Android手機取證技術研究

◆孔 攀 蔡睿奇

?

Android手機取證技術研究

◆孔 攀 蔡睿奇

（重慶市公安局江北區分局 重慶 400021）

在Android手機取證中，隨著Android版本的快速升級，手機取證技術也隨之更新，從邏輯提取到物理提取，從第三方recovery備份到在線備份提取，以及到基于芯片的提取等各種技術。本文研究了當前主流的幾種Android手機取證技術，為進一步研究Android手機取證提供參考性意見。

Android手機；取證技術；電子證據

0 引言

智能手機正在深刻的改變IT和通信領域的行業結構，并逐步替代個人PC。智能手機市場的高速增長和應用普及，引起了犯罪分子和黑客的注意，他們通過黑客技術掌握著大批的黑色資產，而智能手機往往成為他們進行溝通和作案的載體。近年來，手機取證保持著高速增長態勢，數據多樣化給手機取證技術帶來了諸多挑戰，傳統的短信、通話記錄、通訊錄相比微信、QQ等應用程序的數據，其線索價值性和重要性都在逐漸降低。同時，在司法活動中電子證據取證意識逐漸增強，電子物證的重要性逐漸被重視，同時數據固定、提取和檢驗流程越來越規范化[1]，取證的技術方法也在不斷進步更新，智能手機取證在常規電子數據現場勘察分析中的作用日益增加。國內外常見的手機取證工具有Cellebrite UFED 、美亞柏科DC-4501/DC-4500、睿海RH-6900等。

1 Android手機取證概述

Android手機取證通常分為邏輯提取和物理提取。

邏輯提取，是基于手機的文件系統進行的數據提取。邏輯提取復制手機內的可見電子數據，其前提是用于進行取證工作的計算機能夠正常識別到手機檢材，為待檢手機分配通訊端口，做好交換數據的準備。Android手機取證的邏輯提取主要包括：代理方式的邏輯提取和基于備份的邏輯提取。

物理提取，是對手機存儲芯片中所有數據進行提取。物理提取是備份手機存儲芯片中的所有數據，是恢復刪除數據的重要前提[2]。物理提取主要包括：第三方recovery方式的物理提取、root權限下的物理提取和基于硬件工具的物理提取。

2 手機取證的技術難點

隨著智能手機和APP應用的普及，電子數據安全與備份技術也不斷革新，同時我國電子取證標準與規范不斷完善，這給手機取證帶來新的機遇和挑戰，目前我國手機取證技術仍然存在如下瓶頸和難點：

（1）手機解鎖、文件加密的解析：用戶的智能手機關系到個人諸多隱私信息，手機的圖形和數字鎖、SIM卡PIN及PUK鎖，指紋鎖甚至手機存儲芯片的文件加密、聲紋及虹膜識別技術都是用戶手機加密的實現方式，而這些恰恰給手機取證帶來一定技術障礙。

（2）歷史瀏覽及聊天刪除記錄的恢復：目前常用的解決辦法是基于recovery模式下清鎖，或者物理方式繞過解鎖限制，或者對國產OPPO等機型簡鎖進行軟件破解，這些都可能會面臨獲取root權限的問題。從Android 5.0開始，谷歌已經引入了全盤加密的設置，但并未強制要求開啟，若在算法上實現突破，還需很長的路要走；同時，一些用戶可能會定期清除歷史緩存或者刪除歷史聊天記錄，Android最新版的微信的聲音識別解鎖是目前面臨的技術挑戰。

（3）手機投資、交易及支付等金融交易記錄解析：智能手機在滿足用戶基本通話、聊天和娛樂的同時，也方便了用戶投資理財和交易支付。然而涉及用戶金融安全的加密更是手機安全技術的重中之重，司法取證對于金融交易數據更是一籌莫展，即便是通過層層方式獲取類似支付寶、京東及淘寶網購等其他APP鏡像文件，也無法解析其交易記錄和密碼。

（4）Android手機root獲取及無損檢材與解析：目前，最新版本的Android系統都難以被root,無論是通過第三方代理軟件，還是直接物理提取，都存在有損檢材的風險，無法嚴格進行存儲芯片的數據讀寫保護。在Android2.3.4版本以前可以一鍵root, 但是從6.0版本以后，Android系統獲取root權限越來越難，各手機廠家的深度定制化系統使得在線備份能夠獲取的邏輯數據越來越少。

3 常見的幾種Android手機取證技術

3.1人工提取

人工提取是直接在移動終端上查看相關數據，并使用相機等翻拍設備記錄證據。優點：門檻底，且是對工具提取的一種補充。缺點：一是僅能獲取已有數據，對于已刪除數據無法進行提取和固定，同時對于手機加密和破損的情況也無法應對；二是必須保證該設備能正常開機。

3.2代理方式的邏輯提取

對于非智能手機，取證軟件一般都會集成相關的驅動文件和數據交換觸發協議。當手機連接到取證計算機后，收到取證軟件發出的同步數據指令，即開始數據同步傳輸，將手機中的短信、電話簿、通話記錄等數據傳輸到取證計算機中，并根據手機自身的編譯格式進行翻譯，轉換成可以識別的報告文件。

對于Android智能手機，取證工具會先上傳一個插件到手機，用于打開手機中的指定端口，然后取證計算機通過這個端口接收手機傳輸回來的數據。

3.3基于備份的邏輯提取

（1）Android自帶的google備份

利用Android自帶的google備份協議，當取證工具向手機檢材發出備份數據命令時，手機上會顯示“備份我的數據”界面，此時點擊“備份全部數據”按鈕可以將手機上的數據備份到取證計算機本地，對其解析可以獲取相關數據。對于高版本Android系統而言，這種基于google自帶的備份的邏輯提取受限于數據備份的權限，很多應用程序都限制了備份程序讀取其數據，導致能夠提取的數據越來越少，不能提取如QQ、微信等應用程序的數據。

（2）在線備份

主要通過對QQ、微信等應用程序降版本的方式獲取手機應用數據，彌補google自帶備份無法獲取QQ、微信數據的問題，同時可實現部分應用刪除數據的恢復。其主要限制條件：Android 6.0以上應用程序強行降級會受到限制，導致降級失敗，因此影響數據提取，且這種提取通常會損壞原始登錄狀態，屬于有損檢驗。

（3）手機廠家自帶備份

華為、小米、OPPO等廠商自帶的備份程序默認具有較高的系統權限，因此可以在未Root的情況下，備份應用程序及相關數據。通過TF卡或OTG優盤保存并導出機身應用程序的數據，可實現部分應用刪除數據的恢復。這種技術的主要限制條件是手機的鎖屏密碼。

3.4第三方recovery方式的物理提取

第三方recovery方式的物理提取也簡稱為3rd Recovery。幾乎所有的Android手機自帶的官方recovery系統都沒有備份和恢復工具，但利用recovery分區不含用戶數據以及可修改的屬性，通過刷入基于CWM、TWRP或其他帶有備份功能的第三方recovery，可以掛載data分區并將幾乎所有數據備份到SD卡或者取證計算機中。這種方法也是提取數據最全的一種辦法，但因每個第三方recovery僅適用于對應型號版本的手機，所以適用范圍有一定限制。這種方法提取的數據也在隨著Android版本的提高而不斷減少。有些型號手機甚至通過3rd recovery已經無法提取到微信或者QQ聊天記錄。

3.5 root權限下的物理提取

root是在完成邏輯獲取之后才會考慮的一種有損提取方法。如果手機本身已經獲取了root權限，則可以考慮采用基于root情況下的物理提取[3]。工作原理是取證工具向手機機身上傳busybox或者nanddump程序，通過這個程序，獲取到手機機身的不同分區信息，并將不同的分區在本地打包后回傳至取證計算機，此時利用的是linux系統的DD命令，可以獲取到data以及system分區的完整數據，包含了未分配空間的數據。然后由取證工具對收到的物理鏡像文件進行解包和數據分析。如果需要刪除圖片、音視頻等多媒體文件的恢復，也是基于這種方式進行解析。root權限下的物理提取幾乎支持所有品牌型號的手機，但這種方法的難點在于不同品牌型號版本手機獲取root權限的過程。如華為、HTC等部分型號，在root前要求進行解鎖，很多手機解鎖后數據將被雙清。Android系統在5.0以后，獲取root權限的難度越來越大，伴隨的數據破壞風險也越來越高，因此基于備份的方法也越來越受到重視。

3.6基于硬件工具的物理提取

基于硬件工具的物理獲取目前主要有兩種工具，一種是JTAG，一種是基于芯片的Chipoff提取。JTAG是目前智能手機eMMC存儲芯片物理鏡像的方案之一，主要應對Android和Windows Phone手機，隨著目前檢材難度逐步提高，未打開USB調試功能并帶鎖屏密碼的情況非常常見，JTAG是解決方法之一。JTAG提取需要利用手機主板上的專門預留調試接口，提取數據時還需要用到專門的硬件接口，俗稱JTAG Box[4]。

Chipoff指的是將手機存儲芯片取下然后對其數據進行直接讀取的方法。該方法通過熱風槍或拆焊臺將移動終端中的存儲芯片與主板剝離，清理芯片表面的焊錫，然后將芯片安裝到芯片讀取設備上，直接對芯片本身的電路和協議進行分析，獲取其原始鏡像或相關數據，優點在于不受手機好壞限制、不受手機操作系統限制、不受手機是否有鎖限制、不區分手機操作環境、不受手機是否root限制，只要能獲取手機芯片，就能直接讀取手機存儲芯片中保存的最原始數據。目前Android手機都采用eMMC存儲芯片存儲數據，并且絕大多數都采用了ext4的文件系統，可以非常方便的在多數取證工具軟件中進行數據提取、恢復和分析。然而，基于芯片拆解的數據獲取，可以用于芯片完好的情況，但也有受限條件，例如無法解析“全盤數據加密”的手機、不能提取芯片損毀的手機、對于UFS2.0、UFS2.1的芯片尚無支持的配套硬件設備等待。

4 結束語

手機取證技術從來沒有固定的方法，根據不同的檢材條件，選擇合適的方法，才是規范且有效的可行取證技術。與此同時，在任何時候都存在無法獲取數據的情況，這是手機取證技術滯后于IT科技的必然結果。本文詳細論述了當前主流的Android手機取證技術，對近年來的研究現狀進行了概述和分析，為在該領域的下一步取證技術升級研究提供參考。

[1]劉浩陽，李錦，劉曉宇等.電子數據取證[M].清華大學出版社，2015.

[2]方冬蓉，張秋余，董瑞洪，文森.Android系統刪除數據恢復方法研究[J].計算機工程，2014.

[3]張輝極，薛艷英.基于Android系統的取證技術分析[J]. 信息網絡安全，2012.

[4]Andrew Hoog著，何涇沙譯.Android取證實戰·調查、分析與移動安全[M].機械工業出版社出版，2013.