vLEAPP - 车辆日志事件与属性解析器

简短版本： 从汽车、卡车和信息娱乐系统中获取逻辑提取数据，并解析其中的关键证据。vLEAPP基于Python 3开发，可通过以下链接下载：https://github.com/abrignoni/VLEAPP

详细版本： 随着车辆普遍配备智能移动功能，分析汽车数字取证证据的需求日益增长。从GPS坐标、联系人数据库、通话记录到自动驾驶数据，这些证据的取证价值不容忽视。遗憾的是，目前解析这些数据源的工具选择有限。vLEAPP致力于成为一个开源平台，供社区用于聚合在移动数据源（汽车）上发现的取证证据。

该项目源于Geraldine Blay的想法：希望能够轻松解析任何汽车数据源，并实现报告数据到源数据的反向追踪。我们决定使用xLEAPP代码库来实现这一目标。

挑战

处理汽车数据给取证人员带来了一系列挑战：

数据提取 从信息娱乐系统提取数据通常需要特殊工具。很多时候需要进行芯片拆卸，这是一个需要大量培训的劳动密集型过程。vLEAPP在数据提取过程中不发挥作用。

缺乏标准化 不同品牌开发导航、信息娱乐和传感器数据记录系统的方式各不相同。有时同一品牌的不同车型也存在差异。数字取证过程必须执行得当，该领域需要证据识别和解析自动化。

随着谷歌Android Auto和苹果CarPlay的出现，希望跨汽车品牌的数据源类型能够更加统一。

不熟悉的文件系统 汽车使用的文件系统可能不被许多取证工具识别。黑莓的QNX文件系统就是一个例子。有些取证人员尝试通过数据恢复从未受支持的文件系统中获取相关数据。需要注意的是，品牌取证工具在这些情况下可能不如传统计算处理方式有效。例如，可以使用Linux Ubuntu发行版访问QNX文件系统。访问QNX文件系统中的逻辑文件后，可以将其打包成zip文件供任何工具或手动分析。

解决方案

vLEAPP提供了一种使用Python报告取证证据的方法，抽象了HTML、KML、TSV和SQLite报告的生成过程。取证人员只需关注数据位置和提取内容，vLEAPP处理其余工作。

如果您不熟悉Python或如何运行脚本，可以查看这个短视频。它将指导您从安装到脚本使用，非常简单直接。

结论

与案件相关的新数据源将持续出现。作为数字取证人员，学习一些编程技能将大有裨益。Alex Caithness说得最好：学习编程，因为每个证据的存在都源于代码。

如果您想从数字取证人员的角度学习Python，并为这个或其他xLEAPP项目做出贡献，请查看以下DFIR Python学习小组播放列表。它将带您从零开始学习Python，到解析protobuf文件和SQLite数据库。

如有任何问题或评论，可以通过Twitter @AlexisBrignoni 和邮箱4n6[at]abrignoni[dot]com联系我。

注意安全，保重。

-Brigs