基于MTP下的智能手機數(shù)據(jù)恢復(fù)及其取證技術(shù)

葉志剛

摘要 本文對基于MTP模式下智能收集數(shù)據(jù)恢復(fù)及取證技術(shù)進行了分析，針對支持MTP連接模式的安卓智能手機，提出了完整的數(shù)據(jù)恢復(fù)取證方法與流程，對僅支持MTP模式不支持外插SD卡的手機恢復(fù)提取方法進行了驗證。

【關(guān)鍵詞】MTP模式 智能手機 數(shù)據(jù)恢復(fù)取證

智能手機是現(xiàn)代社會的重要通訊工具，移動互聯(lián)網(wǎng)的崛起與智能移動終端廣泛使用，使智能手機應(yīng)用程序進行隱私竊取及惡意攻擊等犯罪活動不斷增多。研究智能手機數(shù)據(jù)恢復(fù)取證技術(shù)對遏制不法行為具有重要意義。手機運營商更加注重手機文件的安全性，大量的智能手機采用MTP等新型連接模式，避免了直接讀取文件的風(fēng)險，但MTP模式下手機無法識別為盤符，傳統(tǒng)數(shù)據(jù)恢復(fù)軟件無法恢復(fù)不能拔插SD卡的手機所刪除信息。本文通過研究基于安卓智能手機MTP模式的數(shù)據(jù)恢復(fù)方法。

1 MTP模式及其體系結(jié)構(gòu)

MTP模式是一種新型的USB連接模式，該協(xié)議允許用戶在移動設(shè)備上線性訪問媒體文件。MTP可支持?jǐn)?shù)字音頻播放器的音樂文件與媒體文件，及個人信息的傳輸。傳統(tǒng)的USB模式下，電腦操作內(nèi)存設(shè)備粒度的設(shè)備塊。智能手機通過USB將內(nèi)存卡掛載到電腦，電腦擁有對其絕對控制權(quán)。導(dǎo)致內(nèi)存卡重新掛載到手機后不能被識別。智能手機通過MTP協(xié)議向電腦構(gòu)建了虛擬文件系統(tǒng)，電腦操作文件時通過MTP協(xié)議向智能手機發(fā)起請求，使文件更安全。

C++層包括Mtp Request負(fù)責(zé)從USB驅(qū)動讀取數(shù)據(jù)，MTP data負(fù)責(zé)結(jié)構(gòu)化手機要返回給PC數(shù)據(jù)包，MTP Response負(fù)責(zé)結(jié)構(gòu)化手機為返回的Response，MTP server負(fù)責(zé)解析PC命令調(diào)用相應(yīng)的接口函數(shù)處理。

Java層包括Usb Receiver等對象，Usbrecelver用來監(jiān)視UDB事件，MTp servicer與加載存儲設(shè)備信息到數(shù)據(jù)庫，Media Provide負(fù)責(zé)查詢更新數(shù)據(jù)庫，MTP Server負(fù)責(zé)啟動停止MTp Server，處理STorage添加刪除。Mtpdatabase用于media provider與MTp server間數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)格式。

2 MTP模式恢復(fù)取證技術(shù)

vrrp模式提高了手機文件系統(tǒng)的安全性，但為取證帶來了很大難題。當(dāng)前很多手機廠商不支持外插SD卡，此硬件結(jié)構(gòu)使得取證無法取下手機存儲卡單獨專用設(shè)備恢復(fù)取證。專用取證設(shè)備只能恢復(fù)短信等文本信息，對內(nèi)置存儲卡，傳統(tǒng)取證方法在手機連接電腦后.識別出盤符，用數(shù)據(jù)恢復(fù)軟件直接恢復(fù)取證。對只支持MTP模式的智能手機連接電腦后，無法識別盤符。傳統(tǒng)的取證恢復(fù)方法無法使用。

MTP模式連接智能手機多媒體數(shù)據(jù)恢復(fù)取證有三種情況。手機支持外插，多媒體信息保存在SD卡中，取下SD卡直接用讀卡器讀取信息。手機不支持外插SD卡，為保證數(shù)據(jù)完整性，物理分析通過內(nèi)存鏡像進行數(shù)據(jù)恢復(fù)尋找刪除文件。手機鏡像的獲取是成功恢復(fù)的首要條件。邏輯分析利用文件系統(tǒng)分析，不同手機廠商對系統(tǒng)不同設(shè)置導(dǎo)致非所有手機都可成功制作鏡像文件。對于手機不支持外插SD卡，無法獲取鏡像時，可注入數(shù)據(jù)恢復(fù)APK程序進行手機端數(shù)據(jù)恢復(fù)取證。

數(shù)據(jù)恢復(fù)功能是最核心的功能，本系統(tǒng)采用恢復(fù)技術(shù)包括基于YAFFS2文件系統(tǒng)的文檔的等相關(guān)數(shù)據(jù)信息的恢復(fù)，系統(tǒng)分別對特定數(shù)據(jù)庫文件進行掃描，由用戶分別決定具體恢復(fù)文件數(shù)據(jù)。系統(tǒng)總體分為應(yīng)用模塊及Linux底層模塊，應(yīng)用層模式負(fù)責(zé)提供人機交互界面與用戶操作的處理控制。包括界面展示、進度呈現(xiàn)、結(jié)果顯示與提示警告四個子模塊。控制系統(tǒng)的流程與邏輯處理。Linux底層模式包括SQLIte數(shù)據(jù)庫文件提取與數(shù)據(jù)庫恢復(fù)。根據(jù)應(yīng)用層用戶不同操作執(zhí)行不同模塊。

ANdroid數(shù)據(jù)恢復(fù)系統(tǒng)是基于Android平臺的工具類應(yīng)用程序。數(shù)據(jù)恢復(fù)系統(tǒng)整體由應(yīng)用層模塊與Linux底層模塊兩部分組成。Linux底層模塊為核心功能模塊。系統(tǒng)啟動后，應(yīng)用層模塊將顯示出可供選擇的文件恢復(fù)方法。用戶根據(jù)自己需要選擇一種恢復(fù)方法。執(zhí)行相應(yīng)數(shù)據(jù)恢復(fù)操作中關(guān)注的數(shù)據(jù)根據(jù)選擇恢復(fù)方法變化，執(zhí)行結(jié)束后將掃描結(jié)果返回到應(yīng)用層模塊。

3 實驗驗證

MTP手機數(shù)據(jù)恢復(fù)取證的難點在于內(nèi)置內(nèi)儲卡，手機僅支持MTP模式連接的情況，為保證數(shù)據(jù)的完成有效性，先提取手機的鏡像文件，使用分析軟件分析鏡像，獲取手機的Root權(quán)限，利用取證大師等專業(yè)軟件對鏡像文件進行掛載恢復(fù)。

可使用網(wǎng)絡(luò)的免費軟件獲取手機鏡像，手機平臺多樣化，對鏡像無法直接獲取情況下，可進入手機的Recovery模式。通過組合鍵手機進入recovery模式，下達(dá)ADB命令中devices連接手機，返回List of devices即連接成功。通過SU指令進入super use權(quán)限，找到user data的mtd值。

使用mount lgrep獲取dd鏡像目標(biāo)，若dd鏡像不成功，可直接用cat方式輸出鏡像文件。提取成功的img鏡像文件可用encase等常用硬盤軟件實現(xiàn)數(shù)據(jù)的恢復(fù)取證。鏡像的成功獲取使手機數(shù)據(jù)恢復(fù)取證脫離手機系統(tǒng)環(huán)境限制。保證數(shù)據(jù)的完整有效性。手機廠家對底層操作系統(tǒng)不同設(shè)置，利用上述方法可能無法獲取有效鏡像情況。

小米2型號手機不支持外插SD卡，可先打開USB調(diào)試，獲取ROOT權(quán)限，安裝APK恢復(fù)程序，運行該恢復(fù)程序前，如手機在恢復(fù)中鎖屏?xí)Ｖ箶?shù)據(jù)恢復(fù)。應(yīng)注意在恢復(fù)前調(diào)整休眠模式再進行操作。

程序運行成功后，選擇全部恢復(fù)，在恢復(fù)前用OTG連接U盤，設(shè)置數(shù)據(jù)恢復(fù)后存儲目標(biāo)盤。保證手機原始信息不被恢復(fù)信息覆蓋，

4 結(jié)語

本文研究實驗手機恢復(fù)取證中，對不同恢復(fù)方式取證方法。基于MTP模式的智能手機在數(shù)據(jù)恢復(fù)取證中，連接后不能直接識別盤符進行物理恢復(fù)。可用鏡像提取分析法實現(xiàn)恢復(fù)提取基于MTP模式的智能手機信息。成功提取出刪除信息，克服了MTP模式的各種限制。

參考文獻

[1]陳飛.智能移動終端應(yīng)用數(shù)據(jù)取證技術(shù)研究[D].東南大學(xué)，2015.

[2]方冬蓉.基于Android手機的數(shù)據(jù)恢復(fù)方法研究及應(yīng)用[D].蘭州理工大學(xué)，2014.