(资料图片仅供参考)
1、高通CPU的物理镜像:目前安卓使用的主流CPU即为美国高通的CPU,大部分品牌的每代旗舰产品都是高通的CPU。高通CPU的手机都可以进入到9008强刷模式,在这个模式下可以不通过系统的引导强制刷新系统文件,对手机进行修复。取证中可以利用这个端口对手机进行数据读取,保存成镜像文件。这个方法对于没有开启全盘加密的手机都有效。但是,6.0以后开启全盘加密的,就无法这样操作了(全盘加密的镜像无法解析)。此外,有些手机需要拆开外壳,在主板上短接两个测试点才可以进入到9008模式。
2、Root后的逻辑提取:安卓手机root后,已经获得最高的系统权限,通过逻辑提取可以获取到大量的数据,包括各种应用的删除数据。但在安卓6.0后,手机的root越来越难,几乎不可能简单的通过第三方工具获得权限。
3、Root后的开机逻辑镜像:所有安卓手机在开机状态下获得权限后,都可以提取手机的逻辑镜像。在安卓4.x时代,这个方法用的很多。有了逻辑镜像,就可以通过分析软件对数据进行解析,恢复删除数据(即使6.0后开启全盘加密,只提取用户区的逻辑镜像也可以解析)。随着手机难以root,除了少部分机型外,现在也很少使用这个方法。
4、Recovery下的逻辑提取和逻辑镜像:安卓版本的提升造成手机很难通过互联网上的通用root工具获得权限,但取证设备厂家技术的也在不断提高。一些厂家自己制作权限包,获得权限。通常是在手机刷机模式下写入权限包,保证手机启动到recovery模式后具有root权限,这时同样可以进行逻辑提取、逻辑镜像(6.0后全盘加密的只做用户区镜像)。这种方法是解决高版本安卓提取难的一个行之有效的方法,但需要依赖于取证厂家不断的软件更新支持。
5、MTK物理镜像:MTK作为台湾产的CPU,因其性价比高,被众多国产品牌青睐,中低端手机通常都采用的这个CPU。这个CPU的安卓手机,同样可以通过CPU的底层命令对存储芯片数据进行读取。
关键词:
