Highlight亮点

本研究首次系统揭示了现代/起亚汽车搭载的Android Jellybean与KitKat车载信息娱乐系统（IVI）的日志机制：Jellybean系统采用7个环形缓冲区（包括专属的tms/avn/vcrm），而KitKat系统则使用5个缓冲区（含独特的mobis）。这些缓冲区与7类非易失性日志文件（如telematics*.log）协同工作，可追溯长达1年的车辆行为数据。

Log Analysis and Findings日志分析与发现

通过分析起亚嘉年华（2019）的114个telematics日志和现代索纳塔（2023）的87个mobis日志，我们识别出四大核心法医证据链：

1. 1.

   导航行为：GPS坐标、目的地搜索记录

2. 2.

   车辆状态：引擎启停（Ignition ON/OFF）、安全带使用（Seat Belt）、车门开关（Door Access）

3. 3.

   蓝牙活动：通话记录（Call Log）、短信元数据（SMS Metadata）

4. 4.

   娱乐操作：DMB频道切换、收音机频率调节

Discussion and Limitations讨论与局限

研究发现Jellybean系统的vcrm缓冲区可记录精确到毫秒的车辆信号（如转向灯状态），而KitKat的mobis日志则包含更丰富的CAN总线数据。但存在三点局限：

1. 1.

   易失性日志（如tms缓冲区）在断电后丢失

2. 2.

   不同车型的日志加密方式存在差异

3. 3.

   尚未覆盖Android 10+的新一代IVI系统

Conclusion结论

该研究为Android IVI系统建立了标准化取证流程，通过交叉验证环形缓冲区与非易失性日志，成功重构了驾驶员行为时间轴。未来工作将扩展至特斯拉等品牌的Linux基IVI系统分析。