百度地图取证方法

第一步寻找:对百度地图所有文件进行location、longitude、latitude等关键词扫描,扫描出所含关键词的文件被标记为行踪轨迹文件。再通过正则表达式来检索重点标记文件,当文件有“20.123”类似经纬度数据,则该文件被标记为GPS数据文件。

  第二步确认:被找到的GPS数据文件里面需要确认哪些文件才是有用的GPS数据文件。通常方法是多次使用百度地图进行定位,百度地图产生的GPS定位数据和时间记录是否和本地坐标、时间保持一致。这样就确认了在找出的GPS文件中哪些是有用数据。

  第三步判断:被确认的GPS数据之中不确定该GPS数据属于哪种坐标系,接下来就是判断该坐标系是属于哪个坐标系。先大致介绍一下手机中的坐标系大致分为以下几类:

  l WGS84、GPS:一种国际上采用的地心坐标系,也是原始的坐标系,这是国际公认的世界标准坐标体系。

  l GCJ-02:又称“火星坐标”它是由中国国家测绘局在02年制订的地理信息系统的坐标系统。它是一种对经纬度数据的加密算法,即加入随机的偏差。在国内,至少使用此地图坐标体系的比如:Google、高德、腾讯等。

  l 其他特殊坐标体系:一般都是由火星坐标通过偏移算法计算得出的,比如百度使用的是BD-09坐标,搜狗使用的是自己的搜狗坐标。

  判断被找到确认的GPS数据属于上述哪种坐标系,首先把确认的GPS数据定位点找到地址,再在专业的经纬度地图上对比该地址相对应各个坐标系的经纬度数据,误差在20米之内的坐标系则就是该GPS数据属于的坐标系。百度地图所有的GPS数据都是属于它自己的BD-09坐标系。

  第四步展示:知道了GPS数据的坐标系,想要在百度地图上的展示该定位点,则需要对GPS数据转化成百度地图上使用的BD-09坐标系。转化方法分为两种:

  网上坐标接口转化:网上接口转化相对很简单,直接调用网络接口就可以实现转化。

  代码转化:代码转化主要对每一个坐标系实现互相转化,以下就是GCJ-02转化成BD-09的代码实现方法。   

ios 4.x 取证要点

位置信息存储在clonsolidated.db中,可以显示MCC,MNC,LAC,Cell ID,Latitude,Longitude。对该文件分析可以使用免费软件iStalker。

安卓位置取证

基站位置信息和wifi位置信息分别存储在cache.cell和cache.wifi两个文件中。
存储路径:
/data/data/com.google.android.location/files/cache.cell
/data/data/com.google.android.location/files/cache.wifi

转换 cache.cell和cache.wifi

1
2
3
4
5
6
7
8
9
cacheFile = open("cache.wifi", 'rb')
version, entries = struct.unpack('>hh', cacheFile.read(4))
i = 0
while i < entries:
key = cacheFile.read(struct.unpack('>h', cacheFile.read(2))[0])
(accuracy, confidence, latitude, longitude, readtime) = struct.unpack('>iiddQ', cacheFile.read(32))
outputFile.write('%25s %7d %5d %10f %10f %s \n' % (key,accuracy,confidence,latitude,longitude,time.strftime("%x %X %z", time.localtime(readtime/1000))))
i=i+1
cacheFile.close()

The cache files are located at:
/data/data/com.google.android.location/files/
This snippet works for both cache files, just change the filename

利用手机中的位置信息

  手机中的位置信息,用户是可以通过相关软件进行查看并直观的展示出来的,这里推荐Location Cache软件,可以看到手机最后接触的50个信号基站和100个WiFi热点,这些全都以Google Map 方式显示。

参考文章:
https://sanwen8.cn/p/7649EG4.html


最新内容:

微信:(基于地址共享)
利用工具 SQLCipher.exe 打开 EnMicroMsg.db 数据库文件,输入密码,即可成功打开
文件。读取表“message”中记录的聊天记录,使用关键词“location” 执行 SQL 查询语句,从而获取所需的地理位置信息。

百度地图
百度地图应用中地理位置信息主要包含用户定位记录、导航记录、步行记录等,这些数据存储在/data/data/com.baidu.BaiduMap/databases 路径下。在众多生成的数据文件中,名为“tracks.db”的数据库文件中各表详细记录使用者相应的地理位置信息。存储用户定位记录的表为 Track_Location。
提取方法
访问 data/data/com.baidu.BaiduMap/databases 目录,利用数据库查看软件SQLite Expert Professional 即可查看数据库 tracks.db,并导出数据。

滴滴
滴滴出行应用的一部分订单信息和用户个人信息以数据库文件的形式存储在data/data/com.sdu.didi.psnger/databases/路径下。在 datebases 中有许多数据库文件和 journal 文件,其中 im_database_281475098446424.db 中存储着有关订单信息。Android_metadata 为 Android 数据库原文件数据,im_message_table 为会话信息,im_user_table 为用户相关的额表信息。
提取 im_user_table 表得到的用户与滴滴司机活动信息,然而具体位置信息并未包含于本地数据库中,而是存储在应用服务器上。因此需要使用可视化取证手段提取更多详细信息。