便在地图上显示出来(如图7)。
针对③基站点[时间2015/4/29 14:14:34,国家代码460,网络号码0,基站号37341,区域码33067],可以利用第三方基站查询平台进行查询。这里,我们使用第三方查询平台“LBS数据仓储”进行查询,打开网址(),在地图上方的输入框中填入基站点数据信息,查询即可看到该基站所在的具体街道和经纬度信息(如图8)。
结语:本期,数据恢复四川省重点实验室科研人员介绍了从IOS/Android手机常见数据源提取分析定位点数据,再到利用第三方平台进行进一步解析和展示的全过程。目前,此方法已成功应用到效率源“MTF 手机可视化行踪取证系统”中,并实现了软件全自动检索、提取、解析、地图展示等功能,大大提升了工作效率。
推荐: