#系统资讯 谷歌为安卓系统新增间谍软件调查功能，让网络安全研究人员可以深度分析日志排查间谍软件攻击行为。该功能在 2025 年开发但直到现在才开始推送，启用功能后系统将通过新型日志记录设备解锁、应用安装或卸载、连接哪些网站或服务器、是否连接 ADB 等，日志会被加密上传到云端避免在本地被删除。查看详情：https://ourl.co/112913

为应对近年来愈演愈烈的国家级间谍软件攻击，谷歌正在为安卓系统开发新可选功能：入侵日志记录。该功能并非面向普通用户，而是帮助网络安全研究人员通过深度检查系统日志排查设备是否已经遭到间谍软件感染。

入侵日志记录被放在安卓高级保护模式中，安卓高级保护模式是谷歌为安卓用户推出的可选功能，用户启用该功能后系统部分选项会被禁用从而提升安全性，例如启用高级保护模式后想要通过浏览器内核漏洞进行感染的难度就会显著增加。

高级保护模式还可以应对取证设备试图从系统里提取关键信息，此前在塞尔维亚的国家级间谍软件攻击案例中，塞尔维亚当局就使用 Cellebrite 开发的取证工具解锁安卓设备，然后安装间谍软件后继续对目标进行持续监控。

入侵日志记录可以为研究人员提供全方位日志：

入侵日志记录功能本质上是谷歌为安卓系统开发的新型日志，这种新型日志要比安卓系统常规日志更加全面和细致，用于记录软件各类事件并收集证据，从而帮助用户和网络安全研究人员了解疑似间谍软件攻击的来龙去脉。

以前取证分析主要依赖于并非为了检测入侵而设计的日志，这种日志对网络安全研究人员来说用处不是很大，因为这类日志保存时间短且经常会被覆盖，而间谍软件潜伏时间可能会非常长，如果日志被覆盖则研究人员无法溯源攻击源头。

现在有了入侵日志记录功能后，当启用该功能，系统就会每天创建并收集日志，收集的日志会采用高强度算法进行加密后上传到用户的谷歌账户中，因此即便日志在本地被抹除，研究人员也依然可以通过云端继续查找日志。

说到这里还需要提下，其实入侵日志记录功能在 2025 年就已经开发，不过谷歌现在才开始逐渐部署，谷歌在博客中表示，该功能正在面向运行 Android 16 2025 年 12 月更新或更高版本的设备推出。

入侵日志记录提供哪些跟踪事件：

• 安卓设备何时解锁过
• 应用程序何时安装、启动或卸载
• 安卓设备连接过哪些网站或服务器
• 是否有人使用目标设备连接到 ADB (取证工具就需要通过 ADB 连接并读取数据)
• 是否有人尝试删除以上跟踪记录的日志 (这表明有人试图隐藏攻击证据)