淺談司法鑒定中Android手機的解鎖及鏡像

賈釗 丁兆錕 謝波 史向東 廖赟

摘要：隨著移動通信技術的高速發展，手機取證已成為司法鑒定中電子數據取證的重要組成部分。在取證過程中，手機鎖屏密碼經常會給取證工作的進行帶來障礙。針對這一問題，本文總結了不同場景條件下Android手機解鎖及獲取鏡像的常用流程和所需技術，為司法鑒定中破解Android手機鎖屏密碼和提取數據鏡像提供相關思路。

關鍵詞：電子取證;Android手機;手機解鎖;手機鏡像

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）35-0264-02

隨著信息技術迅猛發展，智能手機已演變成為一個包含個人綜合全面信息的終端設備，智能手機中包含的信息證據也越來越多。在司法鑒定過程中，對目標手機包含的各類信息的調查和取證也越來越重要，手機已經成為調查取證所需重要信息的獲取來源[1]。根據IDC的數據，2018年Android手機銷量在全球市場占比約為85%。所以，Android手機的取證技術目前已成為司法鑒定工作中各類技術的重點關注內容。

1 Android系統

Android是Google公司開發的一款基于Linux內核的嵌入式操作系統。其體系結構自下而上分別為：Linux內核層、系統運行庫層、應用程序框架層、應用程序層。Android手機加電開機后，CPU從ROM的固定位置讀取引導加載程序到RAM并執行，然后加載系統。這個過程有三種模式：

（1）Recovery模式（恢復模式）。在該模式下，用戶可以進行系統備份、系統升級、還原出廠設置等操作，進入恢復模式后，用戶可以根據需要進行備份、刷機、清除數據等操作。

（2）Fastboot模式（快速引導模式）。該模式是一種比Recov-ery模式更底層的刷機模式，當手機的系統無法進入恢復模式時，可以通過Fastboot進行重新刷機，恢復設備。

（3）正常啟動模式。在該模式下，手機會啟動Android系統，并加載系統程序到System分區，然后讀取用戶應用程序，初始化后正常啟動。

2 Android手機鎖屏方式

2.1圖形鎖

圖形鎖需要用戶在一個3x3的點陣上繪制一個個性化圖形，用于解鎖手機設備。由于規則要求，圖形鎖一共只有389112種，比6位數字密碼的1000000種更少一些，換句話說，圖形鎖的安全性要弱于6位數字密碼。

2.2密碼鎖

密碼鎖包括簡單密碼和復雜密碼，簡單密碼一般情況需要輸入4到6位純數字，對于2019年6月之前的Android手機，最多可設置16位以內的純數字密碼。復雜密碼一般情況下需要輸入4到16位至少包含一個字母的數字、大小寫字母和標點符號的組合。

2.3 PIN碼

PIN碼是手機SIM卡的個人識別碼，是保護SIM卡的一種安全措施，防止SIM卡被盜用。如果手機啟用了PIN碼，那么每次開機后就要輸入4到8位數PIN碼才能啟用SIM卡，且連續3次輸入錯誤的密碼后SIM卡會被鎖定，需要輸入運營商提供的PUK碼才能解鎖。

2.4生物特征

生物特征鎖屏是通過手機設備中的傳感器錄入生物特征信息作為鎖屏密碼。目前應用比較多的是指紋和面部識別。出于安全性考慮，Android系統6.0后，google對所有支持指紋識別的手機制造商提出了要求：在第一次使用指紋鎖屏時，用戶需先設置設備密碼（圖案密碼、密碼、PIN碼），再添加指紋密碼，所以指紋密碼并不是單獨存在。

3 Android手機解鎖與鏡像獲取

在司法鑒定手機取證中，比較常規的三種取證方法是：自帶備份、ADB備份和降級備份。而這三種取證方法的實施都是建立在已知手機鎖屏密碼的前提之下的，所以當遇到不知道鎖屏密碼的情況時，光靠常規思路是無法滿足需求的。

針對上述手機取證難點，目前可以考慮從手機解鎖和手機鏡像兩個方向進行突破。通過手機解鎖可以順利突破密碼限制，獲取到手機中的重要數據;通過手機鏡像可以對刪除數據做進一步的恢復工作，從而挖掘更多有價值的線索。

3.1 ROOT權限

用軟件方法進行物理取證是Android手機取證的首選[2]，如果在手機開啟了USB調試且有ROOT權限的情況下，就可以采用ADB命令的方式清除或者提取密碼文件。不同Android版本其密碼文件存儲的位置也不相同，只要提取或者刪除其密碼文件就可以破解鎖屏密碼。同時還能夠通過DD命令，來獲取到ROOT權限下的鏡像文件，為數據分析和恢復提供幫助。

當手機開啟了USB調試但沒有ROOT權限時，可以通過使用第三方工具嘗試提權，比如ROOT精靈、ROOT大師、KING-ROOT等。也可以嘗試利用本地漏洞提權，在提權成功后，就可以嘗試刪除密碼文件，或者提取密碼文件解密，從而獲取到手機的數據鏡像[3]。

3.2Recovery模式

Recovery模式是Android手機備份恢復模式，在這個模式下，我們可以對已有的系統進行備份或升級。

目前有兩種類型的Recovery，分別是官方Recovery和第三方Recovery。官方Recovery功能較少，而第三方Recovery不僅涵蓋了官方Recovery的功能，還帶有Root權限，常見的第三方Recovery有CWM、TWRP等。當成功刷入第三方Recovery后手機將變成Root狀態，此時就可以直接提取鏡像，分析數據了。

3.3解鎖BootLoader

Bootloader就是操作系統內核運行之前運行的一段小程序，它負責在開機時根據基帶初始化硬件，并引導系統內核，啟動系統進程。如果BootLoader不能正常加載，手機就無法正常開機和使用。這也就是必須要解鎖BootLoader后才能刷第三方ROM的原因。