巧用MTP 协议破解Android 智能手机屏幕锁密码
2015-01-13崔鹤群
崔鹤群,赵 强
(天津市公安局物证鉴定中心,300193)
1 案件检验
2014 年某日,柏某被扎伤后,抢救无效死亡。案件侦查提取柏某“三星”牌Android 智能手机,型号为GT-I9200,拟对其短信息、即时通讯记录等进行检验。
技术人员发现手机使用 “腾讯手机管家”手机防盗功能[3-4]将手机屏幕锁定,需要输入“90”开头的QQ 号码解锁,同时该手机的USB 调试模式未开启。办案人员提供的手机持有人柏某QQ账号,也并非“90”开头。故此,现有的手机取证工具无法提取手机的短信息、即时通讯记录等与案件相关的数据。技术人员根据查询手机的出厂日期,判断此手机版本应为4.0 以上版本,支持MTP 协议,可以尝试利用MTP 协议查看和拷贝该手机中文件。
将检材接入取证工作站(windows 7 操作系统),发现弹出“自动播放”窗口(见图1),点击“打开设备以查看文件”选项, 进入手机内存储的文件夹界面,发现腾讯公司的即时聊天工具“tencent”文件夹(见图2)。进入“tencent”文件夹,在其文件夹内发现为“MobileQQ”的文件夹(见图3)。内有一个“90”开头的文件夹(见图4)。以此QQ 号码作为解锁密码,顺利的解除了屏幕锁。手机屏幕锁解除后,打开手机的USB 调试,使用手机取证工具成功提取出短信息、即时通讯记录等与案件相关的数据。
图1 自动播放窗口Fig.1 Automatic playback window
图2 文件夹界面及”tencent”文件夹Fig.2 Folder interface and “tencent”Folder
图3 “tencent”文件夹界面及“MobileQQ”文件夹Fig.3 “tencent”Folder interface and “MobileQQ”Folder
图4 “MobileQQ”文件夹界面及“90”开头文件夹Fig.4 “MobileQQ”Folder interface and “90” beginning Folder
2 讨 论
针对第三方手机安全软件,其设置要求输入QQ 账号的屏幕锁方式与Android 系统原生的防盗锁加密方法是不同的。当被检手机USB 调试模式未开启的情况下,Android 系统可用MTP 协议使手机与PC 进行数据的查看和交换,达到解除屏幕锁的目的。值得注意的是,只有在操作系统安装Windows Media Player 10 或者更高版本才具备支持MTP 协议能力。随着Android 版本的更新,当前的4.3 和4.4 版本在没有解除屏幕锁(包括第三方软件)的情况下,拒绝PC 访问手机内的文件,也就是说我们只能看到一个以手机“设备名称”命名的盘符存在,并不能看到盘符里面的文件。所以,针对4.3 和4.4 版本使用上述办法是不能查看到手机内的任何文件的。MTP 的用途是传输媒体文件,并从(向)设备关联元数据,对设备的远程控制有可选的额外支持,读取和设置设备参数,如特别的DRM 相关的受限内容设备参数。利用此用途可直接导出所需的媒体文件和即时通讯等文件信息,大大缩短了取证时间,提高了工作效率。
[1] Innost. MTP in Android [EB/OL]. [2013-5-2]. http: //blog.csdn.net/innost/article/details/8876392.
[2] 邓凡平.深入理解SEAndroid(卷1)[M]. 北京:机械工业出版社, 2011.
[3] 明日科技.Android 从入门到精通[M]. 北京:清华大学出版社, 2012.
[4] 郭宏志.Android 应用开发详解[M]. 北京:电子工业出版社, 2010.