Asiya-Sa/android-instagram-volatile-memory-forensics

# Android Instagram 易失性内存取证 🔍📱 ## 📌 引言 在我的高级数字取证课程（CYS 405）中，我们团队对 Instagram 在不同运行时条件下于 Android 模拟器中生成的易失性内存工件进行了行为分析。本仓库包含了我对该团队项目的贡献：用于从 Android logcat、meminfo 和通知转储中自动进行取证工件检测和分类的 Python 脚本。 ## 📋 项目概述 本研究考察了 Instagram 在 Android 模拟器上七种运行时场景下的易失性内存行为：立即获取、延迟获取、后台/空闲状态、RAM 压力（多任务处理）、应用切换、强制关闭和屏幕锁定。本仓库主要介绍我对该项目的贡献部分 —— **应用切换和强制关闭场景**，提供取证工件的自动化分析。 ## 🛠️ 使用的技术 Python - 核心分析语言 正则表达式（re 模块）- 用于工件检测的模式匹配 ADB (Android Debug Bridge) - 从模拟器获取数据 Logcat / dumpsys - 取证数据来源 ## 💻 验证代码概述 Python 脚本 App_switch.py 和 Force_quit.py 旨在自动检测和分类 Instagram 切换到其他应用或被强制关闭后从 Android 输出中提取的取证工件。 ## 🎯 我的主要贡献 💻 Python 取证脚本开发 开发了两个用于自动化工件分析的 Python 脚本： **脚本 场景 目的：** **App_switch.py** 分析从 Instagram 切换到 YouTube 后的工件。 **Force_quit.py** 分析强制关闭 Instagram 后的工件。 ## 🔬 分析的工件类别 完整/部分消息片段 - 纯文本消息恢复 Instagram Direct/特定线程痕迹 - 与 DM 相关的元数据 键盘/打字活动 - 用户输入行为 推送/后台服务痕迹 - Firebase、FBNS、后台进程 通知工件 - 通知通道和元数据 前台/后台转换 - 应用生命周期事件 内存/进程痕迹 - RSS、PSS、进程持久性 强制关闭终止痕迹 - 应用终止事件 ## 📊 分析功能 基于 Regex 的跨多个取证工件模式匹配 基于匹配计数的状态分类（PRESENT / PARTIAL / MISSING） 从 logcat 中提取时间戳以重建时间线 跨文件聚合，结合 logcat、meminfo、通知和活动转储 ## 📌 注意 本仓库仅包含我对更大规模团队研究项目的贡献（Python 分析脚本）。完整的研究论文、实验设置和其他团队成员的贡献将另行维护。

标签：Android, DSL, JARM, Python, 代码示例, 内存分析, 数字取证, 数字取证, 数据分析, 无后门, 自动化脚本, 自动化脚本, 逆向工具