赞
踩
闲暇时间,随手记录,愿与诸位朋友分享。学识有限,不当之处,恳请各位大神不吝赐教,也是对我自己的学习提高过程!
言归正文
手机取证,从字面理解,可以分为取和证两个过程。取,把数据原原本本的从手机中提取出来。证,通过数据检索、挖掘、分析,寻找与案件有关的线索和证据。对于我们来说,二者缺一不可。但万事开头难,如何取,往往是大家最头疼的事。后面把现在智能手机常用的数据提取方法做个归纳,也会简述对应的优缺点。
1.逻辑提取
目前ios的提取,安卓开机后通过adb的提取,都属于逻辑提取。这个方法操作最简单,只要手机没有锁,理论上对都可以。对于ios,由于系统特殊性,暂时也没有更好的提取办法。对于安卓系统,随着安卓版本的提高,特别是6.0以后,在没有root权限的情况下能提取到的应用信息越来越少。对于高版本安卓,用逻辑提取只能是没有办法后的无奈之举。
2.root后的逻辑提取
安卓手机root后,已经获得最高的系统权限,通过逻辑提取可以获取到大量的数据,包括各种应用的删除数据。但在安卓6.0后,手机的root越来越难,几乎不可能简单的通过第三方工具获得权限。
3.root后的开机逻辑镜像
所有安卓手机在开机状态下获得权限后,都可以提取手机的逻辑镜像(作为与物理镜像的区分,手机开机后这种adb读取镜像暂称为逻辑镜像吧,不慎准确)。在安卓4.x时代,这个方法用的很多。有了逻辑镜像,就可以通过分析软件对数据进行解析,恢复删除数据(即使6.0后开启全盘加密,只提取用户区的逻辑镜像也可以解析)。同上,随着手机难以root,除了少部分机型外,现在也很少这个方法。
4.recovery下的逻辑提取和逻辑镜像
安卓版本的提升造成手机很难通过互联网上的通用root工具获得权限,但取证设备厂家技术的也在不断提高。一些厂家自己制作权限包,获得权限。通常是在手机刷机模式下写入权限包,保证手机启动到recovery模式(可以粗暴的理解为计算机的PE模式,更准确的解释百度下就有)后具有root权限,这时同样可以进行逻辑提取、逻辑镜像(6.0后全盘加密的只做用户区镜像)。这种方法是解决高版本安卓提取难的一个行之有效的方法,但需要依赖于取证厂家不断的软件更新支持。
4.高通cpu的物理镜像
目前安卓使用的主流cpu即为美国高通的cpu,除了华为,大部分品牌的每代旗舰产品都是高通的cpu。高通cpu的手机都可以进入到9008(进入模式后连接电脑设备管理器会新出现一个9008端口)强刷模式,这个通常是在手机无法正常启动,用于对手机进行救砖的一个操作办法,在这个模式下可以不通过系统的引导强制刷新系统文件,对手机进行修复。取证中可以利用这个端口对手机进行数据读取,保存成镜像文件。因为不需要通过安卓系统的启动,属于物理镜像。这个方法对于没有开启全盘加密的手机都有效。换言之,6.0以后开启全盘加密的,就无法这样操作了(全盘加密的镜像无法解析)。这个方法还有一点需要注意,有些手机需要拆开外壳,在主板上短接两个测试点才可以进入到9008模式(大部分不需要拆壳,直接关机状态下按音量键插数据线可进入到9008模式)
5.MTK物理镜像
MTK作为台湾产的cpu,因其性价比高,被众多国产品牌青睐,中低端手机通常都采用的这个cpu.这个cpu的安卓手机,同样可以通过cpu的底层命令对存储芯片数据进行读取。读取时同样不需要启动操作系统,跟高通9008类似,会在设备管理器里出现一个mtk的端口,读取后可获得存储芯片的完整物理镜像。缺点也和高通9008类似,只适用于未有全盘加密手机。
6.拆芯片读存储芯片(CHIPOFF)
将手机存储芯片用拆焊工具从手机主板上取下,放到专用的芯片读取设备上进行读取,获得物理镜像。这个方法可以适用各种破损手机。但对于全盘加密无法解析。
7.DOWNLOAD,FASTBOOT模式读镜像
三星手机的刷机模式是download模式,华为小米手机是fastboot模式。对于这几个厂家的少部分机型,在这种刷机状态下可以获得手机的镜像文件。没有普适性,不过多介绍了。
8.自备份
很多手机本身提供自备份功能,像小米,华为等。对于这样的手机,在没有其它方法的情况下,可以通过自备份对手机数据进行备份,然后利用软件解析自备份文件。好处是自备份里可以对微信QQ进行解析和恢复。缺点是大部分app是无法备份的。
最后:
关于逻辑镜像和物理镜像个人理解:
手机系统开启时(包含recovery,download等模式)获取的镜像都应该称为逻辑镜像。
不依赖于操作系统,即使手机操作系统丢失无法启动也能获取的镜像称为物理镜像。
以上,不当之处,欢迎交流!!
后续有时间会陆续整理!
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。