Extraction and analysis of volatile memory in android systems : an approach focused on trajectory reconstruction
| Autor: | Sousa, João Paulo Claudino de |
|---|---|
| Přispěvatelé: | Gondim, João José Costa, Albuquerque, Robson de Oliveira |
| Jazyk: | portugalština |
| Rok vydání: | 2016 |
| Předmět: | |
| Zdroj: | Repositório Institucional da UnB Universidade de Brasília (UnB) instacron:UNB |
| Popis: | Dissertação (mestrado) — Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. Dispositivos Android são amplamente utilizados e podem funcionar como receptores GPS. Informações de tempo e posicionamento possuem grande relevância no campo investigativo, todavia, os dados armazenados em mídia não-volátil podem ser limitados no que diz respeito à reconstrução de trajetórias. Este trabalho propõe um método de recuperação de mensagens com coordenadas GPS armazenadas na memória RAM de dispositivos móveis Android, a fim de reconstruir o trajeto trilhado pelo dispositivo. Estudos relacionados encontrados na literatura se mostraram limitados, uma vez que a maioria dos trabalhos produzidos são voltados à recuperação de informações de posicionamento de artefatos tipicamente encontrados em memória não-volátil. No desenvolvimento deste trabalho foi possível detalhar a arquitetura GPS em ambientes Android, viabilizando o entendimento dos principais mecanismos de armazenamento de coordenadas de posicionamento. Nesta linha, constatou-se que o protocolo NMEA 0183 tem importância fundamental na comunicação dos receptores GPS com os diversos tipos de aparelhos, uma vez que provê uma forma padronizada de transmissão dos dados de posicionamento. Ademais, foram realizados experimentos em diferentes ambientes, com aparelhos de distintas arquiteturas, para analisar a viabilidade da reconstrução de trajetórias com base nas mensagens do protocolo NMEA 0183 recuperadas da memória RAM, bem como nas estruturas textuais com características de coordenadas geodésicas. No desenvolvimento da técnica, foi possível verificar as dificuldades que podem atrapalhar o processo de extração e análise dos dados, bem como foram desenvolvidas ferramentas para auxiliar o processo. Android devices are widely used and can function as GPS receivers. Time and position information have great relevance in the investigative field, however, data stored in non-volatile media may be limited with regard to the reconstruction of trajectories. This study proposes a method for recovering messages with GPS coordinates stored in RAM memory of Android mobile devices, in order to rebuild the trajectory of the device. Related literature proved limited since the majority of the studies produced were directed to recovery of positioning information from artifacts typically found in non-volatile memory. In the development of this work, it was possible to detail GPS architecture on Android environments, providing a better understanding of the positioning coordinate storage mechanisms. Along this line, it was discovered that the NMEA 0183 protocol is critical for the communication of GPS receivers with the various types of equipment, since it provides a standard way of broadcasting positioning data. Experiments were performed in different environments, with different device architectures, to analyze the feasibility of reconstruction of trajectories based on the NMEA 0183 protocol messages and geodetic coordinates in textual format retrieved from RAM memory. In developing this technique, it was possible to verify the problems that can hinder the process of extraction and analysis of data. In addition, tools have been developed to aid the process of trajectory reconstruction. |
| Databáze: | OpenAIRE |
| Externí odkaz: |
|