当前位置: 首页 > 新闻中心 > 技术分享 > 【美亚技术分享】第三十七期:利用安卓模拟器进行微信诈骗的调查案例

【美亚技术分享】第三十七期:利用安卓模拟器进行微信诈骗的调查案例

【美亚技术分享】第三十七期:利用安卓模拟器进行微信诈骗的调查案例

编者按:本期技术分享感谢美亚柏科技术专家。随着微信的普及,不法分子也盯上了这块“肥地”,利用微信诈骗的案件也连连发生,使得人心惶惶。本期,美亚技术专家就着微信诈骗的热点问题与大家分享利用安卓模拟器进行微信诈骗调查的案例的相关知识,欢迎大家前来围观并加入我们的讨论!


近期以来,利用多开微信方式进行诈骗的案例日益增多,多数违法人员选择使用计算机上的各类安卓模拟器运行多个微信,进行酒托、证券投资、在线赌博等方式的诈骗违法犯罪行为;本文我们选择一个利用安卓模拟器进行虚假期货投资平台进行诈骗的案件为例,介绍此类行为的调查方法和主要思路。


主要思路

通过搜索可以发现,目前流行的几种PC端安卓模拟器主要包括“夜神模拟器”、“叶子猪模拟器”和“海马玩模拟器”等,这些主流模拟器主要用于在PC上模拟安卓系统运行各类手机游戏;以“夜神模拟器”为例,在安装完成后,该应用程序文件夹下可以很容易找到名为“BignoxVMS”的文件夹,其目录下根据模拟器的数量,存在不同的虚拟机文件夹,如图 1所示,对应文件夹下是扩展名为vmdk的虚拟机磁盘文件。



图1“夜神模拟器”目录


图2虚拟机文件


至此,可以相对直观地了解到,此类安卓模拟器是利用计算机端虚拟机程序预先配置安卓虚拟机镜像,随后根据用户需要制作不同副本实现安卓多开。那么,针对此类虚拟机的调查思路可以归结为以下流程:


图3取证流程


案例分析过程

近日,某地执法部门在一起利用微信进行虚假期货现货投资进行诈骗活动的调查中发现,团伙使用了计算机微信模拟器同时打开多个微信,冒充年轻女性身份在互联网上进行诈骗违法犯罪活动,经过前期工作,得到所使用的计算机,现需要对该计算机中安卓微信记录进行提取。


1、确定虚拟机磁盘文件位置

使用计算机取证软件快速过滤所有虚拟机磁盘文件,扩展名为“*.vmdk”,如下图 4所示。


图4过滤虚拟机磁盘文件


图5过滤结果


过滤后找到数十个虚拟机磁盘文件,全部将其导出到本地。


2、加载虚拟机磁盘文件

在目前主流的计算机取证软件中,vmdk虚拟机磁盘文件可以作为磁盘镜像文件直接加载,以取证大师为例,将上步中导出的所有虚拟机磁盘文件加载至取证大师。


图6加载vmdk磁盘镜像文件


3、过滤安卓微信数据文件夹

安卓版本微信数据默认存在于/data下,文件夹名称为“com.tencent.mm”,随后,在上述加载的vmdk中,以“com.tencent.*”为条件过滤上述文件夹。



图7过滤微信目录


4、将找到的微信文件夹导出,使用DC-4501手机取证系统的“文件取证”→“应用程序解析”功能,将微信文件夹加载进行取证,即可提取所有微信聊天记录相关信息。


图8提取到的嫌疑人进行诈骗的聊天记录
小结 由于安卓系统的开源优势,构建虚拟的安卓系统相对容易,在此例中,使用虚拟机方式运行安卓系统,在分析时只需要找到对应的虚拟机磁盘文件,可以视同于得到了手机的完整镜像,无论是模拟安卓系统中的应用程序或一般逻辑数据,均可以直接使用手机取证软件进行分析。