基于MTP下的智能手機數據恢復及其取證技術

摘 要：本文對基于MTP模式下智能收集數據恢復及取證技術進行了分析，針對支持MTP連接模式的安卓智能手機，提出了完整的數據恢復取證方法與流程，對僅支持MTP模式不支持外插SD卡的手機恢復提取方法進行了驗證。

關鍵詞：MTP模式；智能手機；數據恢復取證

中圖分類號：TP309.3；TP399-C2 文獻標識碼：A 文章編號：2096-4706（2018）12-0027-02

Data Recovery and Forensics Technology of Smart Phone Based on MTP

YE Zhigang

（Jinhua Public Security Bureau，Jinhua 321000，China）

Abstract：This paper analyzes the data recovery and forensics technology of intelligent collection based on MTP mode，proposes a complete method and process of data recovery and forensics for Android smart phones supporting MTP connection mode and validates the method of mobile recovery and extraction which only supports MTP mode and does not support plug-in SD card.

Keywords：MTP mode；smart phone；data recovery forensics

0 引 言

智能手機是現代社會的重要通訊工具，移動互聯網的崛起與智能移動終端的廣泛使用，使智能手機應用程序進行隱私竊取及惡意攻擊等犯罪活動不斷增多。研究智能手機數據恢復取證技術對遏制不法行為具有重要意義。手機運營商更加注重手機文件的安全性，大量的智能手機采用MTP等新型連接模式，避免了直接讀取文件的風險，但MTP模式下手機無法識別為盤符，傳統數據恢復軟件無法恢復不能拔插SD卡的手機所刪除信息。本文通過研究基于安卓智能手機MTP模式的數據恢復方法。

1 手機取證原則

隨著硬件技術與移動互聯網技術的快速發展，智能手機廣泛應用到人們的日常生活中。據IDC公司發布的最新數據顯示，2017年智能手機總出貨量為14.6億部，Android系統總市場份額達到85.1%，占據了市場主導地位。CNNIC 2018年1月最新調查顯示，我國手機網民規模已達7.53億，網民中使用手機上網的人數占比同期提升97.5%。

智能手機的迅速普及使利用智能手機實施詐騙等犯罪活動不斷增多，智能手機具有較高的便攜性，為犯罪分子實施犯罪活動提供了有利條件。智能手機通常按照即時通訊軟件，相應的用戶數據記錄了犯罪實施過程。通過分析取證記錄數據可容易地破獲網絡毒品交易等電子案件。取證人員對犯罪嫌疑人的手機取證分析有利于司法部門獲取偵破案件的關鍵信息。

電子證據是科技高速發展的產物，手機取證是電子取證技術的重要分支。手機取證的特點是取證范圍廣，取證對象具有很強的移動性，文件系統建立在非易失性的存儲中。

手機取證工作需取證調查人員掌握相關的專業技術，保證電子證據的有效性與可信性。取證工作必須經過嚴格的功能測試被證明有效，從而確保電子證據的可信度。手機取證需借助高科技手段，取證合法性是證據合法性的必要前提。手機取證中必須強調合法性原則，包括取證主體必須具有法定資格，取證過程必須合法，取證工具必須合法。手機中保存的數據易受到外界環境因素的干擾，手機容量較小，內存數據動態更新快，手機上現存記錄有被破壞的可能[1]。很多手機廠商充電接口不統一，智能手機一旦關機，會使緩存數據發生變化，影響數據的可信度。

對包含電子數據的手機必須在合法見證人的見證下運用符合法律規定的工具、方式對取證數據備份。備份數據被制為兩個副本被封存，供復檢與取證人員對證據提取檢驗，從而確保獲取電子證據原始的完整性。

2 MTP模式及其體系結構

MTP模式是一種新型的USB連接模式，該協議允許用戶在移動設備上線性訪問媒體文件。MTP可支持數字音頻播放器的音樂文件與媒體文件，及個人信息的傳輸。智能手機通過USB將內存卡掛載到電腦，電腦擁有對其絕對控制權，導致內存卡重新掛載到手機后不能被識別。智能手機通過MTP協議向電腦構建了虛擬文件系統，電腦操作文件時通過MTP協議向智能手機發起請求，使文件更安全。

C++層包括MTP Request，其負責從USB驅動讀取數據；MTP Data負責結構化手機要返回給PC數據包；MTP Response負責結構化手機為返回的Response；MTP Server負責解析PC命令調用相應的接口函數處理。

Java層包括Usb Receiver等對象，Usb Receiver用來監視UDB事件，MTP Servicer加載存儲設備信息到數據庫，Media Provide負責查詢更新數據庫，MTP Server負責啟動停止，Storage處理添加刪除。MTP Database用于Media Provider與MTP Server間數據轉換數據格式。

3 MTP模式恢復取證技術

MTP模式提高了手機文件系統的安全性，但為取證帶來了很大難題。當前很多手機廠商不支持外插SD卡，此硬件結構使得取證無法取下手機存儲卡用單獨專用設備恢復取證。專用取證設備只能恢復短信等文本信息，對內置存儲卡，傳統取證方法在手機連接電腦后，識別出盤符，用數據恢復軟件直接恢復取證。對只支持MTP模式的智能手機連接電腦后，無法識別盤符，傳統的取證恢復方法無法使用。

MTP模式連接智能手機多媒體數據恢復取證有三種情況。手機支持外插，多媒體信息保存在SD卡中，取下SD卡直接用讀卡器讀取信息。手機不支持外插SD卡，為保證數據完整性，物理分析通過內存鏡像進行數據恢復尋找刪除文件。手機鏡像的獲取是成功恢復的首要條件。邏輯分析利用文件系統分析，不同手機廠商對系統不同設置導致非所有手機都可成功制作鏡像文件。對于手機不支持外插SD卡，無法獲取鏡像時，可注入數據恢復APK程序進行手機端數據恢復取證。

數據恢復功能是最核心的功能，分別對特定數據庫文件進行掃描，由用戶分別決定具體恢復文件數據。系統總體分為應用模塊及Linux底層模塊，應用層模式負責提供人機交互界面與用戶操作的處理控制，包括界面展示、進度呈現、結果顯示與提示警告四個子模塊。Linux底層模式包括SOLite數據庫文件提取與數據庫恢復。系統根據應用層用戶不同操作執行不同模塊。

Aadroid數據恢復系統是基于Android平臺的工具類應用程序。數據恢復系統整體由應用層模塊與Linux底層模塊兩部分組成，Linux底層模塊為核心功能模塊。系統啟動后，應用層模塊將顯示出可供選擇的文件恢復方法，用戶根據自己需要選擇一種恢復方法。執行相應數據恢復操作，執行結束后將掃描結果返回到應用層模塊。

4 實驗驗證

MTP手機數據恢復取證的難點在于內置內儲卡，手機僅支持MTP模式連接的情況，為保證數據的完整有效性，先提取手機的鏡像文件，使用分析軟件分析鏡像，獲取手機的Root權限，利用取證大師等專業軟件對鏡像文件進行掛載恢復。

可使用網絡的免費軟件獲取手機鏡像，手機平臺多樣化，在對鏡像無法直接獲取情況下，可進入手機的Recovery模式[2]。通過組合鍵使手機進入Recovery模式，下達ADB命令用devices連接手機，返回List of devices即連接成功。通過SU指令進入Super User權限，找到User Data的MTD值。

使用mount lgrep獲取dd鏡像目標，若dd鏡像不成功，可直接用cat方式輸出鏡像文件。提取成功的img鏡像文件可用Encase等常用硬盤軟件實現數據的恢復取證。鏡像的成功獲取使手機數據恢復取證脫離手機系統環境的限制，保證了數據的完整有效性。由于手機廠家對底層操作系統的設置不同，利用上述方法可能無法獲取有效鏡像情況。

小米2型號手機不支持外插SD卡，可先打開USB調試，獲取ROOT權限，安裝APK恢復程序，運行該恢復程序前，如手機在恢復中鎖屏會停止數據恢復。應注意在恢復前調整休眠模式再進行操作。程序運行成功后，選擇全部恢復，在恢復前用OTG連接U盤，設置數據恢復后存儲于目標盤，保證手機原始信息不被恢復信息覆蓋。

5 結 論

本文研究實驗手機恢復取證，對不同恢復方式進行試驗驗證。在MTP模式的智能手機在數據恢復取證時，連接后不能直接識別盤符進行物理恢復的情況下，可用鏡像提取分析法實現恢復提取。這種方法可成功提取出刪除信息，克服了MTP模式的各種限制。

參考文獻：

[1] 陳飛.智能移動終端應用數據取證技術研究 [D].南京：東南大學，2015.

[2] 方冬蓉.基于Android手機的數據恢復方法研究及應用 [D].蘭州：蘭州理工大學，2014.

作者簡介：葉志剛（1982.01-），男，湖北孝感人，中級工程師，研究生。研究方向：軟件工程。