随着智能手机功能的扩展,智能手机已逐渐成为人们生活及其工作的一部分。同样智能手机也给一些犯罪分子的通信带来了很多便利,犯罪分子将智能手机作为高科技犯罪的工具。经2016年Q3显示,Android手机的市场占有率竟高达87.5%,因此对Android手机的取证研究已成为取证领域的热点。Android手机取证研究目前主要是在本地取证方面的研究,比如像使用较多的Oxygen Forensics工具,但是这种方式的取证需将Android手机运送至专门的司法鉴定机构由专业人员进行取证操作,在运输中不仅是人力、物力的耗费,最重要的是时间的消耗,有些电子证据是易失性的,容易造成重要电子证据消失,违背及时性原则。另一方面,由于Android终端的“碎片化”现象严重,没有取证工具能够满足对Android手机统一取证的要求,尤其是针对部分第三方应用程序支持度不够。鉴于以上问题,本文提出了一种Android手机远程数据提取的方法。在Android端开发代理程序以实现Android手机未root时和root后两种情况下的数据获取。本文设计了NormalForensic模型,将取证过程的每一步操作及其操作对象进行规范化描述。提取完成后对每个文件做hash校验,以保证传输前后证据的一致性,在传输过程中本文实现了安全的网络传输通道,具有数据校验、加密、身份认证等功能;同时为了保证电子证据在法庭上的不可质疑性加入了证据链监管,提取文件的时间戳timestamp和Android手机的唯一设备识别号IMEI作为特征值来进行二次hash校验,在数据改变时可追溯发生的时间和地点。另一方面,针对取证分析无法统一化的问题,本文设计了一种Android手机取证数据可视化展示系统,能够针对特定的数据文件进行逐一分析,更加直观地在网页上显示分析结果。尤其是针对微信加密文件,本文利用PBKDF2得出kdf函数,利用密码和盐值salt结合推导出解密密钥,对SQLite数据库解密分析。同时对所提取的电子数据结果进行统计并生成CSV文件可直接作为证据以供呈上法庭,从而提高了取证效率。