近几年,随着移动互联网的高速发展,巨大的经济利益亦驱使信息安全危机和移动互联网犯罪的数量急剧上升,灰色产业和恶意软件的频频出现令更多的移动网民成为黑客攻击的目标。通过技术和法律手段对移动互联网犯罪进行取证与遏制,已经成为各国司法机构当前迫切需要解决的难题。故面向Android恶意行为进行移动终端取证的研究变得越来越重要,已经成为移动终端取证科学重要的分支之一。本文对移动终端取证的研究现状和技术水平进行总结,立足于电子证据的法律规范和传统移动终端取证模型的局限,提出一种基于关联分析的移动终端取证模型,发现电子证据之间潜在的关联。在证据收集阶段,利用逆向工程技术对Android应用权限进行预处理,建立WAFP-Max挖掘模型提取Android恶意行为序列,自动判断事务数据集的稠密程度,兼顾Android应用权限的出现频率与权重,减少“稀有数据项”的丢失率。在证据识别阶段,利用余弦距离进行Android恶意行为序列匹配,深入研究Android恶意软件家族之间的衍变关系,计算未知应用程序在Android恶意软件家族层次代码特征库中的代码相似度,预测未知应用程序的Android恶意行为类型。在证据生成阶段,本文将自定义的动态共享库注入至Linux内核层,利用monkey脚本实现未知应用程序的自动化测试,根据可疑恶意行为对敏感API的申请调用进行动态监控,并在移动终端设备中观察“监控日志”或“拦截日志”。通过实验可以发现:在Android恶意行为序列匹配方面,WAFP-Max挖掘模型比频繁模式增长策略准确率更高,误报率和漏报率更低。本文设计的移动终端取证平台(PC端与移动端)可以完成基于Android恶意行为分析的移动终端取证工作,识别可疑代码是否会引发Android恶意行为,分析和记载其在移动终端设备中的执行情况和资源调用。