法庭科学　Android系统应用程序功能检验方法 GAT 1571-2019.pdf

GA/T1571-20195.2检材拍照对送检的检材进行拍照。5,3对应用程序样本保全备份5.3.1对于检材为单一的应用程序文件，计算该文件的哈希值，并周定该应用程序文件。5.3.2对于检材为安装有应用程序的智能终端，应在信号阻断环境下使用应用程序备份等方法将该程序固定提取，并计算备份程序文件的哈希值。5.4程序代码功能分析检验5.4.1获取程序文件的基本属性获取程序的文件名、文件大小、文件最后修改时间、文件哈希值等属性。5.4.2静态分析程序使用反编译T具对应用程序文件进行反编译，如应用程序采用加壳处理，对应用程序脱壳，查看该程序具有的包名、权限、证书信息，根据测试目标和测试的功能分析程序代码。对恶意类应用程序重点分析该程序是否具有：发送邮件、监听拦截转发短息、监视修改拨出电话、获取（如GPS)定位等功能。使用截屏、拍照或录像的方式对检结果进行周定。5,4.3动态分析程序使用Android系统设备或Android SDK(An:d系统专属软件开发，T.具包)等虚拟仿直环境根据测试目标和测试的功能对应用程序文件进行动，拉验，必要时，可以对应用程序网络行为进行抓包分析，主要分析与应用程序通信的服务器P、然账号、密码等信息。使用截屏、拍照或录像的方式对检验结果进行固定。6检验意见根据检验情况依次列出检出的应用程序功能。如检出应用程序具有发送邮件、监听拦截转发短息、监视修改拨出电话、获取（如GPS)定位等功能应单独列出。7附则7.1检验过程满足以下要求：a)应做检验记录；b)不应改变检验对象中的数据：c)检出的数据应存储到专用的存储介质中：d)宜对检验过程同步录像。7.2应对送检检险对象做好防水、防磁、防静电和防震保护。