目前关于Android手机动态内存提取技术的研究是在Li ME工具基础上,通过编译源内核进行提取。由于Android系统手机开放源代码的不完整性,实际取证工作中很难获取到与目标手机相匹配的内核源码。因此,本文提出一种通过解决未知符号错误实现基于相似内核提取Android手机动态内存的方法。该方法通过分析Linux下ELF格式与内核符号机制,在内核源码中找到未知符号函数定义并取消其在内核中的配置,编译内核时产生不具有指定的符号引用信息的模块,最后将相似内核成功加载至目标手机并提取到动态内存数据。

• 单位
  深圳市公安局; 公安部物证鉴定中心