关键词：手机、取证流程、电子数据采集、龙芯科技

前言

近年来，电信网络诈骗呈上升趋势，诈骗手段多种多样，给人民群众造成巨大经济损失，扰乱人民正常工作生活秩序，极大危害社会诚信。 模拟器是一款可以在电脑上模拟手机应用程序的工具。它在给我们带来良好的手机游戏和系统体验的同时，也被不法分子用来实施电信网络诈骗。然而，现有的取证软件无法直接从模拟器中的应用程序中提取数据。

模拟器犯罪应用程序

模拟器是一款可以在电脑上模拟操作系统并可以安装、使用、卸载应用程序的工具软件。它充当PC和移动平台之间的桥梁。它可以让用户体验在电脑上操作系统。整个过程。近年来，随着手机游戏的推广，模拟器也迅速崛起。在近期查处的多起电信诈骗案件中，办案民警在现场发现了大量涉案电脑和手机，每台涉案电脑上都运行着多个微信账号。

模拟器应用取证操作流程

通过在计算机上安装模拟器来运行移动应用程序的方法不同于传统的直接在计算机上运行应用程序或在手机上运行应用程序的方法。这给取证带来了一定的难度。现有的取证设备和软件无法直接从模拟器中运行的各种手机应用程序中提取数据。经过实验发现，每次添加模拟器时，安装目录下都会生成一个扩展名为.vmdk或.vdi的文件。提供一些常用模拟器的vmdk文件存放路径：

夜神模拟器vmdk路径：

D:\\Nox\bin\\Nox

迅雷模拟器vmdk路径：

D:\ \\.0\vms\

MEmu模拟器vmdk路径：

D:\\\MEmu\\71

MuMu模拟器vdi路径：

D:\ \mumu\\nemu\vms\nemu-6.0-x64-

下面以迅雷安卓模拟器提取微信数据为例介绍取证过程：

1. 物证的保存

利用龙芯天眼媒体取证等软件工具，创建电脑硬盘镜像文件，保存、备份检验材料。

2.解压模拟器虚拟磁盘文件

使用龙鑫模拟取证系统A306加载制作的电脑镜像文件，以只读方式直接加载无法镜像的电脑硬盘。右键点击模拟桌面上的雷电模拟器图标，打开文件夹位置，确定模拟器默认安装路径：D:\\\vms\。在此路径中提取data.vmdk、.vmdk、.vmdk等虚拟磁盘文件。

3.加载虚拟磁盘文件

使用龙心天眼媒体取证系统加载导出硬盘中的所有虚拟磁盘文件（.vmdk）。

4.导出微信数据包

每个虚拟磁盘文件存储模拟器中各种应用程序的数据文件。加载虚拟磁盘文件后，可以在每个虚拟磁盘文件下找到各个模拟器运行时生成的微信数据。路径为data.vmdk//data/com..mm。这里我们导出整个数据目录。

5.分析微信数据

使用龙芯手机取证系统A200分析应用程序文件，选择整个数据文件夹，提取微信数据。选择微信数据，分析完成后即可获取所需的微信数据。

6、其他应用程序，如QQ等，也参考上述方法获取数据。

对于QQ、陌陌等其他系统应用的数据提取，可以参考上述微信数据提取流程。步骤1到步骤3是相同的，步骤4和步骤5可以根据应用类型进行抽离。总结一下模拟器应用程序的取证流程，需要遵循的基本流程如下：

总结

由于系统的开源特性，构建虚拟系统相对容易。本文介绍的雷电模拟器生成的虚拟磁盘文件可以作为完整的手机镜像。本文介绍的模拟器取证比简单的电脑取证或者手机取证更加繁琐。电脑取证和手机取证需要结合起来，多个取证软件可以一起使用来提取数据。