无人机取证——飞行日志分析取证

前言

随着科技发展日新月异，利用无人机犯罪的途径和案例越来越多，无人机除了拍照录像的用途外，亦可能被有心人士用于运送违法物品等不法行为，甚至，若是绑上自制炸弹，刻意飞去冲撞人或车或建筑物，后果难以想象，因此针对无人机电子数据的取证分析显得愈发重要，各大比武也经常出现涉及无人机的题目。

根据行业数据显示：2021年大疆无人机相关产品在全球市场中的占比约为80%。目前大多数涉及无人机犯罪的案例中涉案无人机设备基本上都是大疆品牌，故这里以大疆无人机日志为例进行取证分析研究。

（一）DJI Pilot APP日志存放位置

1、Android应用飞行日志存放位置

连接安卓设备到电脑，电脑识别出移动设备，进入应用程序安装的路径…/DJI/dji.pilot，找到以FlightRecord命名的文件夹，里面保存着飞行记录。

2、iOS应用飞行日志存放位置

iOS端日志文件存储路径：com.dji.pilot/FlightRecords

（二）无人机中的日志提取

1、大疆厂商官方发布的软件DJI Assistant 2 For MavicDJI Assistant 2 (Ronin 系列) - 下载中心 - DJI 大疆创新

usb直连无人机设备提取dat文件即可

2、美亚公司物联取证大师

通过只读锁连接无人机存储卡，提取日志文件后取证分析

（三）分析飞行日志

无人机日志文件为二进制文件，是无人机的飞行纪录文件，可使用CsvView、大疆DJI Assistant 2 For Mavic自带的viewer.exe软件或者取证厂商物联网取证分析软件（如弘连、美亚）加载飞行日志，这里以CsvView、viewer.exe以及弘连物联网取证分析软件为例解析。

1、CsvView

打开CsvView，可选文件类型有.dat，.txt，.csv，.tsv，在2022美亚团体赛中考到的是dat和txt格式的日志文件

优点：分析全面，可以查看飞行日志详细信息

将日志文件导入，先大致浏览右侧无人机详细信息，以该dat文件为例

Firmware Date 固件日期： Feb 18 2021

ACType 无人机型号：“御”Mavic 2

dateTime 日志文件记录时间：2022-8-2 6:31:29 GMT

mcID(SN) 产品序列号：163CG7XR0A0KC4

mcVer 产品版本号：v3.4.0.64

左侧窗口SigPlayers可查看电动机速度、电池状态、飞行情况等信息

使用CsvView的GeoPlayer程序将飞行记录可视化展示，查看飞行轨迹

eventlog程序查看无人机各个具体信息及时间。即日志信息，可以全选以后复制出来方便分析

2、弘连公司物联网取证分析软件

dat文件导入后直接分析

优点：方便快捷，可以通过轨迹回放清楚的看到周围的建筑物和标识，以及开始和结束时间

3、viewer.exe

该软件主要是对无人机运行时各个具体数据项的图像化分析，对各种基础信息分析全面，但是对于取证调查没有很大的实际性作用，在此不再赘叙

相关例题解析

1.本次飞行记录中，马达的启动时间

物联网取证一把梭，但是要注意时区，此处为UTC(+0:00)则为 2022-08-02 06:34:03

2.本次飞行记录中，到达海拔最高点时的 GPS 坐标。 [提示：给出小数形式的经纬度值，小数点后保留五位，无需进行坐标系转换]

物联网取证分析倒序高度，此时经度121.4150129，纬度 31.2277201，保留五位小数，因此是121.41501、31.22772

3.飞行轨迹为多边形，给出边的数量

轨迹回放，查看边的数量为6

今年美亚涉及无人机的题目

85.[单选题] 王景浩的iPhone XR手机记录了他曾于2022年8月26日试飞无人机， 当天试飞的地点在哪里? (2分)

A. 大埔海滨

B. 启德

C. 数码港

D. 西环

E. 将军澳

前面提到的iOS端日志文件存储路径：com.dji.pilot/FlightRecords，找到日志文件后导入弘连物联网取证软件轨迹回放可查看试飞地点，为西环

86.[单选题] 王景浩于2022年8月26日试飞无人机的总飞行时间 (Total Flight Time) 多久? (2分)

A. 6分58秒

B. 8分10秒

C. 9分6秒

D. 11分1秒

E. 15分33秒

CsvView日志分析,547秒即9分7秒，因此选C

另外还有一款物联网取证软件 Oxygen Forensic Detective，也可以分析无人机日志文件，但是我总是导入失败，目前暂不知道原因。