計(jì)超豪，王即墨，裴洪卿

（1. 溫州市公安局刑事科學(xué)技術(shù)研究所，浙江 溫州 325029；2. 杭州平航科技有限公司，杭州 310051)

在手機(jī)取證領(lǐng)域，為了獲取安卓手機(jī)機(jī)身數(shù)據(jù)，同時(shí)為了更多地恢復(fù)刪除數(shù)據(jù)，檢驗(yàn)人員往往會(huì)采用獲取root權(quán)限[1]的辦法，因?yàn)樵讷@取root權(quán)限后，檢驗(yàn)人員可以通過取證工具獲取到更多的數(shù)據(jù)，并可以實(shí)現(xiàn)刪除數(shù)據(jù)的恢復(fù)。雖然獲取root權(quán)限給取證工作帶來(lái)很多好處，但伴隨著root而來(lái)的隱患和潛在風(fēng)險(xiǎn)也日益突顯[2]。一方面，安卓5.0以上版本安卓手機(jī)獲取root權(quán)限難度不斷提高，另一方面，root屬于對(duì)安卓系統(tǒng)的強(qiáng)制提權(quán)操作，容易出現(xiàn)損壞系統(tǒng)導(dǎo)致無(wú)法正常啟動(dòng)手機(jī)甚至清除手機(jī)存儲(chǔ)數(shù)據(jù)的情況。因此，在非root條件下安全并且全面地獲取安卓手機(jī)機(jī)身物理鏡像數(shù)據(jù)是恢復(fù)刪除數(shù)據(jù)的基礎(chǔ)，也是電子物證檢驗(yàn)工作重要的發(fā)展方向。本文對(duì)目前實(shí)際取證工作進(jìn)行了匯總和研究，總結(jié)出在非root條件下獲取安卓手機(jī)物理鏡像的幾種方法及適用情況，以期為取證人員提供參考。

1 基于第三方recovery的提取方法

安卓手機(jī)默認(rèn)都會(huì)有一個(gè)recovery分區(qū)，這個(gè)分區(qū)不含任何用戶數(shù)據(jù)，主要用于安卓系統(tǒng)重新安裝，也就是俗稱的刷機(jī)，但是安卓手機(jī)進(jìn)入默認(rèn)自帶的recovery分區(qū)時(shí)，是沒有root權(quán)限的，因此可以利用第三方具有root權(quán)限的recovery分區(qū)實(shí)現(xiàn)手機(jī)數(shù)據(jù)的獲取。這個(gè)過程雖然改變了recovery分區(qū)的數(shù)據(jù)，但是對(duì)用戶數(shù)據(jù)分區(qū)沒有任何改變，而且相對(duì)于直接進(jìn)行root操作而言，風(fēng)險(xiǎn)要小很多。具體操作是在手機(jī)進(jìn)入fastboot模式或Download模式下或使用專用工具，寫入對(duì)應(yīng)型號(hào)的第三方recovery分區(qū)鏡像，然后在第三方recovery分區(qū)下即可獲取用戶數(shù)據(jù)區(qū)的完整數(shù)據(jù)。這種數(shù)據(jù)獲取雖然屬于物理鏡像獲取方法，但當(dāng)取證工具不支持在第三方recovery分區(qū)下自動(dòng)獲取物理鏡像的時(shí)候，需要檢驗(yàn)人員通過手工輸入命令行的方式進(jìn)行鏡像提取，檢驗(yàn)人員必須能夠熟練地選擇正確的recovery分區(qū)鏡像，因此在實(shí)際檢驗(yàn)工作中并不常用。而且隨著安卓系統(tǒng)的升級(jí)，在安卓手機(jī)鎖定Bootloader引導(dǎo)分區(qū)的前提下，這種方法已經(jīng)不再適用。

2 基于JTAG的提取方法

JTAG是一種國(guó)際標(biāo)準(zhǔn)測(cè)試協(xié)議，主要用于芯片測(cè)試，在電子物證檢驗(yàn)工作中主要用于疑難手機(jī)檢驗(yàn)，特別適用于高通芯片組的安卓系統(tǒng)手機(jī)存儲(chǔ)芯片中數(shù)據(jù)的鏡像。檢驗(yàn)時(shí)，需要將手機(jī)外殼拆開，并根據(jù)取證工具提示的信息，找到主板上相應(yīng)的測(cè)試點(diǎn)，如TDI、TDO、TMS、TRST、TCK、SYS等六個(gè)主要觸點(diǎn)，通過專用的取證程序?qū)⒆謳?kù)鏡像提取出來(lái)進(jìn)行解析。

由于近年來(lái)手機(jī)生產(chǎn)廠商逐漸取消了手機(jī)主板上預(yù)留的JTAG接口，導(dǎo)致這種方法的適用范圍逐漸縮小，但是對(duì)于較早期的安卓手機(jī)以及Windows Phone手機(jī)而言，JTAG仍不失為一種好的方法。這種方法對(duì)機(jī)身硬件不做任何改變，且不受軟件系統(tǒng)版本的限制，可以忽略root權(quán)限以及開啟USB調(diào)試模式的要求，但部分需要焊線的工作對(duì)檢驗(yàn)人員來(lái)說(shuō)有一定的操作要求，同時(shí)JTAG的接口定義也需要鏡像獲取工具提供說(shuō)明。

3 基于芯片拆解的提取方法

芯片拆解又被稱之為Chip-Off方法，一度被認(rèn)為是手機(jī)取證中數(shù)據(jù)提取的終極解決方案。這種方法需要將手機(jī)中的存儲(chǔ)芯片與主板“剝離”并進(jìn)行相應(yīng)的處理，使用芯片專用數(shù)據(jù)讀取底座即可獲取該手機(jī)的完整物理鏡像。這種辦法由于是直接對(duì)手機(jī)eMMC或eMCP存儲(chǔ)芯片進(jìn)行數(shù)據(jù)提取，因此可以避開root權(quán)限和USB調(diào)試模式的限制完整地獲取物理鏡像。

在實(shí)際檢驗(yàn)工作中，涉及到手機(jī)損毀無(wú)法開機(jī)的情況，就只能采用這種方法來(lái)獲取手機(jī)機(jī)身數(shù)據(jù)。由于eMMC芯片本身的防護(hù)等級(jí)比較高，在海水浸蝕、火燒、猛烈撞擊等破壞條件下，只要eMMC存儲(chǔ)芯片沒有受到破壞，均可以采用芯片拆解方法進(jìn)行提取。2015年溫州“7·5”案件現(xiàn)場(chǎng)，嫌疑人將手機(jī)置于煤球爐中試圖破壞證據(jù)，但經(jīng)過芯片拆解方法，完整地獲取到手機(jī)存儲(chǔ)芯片中的數(shù)據(jù)，為案件偵破提供了重要線索。

雖然芯片拆解方法幾乎可以滿足所有品牌型號(hào)的安卓系統(tǒng)手機(jī)數(shù)據(jù)的提取要求，但這種方法對(duì)于檢驗(yàn)設(shè)備和檢驗(yàn)人員來(lái)說(shuō)都有相當(dāng)高的技術(shù)挑戰(zhàn)，同時(shí)由于存儲(chǔ)芯片的類型和原始鏡像的數(shù)據(jù)格式都有所不同，所以檢驗(yàn)人員熟練拆解手機(jī)并從主板上完好剝離存儲(chǔ)芯片的操作需要專業(yè)的培訓(xùn)和大量的練習(xí)，包括學(xué)習(xí)電子方面和二進(jìn)制數(shù)據(jù)分析方面的知識(shí)。

除了檢驗(yàn)人員技術(shù)操作層面的限制，芯片拆解后手機(jī)檢材難以復(fù)原也是這種方法的主要限制條件之一，畢竟在實(shí)際案件中，并不是所有待檢手機(jī)都無(wú)法開機(jī)或處于損毀狀態(tài)，大量難以獲取數(shù)據(jù)的手機(jī)都帶有鎖屏密碼且未開USB調(diào)試，而使用芯片拆解方法提取數(shù)據(jù)要對(duì)手機(jī)進(jìn)行徹底的拆解，后期手機(jī)恢復(fù)原狀的難度很高，因此該方法在實(shí)際檢驗(yàn)工作中并不作為首選方法。另一方面隨著全盤加密技術(shù)FDE （full disk encryption)的應(yīng)用越來(lái)越廣泛，這種芯片拆解的鏡像獲取方法受到的限制也越來(lái)越大。

4 基于硬件無(wú)損的提取方法

隨著安卓5.0系統(tǒng)引入全盤加密機(jī)制，并在安卓6.0版本默認(rèn)開啟，不論是通過JTAG測(cè)試接口還是通過芯片拆解的方法，對(duì)于加密的數(shù)據(jù)都難以做到手機(jī)機(jī)身存儲(chǔ)數(shù)據(jù)有效解密獲取和恢復(fù)。因此一些基于手機(jī)生產(chǎn)廠商底層通訊協(xié)議或者利用漏洞的物理鏡像獲取方法顯示出了更強(qiáng)的獲取能力，并且可以實(shí)現(xiàn)鏡像獲取后鎖屏密碼的破解[3]，以及加密鏡像的解密提取。其中以下幾種方法較為常用：

4.1 基于META模式等底層通訊協(xié)議的提取方法

META模式是指MTK芯片組手機(jī)的特殊通訊模式，主要用于以MTK芯片組為處理器的安卓手機(jī)的工廠測(cè)試。大多數(shù)手機(jī)進(jìn)入META模式需要在關(guān)機(jī)狀態(tài)下按住對(duì)應(yīng)的META按鍵然后使用數(shù)據(jù)線將手機(jī)連接到電腦。常見的META按鍵是音量加減鍵，但也有個(gè)別情況下手機(jī)不需要按任何按鍵也可以進(jìn)入META模式，因此針對(duì)不同的手機(jī)需要視具體情況而定。

在META模式下，取證工具如UFED 5.0以上版本或XRY 6.0以上版本可以識(shí)別到“USB single port”的映射端口，在驅(qū)動(dòng)正確識(shí)別的條件下即可在取證電腦中獲取到機(jī)身存儲(chǔ)芯片的物理鏡像。因此這種方法不受root權(quán)限的限制。這種方法對(duì)取證人員來(lái)說(shuō)操作難度低，僅對(duì)取證工具有MTK芯片組型號(hào)支持的要求?，F(xiàn)階段有相當(dāng)多型號(hào)的MTK芯片組手機(jī)可以通過這種方法獲取物理鏡像，如魅族、紅米系列、VIVO以及華為等部分型號(hào)手機(jī)均采用MTK芯片組，而且這類手機(jī)數(shù)量也在不斷增加。

像META模式一樣，其他芯片組也有類似底層通訊協(xié)議，如高通芯片組的9008端口等，也可以用相似的方法提取手機(jī)物理鏡像。

4.2 基于硬件漏洞的提取方法

除了META模式這種基于底層通訊協(xié)議的物理鏡像提取方法外，有些品牌型號(hào)的安卓手機(jī)還存在硬件和系統(tǒng)漏洞，如三星系列廣泛采用的獵戶座芯片組，其中Exynos 4412和Exynos 4410兩個(gè)型號(hào)芯片組CPU內(nèi)核存在的安全漏洞即可用來(lái)獲取手機(jī)機(jī)身數(shù)據(jù)，利用這些漏洞和底層通訊協(xié)議也可以實(shí)現(xiàn)關(guān)機(jī)狀態(tài)下安卓手機(jī)物理鏡像的獲取。目前取證領(lǐng)域主流的手機(jī)取證工具或多或少已經(jīng)包含有類似功能，如UFED 6.0和XRY6.0都支持近百款型號(hào)的三星安卓手機(jī)，可以實(shí)現(xiàn)在關(guān)機(jī)狀態(tài)下進(jìn)行物理鏡像的獲取，原理就是基于三星手機(jī)獵戶座CPU的硬件漏洞實(shí)現(xiàn)的。此外目前執(zhí)法機(jī)關(guān)常用的手機(jī)鏡像工具PHExtractors也包含了上述無(wú)損鏡像提取方法，還增加了基于海思芯片組的華為手機(jī)鏡像獲取方法。

在我市某詐騙案中的涉案三星蓋世7（型號(hào)SM-G9350）手機(jī)，由于帶有鎖屏密碼且未開啟USB調(diào)試模式，無(wú)法通過常規(guī)手段獲取機(jī)身數(shù)據(jù)。同時(shí)由于該檢材采用了UFS2.0存儲(chǔ)芯片，且默認(rèn)使用了安卓6.0操作系統(tǒng)，全盤數(shù)據(jù)進(jìn)行了加密設(shè)置，無(wú)法使用芯片拆解的方法進(jìn)行數(shù)據(jù)獲取，此時(shí)基于該手機(jī)硬件漏洞的提取方法就充分發(fā)揮了優(yōu)勢(shì)。取證人員使用PH-Extractors 鏡像獲取工具1.3以上版本對(duì)該手機(jī)進(jìn)行數(shù)據(jù)獲取，首先同時(shí)按下該檢材手機(jī)“音量減”“Home鍵”“開機(jī)鍵”三個(gè)按鍵，使檢材手機(jī)進(jìn)入到download模式，然后將檢材手機(jī)通過USB數(shù)據(jù)線接入取證工作站，取證工具識(shí)別檢材后通過底層通訊協(xié)議自動(dòng)識(shí)別手機(jī)芯片所有分區(qū)，即處于無(wú)損鏡像的取證狀態(tài)，此時(shí)，可在不進(jìn)入操作系統(tǒng)的情況下獲取到未加密的全盤鏡像數(shù)據(jù)。這種方法突破了芯片拆解方法的技術(shù)要求限制，而且對(duì)于高版本安卓系統(tǒng)手機(jī)也具有良好的支持，簡(jiǎn)便的操作也方便取證人員更高效地獲取數(shù)據(jù)。

5 討論

2016年“兩高一部”頒發(fā)的《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定（法發(fā)〔2016〕22號(hào)）》中對(duì)電子物證取證規(guī)范做了進(jìn)一步要求，意味著司法取證規(guī)范要求的逐步提高。手機(jī)取證工作必將像計(jì)算機(jī)取證一樣，有完善的證據(jù)固定和鏡像獲取要求，相對(duì)于獲取root權(quán)限這種“有損”檢驗(yàn)方法而言，在不開機(jī)條件下進(jìn)行物理鏡像獲取無(wú)疑是符合司法取證規(guī)范要求的方法。對(duì)于取證人員來(lái)說(shuō)，越是簡(jiǎn)單和快速的操作，越能夠在實(shí)際辦案過程中及時(shí)發(fā)揮證據(jù)和線索的作用。因此，在手機(jī)軟硬無(wú)損條件下進(jìn)行的物理鏡像獲取方式必將成為未來(lái)手機(jī)取證的主要方法之一。由于手機(jī)取證技術(shù)也隨著手機(jī)檢材本身的不斷推陳出新而發(fā)展，未在本文列舉的其他方法也歡迎各位讀者探討指教。