智能手机的发展使其逐步成为人们生活中不可或缺的一部分,设备中的数字证据也因此成为案件侦破的重要线索。考虑到安卓系统及其应用高使用量,它们是取证的重点关注对象。然而,安卓应用的数量极多、更新频繁,现有的取证系统需要大量的工作进行同步更新与维护,因而很难快速适应这些变化。为此,本文总结归纳出取证方法的通用模型,设计了一种新式的取证框架。在此基础上,本文实现了取证方法的自动编写,并最终构成一款新型的安卓应用取证系统。它不仅简化了取证方法的开发过程,也同时提升了系统的通用性与可扩展性。论文的主要研究工作如下:1.在大量取证工作的基础上,设计了一种通用取证框架。该框架将取证方法拆分为六类子流程,分别为文件捕获、文件处理、数据提取、数据解析、信息关联与结果标记。实践表明,任意取证方法都可由这六类过程排列组合而成。通过制定每个流程的编写规则,可将原本随意性较大的取证代码转变为格式化、规范化的数据文本,实现了用数据驱动取证逻辑。2.依据数据驱动的新特性,实现了部分取证方法的自动编写。本文分析了取证设计阶段的一般过程,并实现了各个流程的自动化工具。这些工具的功能包括应用数据的自动生成、文件的自动搜索与筛选、正则表达式的辅助生成,以及取证方法自动编写。使用这些工具,将大幅提高取证方法的开发效率。3.编写了完整的取证系统软件。该软件在满足基本取证功能的同时,利用取证框架中的结果标记方法,实现了数据的高级分析功能。这些功能包括对取证结果的时间分析与筛选,以及对所有文本的关键词分析。本系统的实现,说明了取证框架在功能上的可扩展性。4.对取证系统软件进行了性能测试,测试对象为包含了数十款不同类型的应用。数据分析表明,本系统的取证效率是可以接受的;同时,系统可在2分钟以内生成一项基本的规则,表明新取证方法的编辑速度优于传统方法,证明了本设计的实用性。