劉善軍

摘要：安卓手機(jī)的取證技術(shù)主要包括在線和離線兩種，但是都有各自局限性。該文提出了一種改良的基于adb調(diào)試的非root手機(jī)取證技術(shù)，折中離線和在線取證方法的優(yōu)缺點(diǎn)，能夠很好地滿足實(shí)際安卓手機(jī)取證的需求。

關(guān)鍵詞：安卓取證；adb備份

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）34-0035-02

隨著移動(dòng)通信技術(shù)的迅猛發(fā)展，智能終端設(shè)備已經(jīng)成為人們必不可少的工具。智能終端設(shè)備類(lèi)似于PC，具備獨(dú)立的智能操作系統(tǒng)，可以由用戶(hù)自行安裝軟件等第三方服務(wù)程序，通過(guò)第三方軟件不斷擴(kuò)充終端的能力，并支持通過(guò)移動(dòng)互聯(lián)網(wǎng)接入，是一個(gè)功能強(qiáng)大，集通信、影視娛樂(lè)、存儲(chǔ)為一體的綜合性設(shè)備。其中Google公司推出的Android操作系統(tǒng)，由于其開(kāi)源、免費(fèi)等特點(diǎn)，使其迅速占領(lǐng)巨大的市場(chǎng)份額。

與此同時(shí)，利用安卓手機(jī)進(jìn)行犯罪的行為也越來(lái)越多。例如通過(guò)瀏覽器、電子郵件、即時(shí)通信工具、短信等APP進(jìn)行詐騙，性騷擾，涉黃涉毒交易等。 針對(duì)安卓手機(jī)的取證將能夠有效地打擊這類(lèi)案件，通過(guò)對(duì)安卓手機(jī)、備份以及鏡像的數(shù)據(jù)提取、保護(hù)和分析將能夠獲取破獲案件所需要的重要線索。其中基礎(chǔ)信息（通話記錄、通訊錄、短信、GPS等）、即時(shí)通信記錄、郵件信息、瀏覽器的歷史記錄和書(shū)簽都是線索的重要來(lái)源。

1安卓手機(jī)的取證技術(shù)

安卓取證技術(shù)從本質(zhì)上分為在線取證和離線取證兩類(lèi)。

1.1 安卓在線取證技術(shù)

在線取證技術(shù)也叫邏輯全局取證技術(shù) [1-3] ，通過(guò)adb調(diào)試器連接手機(jī)，訪問(wèn)手機(jī)的文件系統(tǒng)，實(shí)現(xiàn)對(duì)現(xiàn)有文件系統(tǒng)中文件的獲取和數(shù)據(jù)解析。安卓操作系統(tǒng)的數(shù)據(jù)主要存儲(chǔ)在/data/data/和/sdcard兩個(gè)目錄下，后者為數(shù)據(jù)共享區(qū)域，即可以直接通過(guò)adb命令進(jìn)行訪問(wèn)，主要為音樂(lè)、視頻、文檔等多媒體文件，而/data/data/目錄主要存儲(chǔ)的是手機(jī)基礎(chǔ)信息和所有第三方APP的數(shù)據(jù)，由于數(shù)據(jù)的重要性，該目錄的訪問(wèn)需要ROOT權(quán)限。每一個(gè)APP的數(shù)據(jù)對(duì)應(yīng)/data/data/目錄下的一個(gè)文件夾，且每個(gè)問(wèn)你件下都有一個(gè)名為database目錄，該目錄下存儲(chǔ)的是SQLite數(shù)據(jù)庫(kù)文件，如下表：

手機(jī)在線的狀態(tài)有兩種，一種是正常開(kāi)機(jī)狀態(tài)，此狀態(tài)需要手機(jī)以USB調(diào)試的模式連接取證設(shè)備；另一種是Recovery模式，該模式下，可以掛載手機(jī)相應(yīng)分區(qū)，然后連接取證設(shè)備。兩種狀態(tài)下都可以采用adb調(diào)試接口進(jìn)行數(shù)據(jù)的查詢(xún)和導(dǎo)出，但是在正常開(kāi)機(jī)狀態(tài)下需要手機(jī)具有root權(quán)限。在線取證存在一些問(wèn)題主要表現(xiàn)為：

1） Recovery模式需要第三方具有分區(qū)掛載功能的Recovry包，對(duì)于大部分手機(jī)第三方Recovery包的獲取難度很大。

2） 正常開(kāi)機(jī)狀態(tài)下，需要手機(jī)取得root權(quán)限，但是最新版的安卓系統(tǒng)和手機(jī)獲取root權(quán)限的難度大，只有很少一部分能獲取root權(quán)限。

3） 手機(jī)在線取證無(wú)法對(duì)手機(jī)已刪除的數(shù)據(jù)進(jìn)行刪除恢復(fù)。

1.2 安卓離線取證技術(shù)

安卓離線取證技術(shù)以稱(chēng)為物理取證技術(shù) [4-7] ，主要是針對(duì)安卓手機(jī)的備份文件或者物理鏡像進(jìn)行取證分析。通過(guò)對(duì)備份或者鏡像文件的不同分區(qū)格式進(jìn)行對(duì)應(yīng)的文件系統(tǒng)解析，可以獲取到安卓手機(jī)的原始數(shù)據(jù)。鏡像文件可以獲取安卓手機(jī)的全部原始數(shù)據(jù)，包括/data/data目錄下的所有數(shù)據(jù)以及SD卡下的數(shù)據(jù)。備份文件（安卓4.0以后通過(guò)adb接口獲?。?，由于軟件的支持的程度不同，數(shù)據(jù)不完全，通訊錄、通話記錄等基礎(chǔ)信息無(wú)法獲取，另外有些第三方應(yīng)用程序的數(shù)據(jù)無(wú)法獲取，同時(shí)備份文件中的路徑做了相應(yīng)的變化，例如database縮寫(xiě)為db，需要一一對(duì)應(yīng)。

安卓鏡像的獲取方式有三種：

1）硬件方式：通過(guò)jtag接口或者直接拆解存儲(chǔ)芯片進(jìn)行存儲(chǔ)物理鏡像的獲取。

2）adb調(diào)試方式：在獲得root權(quán)限的情況下，利用adb shell運(yùn)行dd命令，對(duì)手機(jī)的各個(gè)分區(qū)做dd鏡像文件。

3）recovery備份：依次進(jìn)入“備份還原”、“選擇備份格式”，執(zhí)行“備份到外置卡”，獲取對(duì)應(yīng)分區(qū)的鏡像文件[8]。

針對(duì)鏡像文件的離線取證，可以對(duì)已經(jīng)刪除的文件進(jìn)行刪除恢復(fù)。

但是安卓手機(jī)離線取證技術(shù)同樣存在一定的問(wèn)題：鏡像的獲取條件比較苛刻，需要root權(quán)限、第三方recovery或者物理拆解，難度都很大，且存在一定的危險(xiǎn)；adb備份的方式下，可取的數(shù)據(jù)有限。

2基于adb調(diào)試的非root取證技術(shù)

針對(duì)于一般在線取證和離線取證的一些問(wèn)題，對(duì)基于adb備份的取證進(jìn)行改良，從而能夠較為方便的獲取非root手機(jī)較多的可用數(shù)據(jù)。其基本流程如圖1所示。

2.1基本信息的獲取

在非root情況下，安裝MobileData.apk，該程序具有通訊錄、通話記錄、短信獲取權(quán)限。在手機(jī)上啟動(dòng)該軟件利用安卓系統(tǒng)的API接口獲取手機(jī)的基本信息，并生成格式化的MobileData.xml文件。利用adb的pull接口，將該文件導(dǎo)出到取證計(jì)算機(jī)，并進(jìn)行解析即可獲取基本信息。如圖2所示，利用此方法獲取非root手機(jī)oppo r7中通話記錄數(shù)據(jù)。

2.2第三方應(yīng)用程序數(shù)據(jù)獲取

利用adb的backup命令進(jìn)行備份，將無(wú)法獲取到一些app的數(shù)據(jù)，主要原因?yàn)樵摪姹镜腶pp不支持該命令，所以備份文件中不包含該app數(shù)據(jù)。但是相同app的低版本數(shù)據(jù)不受備份的限制，也就是安裝低版本的app就可以進(jìn)行備份操作。因此先將手機(jī)中app原來(lái)的版本進(jìn)行備份保存，然后安裝低版本的apk，安裝完成之后對(duì)手機(jī)進(jìn)行備份操作，備份完成之后再用備份保存的apk重新安裝回去進(jìn)行app還原。最后將該備份文件進(jìn)行解析，進(jìn)而獲取該app的數(shù)據(jù)。如圖3，利用該方法獲取了非root手機(jī)oppo r7中6.2.3 版QQ的數(shù)據(jù)。

3 總 結(jié)

本文首先介紹了安卓在線取證和安卓離線取證技術(shù)，并在此基礎(chǔ)上提出了改良的基于adb調(diào)試的非root取證技術(shù)，該技術(shù)能夠很好地解決安卓手機(jī)無(wú)法root情況下的取證問(wèn)題，同時(shí)也解決了硬件級(jí)別鏡像取證操作難度大的問(wèn)題。能夠獲取手機(jī)基礎(chǔ)信息和第三方應(yīng)用的信息，同時(shí)支持第三方應(yīng)用數(shù)據(jù)的刪除恢復(fù)。能夠很好地為相關(guān)案件的偵破提供有力的取證技術(shù)支持。

參考文獻(xiàn)：

[1] 殷聯(lián)甫.計(jì)算機(jī)取證工具分析 [J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用， 2005， 14（8）：88-90.

[2] 趙斌，屈會(huì)芳.面向安卓移動(dòng)終端設(shè)備數(shù)據(jù)取證技術(shù)[J].濟(jì)寧學(xué)院學(xué)報(bào)，2014，35（3）：72：75.

[3] 周敏，龔箭.分布式計(jì)算機(jī)取證模型研究[J].微電子學(xué)與計(jì)算機(jī) ，2012，29（2）：40-43.

[4] 楊澤明，錢(qián)桂瓊，許榕生，等.計(jì)算機(jī)取證技術(shù)研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003：32-35.

[5] 孫波.計(jì)算機(jī)取證方法關(guān)鍵問(wèn)題研究[D].北京：中國(guó)科學(xué)院研究生院，2004.

[6]譚敏 ，胡曉龍 ，楊衛(wèi)平.計(jì)算機(jī)取證概述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 ，2006（12）：75-77.

[7] 石惠東，李蒙，雷鳴.運(yùn)用第三方recovery破解安卓手機(jī)屏幕鎖[J].刑事技術(shù)，2015（40）：327-329.