郭波

摘要：当今Android操作系统已成为全球最受欢迎的智能终端操作系统之一，涉案Android智能终端已成为重要的证据来源。针对当前以百度贴吧为平台的网络违法犯罪多发的问题，该文详细分析Android平台下百度贴吧的数据取证分析方法。

关键词：智能终端取证；Android；百度贴吧

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2018）33-0086-03

1 背景

百度贴吧是全球最大的中文社区，从2003年至今，百度贴吧拥有10亿注册用户，2000多万贴吧，每天都有数千万用户在线。

近年来，有些不法分子利用百度贴吧的影响力，召集人员组织策划犯罪活动或冒充他人组织及个人到处诈骗钱财等违法犯罪活动，百度贴吧正成为诱导犯罪、滋生罪恶的温床。随着新型智能终端设备、应用的快速发展，涉案智能终端中的数据已成为重要的破案线索和证据来源，针对智能终端设备上应用程序取证是打击这类犯罪的一个有效手段。该文的目的旨在对Android智能终端上百度贴吧的取证方法进行研究和探讨，详细描述百度贴吧数据取证的分析方法。

2 百度贴吧文件路径

百度贴吧在Android智能终端文件系统存储路径：/data/data/com.baidu.tieba/。

应用数据主要存在在databases和shared_prefs文件夹下，其中shared_prefs存在一些配置信息，databases文件夹包含了贴吧账户的绝大部分信息，是Android平台下百度贴吧分析的关键文件夹。

3 百度贴吧应用数据分析

3.1 贴吧账号信息

账号信息对应的文件路径：Android贴吧主目录/databases/baidu_tieba.db，通过SQLite查看器打开如图2所示：

其中account_data数据库表存储着账号信息，关键字段含义如表1：

3.2 贴吧消息

根据在account_data数据表中获取的id，在Android贴吧主目录/databases/找到对应的数据库文件名称，例如id是269144100，则269144100.db是对应账号消息的数据库文件。由于id是唯一的，所以理论上在手机上登录几个账号，就有几个这样的数据库文件。通过SQLite查看器打开269144100.db，如图3所示：

其中tb_message_center数据表存储着消息记录，关键字段含义如表2：

“the_offical_msg_xxx”和“the_private_msg_xxx”（xxx代表gid）数据表存储当前登录账号和某联系人具体的消息内容。以the_private_msg_3474404470为例，在tb_message_center数据表gid字段中查找3474404470，获取相关联的group_name是trims16，所以the_private_msg_3474404470表示当前账号和百度贴吧用户名为trimps16的消息记录。the_private_msg_3474404470数据表中，content字段以二进制形式存储着消息内容，点击content字段上的按钮如图4所示：

点击content下Auto按钮，如图5所示：

点击Save，命名文件名称然后保存。使用winhex打开该文件，UTF8编码查看：

通过这种方法获取消息内容的文本编码方式为UTF8编码，对应的将 content字段以UTF8解码方式将二进制文件转换为文该文件。

3.3 关注的吧

关注的吧指用户关注的贴吧信息。百度贴吧关注的吧对应存储文件路径：Android贴吧主目录/databases/baidu_adp.db。baidu_adp.db中表cache_meta_inf存储其它数据表信息，tableName字段存储着数据表名称，nameSpace字段表示tableName字段对应的表存储的主题信息，cacheType表示tableName字段对应的数据表存儲数据的方式，nameSpace字段中以账号id或账号用户名结尾的，表示对应相关账号信息，如图7红色框部分所示：

其中“tb_user_profilexxx”（xxx代表账号用户名）表示账号主页信息，对应的数据表存储着关注的贴吧信息，如：“the_user_profile九班十班”，对应的表名是cache_kv_b853781090，在baidu_adp.db数据库找到该数据表，如图8：

获取关注的贴吧信息，需要定位到存储关注贴吧内容的偏移量。如何有规律的定位到存储关注贴吧的偏移量是获取关注贴吧内容的关键。m_value字段存储的二进制文件从偏移00000000到存储关注的吧内容的偏移之间数据结构如图9所示：

3.4 浏览记录

其中forum_name代表浏览内容所属的贴吧，thread_id 代表该内容的id值，thread_time代表该浏览内容发布的时间，thread_name代表浏览内容的主题。

3.5 搜索记录

搜索记录指用户在页面搜索栏中搜索的关键字信息。通过SQLite查看器打开baidu_tieba.db，其中search_data数据库表存储着搜索信息。

其中key字段表示搜索的内容，account字段表示对应的账号id，time字段存储的是13位时间戳，精度是毫秒，可以转换为正常格式的时间。

4 结束语

该文通过对Android平台百度贴吧的存储文件进行简单介绍，然后对贴吧账号信息、搜索记录、贴吧消息、关注的吧和浏览记录数据库表结构进行深入分析，详细介绍贴吧数据取证方法。

参考文献：

[1] 金波， 吴松洋. 新型智能终端取证技术研究[J]. 信息安全学报， 2016（7）.

[2] 姚伟， 沙晶. Android智能手机的取证[J]. 中国司法鉴定， 2012（1）.

【通联编辑：谢媛媛】