(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111533548.9 (22)申请日 2021.12.15 (71)申请人 中国电子科技 集团公司第三十 研究 所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 石玉　张文政　吉庆兵　杜承宇　 倪绿林　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 代理人 罗强 (51)Int.Cl. H04L 51/04(2022.01) H04L 51/52(2022.01) H04M 1/72406(2021.01)H04L 9/40(2022.01) G06F 21/10(2013.01) (54)发明名称 一种基于逆向分析的旺信应用数据取证方 法 (57)摘要 本发明提供了一种基于逆向分析的旺信应 用数据取证方法， 包括： 步骤1、 对旺信APK文件进 行反编译获取机器代码； 步骤2、 对机器代码进行 静态分析， 定位加解密函数， 分析加解密原理， 还 原加解密流程； 步骤3、 通过动态二进制插桩技术 对密钥生 成相关函数进行二进制插桩； 运行旺信 程序， 运行过程中获取解密密钥； 步骤4、 利用加 解密原理及解密密钥对本地密文数据进行解密 还原出明文数据。 本发明提出的方案能够将旺信 本地数据库的加解密流程完整还原以及准确分 析出本地密文数据库的解密密钥， 避免因无法得 到准确密钥而需要进行暴力破解； 同时能够有效 还原旺信本地数据库获取用户通联关系及本地 聊天记录， 为智能手 机取证提供了一种新思路。 权利要求书1页 说明书6页 附图2页 CN 114390012 A 2022.04.22 CN 114390012 A 1.一种基于逆向分析的旺信应用数据取证方法， 其特 征在于， 包括以下 过程： 步骤1、 对旺信APK文件进行反编译获取机器代码； 步骤2、 对机器代码进行静态分析， 定位加解密函数， 分析加解密原理； 步骤3、 通过动态二进制插桩技术对密钥生成相关函数进行二进制插桩； 运行旺信程 序， 在程序运行 过程中获取解密 密钥； 步骤4、 利用加解密原理及解密 密钥对本地密文数据进行解密还原出明文数据。 2.根据权利要求1所述的基于逆向分析的旺信应用数据取证方法， 其特征在于， 所述步 骤3中， 通过使用ho ok技术获取到解密 密钥。 3.根据权利要求2所述的基于逆向分析的旺信应用数据取证方法， 其特征在于， 通过使 用hook技术获取解密密钥过程包括： 确认hook点， 所述hook点须满足函数所属对象为静态 的， 且必须为系统创建的对象； 将函数放在系统之外执 行。 4.根据权利要求2或3所述的基于逆向分析的旺信应用数据取证方法， 其特征在于， 所 述步骤3中， 采用frida作为ho ok工具对密钥进行提取。 5.根据权利要求4所述的基于逆向分析的旺信应用数据取证方法， 其特征在于， 所述步 骤3的具体过程包括: 步骤3.1、 分别在手机端和PC端安装frida模块， 其中手机端安装server程序； 步骤3.2、 根据步骤2中确定的加解密 函数编写基于python和javascript的脚本进行通 信； 步骤3.3、 在手机端执行frida， 接着执行旺信应用程序， 同时在PC端运行python脚本文 件， 即可在程序运行 过程中获取到 本地数据库解密 密钥。 6.根据权利要求1所述的基于逆向分析的旺信应用数据取证方法， 其特征在于， 所述步 骤4的具体过程包括： 提取旺信应用的密 文数据库， 该数据库文件存储在手机端内部文件夹 中具体路径为 “/data/data/com.alibaba.moblileim/database ”， 其中密文数据库文件命 名为“随机数wx4 ”， 并通过adb的方式将密文数据库文件提取到PC端； 其次通过步骤二得到 的加解密原理来 实现密文数据解密 还原流程； 最后通过该流程及解密密钥还原出旺信用户 的用户通联关系 、 本地聊天记录数据。权　利　要　求　书 1/1 页 2 CN 114390012 A 2一种基于逆向分析的旺信应用数据取证方 法 技术领域 [0001]本发明涉及数据分析领域， 特别涉及一种基于逆向分析的旺信应用 数据取证方 法。 背景技术 [0002]随着互联 网的发展， 人们对信息交流的需求的越来越高， 即时通讯软件应运而生。 在我国主要流行的即时通讯软件有微信、 QQ、 钉钉、 旺信， 国外的whatsapp、 telegram以及 signal等即时通讯产品。 即时通讯软件主要被用于 日常交流和保持联系， 另外还被广泛地 应用于办公领域， 如讨论问题、 协商工作日程等； 由于新冠疫情的影响， 目前还出现了许多 面向企业需求的即时通讯应用， 它们为企业人员协同工作、 进行资源管理和 客户关系 管理 带来了便利， 大多数即时通讯软件还集成了诸如文件传输、 语音视频交流、 新闻订阅等功 能。 即时通讯软件已不仅是日常交流的简单工具， 它也逐渐成为互联网信息平台的重要组 成部分。 [0003]即时通讯软件的普及， 越来越多的犯罪嫌疑人也使用这种新式工具进行交流， 因 此数据取证变得尤为重要， 通过数据取证可以从中找出犯罪线索或证据。 Noora  Al Mutawa 等人对FaceBook、 Twitter和MySpace3种即时通信软件在黑莓、 iPhone和Android平台进行 取证研究， 分析出黑莓手机无法恢复内存数据， iPhone和An droid手机则可以恢复； Neha  S  Thakur等人研究了Whatsapp在An droid平台的数据提取和分析， 对即时通信软件取证提供 了新思路； 何月等人研究设计了基于A ndroid平台的微信应用数据取证模 型； 赵凯研究了基 于Android系统的数据库恢复的取证方法； 马梦笔介绍了如何恢复iOS系统上的微信已删除 数据； 万园春等人研究了基于逆向分析的微信交 互协议和 加密模式。 [0004]目前针对即时通讯软件取证分析主 要存在以下困难问题： [0005](1)为满足大众需求， 即时通信软件需要满足不同手机型号和操作系统， 基于不同 的手机型号和操作系统不能提供一种统一的取证分析 方法； [0006](2)各种即时通信的协议格式不 同， 即时通讯软件公司出于自身利益考虑将协议 私有化， 由于协议的不公开性和不统一性， 不能提出一种适用于所有即时通讯软件取证分 析方法； [0007](3)即时通讯软件为保护用户隐私数据， 大多采用加密的通信协议， 本地数据加密 存储且解密密钥分段存 储在不同内存或物理块种， 加大了取证工程师的取证分析困难。 发明内容 [0008]针对现有技术中存在的问题， 提供了一种基于逆向分析的旺信应用 数据取证方 法， 所述方法通过对旺信APK文件进 行逆向分析， 分析还原 其数据加解密实现过程以及密钥 生成原理， 最终解密还原本地聊天数据。 [0009]本发明采用的技术方案如下： 一种基于逆向分析的旺信应用数据取证方法， 包括 以下过程：说　明　书 1/6 页 3 CN 114390012 A 3