手機取證,從字面理解,可以分為取和證兩個過程。取,把資料原原本本的從手機中提取出來。證,透過資料檢索、挖掘、分析,尋找與案件有關的線索和證據。對於我們來說,二者缺一不可。但萬事開頭難,如何取,往往是大家最頭疼的事。後面把現在智慧手機常用的資料提取方法做個歸納,也會簡述對應的優缺點。
1.邏輯提取
目前ios的提取,安卓開機後透過adb的提取,都屬於邏輯提取。這個方法操作最簡單,只要手機沒有鎖,理論上對都可以。對於ios,由於系統特殊性,暫時也沒有更好的提取辦法。對於安卓系統,隨著安卓版本的提高,特別是6.0以後,在沒有root許可權的情況下能提取到的應用資訊越來越少。對於高版本安卓,用邏輯提取只能是沒有辦法後的無奈之舉。
2.root後的邏輯提取
3.root後的開機邏輯映象
所有安卓手機在開機狀態下獲得許可權後,都可以提取手機的邏輯映象(作為與物理映象的區分,手機開機後這種adb讀取映象暫稱為邏輯映象吧,不慎準確)。在安卓4.x時代,這個方法用的很多。有了邏輯映象,就可以透過分析軟體對資料進行解析,恢復刪除資料(即使6.0後開啟全盤加密,只提取使用者區的邏輯映象也可以解析)。同上,隨著手機難以root,除了少部分機型外,現在也很少這個方法。
4.recovery下的邏輯提取和邏輯映象
安卓版本的提升造成手機很難透過網際網路上的通用root工具獲得許可權,但取證裝置廠家技術的也在不斷提高。一些廠家自己製作許可權包,獲得許可權。通常是在手機刷機模式下寫入許可權包,保證手機啟動到recovery模式(可以粗暴的理解為計算機的PE模式,更準確的解釋百度下就有)後具有root許可權,這時同樣可以進行邏輯提取、邏輯映象(6.0後全盤加密的只做使用者區映象)。這種方法是解決高版本安卓提取難的一個行之有效的方法,但需要依賴於取證廠家不斷的軟體更新支援。
4.高通cpu的物理映象
目前安卓使用的主流cpu即為美國高通的cpu,除了華為,大部分品牌的每代旗艦產品都是高通的cpu。高通cpu的手機都可以進入到9008(進入模式後連線電腦裝置管理器會新出現一個9008埠)強刷模式,這個通常是在手機無法正常啟動,用於對手機進行救磚的一個操作辦法,在這個模式下可以不透過系統的引導強制刷新系統檔案,對手機進行修復。取證中可以利用這個埠對手機進行資料讀取,儲存成映象檔案。因為不需要透過安卓系統的啟動,屬於物理映象。這個方法對於沒有開啟全盤加密的手機都有效。換言之,6.0以後開啟全盤加密的,就無法這樣操作了(全盤加密的映象無法解析)。這個方法還有一點需要注意,有些手機需要拆開外殼,在主機板上短接兩個測試點才可以進入到9008模式(大部分不需要拆殼,直接關機狀態下按音量鍵插資料線可進入到9008模式。
5.MTK物理映象
MTK作為臺灣產的cpu,因其價效比高,被眾多中國產品牌青睞,中低端手機通常都採用的這個cpu.這個cpu的安卓手機,同樣可以透過cpu的底層命令對儲存晶片資料進行讀取。讀取時同樣不需要啟動作業系統,跟高通9008類似,會在裝置管理器裡出現一個mtk的埠,讀取後可獲得儲存晶片的完整物理映象。缺點也和高通9008類似,只適用於未有全盤加密手機。
6.拆晶片讀儲存晶片(CHIPOFF)
將手機儲存晶片用拆焊工具從手機主機板上取下,放到專用的晶片讀取裝置上進行讀取,獲得物理映象。這個方法可以適用各種破損手機。但對於全盤加密無法解析。
7.DOWNLOAD,FASTBOOT模式讀映象
三星手機的刷機模式是download模式,華為小米手機是fastboot模式。對於這幾個廠家的少部分機型,在這種刷機狀態下可以獲得手機的映象檔案。沒有普適性,不過多介紹了。
8.自備份
手機取證,從字面理解,可以分為取和證兩個過程。取,把資料原原本本的從手機中提取出來。證,透過資料檢索、挖掘、分析,尋找與案件有關的線索和證據。對於我們來說,二者缺一不可。但萬事開頭難,如何取,往往是大家最頭疼的事。後面把現在智慧手機常用的資料提取方法做個歸納,也會簡述對應的優缺點。
1.邏輯提取
目前ios的提取,安卓開機後透過adb的提取,都屬於邏輯提取。這個方法操作最簡單,只要手機沒有鎖,理論上對都可以。對於ios,由於系統特殊性,暫時也沒有更好的提取辦法。對於安卓系統,隨著安卓版本的提高,特別是6.0以後,在沒有root許可權的情況下能提取到的應用資訊越來越少。對於高版本安卓,用邏輯提取只能是沒有辦法後的無奈之舉。
2.root後的邏輯提取
3.root後的開機邏輯映象
所有安卓手機在開機狀態下獲得許可權後,都可以提取手機的邏輯映象(作為與物理映象的區分,手機開機後這種adb讀取映象暫稱為邏輯映象吧,不慎準確)。在安卓4.x時代,這個方法用的很多。有了邏輯映象,就可以透過分析軟體對資料進行解析,恢復刪除資料(即使6.0後開啟全盤加密,只提取使用者區的邏輯映象也可以解析)。同上,隨著手機難以root,除了少部分機型外,現在也很少這個方法。
4.recovery下的邏輯提取和邏輯映象
安卓版本的提升造成手機很難透過網際網路上的通用root工具獲得許可權,但取證裝置廠家技術的也在不斷提高。一些廠家自己製作許可權包,獲得許可權。通常是在手機刷機模式下寫入許可權包,保證手機啟動到recovery模式(可以粗暴的理解為計算機的PE模式,更準確的解釋百度下就有)後具有root許可權,這時同樣可以進行邏輯提取、邏輯映象(6.0後全盤加密的只做使用者區映象)。這種方法是解決高版本安卓提取難的一個行之有效的方法,但需要依賴於取證廠家不斷的軟體更新支援。
4.高通cpu的物理映象
目前安卓使用的主流cpu即為美國高通的cpu,除了華為,大部分品牌的每代旗艦產品都是高通的cpu。高通cpu的手機都可以進入到9008(進入模式後連線電腦裝置管理器會新出現一個9008埠)強刷模式,這個通常是在手機無法正常啟動,用於對手機進行救磚的一個操作辦法,在這個模式下可以不透過系統的引導強制刷新系統檔案,對手機進行修復。取證中可以利用這個埠對手機進行資料讀取,儲存成映象檔案。因為不需要透過安卓系統的啟動,屬於物理映象。這個方法對於沒有開啟全盤加密的手機都有效。換言之,6.0以後開啟全盤加密的,就無法這樣操作了(全盤加密的映象無法解析)。這個方法還有一點需要注意,有些手機需要拆開外殼,在主機板上短接兩個測試點才可以進入到9008模式(大部分不需要拆殼,直接關機狀態下按音量鍵插資料線可進入到9008模式。
5.MTK物理映象
MTK作為臺灣產的cpu,因其價效比高,被眾多中國產品牌青睞,中低端手機通常都採用的這個cpu.這個cpu的安卓手機,同樣可以透過cpu的底層命令對儲存晶片資料進行讀取。讀取時同樣不需要啟動作業系統,跟高通9008類似,會在裝置管理器裡出現一個mtk的埠,讀取後可獲得儲存晶片的完整物理映象。缺點也和高通9008類似,只適用於未有全盤加密手機。
6.拆晶片讀儲存晶片(CHIPOFF)
將手機儲存晶片用拆焊工具從手機主機板上取下,放到專用的晶片讀取裝置上進行讀取,獲得物理映象。這個方法可以適用各種破損手機。但對於全盤加密無法解析。
7.DOWNLOAD,FASTBOOT模式讀映象
三星手機的刷機模式是download模式,華為小米手機是fastboot模式。對於這幾個廠家的少部分機型,在這種刷機狀態下可以獲得手機的映象檔案。沒有普適性,不過多介紹了。
8.自備份