葉志剛

摘要 本文對(duì)基于MTP模式下智能收集數(shù)據(jù)恢復(fù)及取證技術(shù)進(jìn)行了分析，針對(duì)支持MTP連接模式的安卓智能手機(jī)，提出了完整的數(shù)據(jù)恢復(fù)取證方法與流程，對(duì)僅支持MTP模式不支持外插SD卡的手機(jī)恢復(fù)提取方法進(jìn)行了驗(yàn)證。

【關(guān)鍵詞】MTP模式 智能手機(jī) 數(shù)據(jù)恢復(fù)取證

智能手機(jī)是現(xiàn)代社會(huì)的重要通訊工具，移動(dòng)互聯(lián)網(wǎng)的崛起與智能移動(dòng)終端廣泛使用，使智能手機(jī)應(yīng)用程序進(jìn)行隱私竊取及惡意攻擊等犯罪活動(dòng)不斷增多。研究智能手機(jī)數(shù)據(jù)恢復(fù)取證技術(shù)對(duì)遏制不法行為具有重要意義。手機(jī)運(yùn)營(yíng)商更加注重手機(jī)文件的安全性，大量的智能手機(jī)采用MTP等新型連接模式，避免了直接讀取文件的風(fēng)險(xiǎn)，但MTP模式下手機(jī)無(wú)法識(shí)別為盤符，傳統(tǒng)數(shù)據(jù)恢復(fù)軟件無(wú)法恢復(fù)不能拔插SD卡的手機(jī)所刪除信息。本文通過(guò)研究基于安卓智能手機(jī)MTP模式的數(shù)據(jù)恢復(fù)方法。

1 MTP模式及其體系結(jié)構(gòu)

MTP模式是一種新型的USB連接模式，該協(xié)議允許用戶在移動(dòng)設(shè)備上線性訪問媒體文件。MTP可支持?jǐn)?shù)字音頻播放器的音樂文件與媒體文件，及個(gè)人信息的傳輸。傳統(tǒng)的USB模式下，電腦操作內(nèi)存設(shè)備粒度的設(shè)備塊。智能手機(jī)通過(guò)USB將內(nèi)存卡掛載到電腦，電腦擁有對(duì)其絕對(duì)控制權(quán)。導(dǎo)致內(nèi)存卡重新掛載到手機(jī)后不能被識(shí)別。智能手機(jī)通過(guò)MTP協(xié)議向電腦構(gòu)建了虛擬文件系統(tǒng)，電腦操作文件時(shí)通過(guò)MTP協(xié)議向智能手機(jī)發(fā)起請(qǐng)求，使文件更安全。

C++層包括Mtp Request負(fù)責(zé)從USB驅(qū)動(dòng)讀取數(shù)據(jù)，MTP data負(fù)責(zé)結(jié)構(gòu)化手機(jī)要返回給PC數(shù)據(jù)包，MTP Response負(fù)責(zé)結(jié)構(gòu)化手機(jī)為返回的Response，MTP server負(fù)責(zé)解析PC命令調(diào)用相應(yīng)的接口函數(shù)處理。

Java層包括Usb Receiver等對(duì)象，Usbrecelver用來(lái)監(jiān)視UDB事件，MTp servicer與加載存儲(chǔ)設(shè)備信息到數(shù)據(jù)庫(kù)，Media Provide負(fù)責(zé)查詢更新數(shù)據(jù)庫(kù)，MTP Server負(fù)責(zé)啟動(dòng)停止MTp Server，處理STorage添加刪除。Mtpdatabase用于media provider與MTp server間數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)格式。

2 MTP模式恢復(fù)取證技術(shù)

vrrp模式提高了手機(jī)文件系統(tǒng)的安全性，但為取證帶來(lái)了很大難題。當(dāng)前很多手機(jī)廠商不支持外插SD卡，此硬件結(jié)構(gòu)使得取證無(wú)法取下手機(jī)存儲(chǔ)卡單獨(dú)專用設(shè)備恢復(fù)取證。專用取證設(shè)備只能恢復(fù)短信等文本信息，對(duì)內(nèi)置存儲(chǔ)卡，傳統(tǒng)取證方法在手機(jī)連接電腦后.識(shí)別出盤符，用數(shù)據(jù)恢復(fù)軟件直接恢復(fù)取證。對(duì)只支持MTP模式的智能手機(jī)連接電腦后，無(wú)法識(shí)別盤符。傳統(tǒng)的取證恢復(fù)方法無(wú)法使用。

MTP模式連接智能手機(jī)多媒體數(shù)據(jù)恢復(fù)取證有三種情況。手機(jī)支持外插，多媒體信息保存在SD卡中，取下SD卡直接用讀卡器讀取信息。手機(jī)不支持外插SD卡，為保證數(shù)據(jù)完整性，物理分析通過(guò)內(nèi)存鏡像進(jìn)行數(shù)據(jù)恢復(fù)尋找刪除文件。手機(jī)鏡像的獲取是成功恢復(fù)的首要條件。邏輯分析利用文件系統(tǒng)分析，不同手機(jī)廠商對(duì)系統(tǒng)不同設(shè)置導(dǎo)致非所有手機(jī)都可成功制作鏡像文件。對(duì)于手機(jī)不支持外插SD卡，無(wú)法獲取鏡像時(shí)，可注入數(shù)據(jù)恢復(fù)APK程序進(jìn)行手機(jī)端數(shù)據(jù)恢復(fù)取證。

數(shù)據(jù)恢復(fù)功能是最核心的功能，本系統(tǒng)采用恢復(fù)技術(shù)包括基于YAFFS2文件系統(tǒng)的文檔的等相關(guān)數(shù)據(jù)信息的恢復(fù)，系統(tǒng)分別對(duì)特定數(shù)據(jù)庫(kù)文件進(jìn)行掃描，由用戶分別決定具體恢復(fù)文件數(shù)據(jù)。系統(tǒng)總體分為應(yīng)用模塊及Linux底層模塊，應(yīng)用層模式負(fù)責(zé)提供人機(jī)交互界面與用戶操作的處理控制。包括界面展示、進(jìn)度呈現(xiàn)、結(jié)果顯示與提示警告四個(gè)子模塊。控制系統(tǒng)的流程與邏輯處理。Linux底層模式包括SQLIte數(shù)據(jù)庫(kù)文件提取與數(shù)據(jù)庫(kù)恢復(fù)。根據(jù)應(yīng)用層用戶不同操作執(zhí)行不同模塊。

ANdroid數(shù)據(jù)恢復(fù)系統(tǒng)是基于Android平臺(tái)的工具類應(yīng)用程序。數(shù)據(jù)恢復(fù)系統(tǒng)整體由應(yīng)用層模塊與Linux底層模塊兩部分組成。Linux底層模塊為核心功能模塊。系統(tǒng)啟動(dòng)后，應(yīng)用層模塊將顯示出可供選擇的文件恢復(fù)方法。用戶根據(jù)自己需要選擇一種恢復(fù)方法。執(zhí)行相應(yīng)數(shù)據(jù)恢復(fù)操作中關(guān)注的數(shù)據(jù)根據(jù)選擇恢復(fù)方法變化，執(zhí)行結(jié)束后將掃描結(jié)果返回到應(yīng)用層模塊。

3 實(shí)驗(yàn)驗(yàn)證

MTP手機(jī)數(shù)據(jù)恢復(fù)取證的難點(diǎn)在于內(nèi)置內(nèi)儲(chǔ)卡，手機(jī)僅支持MTP模式連接的情況，為保證數(shù)據(jù)的完成有效性，先提取手機(jī)的鏡像文件，使用分析軟件分析鏡像，獲取手機(jī)的Root權(quán)限，利用取證大師等專業(yè)軟件對(duì)鏡像文件進(jìn)行掛載恢復(fù)。

可使用網(wǎng)絡(luò)的免費(fèi)軟件獲取手機(jī)鏡像，手機(jī)平臺(tái)多樣化，對(duì)鏡像無(wú)法直接獲取情況下，可進(jìn)入手機(jī)的Recovery模式。通過(guò)組合鍵手機(jī)進(jìn)入recovery模式，下達(dá)ADB命令中devices連接手機(jī)，返回List of devices即連接成功。通過(guò)SU指令進(jìn)入super use權(quán)限，找到user data的mtd值。

使用mount lgrep獲取dd鏡像目標(biāo)，若dd鏡像不成功，可直接用cat方式輸出鏡像文件。提取成功的img鏡像文件可用encase等常用硬盤軟件實(shí)現(xiàn)數(shù)據(jù)的恢復(fù)取證。鏡像的成功獲取使手機(jī)數(shù)據(jù)恢復(fù)取證脫離手機(jī)系統(tǒng)環(huán)境限制。保證數(shù)據(jù)的完整有效性。手機(jī)廠家對(duì)底層操作系統(tǒng)不同設(shè)置，利用上述方法可能無(wú)法獲取有效鏡像情況。

小米2型號(hào)手機(jī)不支持外插SD卡，可先打開USB調(diào)試，獲取ROOT權(quán)限，安裝APK恢復(fù)程序，運(yùn)行該恢復(fù)程序前，如手機(jī)在恢復(fù)中鎖屏?xí)Ｖ箶?shù)據(jù)恢復(fù)。應(yīng)注意在恢復(fù)前調(diào)整休眠模式再進(jìn)行操作。

程序運(yùn)行成功后，選擇全部恢復(fù)，在恢復(fù)前用OTG連接U盤，設(shè)置數(shù)據(jù)恢復(fù)后存儲(chǔ)目標(biāo)盤。保證手機(jī)原始信息不被恢復(fù)信息覆蓋，

4 結(jié)語(yǔ)

本文研究實(shí)驗(yàn)手機(jī)恢復(fù)取證中，對(duì)不同恢復(fù)方式取證方法?；贛TP模式的智能手機(jī)在數(shù)據(jù)恢復(fù)取證中，連接后不能直接識(shí)別盤符進(jìn)行物理恢復(fù)?？捎苗R像提取分析法實(shí)現(xiàn)恢復(fù)提取基于MTP模式的智能手機(jī)信息。成功提取出刪除信息，克服了MTP模式的各種限制。

參考文獻(xiàn)

[1]陳飛.智能移動(dòng)終端應(yīng)用數(shù)據(jù)取證技術(shù)研究[D].東南大學(xué)，2015.

[2]方冬蓉.基于Android手機(jī)的數(shù)據(jù)恢復(fù)方法研究及應(yīng)用[D].蘭州理工大學(xué)，2014.