近年来,随着移动互联网4G技术的快速发展,以Android手机为代表的移动终端设备逐渐成为市场的主流。由于其功能强大并支持多种App应用程序,在人们日常生活、工作和娱乐中成为不可或缺的通讯工具。与此同时,犯罪分子利用Android手机进行通讯联络的高科技犯罪案件呈逐年上升态势。为准确把握犯罪分子动向,严厉打击其犯罪行为,对犯罪分子使用的Android手机中存储的通信录、通话记录、短信、照片、视频、聊天记录、上网记录等进行数据取证,已成为案件侦破中迫在眉睫的工作。现有的取证手段多以软件取证为主,但这种方法通常要求犯罪分子的Android手机能正常开关机。但在一线案件侦破过程中,犯罪分子为了达到毁灭证据的目的,会对涉案手机进行破坏(比如将手机摔坏等),给手机数据取证工作带来了极大的难度。为了弥补软件数据取证的技术缺陷,本文从软件数据取证和物理逻辑方法数据取证相结合,对Android手机底层运行机制、存储机制、加密机制等数据取证技术进行了深入研究。同时以JTAG、ISP、芯片级数据取证技术手段入手,用物理逻辑手段对其最底层数据进行只读性数据取证。数据取证过程与Android手机的型号、系统版本、有无密码、USB调试模式是否打开及手机是否破损无关,且能全面提取所有已删除、未删除的电子数据,为案件的侦破提供关键性的证据,案件侦破实战中,对提高Android手机数据取证水平具有重要的现实应用价值和指导意义。本论文深入研究了国内外Android手机的取证现状和发展趋势,对论文的研究思路、方法和Android体系结构、数据取证技术的定义、原则、内容和模型、流程等内容分别进行了阐述和分析。对Android手机数据取证的结构、功能模块和存在的技术难点及普遍的解决方案进行了分析和探讨,对正常开机Android手机和非正常开机的Android手机分别提出不同的数据取证新思路和新方法。正常开机的Android手机通常先获取Root权限,然后再提取其中存储的通讯录、通话记录、短信、微信、上网浏览器、SIM卡、SD卡、网络运营商等相关数据；非正常开机的Android手机通常采用JTAG、ISP、芯片级数据取证方法读取全镜像文件、密码暴力破解等数据取证方法来提取数据关键数据线索。最后,对Android手机正常和非正常开机的情况通过软件数据取证和物理逻辑取证方法相结合的方式在案件侦破中进行实战,取得了较好的实战效果。