◆孔 攀 蔡睿奇



Android手机取证技术研究

◆孔 攀 蔡睿奇

（重庆市公安局江北区分局 重庆 400021）

在Android手机取证中，随着Android版本的快速升级，手机取证技术也随之更新，从逻辑提取到物理提取，从第三方recovery备份到在线备份提取，以及到基于芯片的提取等各种技术。本文研究了当前主流的几种Android手机取证技术，为进一步研究Android手机取证提供参考性意见。

Android手机；取证技术；电子证据

0 引言

智能手机正在深刻的改变IT和通信领域的行业结构，并逐步替代个人PC。智能手机市场的高速增长和应用普及，引起了犯罪分子和黑客的注意，他们通过黑客技术掌握着大批的黑色资产，而智能手机往往成为他们进行沟通和作案的载体。近年来，手机取证保持着高速增长态势，数据多样化给手机取证技术带来了诸多挑战，传统的短信、通话记录、通讯录相比微信、QQ等应用程序的数据，其线索价值性和重要性都在逐渐降低。同时，在司法活动中电子证据取证意识逐渐增强，电子物证的重要性逐渐被重视，同时数据固定、提取和检验流程越来越规范化[1]，取证的技术方法也在不断进步更新，智能手机取证在常规电子数据现场勘察分析中的作用日益增加。国内外常见的手机取证工具有Cellebrite UFED 、美亚柏科DC-4501/DC-4500、睿海RH-6900等。

1 Android手机取证概述

Android手机取证通常分为逻辑提取和物理提取。

逻辑提取，是基于手机的文件系统进行的数据提取。逻辑提取复制手机内的可见电子数据，其前提是用于进行取证工作的计算机能够正常识别到手机检材，为待检手机分配通讯端口，做好交换数据的准备。Android手机取证的逻辑提取主要包括：代理方式的逻辑提取和基于备份的逻辑提取。

物理提取，是对手机存储芯片中所有数据进行提取。物理提取是备份手机存储芯片中的所有数据，是恢复删除数据的重要前提[2]。物理提取主要包括：第三方recovery方式的物理提取、root权限下的物理提取和基于硬件工具的物理提取。

2 手机取证的技术难点

随着智能手机和APP应用的普及，电子数据安全与备份技术也不断革新，同时我国电子取证标准与规范不断完善，这给手机取证带来新的机遇和挑战，目前我国手机取证技术仍然存在如下瓶颈和难点：

（1）手机解锁、文件加密的解析：用户的智能手机关系到个人诸多隐私信息，手机的图形和数字锁、SIM卡PIN及PUK锁，指纹锁甚至手机存储芯片的文件加密、声纹及虹膜识别技术都是用户手机加密的实现方式，而这些恰恰给手机取证带来一定技术障碍。

（2）历史浏览及聊天删除记录的恢复：目前常用的解决办法是基于recovery模式下清锁，或者物理方式绕过解锁限制，或者对国产OPPO等机型简锁进行软件破解，这些都可能会面临获取root权限的问题。从Android 5.0开始，谷歌已经引入了全盘加密的设置，但并未强制要求开启，若在算法上实现突破，还需很长的路要走；同时，一些用户可能会定期清除历史缓存或者删除历史聊天记录，Android最新版的微信的声音识别解锁是目前面临的技术挑战。

（3）手机投资、交易及支付等金融交易记录解析：智能手机在满足用户基本通话、聊天和娱乐的同时，也方便了用户投资理财和交易支付。然而涉及用户金融安全的加密更是手机安全技术的重中之重，司法取证对于金融交易数据更是一筹莫展，即便是通过层层方式获取类似支付宝、京东及淘宝网购等其他APP镜像文件，也无法解析其交易记录和密码。

（4）Android手机root获取及无损检材与解析：目前，最新版本的Android系统都难以被root,无论是通过第三方代理软件，还是直接物理提取，都存在有损检材的风险，无法严格进行存储芯片的数据读写保护。在Android2.3.4版本以前可以一键root, 但是从6.0版本以后，Android系统获取root权限越来越难，各手机厂家的深度定制化系统使得在线备份能够获取的逻辑数据越来越少。

3 常见的几种Android手机取证技术

3.1人工提取

人工提取是直接在移动终端上查看相关数据，并使用相机等翻拍设备记录证据。优点：门槛底，且是对工具提取的一种补充。缺点：一是仅能获取已有数据，对于已删除数据无法进行提取和固定，同时对于手机加密和破损的情况也无法应对；二是必须保证该设备能正常开机。

3.2代理方式的逻辑提取

对于非智能手机，取证软件一般都会集成相关的驱动文件和数据交换触发协议。当手机连接到取证计算机后，收到取证软件发出的同步数据指令，即开始数据同步传输，将手机中的短信、电话簿、通话记录等数据传输到取证计算机中，并根据手机自身的编译格式进行翻译，转换成可以识别的报告文件。

对于Android智能手机，取证工具会先上传一个插件到手机，用于打开手机中的指定端口，然后取证计算机通过这个端口接收手机传输回来的数据。

3.3基于备份的逻辑提取

（1）Android自带的google备份

利用Android自带的google备份协议，当取证工具向手机检材发出备份数据命令时，手机上会显示“备份我的数据”界面，此时点击“备份全部数据”按钮可以将手机上的数据备份到取证计算机本地，对其解析可以获取相关数据。对于高版本Android系统而言，这种基于google自带的备份的逻辑提取受限于数据备份的权限，很多应用程序都限制了备份程序读取其数据，导致能够提取的数据越来越少，不能提取如QQ、微信等应用程序的数据。

（2）在线备份

主要通过对QQ、微信等应用程序降版本的方式获取手机应用数据，弥补google自带备份无法获取QQ、微信数据的问题，同时可实现部分应用删除数据的恢复。其主要限制条件：Android 6.0以上应用程序强行降级会受到限制，导致降级失败，因此影响数据提取，且这种提取通常会损坏原始登录状态，属于有损检验。

（3）手机厂家自带备份

华为、小米、OPPO等厂商自带的备份程序默认具有较高的系统权限，因此可以在未Root的情况下，备份应用程序及相关数据。通过TF卡或OTG优盘保存并导出机身应用程序的数据，可实现部分应用删除数据的恢复。这种技术的主要限制条件是手机的锁屏密码。

3.4第三方recovery方式的物理提取

第三方recovery方式的物理提取也简称为3rd Recovery。几乎所有的Android手机自带的官方recovery系统都没有备份和恢复工具，但利用recovery分区不含用户数据以及可修改的属性，通过刷入基于CWM、TWRP或其他带有备份功能的第三方recovery，可以挂载data分区并将几乎所有数据备份到SD卡或者取证计算机中。这种方法也是提取数据最全的一种办法，但因每个第三方recovery仅适用于对应型号版本的手机，所以适用范围有一定限制。这种方法提取的数据也在随着Android版本的提高而不断减少。有些型号手机甚至通过3rd recovery已经无法提取到微信或者QQ聊天记录。

3.5 root权限下的物理提取

root是在完成逻辑获取之后才会考虑的一种有损提取方法。如果手机本身已经获取了root权限，则可以考虑采用基于root情况下的物理提取[3]。工作原理是取证工具向手机机身上传busybox或者nanddump程序，通过这个程序，获取到手机机身的不同分区信息，并将不同的分区在本地打包后回传至取证计算机，此时利用的是linux系统的DD命令，可以获取到data以及system分区的完整数据，包含了未分配空间的数据。然后由取证工具对收到的物理镜像文件进行解包和数据分析。如果需要删除图片、音视频等多媒体文件的恢复，也是基于这种方式进行解析。root权限下的物理提取几乎支持所有品牌型号的手机，但这种方法的难点在于不同品牌型号版本手机获取root权限的过程。如华为、HTC等部分型号，在root前要求进行解锁，很多手机解锁后数据将被双清。Android系统在5.0以后，获取root权限的难度越来越大，伴随的数据破坏风险也越来越高，因此基于备份的方法也越来越受到重视。

3.6基于硬件工具的物理提取

基于硬件工具的物理获取目前主要有两种工具，一种是JTAG，一种是基于芯片的Chipoff提取。JTAG是目前智能手机eMMC存储芯片物理镜像的方案之一，主要应对Android和Windows Phone手机，随着目前检材难度逐步提高，未打开USB调试功能并带锁屏密码的情况非常常见，JTAG是解决方法之一。JTAG提取需要利用手机主板上的专门预留调试接口，提取数据时还需要用到专门的硬件接口，俗称JTAG Box[4]。

Chipoff指的是将手机存储芯片取下然后对其数据进行直接读取的方法。该方法通过热风枪或拆焊台将移动终端中的存储芯片与主板剥离，清理芯片表面的焊锡，然后将芯片安装到芯片读取设备上，直接对芯片本身的电路和协议进行分析，获取其原始镜像或相关数据，优点在于不受手机好坏限制、不受手机操作系统限制、不受手机是否有锁限制、不区分手机操作环境、不受手机是否root限制，只要能获取手机芯片，就能直接读取手机存储芯片中保存的最原始数据。目前Android手机都采用eMMC存储芯片存储数据，并且绝大多数都采用了ext4的文件系统，可以非常方便的在多数取证工具软件中进行数据提取、恢复和分析。然而，基于芯片拆解的数据获取，可以用于芯片完好的情况，但也有受限条件，例如无法解析“全盘数据加密”的手机、不能提取芯片损毁的手机、对于UFS2.0、UFS2.1的芯片尚无支持的配套硬件设备等待。

4 结束语

手机取证技术从来没有固定的方法，根据不同的检材条件，选择合适的方法，才是规范且有效的可行取证技术。与此同时，在任何时候都存在无法获取数据的情况，这是手机取证技术滞后于IT科技的必然结果。本文详细论述了当前主流的Android手机取证技术，对近年来的研究现状进行了概述和分析，为在该领域的下一步取证技术升级研究提供参考。

[1]刘浩阳，李锦，刘晓宇等.电子数据取证[M].清华大学出版社，2015.

[2]方冬蓉，张秋余，董瑞洪，文森.Android系统删除数据恢复方法研究[J].计算机工程，2014.

[3]张辉极，薛艳英.基于Android系统的取证技术分析[J]. 信息网络安全，2012.

[4]Andrew Hoog著，何泾沙译.Android取证实战·调查、分析与移动安全[M].机械工业出版社出版，2013.