◆孔 攀 蔡睿奇

?

Android手機取證技術研究

◆孔 攀 蔡睿奇

（重慶市公安局江北區(qū)分局 重慶 400021）

在Android手機取證中，隨著Android版本的快速升級，手機取證技術也隨之更新，從邏輯提取到物理提取，從第三方recovery備份到在線備份提取，以及到基于芯片的提取等各種技術。本文研究了當前主流的幾種Android手機取證技術，為進一步研究Android手機取證提供參考性意見。

Android手機；取證技術；電子證據(jù)

0 引言

智能手機正在深刻的改變IT和通信領域的行業(yè)結構，并逐步替代個人PC。智能手機市場的高速增長和應用普及，引起了犯罪分子和黑客的注意，他們通過黑客技術掌握著大批的黑色資產(chǎn)，而智能手機往往成為他們進行溝通和作案的載體。近年來，手機取證保持著高速增長態(tài)勢，數(shù)據(jù)多樣化給手機取證技術帶來了諸多挑戰(zhàn)，傳統(tǒng)的短信、通話記錄、通訊錄相比微信、QQ等應用程序的數(shù)據(jù)，其線索價值性和重要性都在逐漸降低。同時，在司法活動中電子證據(jù)取證意識逐漸增強，電子物證的重要性逐漸被重視，同時數(shù)據(jù)固定、提取和檢驗流程越來越規(guī)范化[1]，取證的技術方法也在不斷進步更新，智能手機取證在常規(guī)電子數(shù)據(jù)現(xiàn)場勘察分析中的作用日益增加。國內(nèi)外常見的手機取證工具有Cellebrite UFED 、美亞柏科DC-4501/DC-4500、睿海RH-6900等。

1 Android手機取證概述

Android手機取證通常分為邏輯提取和物理提取。

邏輯提取，是基于手機的文件系統(tǒng)進行的數(shù)據(jù)提取。邏輯提取復制手機內(nèi)的可見電子數(shù)據(jù)，其前提是用于進行取證工作的計算機能夠正常識別到手機檢材，為待檢手機分配通訊端口，做好交換數(shù)據(jù)的準備。Android手機取證的邏輯提取主要包括：代理方式的邏輯提取和基于備份的邏輯提取。

物理提取，是對手機存儲芯片中所有數(shù)據(jù)進行提取。物理提取是備份手機存儲芯片中的所有數(shù)據(jù)，是恢復刪除數(shù)據(jù)的重要前提[2]。物理提取主要包括：第三方recovery方式的物理提取、root權限下的物理提取和基于硬件工具的物理提取。

2 手機取證的技術難點

隨著智能手機和APP應用的普及，電子數(shù)據(jù)安全與備份技術也不斷革新，同時我國電子取證標準與規(guī)范不斷完善，這給手機取證帶來新的機遇和挑戰(zhàn)，目前我國手機取證技術仍然存在如下瓶頸和難點：

（1）手機解鎖、文件加密的解析：用戶的智能手機關系到個人諸多隱私信息，手機的圖形和數(shù)字鎖、SIM卡PIN及PUK鎖，指紋鎖甚至手機存儲芯片的文件加密、聲紋及虹膜識別技術都是用戶手機加密的實現(xiàn)方式，而這些恰恰給手機取證帶來一定技術障礙。

（2）歷史瀏覽及聊天刪除記錄的恢復：目前常用的解決辦法是基于recovery模式下清鎖，或者物理方式繞過解鎖限制，或者對國產(chǎn)OPPO等機型簡鎖進行軟件破解，這些都可能會面臨獲取root權限的問題。從Android 5.0開始，谷歌已經(jīng)引入了全盤加密的設置，但并未強制要求開啟，若在算法上實現(xiàn)突破，還需很長的路要走；同時，一些用戶可能會定期清除歷史緩存或者刪除歷史聊天記錄，Android最新版的微信的聲音識別解鎖是目前面臨的技術挑戰(zhàn)。

（3）手機投資、交易及支付等金融交易記錄解析：智能手機在滿足用戶基本通話、聊天和娛樂的同時，也方便了用戶投資理財和交易支付。然而涉及用戶金融安全的加密更是手機安全技術的重中之重，司法取證對于金融交易數(shù)據(jù)更是一籌莫展，即便是通過層層方式獲取類似支付寶、京東及淘寶網(wǎng)購等其他APP鏡像文件，也無法解析其交易記錄和密碼。

（4）Android手機root獲取及無損檢材與解析：目前，最新版本的Android系統(tǒng)都難以被root,無論是通過第三方代理軟件，還是直接物理提取，都存在有損檢材的風險，無法嚴格進行存儲芯片的數(shù)據(jù)讀寫保護。在Android2.3.4版本以前可以一鍵root, 但是從6.0版本以后，Android系統(tǒng)獲取root權限越來越難，各手機廠家的深度定制化系統(tǒng)使得在線備份能夠獲取的邏輯數(shù)據(jù)越來越少。

3 常見的幾種Android手機取證技術

3.1人工提取

人工提取是直接在移動終端上查看相關數(shù)據(jù)，并使用相機等翻拍設備記錄證據(jù)。優(yōu)點：門檻底，且是對工具提取的一種補充。缺點：一是僅能獲取已有數(shù)據(jù)，對于已刪除數(shù)據(jù)無法進行提取和固定，同時對于手機加密和破損的情況也無法應對；二是必須保證該設備能正常開機。

3.2代理方式的邏輯提取

對于非智能手機，取證軟件一般都會集成相關的驅動文件和數(shù)據(jù)交換觸發(fā)協(xié)議。當手機連接到取證計算機后，收到取證軟件發(fā)出的同步數(shù)據(jù)指令，即開始數(shù)據(jù)同步傳輸，將手機中的短信、電話簿、通話記錄等數(shù)據(jù)傳輸?shù)饺∽C計算機中，并根據(jù)手機自身的編譯格式進行翻譯，轉換成可以識別的報告文件。

對于Android智能手機，取證工具會先上傳一個插件到手機，用于打開手機中的指定端口，然后取證計算機通過這個端口接收手機傳輸回來的數(shù)據(jù)。

3.3基于備份的邏輯提取

（1）Android自帶的google備份

利用Android自帶的google備份協(xié)議，當取證工具向手機檢材發(fā)出備份數(shù)據(jù)命令時，手機上會顯示“備份我的數(shù)據(jù)”界面，此時點擊“備份全部數(shù)據(jù)”按鈕可以將手機上的數(shù)據(jù)備份到取證計算機本地，對其解析可以獲取相關數(shù)據(jù)。對于高版本Android系統(tǒng)而言，這種基于google自帶的備份的邏輯提取受限于數(shù)據(jù)備份的權限，很多應用程序都限制了備份程序讀取其數(shù)據(jù)，導致能夠提取的數(shù)據(jù)越來越少，不能提取如QQ、微信等應用程序的數(shù)據(jù)。

（2）在線備份

主要通過對QQ、微信等應用程序降版本的方式獲取手機應用數(shù)據(jù)，彌補google自帶備份無法獲取QQ、微信數(shù)據(jù)的問題，同時可實現(xiàn)部分應用刪除數(shù)據(jù)的恢復。其主要限制條件：Android 6.0以上應用程序強行降級會受到限制，導致降級失敗，因此影響數(shù)據(jù)提取，且這種提取通常會損壞原始登錄狀態(tài)，屬于有損檢驗。

（3）手機廠家自帶備份

華為、小米、OPPO等廠商自帶的備份程序默認具有較高的系統(tǒng)權限，因此可以在未Root的情況下，備份應用程序及相關數(shù)據(jù)。通過TF卡或OTG優(yōu)盤保存并導出機身應用程序的數(shù)據(jù)，可實現(xiàn)部分應用刪除數(shù)據(jù)的恢復。這種技術的主要限制條件是手機的鎖屏密碼。

3.4第三方recovery方式的物理提取

第三方recovery方式的物理提取也簡稱為3rd Recovery。幾乎所有的Android手機自帶的官方recovery系統(tǒng)都沒有備份和恢復工具，但利用recovery分區(qū)不含用戶數(shù)據(jù)以及可修改的屬性，通過刷入基于CWM、TWRP或其他帶有備份功能的第三方recovery，可以掛載data分區(qū)并將幾乎所有數(shù)據(jù)備份到SD卡或者取證計算機中。這種方法也是提取數(shù)據(jù)最全的一種辦法，但因每個第三方recovery僅適用于對應型號版本的手機，所以適用范圍有一定限制。這種方法提取的數(shù)據(jù)也在隨著Android版本的提高而不斷減少。有些型號手機甚至通過3rd recovery已經(jīng)無法提取到微信或者QQ聊天記錄。

3.5 root權限下的物理提取

root是在完成邏輯獲取之后才會考慮的一種有損提取方法。如果手機本身已經(jīng)獲取了root權限，則可以考慮采用基于root情況下的物理提取[3]。工作原理是取證工具向手機機身上傳busybox或者nanddump程序，通過這個程序，獲取到手機機身的不同分區(qū)信息，并將不同的分區(qū)在本地打包后回傳至取證計算機，此時利用的是linux系統(tǒng)的DD命令，可以獲取到data以及system分區(qū)的完整數(shù)據(jù)，包含了未分配空間的數(shù)據(jù)。然后由取證工具對收到的物理鏡像文件進行解包和數(shù)據(jù)分析。如果需要刪除圖片、音視頻等多媒體文件的恢復，也是基于這種方式進行解析。root權限下的物理提取幾乎支持所有品牌型號的手機，但這種方法的難點在于不同品牌型號版本手機獲取root權限的過程。如華為、HTC等部分型號，在root前要求進行解鎖，很多手機解鎖后數(shù)據(jù)將被雙清。Android系統(tǒng)在5.0以后，獲取root權限的難度越來越大，伴隨的數(shù)據(jù)破壞風險也越來越高，因此基于備份的方法也越來越受到重視。

3.6基于硬件工具的物理提取

基于硬件工具的物理獲取目前主要有兩種工具，一種是JTAG，一種是基于芯片的Chipoff提取。JTAG是目前智能手機eMMC存儲芯片物理鏡像的方案之一，主要應對Android和Windows Phone手機，隨著目前檢材難度逐步提高，未打開USB調(diào)試功能并帶鎖屏密碼的情況非常常見，JTAG是解決方法之一。JTAG提取需要利用手機主板上的專門預留調(diào)試接口，提取數(shù)據(jù)時還需要用到專門的硬件接口，俗稱JTAG Box[4]。

Chipoff指的是將手機存儲芯片取下然后對其數(shù)據(jù)進行直接讀取的方法。該方法通過熱風槍或拆焊臺將移動終端中的存儲芯片與主板剝離，清理芯片表面的焊錫，然后將芯片安裝到芯片讀取設備上，直接對芯片本身的電路和協(xié)議進行分析，獲取其原始鏡像或相關數(shù)據(jù)，優(yōu)點在于不受手機好壞限制、不受手機操作系統(tǒng)限制、不受手機是否有鎖限制、不區(qū)分手機操作環(huán)境、不受手機是否root限制，只要能獲取手機芯片，就能直接讀取手機存儲芯片中保存的最原始數(shù)據(jù)。目前Android手機都采用eMMC存儲芯片存儲數(shù)據(jù)，并且絕大多數(shù)都采用了ext4的文件系統(tǒng)，可以非常方便的在多數(shù)取證工具軟件中進行數(shù)據(jù)提取、恢復和分析。然而，基于芯片拆解的數(shù)據(jù)獲取，可以用于芯片完好的情況，但也有受限條件，例如無法解析“全盤數(shù)據(jù)加密”的手機、不能提取芯片損毀的手機、對于UFS2.0、UFS2.1的芯片尚無支持的配套硬件設備等待。

4 結束語

手機取證技術從來沒有固定的方法，根據(jù)不同的檢材條件，選擇合適的方法，才是規(guī)范且有效的可行取證技術。與此同時，在任何時候都存在無法獲取數(shù)據(jù)的情況，這是手機取證技術滯后于IT科技的必然結果。本文詳細論述了當前主流的Android手機取證技術，對近年來的研究現(xiàn)狀進行了概述和分析，為在該領域的下一步取證技術升級研究提供參考。

[1]劉浩陽，李錦，劉曉宇等.電子數(shù)據(jù)取證[M].清華大學出版社，2015.

[2]方冬蓉，張秋余，董瑞洪，文森.Android系統(tǒng)刪除數(shù)據(jù)恢復方法研究[J].計算機工程，2014.

[3]張輝極，薛艷英.基于Android系統(tǒng)的取證技術分析[J]. 信息網(wǎng)絡安全，2012.

[4]Andrew Hoog著，何涇沙譯.Android取證實戰(zhàn)·調(diào)查、分析與移動安全[M].機械工業(yè)出版社出版，2013.