航拍无人机取证(无人机取证方法浅析,我们有的是方法让机器开口!)
近年来,无人机成为了消费电子行业的新宠,尤其是大疆等厂商的消费级无人机产品,以相对低廉的价格和高度的易用性受到了市场的青睐;但是,面对漫天飞翔的无人机,如何实现有效的管控,一旦发生意外事故或安全事件后如何调查,目前还缺乏有效的方式和方法。
本期技术分享,美亚柏科技术专家将以大疆“精灵”系列无人机为例,和大家一起探讨无人机取证问题。
取证思路
根据大疆精灵系列无人机的说明书,“精灵3”和“精灵4”等型号无人机的连接方式为“手机——遥控器——无人机“,遥控器通过2.4GHz频段将控制指令发送给无人机,无人机同时使用2.4GHz和5GHz传输飞行数据和图像信号,遥控器接收后通过USB数据线传输至手机;同时,由于手机还承担了通过移动网络与大疆服务器连接的功能,从这个控制逻辑分析,手机上是保存了所有飞行数据的,所以,无人机取证的需求首先可以明确为对于手机控制App的取证。
图 1大疆无人机遥控器连接方式
其次,厂商出于质量跟踪和合法性要求,一般会在设计时对消费级无人机加入飞行数据记录器的(Flight Data Recorder)功能,便于在飞机坠落或损坏后及时排查原因,或用于无人机调试使用,所以,无人机取证的另一个切入点是飞机自带的飞行记录器。
下面,我们通过两个虚拟的场景来分析两种不同情况下的无人机取证方法,本文研究的对象是大疆DJI Phantom3以及Phantom 4,下文均以此为例。
场景一:无人认领的无人机
某日,某重要涉密场所周围,发现不明无人机在进行疑似拍摄活动,安保人员及时使用反无人机设备将无人机干扰迫降后,发现是一部DJI Phantom4无人机,附近未发现操控人员,现要求取证调查人员判断其来源和所有者,找到其起飞地点,以便后续进行调查取证工作。
通过分析,Phantom4型无人机内置飞行数据记录器,默认情况下会记录飞机的详细飞行数据。打开无人机外壳,在主板底部可以找到使用白色环氧树脂胶固定的TF卡槽,如图 2,移除固定胶后取下TF卡,直接使用读卡器接入取证计算机。
图 2飞行数据记录器TF卡
飞机数据记录卡中保存的数据,名称格式为FLY###.dat,其中###为按照编号排列的数字,如下图 3所示。
图 3飞行日志
通过对dat文件进行数据转换,可以看到,该日志文件详细记录了飞机的飞行状态及各传感器的数值记录,每个dat文件的首行,是该次飞行初始的记录,通过对Longitude和Latitude数值,可以直接找到该次飞行起飞地点的经纬度值。
图 4转换后的飞行记录
将csv或者txt格式的飞行记录转换为kml或gpx格式,可以使用Google Earth更直观的了解该次飞行的具体路径和起讫地点。
图 5Google Earth查看飞行路径
场景二:无人机手机端App取证分析
某日,某大型活动现场,根据安保要求,现场工作人员查获一部正在禁飞区域上空飞行的无人机,并找到了该无人机的操纵者,现取证人员需要对现场查获的无人机、手机进行证据固定。
目前,大疆消费级无人机的手机端App名为DJI GO,主要用于显示飞行状态和飞行轨迹,并实时查看图传发回的图像数据,本例中,以安装了DJI Go的iPhone手机为例,介绍DJI Go App中飞行记录数据的提取。
图 6DJI Go软件主界面
将iPhone手机使用iTunes进行备份,使用手机取证软件的iTunes备份浏览工具,找到 com.dji.pilot 文件夹,在com.dji.pilot\Documents\FlightRecords 目录,可以找到以“飞行日期+飞行时间”命名的txt日志。
图 7DJI Go飞行日志
由于该txt格式飞行日志经过编码,需要进行格式转换,转换为可读取的txt格式后,可以看到,与机身飞行数据记录器类似,DJI Go App的飞行日志也详细记录了每一次飞行的具体数据,参考第一个场景中所使用的方法,也可以将该数据转换为kml格式后,使用Google Earth进行直观的飞行记录数据查看。
图 8转换后的DJI Go飞行记录数据
除此之外,目前美亚柏科手机取证系列软件已增加对大疆主流型号无人机的取证支持,并将于近期集成发布;同时,美亚柏科已研发专用无人机取证工具,后续将提供试用版本,如有类似案件调查需求可联系当地销售人员协助,或在文末留下您的姓名-电话-单位。
图 9 美亚柏科DC-4501手机取证系统(内测版)提取无人机数据
结语:本文以无人机安全事件的事后调查取证为切入点,借助了两个虚拟场景,以大疆无人机为例,介绍了目前消费级无人机取证的主要方法和大致思路,管中窥豹,希望后续有更多的取证技术人员参与到无人机取证研究中,共同分析今后将面临的日益增长的无人机取证问题以及相关对策。