計超豪，王即墨，裴洪卿

（1. 溫州市公安局刑事科學技術(shù)研究所，浙江 溫州 325029；2. 杭州平航科技有限公司，杭州 310051)

在手機取證領(lǐng)域，為了獲取安卓手機機身數(shù)據(jù)，同時為了更多地恢復刪除數(shù)據(jù)，檢驗人員往往會采用獲取root權(quán)限[1]的辦法，因為在獲取root權(quán)限后，檢驗人員可以通過取證工具獲取到更多的數(shù)據(jù)，并可以實現(xiàn)刪除數(shù)據(jù)的恢復。雖然獲取root權(quán)限給取證工作帶來很多好處，但伴隨著root而來的隱患和潛在風險也日益突顯[2]。一方面，安卓5.0以上版本安卓手機獲取root權(quán)限難度不斷提高，另一方面，root屬于對安卓系統(tǒng)的強制提權(quán)操作，容易出現(xiàn)損壞系統(tǒng)導致無法正常啟動手機甚至清除手機存儲數(shù)據(jù)的情況。因此，在非root條件下安全并且全面地獲取安卓手機機身物理鏡像數(shù)據(jù)是恢復刪除數(shù)據(jù)的基礎(chǔ)，也是電子物證檢驗工作重要的發(fā)展方向。本文對目前實際取證工作進行了匯總和研究，總結(jié)出在非root條件下獲取安卓手機物理鏡像的幾種方法及適用情況，以期為取證人員提供參考。

1 基于第三方recovery的提取方法

安卓手機默認都會有一個recovery分區(qū)，這個分區(qū)不含任何用戶數(shù)據(jù)，主要用于安卓系統(tǒng)重新安裝，也就是俗稱的刷機，但是安卓手機進入默認自帶的recovery分區(qū)時，是沒有root權(quán)限的，因此可以利用第三方具有root權(quán)限的recovery分區(qū)實現(xiàn)手機數(shù)據(jù)的獲取。這個過程雖然改變了recovery分區(qū)的數(shù)據(jù)，但是對用戶數(shù)據(jù)分區(qū)沒有任何改變，而且相對于直接進行root操作而言，風險要小很多。具體操作是在手機進入fastboot模式或Download模式下或使用專用工具，寫入對應(yīng)型號的第三方recovery分區(qū)鏡像，然后在第三方recovery分區(qū)下即可獲取用戶數(shù)據(jù)區(qū)的完整數(shù)據(jù)。這種數(shù)據(jù)獲取雖然屬于物理鏡像獲取方法，但當取證工具不支持在第三方recovery分區(qū)下自動獲取物理鏡像的時候，需要檢驗人員通過手工輸入命令行的方式進行鏡像提取，檢驗人員必須能夠熟練地選擇正確的recovery分區(qū)鏡像，因此在實際檢驗工作中并不常用。而且隨著安卓系統(tǒng)的升級，在安卓手機鎖定Bootloader引導分區(qū)的前提下，這種方法已經(jīng)不再適用。

2 基于JTAG的提取方法

JTAG是一種國際標準測試協(xié)議，主要用于芯片測試，在電子物證檢驗工作中主要用于疑難手機檢驗，特別適用于高通芯片組的安卓系統(tǒng)手機存儲芯片中數(shù)據(jù)的鏡像。檢驗時，需要將手機外殼拆開，并根據(jù)取證工具提示的信息，找到主板上相應(yīng)的測試點，如TDI、TDO、TMS、TRST、TCK、SYS等六個主要觸點，通過專用的取證程序?qū)⒆謳扃R像提取出來進行解析。

由于近年來手機生產(chǎn)廠商逐漸取消了手機主板上預(yù)留的JTAG接口，導致這種方法的適用范圍逐漸縮小，但是對于較早期的安卓手機以及Windows Phone手機而言，JTAG仍不失為一種好的方法。這種方法對機身硬件不做任何改變，且不受軟件系統(tǒng)版本的限制，可以忽略root權(quán)限以及開啟USB調(diào)試模式的要求，但部分需要焊線的工作對檢驗人員來說有一定的操作要求，同時JTAG的接口定義也需要鏡像獲取工具提供說明。

3 基于芯片拆解的提取方法

芯片拆解又被稱之為Chip-Off方法，一度被認為是手機取證中數(shù)據(jù)提取的終極解決方案。這種方法需要將手機中的存儲芯片與主板“剝離”并進行相應(yīng)的處理，使用芯片專用數(shù)據(jù)讀取底座即可獲取該手機的完整物理鏡像。這種辦法由于是直接對手機eMMC或eMCP存儲芯片進行數(shù)據(jù)提取，因此可以避開root權(quán)限和USB調(diào)試模式的限制完整地獲取物理鏡像。

在實際檢驗工作中，涉及到手機損毀無法開機的情況，就只能采用這種方法來獲取手機機身數(shù)據(jù)。由于eMMC芯片本身的防護等級比較高，在海水浸蝕、火燒、猛烈撞擊等破壞條件下，只要eMMC存儲芯片沒有受到破壞，均可以采用芯片拆解方法進行提取。2015年溫州“7·5”案件現(xiàn)場，嫌疑人將手機置于煤球爐中試圖破壞證據(jù)，但經(jīng)過芯片拆解方法，完整地獲取到手機存儲芯片中的數(shù)據(jù)，為案件偵破提供了重要線索。

雖然芯片拆解方法幾乎可以滿足所有品牌型號的安卓系統(tǒng)手機數(shù)據(jù)的提取要求，但這種方法對于檢驗設(shè)備和檢驗人員來說都有相當高的技術(shù)挑戰(zhàn)，同時由于存儲芯片的類型和原始鏡像的數(shù)據(jù)格式都有所不同，所以檢驗人員熟練拆解手機并從主板上完好剝離存儲芯片的操作需要專業(yè)的培訓和大量的練習，包括學習電子方面和二進制數(shù)據(jù)分析方面的知識。

除了檢驗人員技術(shù)操作層面的限制，芯片拆解后手機檢材難以復原也是這種方法的主要限制條件之一，畢竟在實際案件中，并不是所有待檢手機都無法開機或處于損毀狀態(tài)，大量難以獲取數(shù)據(jù)的手機都帶有鎖屏密碼且未開USB調(diào)試，而使用芯片拆解方法提取數(shù)據(jù)要對手機進行徹底的拆解，后期手機恢復原狀的難度很高，因此該方法在實際檢驗工作中并不作為首選方法。另一方面隨著全盤加密技術(shù)FDE （full disk encryption)的應(yīng)用越來越廣泛，這種芯片拆解的鏡像獲取方法受到的限制也越來越大。

4 基于硬件無損的提取方法

隨著安卓5.0系統(tǒng)引入全盤加密機制，并在安卓6.0版本默認開啟，不論是通過JTAG測試接口還是通過芯片拆解的方法，對于加密的數(shù)據(jù)都難以做到手機機身存儲數(shù)據(jù)有效解密獲取和恢復。因此一些基于手機生產(chǎn)廠商底層通訊協(xié)議或者利用漏洞的物理鏡像獲取方法顯示出了更強的獲取能力，并且可以實現(xiàn)鏡像獲取后鎖屏密碼的破解[3]，以及加密鏡像的解密提取。其中以下幾種方法較為常用：

4.1 基于META模式等底層通訊協(xié)議的提取方法

META模式是指MTK芯片組手機的特殊通訊模式，主要用于以MTK芯片組為處理器的安卓手機的工廠測試。大多數(shù)手機進入META模式需要在關(guān)機狀態(tài)下按住對應(yīng)的META按鍵然后使用數(shù)據(jù)線將手機連接到電腦。常見的META按鍵是音量加減鍵，但也有個別情況下手機不需要按任何按鍵也可以進入META模式，因此針對不同的手機需要視具體情況而定。

在META模式下，取證工具如UFED 5.0以上版本或XRY 6.0以上版本可以識別到“USB single port”的映射端口，在驅(qū)動正確識別的條件下即可在取證電腦中獲取到機身存儲芯片的物理鏡像。因此這種方法不受root權(quán)限的限制。這種方法對取證人員來說操作難度低，僅對取證工具有MTK芯片組型號支持的要求。現(xiàn)階段有相當多型號的MTK芯片組手機可以通過這種方法獲取物理鏡像，如魅族、紅米系列、VIVO以及華為等部分型號手機均采用MTK芯片組，而且這類手機數(shù)量也在不斷增加。

像META模式一樣，其他芯片組也有類似底層通訊協(xié)議，如高通芯片組的9008端口等，也可以用相似的方法提取手機物理鏡像。

4.2 基于硬件漏洞的提取方法

除了META模式這種基于底層通訊協(xié)議的物理鏡像提取方法外，有些品牌型號的安卓手機還存在硬件和系統(tǒng)漏洞，如三星系列廣泛采用的獵戶座芯片組，其中Exynos 4412和Exynos 4410兩個型號芯片組CPU內(nèi)核存在的安全漏洞即可用來獲取手機機身數(shù)據(jù)，利用這些漏洞和底層通訊協(xié)議也可以實現(xiàn)關(guān)機狀態(tài)下安卓手機物理鏡像的獲取。目前取證領(lǐng)域主流的手機取證工具或多或少已經(jīng)包含有類似功能，如UFED 6.0和XRY6.0都支持近百款型號的三星安卓手機，可以實現(xiàn)在關(guān)機狀態(tài)下進行物理鏡像的獲取，原理就是基于三星手機獵戶座CPU的硬件漏洞實現(xiàn)的。此外目前執(zhí)法機關(guān)常用的手機鏡像工具PHExtractors也包含了上述無損鏡像提取方法，還增加了基于海思芯片組的華為手機鏡像獲取方法。

在我市某詐騙案中的涉案三星蓋世7（型號SM-G9350）手機，由于帶有鎖屏密碼且未開啟USB調(diào)試模式，無法通過常規(guī)手段獲取機身數(shù)據(jù)。同時由于該檢材采用了UFS2.0存儲芯片，且默認使用了安卓6.0操作系統(tǒng)，全盤數(shù)據(jù)進行了加密設(shè)置，無法使用芯片拆解的方法進行數(shù)據(jù)獲取，此時基于該手機硬件漏洞的提取方法就充分發(fā)揮了優(yōu)勢。取證人員使用PH-Extractors 鏡像獲取工具1.3以上版本對該手機進行數(shù)據(jù)獲取，首先同時按下該檢材手機“音量減”“Home鍵”“開機鍵”三個按鍵，使檢材手機進入到download模式，然后將檢材手機通過USB數(shù)據(jù)線接入取證工作站，取證工具識別檢材后通過底層通訊協(xié)議自動識別手機芯片所有分區(qū)，即處于無損鏡像的取證狀態(tài)，此時，可在不進入操作系統(tǒng)的情況下獲取到未加密的全盤鏡像數(shù)據(jù)。這種方法突破了芯片拆解方法的技術(shù)要求限制，而且對于高版本安卓系統(tǒng)手機也具有良好的支持，簡便的操作也方便取證人員更高效地獲取數(shù)據(jù)。

5 討論

2016年“兩高一部”頒發(fā)的《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定（法發(fā)〔2016〕22號）》中對電子物證取證規(guī)范做了進一步要求，意味著司法取證規(guī)范要求的逐步提高。手機取證工作必將像計算機取證一樣，有完善的證據(jù)固定和鏡像獲取要求，相對于獲取root權(quán)限這種“有損”檢驗方法而言，在不開機條件下進行物理鏡像獲取無疑是符合司法取證規(guī)范要求的方法。對于取證人員來說，越是簡單和快速的操作，越能夠在實際辦案過程中及時發(fā)揮證據(jù)和線索的作用。因此，在手機軟硬無損條件下進行的物理鏡像獲取方式必將成為未來手機取證的主要方法之一。由于手機取證技術(shù)也隨著手機檢材本身的不斷推陳出新而發(fā)展，未在本文列舉的其他方法也歡迎各位讀者探討指教。