前言

电子取证当中，我们有时候会碰到关于GPS的情况，弄清楚GPS的取证相关知识点，可以帮助更好的判断。

参考书籍:<<电子数据取证>>

正文

在这之前，我们要先下载好，两个工具，工欲善其事必先利其器。

一个就是我们经常使用的FTK IMAGER

另一个就是Google earth pro

在开始之前，我们要简单了解一个文件格式GPX。

GPS交换格式(GPX)是一种轻量级的XML数据格式，用于通过互联网在应用程序Web服务之间交换GPS数据(航点、航线和航迹).

航点可能是用户录入的，想要未来导航到达的位置，也可能是用户录入时所在是位置。，并不意味着用户曾经到达某个特定的地点。

航线:

如果用户希望以特定顺序导航一系列航点，那么就形成一条航线。

航迹点是GPS设备记录的它曾经到达的位置的信息。

在一个GPX文件中，这些数据是比较大的，所以需要借助软件来帮助更好的取证判断。

我们这里用一个从GPS上导出的镜像文件来分析。

打开FTK

导入之后，打开目录。

打开GPX，导出一个文件。

用Google earth导入

可以在Tracks中找到详细的跟踪记录。

可以通过点击下面的按钮，模拟踪迹。

这样子我们就能知道该GPS的使用者的踪迹了。判断踪迹也可以通过我们之前说的注册表中的WIFI连接记录来知道。

踪迹