网络与信息技术的蓬勃发展、智能手机的广泛普及使得人们进入了移动互联时代,智能终端在人们的生活中扮演的角色越来越重要。另一方面Android操作系统作为市场份额最高的移动端操作系统,Android平台应用的下载量与使用频率也在持续增加。随着Android的流行,与之相关的违法犯罪行为与各类纠纷不断增多,因此,对于Android平台的取证研究的需求也越发强烈。此外,司法机关在进行案件侦破时也需要对潜在嫌疑人的移动智能终端进行取证分析,然而针对Android智能设备的取证研究在通用性、兼容性、效率方面仍有许多不足。本文以解决已有的Android取证方案存在的通用性、兼容性、效率低等方面不足为出发点,深入研究了 Android仿真技术及内存取证技术,设计并实现了 Android仿真系统及Android内存取证系统。论文的主要工作如下:1.分析了 Android系统的发展现状,阐述了研究Android取证的现实意义,通过对国内外文献的综述列举分析了国内外关于Android取证的最新研究成果,指出了当前研究成果存在的不足之处,包括:取证方法通用性不高、取证系统兼容性差、内存取证方案内存获取效率低等。2.对Android系统仿真技术和Android内存取证技术所涉及的相关技术进行了研究和分析,包括:Android系统的体系结构、Android文件系统与应用存储、Android系统的属性系统、SDK开发套件、Android进程及进程内存空间、Android进程和内存空间的访问和读取、内存信息常用字符编码等。为展开后续研究打下了基础。3.研究了 Android系统仿真技术,设计了一种基于Android仿真技术的动态取证方案,实现了一套Android仿真系统。该系统的核心功能包括:仿真数据的提取与预处理、模拟器源代码的修改与编译、系统信息与应用程序的还原。所实现的对目标Android设备的仿真系统,能够还原目标设备上的短信、联系人、通话记录和应用程序。测试结果表明:对26款应用的还原成功率达到84.6%,系统兼容最新版的Android操作系统。4.研究了 Android内存取证技术,提出了一种基于进程提取的Android内存取证方案,实现了一套Android内存取证系统,该系统的核心模块包括:内存提取模块和内存分析模块。该系统实现了对网易邮箱大师、陌陌、微信三款应用软件的取证分析,在不同情境下从各自的内存镜像中提取了有价值的证据信息。内存提取测试结果表明,本文提出的方法所提取的内存大小不到原方法的4%。