随着科技的发展,智能手机成为了人们生活、学习等各方面不可或缺的助手,人们对智能手机的依赖性也越来越大。在所有智能设备中,Android操作系统占据了主导地位,因此对Android设备的取证分析工作能够为绝大多数与电子设备相关的犯罪案件提供有力证据。然而现有的Android取证技术仍存在很多不足的地方,一方面,随着人们的社交活动范围国际化以及应用安全性的提高,传统的取证工具对应用研究的广度依旧不够,对应用加密数据的取证研究工作进展缓慢,获取信息有限。另一方面,内存提取方法也存在限制条件高、操作难度高等缺点。并且随着NFC支付、人脸识别解锁等技术发展,针对这些技术的取证研究却出现了滞后的状态。本文以解决现有的应用取证研究广度、获取信息维度、兼容性、操作性等方面的不足为出发点,从应用分析角度对境外应用、应用口令存储、内存提取三个方面进行了研究,同时对目前出现的NFC支付技术和人脸识别解锁技术进行了探索。现论文的主要工作如下:1、分析了Android系统的发展现状,阐述了面向Android设备取证的重要意义。列举了国内外Android取证的最新研究成果,指出了Android取证研究中存在的不足:国内取证工具应用范围窄、取证对象单一、内存取证工具限制高等。2、对Android应用取证、Android内存提取和NFC、人脸识别技术取证所涉及的相关技术进行了研究和分析,包括:Android系统架构、Android文件系统、Android Dalvik虚拟机、Android调试桥、应用数据中的加密算法以及Android逆向工程。为后面研究提供了理论基础。3、研究分析了32款流行的境外应用,提出了依据特征分析的取证方法,针对每一款应用编译出dll文件,并集成到最后的取证软件中。结果表明,该方法可以获取应用中的聊天记录、搜索记录、联系人等多种类型数据。4、研究了对应用用户口令的取证,提出了三段式取证研究方案,该方案包括:数据定位阶段、逆向查找阶段和解密验证阶段。利用该方案对应用进行分析取证,成功分析出三款应用用户口令的明文,实践证明,该方案可以准确有效地获取应用用户口令信息。5、研究了Android内存提取技术,提出了基于进程的内存提取方法。通过对包括即时通信类、浏览器类、网盘类、邮箱类和支付类多款应用进行内存提取,发现该提取方法与文献方法相比节省了近90%的空间,同时也从理论上分析了该方法提取数据的完整性。针对该提取方法和通常的内存提取工具作比较,进一步阐述了该方法易操作、通用性高等特点。6、研究分析了NFC支付技术,从本地应用和NFC支付模块两方面入手,并通过分析协议、标准等,获取了其中的uid、交易金额、交易日期等信息。还对人脸识别解锁技术进行了分析,提出了以人脸数据为切入点的探究方法,定位到了人脸数据文件,并对人脸解锁程的整体结构进行了探究,为进一步取证研究做铺垫。