随着移动互联网技术的快速发展和智能手机的大量普及,利用智能手机进行毒品交易、传播网络谣言,电信诈骗等犯罪行为日益猖獗。面向智能手机的数字取证可以有效地帮助司法部门收集犯罪证据。在所有的智能手机平台中,Android系统凭借其开源性和功能多样性等特点,占据了市场的主导地位,因此,针对Android智能手机的取证技术研究具有重大现实意义。由于Android生态环境的开放性,导致Android移动设备的物理架构和操作系统具有很大差异,并极具多样性。同时,Android系统的安全机制要求获取其信息需要具有Root权限,或者设备解锁且开启USB调试模式。当前主流的移动设备获取技术主要有逻辑获取、物理获取和芯片拆除等方式。本文重点研究Android设备的物理镜像获取技术,主要工作和贡献如下:（1）针对现有的数据提取方法需要获取Root权限、解除屏幕锁定、开启USB调试等限定,提出一种基于固件更新协议的内存数据获取方法。首先通过分析手机的固件更新协议,从分析结果中获取协议指令的格式;然后根据分析结果使用Fuzzing测试寻找隐藏的内存转储指令,通过重用转储指令从设备中转储NAND闪存和主存数据。根据实验结果表明,所提出的方法在完整性,采集速度和屏幕锁定智能手机物理转储（禁用USB调试）方面优于现有的取证方法。（2）针对搭载高通芯片的Android设备,提出基于高通EDL模式的物理获取方法,通过对EDL模式下Firehose协议的控制,实现ABOOT的修改。通过XML代码读取设备分区,实现目标设备的物理获取。（3）针对物理获取的内存数据可读性差,难以收集证据等问题,提出基于Sunday算法的关键字搜索方法,从物理镜像中提取电子信息。提出将主存物理数据转换成Li ME格式,使用volatility工具进行信息提取。（4）设计实现一个面向Android设备的取证分析系统。系统实现物理转储和逻辑获取功能,物理转储基于固件更新协议的获取方法和基于高通EDL模式的获取方法。Android数字取证系统有效实现对Android设备的数据转储,信息提取;针对部分机型,系统具有更高的提取成功率,提取速率和完整性。