WinHex制作手機鏡像的應用研究

孟 利，劉康康，陳君雨

（1.河南警察學院，河南 鄭州 450046；2.安徽公安職業學院，安徽 合肥 230031；3.南陽市公安局，河南 南陽 473000）

1 研究背景及意義

隨著經濟社會的發展和科技的進步，手機早已成為個人的“掌上電腦”，存儲著大量私人數據。與此同時，犯罪手段也層出不窮，在網絡電信詐騙犯罪率居高不下的社會現狀下，針對手機等電子設備的取證就顯得尤為重要。本文提出運用WinHex軟件制作手機鏡像，希望能夠探究出針對手機更加系統、規范的鏡像制作方法。通過在具體實驗中對比運用WinHex軟件制作手機鏡像具體操作過程的差異，總結WinHex軟件制作手機鏡像的可行性。因此在選取實驗樣本時需要廣泛地將不同類型的手機考慮其中，不光智能機，老年機、老舊智能機尤其需要引起重視。毒販、間諜等組織，為了逃避打擊往往會使用老年機、老舊智能機等作案。因此，研究WinHex軟件制作不同類型手機鏡像的適用性、差異性、可靠性有著重要意義[1-2]，運用WinHex軟件制作手機鏡像可以將手機相關信息掌握并保存下來，從而為破案提供線索，保存關鍵證據，提升案件處理規范化程度。

WinHex軟件是一款以通用十六進制編輯器為核心，專門用來進行計算機取證、數據恢復、低級數據處理，以及IT安全性、各種日常緊急情況的高級工具，具備檢查和修復各種文件、恢復刪除文件、修復損壞磁盤和恢復因數碼相機卡損壞而丟失的數據、進行磁盤克隆等的強大功能[3]。同時它的管理功能也十分強大，可以管理文件并對其進行分區，可以自動分析文件簇鏈與分區鏈，依據其本身性質對不同的儲存單元進行多元化、個性化的備份和保存，其具備的磁盤鏡像克隆功能可以對整體磁盤進行克隆，該功能是制作手機鏡像的基礎和必要條件。在這個基礎上其還可以對任意一種文件類型的二進制內容（利用十六進制顯示）進行編輯，該軟件的磁盤編輯器能夠對邏輯磁盤或者物理磁盤的任意扇區進行編輯，是一款直接對數據進行手工恢復、對電子物證提取、保存、固定的優秀軟件[4]。

2 實驗分析

2.1 實驗儀器

實驗儀器包括WinHex18.0SR-3x64、Windows10專業版、i7-4770CPU12（GB）RAM、64位操作系統、Android 2.3 HTCA310e、Android 5.1 GIONEEGN3001、Android10.0VCE-AL00等。

2.2 實驗分析

1）為了探究WinHex軟件制作手機鏡像的相關操作，并探究WinHex軟件在制作不同系統、不同型號、不同牌子手機鏡像時存在的差異以及形成差異的原因，特地在市面上尋找頗具代表性的幾種類型手機作為研究對象。其中包括型號為HTCA310e版本是Android 2.3的手機；型號為GIONEEGN3001版本是Android 5.1的手機；型號為VCE-AL00版本是Android 10.0的手機[5]。

2）避免因不熟悉操作而造成手機上重要的數據遭到破壞，首先進行預實驗，在電腦上創建虛擬磁盤；然后運用WinHex軟件制作虛擬磁盤鏡像；熟悉相關操作后進行鏡像還原，保證鏡像完整沒有損壞后再制作手機鏡像。

3）一是選用一款版本為Android 2.3的老式安卓系統手機，打開手機設置，找到“開發人員”選項，點開后打開USB調試模式。

二是將實驗手機用數據線連接電腦。

三是以管理員的身份打開WinHex軟件，在工具欄找到“磁盤克隆”選項（見圖1），點擊“磁盤克隆”選項將會彈出任務框，在任務框里有“源盤：儲存介質”以及“目標：鏡像文件”。前者是需要被鏡像復制的客體對象（見圖2），后者是將鏡像復制的客體對象儲存的位置。

圖1 磁盤克隆

圖2 目標介質

四是點擊“源盤：儲存介質”磁盤選項，找到目標磁盤將其選中（見圖3），然后點擊“目標：鏡像文件”后的文件選項，將鏡像復制的客體對象以文件形式保存下來，需要整盤復制時，選擇復制整個磁盤介質選項。

圖3 找到目標磁盤

五是選擇“遇到壞扇區跳轉”選項，這樣做就可以在遇到壞掉的扇區時自動跳轉為設定的扇區數（一般設定為32個扇區），不影響整體鏡像復制進程。選擇“同時輸入輸出”選項可以加快鏡像復制速度。

六是點擊確定，目標磁盤開始被鏡像復制（見圖4），根據磁盤大小和電腦性能差異，鏡像復制時間也會有所差異（見圖5）。

圖4 鏡像制作

圖5 鏡像制作成功

4）進行鏡像還原驗證是運用WinHex軟件制作手機鏡像的關鍵一步，也是對手機取證成功與否的驗證。

一是依然點開“磁盤克隆”，選擇“源盤：儲存介質”，找到剛剛鏡像復制的文件。

二是找到“目標：RAW鏡像文件”，選擇把鏡像文件還原到所需的磁盤中，如果是還原到原先磁盤，一定要謹慎選擇，保證正確無誤，否則還原過后的新磁盤內容會將原有的磁盤內容覆蓋，造成該磁盤文件系統的完整性嚴重受損，產生不必要的麻煩。

三是等待一定的時間后還原成功，點擊屬性觀察磁盤大小和運用WinHex軟件進行手機鏡像復制前該磁盤的大小是否吻合，還可以選擇關鍵重要的信息進行驗證，觀察這些文件信息是否和運用WinHex軟件制作手機鏡像前一致，以驗證WinHex軟件制作手機鏡像的準確性和可行性。

5）以上是以Android 2.3手機為例運用WinHex軟件制作手機鏡像，接著需要選用準備好的不同類型的手機。在型號為VCE-AL00版本是Android 10.0的手機、型號為GIONEEGN3001版本為Android 5.1的手機上分別進行以上操作，來觀察WinHex軟件是否均能有效地制作手機鏡像。

2.3 實驗結果

實驗結果表明Android 2.3的手機、各種品牌的老年機，包括可以插入外置內存卡的手機通過讀卡器均可以運用WinHex軟件制作手機鏡像，并且制作的鏡像完好無損。蘋果手機、Android 3.0以上的手機則無法運用WinHex軟件制作手機鏡像，這也是WinHex制作手機鏡像的不足。

2.4 差異性原因分析

運用WinHex軟件制作手機鏡像，本質上還是運用了WinHex軟件的磁盤克隆功能，把手機當作磁盤進行復制，凡是能夠運用WinHex軟件制作鏡像的手機都必須在手機通過數據線連入電腦后顯示為磁盤，否則不能制作鏡像。這就造成了有些類型手機可以運用WinHex軟件制作手機鏡像，有些類型手機則無法制作手機鏡像。

通過查閱文獻資料[6-8]，深入分析，找到問題的根源是：Android 3.0以下版本的手機使用的文件傳輸協議是USB大容量存儲（USB Mass Storage，UMS），以上使用的文件傳輸協議是媒體傳輸協議（Media Transfer Protocol，MTP）。手機系統中文件傳輸協議的不同導致手機在電腦端不能顯示為文件系統，而是設備塊，設備塊不能被WinHex軟件讀取，這也是在實驗中Android手機系統2.3版本的手機在用數據線接入電腦的時候在硬盤里顯示移動磁盤，而Android手機系統3.0以上版本的手機在用數據線接入電腦的時候顯示移動設備的原因。

當Android手機通過UMS模式將sdcard掛載到PC上，PC就擁有對sdcard的絕對控制權。這種模式下，手機將無法同時訪問sdcard，同時也存在PC端操作損壞Android系統的風險，導致手機不能使用。基于以上原因，Android手機系統3.0版本開始集成MTP，它是微軟公司提出的一套媒體文件傳輸協議。

Android手機可以通過MTP把智能設備當作U盤使用，但它和UMS有所不同：當Android手機的sdcard以MTP模式掛載到PC機上，sdcard的控制權其實還屬于手機，只不過智能手機通過MTP向PC機構建了一個虛擬文件系統。PC機操作其中的文件時，都會通過MTP向智能手機發起請求。

因此Android 3.0以上版本的手機、IOS手機是無法運用WinHex軟件制作手機鏡像的，而Android手機系統3.0以下版本的手機、大多數老年機，以及插入外置內存卡的手機在借助讀卡器的情況下是可以運用WinHex軟件制作手機鏡像的。

3 結束語

當今社會，互聯網發展迅速，各種電子通信工具為電信詐騙、網絡黑色交易等犯罪提供了土壤，給不法分子隱藏身份作案以可乘之機。本文以WinHex軟件制作手機鏡像為研究方向，探討Win-Hex鏡像在通信工具作案中起到的作用。WinHex是一款可以操縱電子設備最底層數據的軟件，運用WinHex軟件能夠有效提取手機數據，將證據完整保存下來，為案件取證工作提供有力支撐。本文闡釋了WinHex軟件的功能，WinHex軟件制作手機鏡像的操作流程，相關電子物證的取證要求，分析了運用WinHex軟件制作不同類型手機鏡像產生差異性的原因。圍繞相關操作流程進行了具體實驗，通過實驗檢驗WinHex軟件制作手機鏡像的可行性和有效性，將提取老年機與智能機過程的差別以及提取Android與IOS系統過程的差別進行比較，分析其存在的問題和原因，以及操作過程的注意事項，為公安基層提取、固定和保存不同客體電子物證的工作提供參考。