曾琪 羅慧瑜
摘要:根據(jù)數(shù)據(jù)丟失的原因,Android智能手機(jī)數(shù)據(jù)恢復(fù)方法分為兩大類:物理恢復(fù)和軟件恢復(fù)。物理恢復(fù)一般是由于手機(jī)進(jìn)水、摔壞等無(wú)法開機(jī)情況下的芯片級(jí)恢復(fù),而軟件恢復(fù)則大多因?yàn)檫壿嫇p壞。該文針對(duì)Android智能手機(jī)數(shù)據(jù)在物理或者邏輯情況下造成的數(shù)據(jù)丟失問題,對(duì)現(xiàn)有數(shù)據(jù)恢復(fù)方法進(jìn)行測(cè)試與比較分析,以便于用戶應(yīng)該根據(jù)自身情況去選擇合適自己手機(jī)情況的恢復(fù)方法提供參考。
關(guān)鍵詞:Android;數(shù)據(jù)恢復(fù);數(shù)據(jù)存儲(chǔ)
中圖分類號(hào):TP311
文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1009-3044(2020)03-0027-02
1 概述
隨著移動(dòng)通信技術(shù)的高速發(fā)展,智能手機(jī)已成為人們生活中不可缺少的一部分。智能手機(jī)的普及刺激了用戶更多的需求,使得手機(jī)軟件發(fā)展日新月異,多樣化的應(yīng)用程序?qū)崿F(xiàn)了智能手機(jī)到掌上電腦的轉(zhuǎn)變。與此同時(shí),智能手機(jī)中存儲(chǔ)著越來(lái)越多的個(gè)人數(shù)據(jù),其中不乏重要的隱私數(shù)據(jù)。Android智能手機(jī)用戶在進(jìn)行數(shù)據(jù)操作時(shí),面臨更多不同重要隱私數(shù)據(jù)的丟失問題,對(duì)數(shù)據(jù)安全恢復(fù)有更多的需求。
國(guó)際上的數(shù)據(jù)恢復(fù)技術(shù)起步較早,成熟度較高。近年來(lái),國(guó)內(nèi)關(guān)于Android智能手機(jī)數(shù)據(jù)恢復(fù)研究取得了一定的研究成果。如文獻(xiàn)[1]以Android智能手機(jī)中的短信、通話記錄和通訊錄為研究對(duì)象,使用SQLite數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)結(jié)構(gòu)詳細(xì)分析,通過調(diào)試橋工具調(diào)用運(yùn)營(yíng)商信息在系統(tǒng)種類的方法,成功恢復(fù)出這些信息。文獻(xiàn)[2]從手機(jī)犯罪常見形式人手,通過早期手機(jī)取證工具分析手機(jī)SIM卡中數(shù)據(jù)提取犯罪證據(jù)。文獻(xiàn)[3]通過分析Android系統(tǒng)漏洞,繞過開機(jī)密碼等方面,對(duì)手機(jī)內(nèi)存進(jìn)行鏡像再恢復(fù)取證。文獻(xiàn)[4]研究了手機(jī)臨時(shí)Root權(quán)限,通過調(diào)用API來(lái)對(duì)SQLite數(shù)據(jù)庫(kù)中數(shù)據(jù)進(jìn)行恢復(fù),并提出一種細(xì)粒度數(shù)據(jù)完整性校驗(yàn)方案。文獻(xiàn)[5]作者設(shè)計(jì)了基于FAT32和EXT4兩種文件系統(tǒng)的數(shù)據(jù)恢復(fù)及擦除軟件,申請(qǐng)了國(guó)家專利,對(duì)數(shù)據(jù)保護(hù)做出很大貢獻(xiàn)。文獻(xiàn)[6]通過研究不含外置存儲(chǔ)的且只有MTP模式的Android智能手機(jī),通過不同模式的鏡像方法,恢復(fù)出丟失的圖片信息。
本文從數(shù)據(jù)丟失的原因出發(fā),把Android智能手機(jī)數(shù)據(jù)恢復(fù)方法進(jìn)行了總結(jié)和分類測(cè)試,以便于用戶應(yīng)該根據(jù)自身情況去選擇合適自己手機(jī)情況的恢復(fù)方法提供參考。
2 Android手機(jī)數(shù)據(jù)恢復(fù)方法
2.1 芯片恢復(fù)方法
將存儲(chǔ)介質(zhì)作為目標(biāo),不從文件系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行訪問,直接拆解芯片進(jìn)行鏡像數(shù)據(jù)恢復(fù)[7]。拆解后取出存儲(chǔ)芯片,然后需要通過其他工具對(duì)芯片進(jìn)行處理然后恢復(fù)數(shù)據(jù)。這種方法優(yōu)點(diǎn)可以最大化的防止對(duì)丟失數(shù)據(jù)的影響,保護(hù)數(shù)據(jù)的完整性和原有狀態(tài)[8]。芯片恢復(fù)可以通過物理鏡像繞過口令保護(hù),不僅可以恢復(fù)刪除數(shù)據(jù),系統(tǒng)認(rèn)為不需要而丟棄的數(shù)據(jù)也都可以一并找回。缺點(diǎn)在于這種方法對(duì)工具和動(dòng)手能力要求較高,稍有不慎手機(jī)和芯片都有報(bào)廢風(fēng)險(xiǎn)。在沒有工具環(huán)境前提下普通用戶更是難以獨(dú)立完成這類操作。
2.2 手機(jī)軟件恢復(fù)方法
針對(duì)手機(jī)端的數(shù)據(jù)恢復(fù)軟件,目前市場(chǎng)上免費(fèi)軟件和收費(fèi)軟件數(shù)量都很多,效果和價(jià)格也大不相同,比如:數(shù)據(jù)恢復(fù)CTRL+Z、數(shù)據(jù)恢復(fù)大師、數(shù)據(jù)恢復(fù)DiskDigger Pro、壁虎照片恢復(fù)、壁虎系列、短信恢復(fù)工具、圖片恢復(fù)、圖片恢復(fù)工具等。通過對(duì)市場(chǎng)上免費(fèi)手機(jī)數(shù)據(jù)恢復(fù)軟件進(jìn)行了測(cè)試實(shí)驗(yàn),得出表1數(shù)據(jù)。
通過實(shí)驗(yàn)發(fā)現(xiàn),市場(chǎng)上免費(fèi)數(shù)據(jù)恢復(fù)軟件恢復(fù)效果不能讓人滿意,幾乎沒有一款工具能夠恢復(fù)出手機(jī)內(nèi)置存儲(chǔ)器中的圖片、視頻或者文檔等有價(jià)值的數(shù)據(jù)。大部分軟件無(wú)法正常使用,少部分通過掃描恢復(fù)出大量緩存無(wú)用數(shù)據(jù)。針對(duì)這一結(jié)果,不建議用戶通過直接使用免費(fèi)軟件進(jìn)行重要數(shù)據(jù)的恢復(fù)。一方面效果不是很好,更重要的方面是這樣的操作有可能對(duì)丟失數(shù)據(jù)造成二次覆蓋。
2.3 電腦軟件恢復(fù)方法
相對(duì)于不成熟的智能手機(jī)數(shù)據(jù)軟件,磁盤數(shù)據(jù)恢復(fù)軟件的研究相對(duì)成熟很多。而用戶可以將手機(jī)內(nèi)置存儲(chǔ)通過鏡像到其他存儲(chǔ)介質(zhì),然后根據(jù)功能進(jìn)行恢復(fù)的效果會(huì)相對(duì)較好。電腦端的數(shù)據(jù)恢復(fù)軟件現(xiàn)在比較成熟,可以完成不同程度的數(shù)據(jù)損壞。按功能分如表2所示。
用戶可以間接使用電腦恢復(fù)軟件,將手機(jī)內(nèi)置存儲(chǔ)用一定的方法轉(zhuǎn)移到電腦磁盤中,這樣可以保證手機(jī)數(shù)據(jù)不再被破壞,并且能很好地利用現(xiàn)在成熟的恢復(fù)技術(shù)進(jìn)行掃描恢復(fù)。但可能由于用戶對(duì)數(shù)據(jù)恢復(fù)軟件不夠熟悉,在提取鏡像后又做了一些畫蛇添足的處理,比如利用VhdTool.exe對(duì)鏡像進(jìn)行各種后期處理,不僅增加了步驟的煩瑣程度,可能還會(huì)起到誤導(dǎo)作用。
3 結(jié)束語(yǔ)
本文針對(duì)如今常用的手機(jī)數(shù)據(jù)恢復(fù)方法進(jìn)行了實(shí)驗(yàn)分析,發(fā)現(xiàn)現(xiàn)有的數(shù)據(jù)恢復(fù)方法或是需要花費(fèi)高額的成本,或是在恢復(fù)過程中造成手機(jī)內(nèi)置存儲(chǔ)數(shù)據(jù)的覆蓋,影響數(shù)據(jù)完整性。Android智能手機(jī)通過物理級(jí)芯片恢復(fù)雖然能夠達(dá)到最好的恢復(fù)效果,但由于成本與技術(shù)等因素,普通用戶不會(huì)選擇該方式。通過手機(jī)軟件對(duì)比電腦軟件可以得出,將手機(jī)內(nèi)置存儲(chǔ)鏡像到電腦磁盤中,比直接用手機(jī)軟件,對(duì)手機(jī)進(jìn)行操作恢復(fù)成功效率高,并且對(duì)數(shù)據(jù)的保護(hù)程度也較高,不會(huì)更多的對(duì)手機(jī)中的數(shù)據(jù)做再次覆蓋。目前還沒有一款工具可對(duì)手機(jī)整個(gè)內(nèi)存進(jìn)行鏡像,然后在內(nèi)存鏡像副本上進(jìn)行操作,保證原始證物的完好無(wú)損。如何獲取手機(jī)內(nèi)存整體鏡像,還需進(jìn)一步投入大量的研究。
參考文獻(xiàn):
[1]楊鬧春.Android手機(jī)取證系統(tǒng)研究[D].南京:南京郵電大學(xué),2013: 70-71.
[2]陳德俊,丁紅軍,手機(jī)取證研究概述[J].中國(guó)公共安全:學(xué)術(shù)版,2012(3):100-102。
[3]張輝極,薛艷英.基于Android系統(tǒng)的取證技術(shù)分析[J]信息網(wǎng)絡(luò)安全,2012(4):58-60.
[4]陳明艷.手機(jī)信息取證系統(tǒng)的研究與設(shè)計(jì)[D].武漢:武漢理工大學(xué),2014: 70-72.
[5]孫典.基于Android平臺(tái)的數(shù)據(jù)恢復(fù)與擦除軟件的設(shè)計(jì)與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2014: 67-70.
[6]危蓉,麥永浩.MTP模式下智能手機(jī)數(shù)據(jù)的恢復(fù)與取證[J].警察技術(shù),2015(2):34-37.
[7]趙斌,何涇沙,萬(wàn)雪姣,等,針對(duì)安卓移動(dòng)終端設(shè)備的數(shù)據(jù)取證技術(shù)分析[J].警察技術(shù),2014(3):79-82.
[8] L.Aouad, Kechadi T.Android Forensics:A Physical Approach[C]. The 2012 International Conference on Security and Man-agement,2012:1-5.
[9]楊陽(yáng).Android手機(jī)數(shù)據(jù)恢復(fù)方法研究綜述[J].計(jì)算機(jī)時(shí)代,2017(4):29-31.