無人機取證方法淺析，我們有的是方法讓機器開口！美亞技術分享VOL.55

最新 05-25

編者按

近年來，無人機成為了消費電子行業的新寵，尤其是大疆等廠商的消費級無人機產品，以相對低廉的價格和高度的易用性受到了市場的青睞；但是，面對漫天飛翔的無人機，如何實現有效的管控，一旦發生意外事故或安全事件後如何調查，目前還缺乏有效的方式和方法。

本期技術分享，美亞柏科技術專家將以大疆「精靈」系列無人機為例，和大家一起探討無人機取證問題。

取證思路

根據大疆精靈系列無人機的說明書，「精靈3」和「精靈4」等型號無人機的連接方式為「手機——遙控器——無人機「，遙控器通過2.4GHz頻段將控制指令發送給無人機，無人機同時使用2.4GHz和5GHz傳輸飛行數據和圖像信號，遙控器接收後通過USB數據線傳輸至手機；同時，由於手機還承擔了通過移動網路與大疆伺服器連接的功能，從這個控制邏輯分析，手機上是保存了所有飛行數據的，所以，無人機取證的需求首先可以明確為對於手機控制App的取證。

圖 1大疆無人機遙控器連接方式

其次，廠商出於質量跟蹤和合法性要求，一般會在設計時對消費級無人機加入飛行數據記錄器的（Flight Data Recorder）功能，便於在飛機墜落或損壞後及時排查原因，或用於無人機調試使用，所以，無人機取證的另一個切入點是飛機自帶的飛行記錄器。

下面，我們通過兩個虛擬的場景來分析兩種不同情況下的無人機取證方法，本文研究的對象是大疆DJI Phantom3以及Phantom 4，下文均以此為例。

場景一：無人認領的無人機

某日，某重要涉密場所周圍，發現不明無人機在進行疑似拍攝活動，安保人員及時使用反無人機設備將無人機干擾迫降後，發現是一部DJI Phantom4無人機，附近未發現操控人員，現要求取證調查人員判斷其來源和所有者，找到其起飛地點，以便後續進行調查取證工作。

通過分析，Phantom4型無人機內置飛行數據記錄器，默認情況下會記錄飛機的詳細飛行數據。打開無人機外殼，在主板底部可以找到使用白色環氧樹脂膠固定的TF卡槽，如圖 2，移除固定膠後取下TF卡，直接使用讀卡器接入取證計算機。

圖 2飛行數據記錄器TF卡

飛機數據記錄卡中保存的數據，名稱格式為FLY###.dat，其中###為按照編號排列的數字，如下圖 3所示。

圖 3飛行日誌

通過對dat文件進行數據轉換，可以看到，該日誌文件詳細記錄了飛機的飛行狀態及各感測器的數值記錄，每個dat文件的首行，是該次飛行初始的記錄，通過對Longitude和Latitude數值，可以直接找到該次飛行起飛地點的經緯度值。

圖 4轉換後的飛行記錄

將csv或者txt格式的飛行記錄轉換為kml或gpx格式，可以使用Google Earth更直觀的了解該次飛行的具體路徑和起訖地點。

圖 5Google Earth查看飛行路徑

場景二：無人機手機端App取證分析

某日，某大型活動現場，根據安保要求，現場工作人員查獲一部正在禁飛區域上空飛行的無人機，並找到了該無人機的操縱者，現取證人員需要對現場查獲的無人機、手機進行證據固定。

目前，大疆消費級無人機的手機端App名為DJI GO，主要用於顯示飛行狀態和飛行軌跡，並實時查看圖傳發回的圖像數據，本例中，以安裝了DJI Go的iPhone手機為例，介紹DJI Go App中飛行記錄數據的提取。

圖 6DJI Go軟體主界面

將iPhone手機使用iTunes進行備份，使用手機取證軟體的iTunes備份瀏覽工具，找到 com.dji.pilot 文件夾，在com.dji.pilotDocumentsFlightRecords 目錄，可以找到以「飛行日期+飛行時間」命名的txt日誌。

圖 7DJI Go飛行日誌

由於該txt格式飛行日誌經過編碼，需要進行格式轉換，轉換為可讀取的txt格式後，可以看到，與機身飛行數據記錄器類似，DJI Go App的飛行日誌也詳細記錄了每一次飛行的具體數據，參考第一個場景中所使用的方法，也可以將該數據轉換為kml格式後，使用Google Earth進行直觀的飛行記錄數據查看。