曾琪 羅慧瑜

摘要：根據(jù)數(shù)據(jù)丟失的原因，Android智能手機(jī)數(shù)據(jù)恢復(fù)方法分為兩大類：物理恢復(fù)和軟件恢復(fù)。物理恢復(fù)一般是由于手機(jī)進(jìn)水、摔壞等無(wú)法開機(jī)情況下的芯片級(jí)恢復(fù)，而軟件恢復(fù)則大多因?yàn)檫壿嫇p壞。該文針對(duì)Android智能手機(jī)數(shù)據(jù)在物理或者邏輯情況下造成的數(shù)據(jù)丟失問題，對(duì)現(xiàn)有數(shù)據(jù)恢復(fù)方法進(jìn)行測(cè)試與比較分析，以便于用戶應(yīng)該根據(jù)自身情況去選擇合適自己手機(jī)情況的恢復(fù)方法提供參考。

關(guān)鍵詞：Android;數(shù)據(jù)恢復(fù);數(shù)據(jù)存儲(chǔ)

中圖分類號(hào)：TP311

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）03-0027-02

1 概述

隨著移動(dòng)通信技術(shù)的高速發(fā)展，智能手機(jī)已成為人們生活中不可缺少的一部分。智能手機(jī)的普及刺激了用戶更多的需求，使得手機(jī)軟件發(fā)展日新月異，多樣化的應(yīng)用程序?qū)崿F(xiàn)了智能手機(jī)到掌上電腦的轉(zhuǎn)變。與此同時(shí)，智能手機(jī)中存儲(chǔ)著越來(lái)越多的個(gè)人數(shù)據(jù)，其中不乏重要的隱私數(shù)據(jù)。Android智能手機(jī)用戶在進(jìn)行數(shù)據(jù)操作時(shí)，面臨更多不同重要隱私數(shù)據(jù)的丟失問題，對(duì)數(shù)據(jù)安全恢復(fù)有更多的需求。

國(guó)際上的數(shù)據(jù)恢復(fù)技術(shù)起步較早，成熟度較高。近年來(lái)，國(guó)內(nèi)關(guān)于Android智能手機(jī)數(shù)據(jù)恢復(fù)研究取得了一定的研究成果。如文獻(xiàn)[1]以Android智能手機(jī)中的短信、通話記錄和通訊錄為研究對(duì)象，使用SQLite數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)結(jié)構(gòu)詳細(xì)分析，通過調(diào)試橋工具調(diào)用運(yùn)營(yíng)商信息在系統(tǒng)種類的方法，成功恢復(fù)出這些信息。文獻(xiàn)[2]從手機(jī)犯罪常見形式人手，通過早期手機(jī)取證工具分析手機(jī)SIM卡中數(shù)據(jù)提取犯罪證據(jù)。文獻(xiàn)[3]通過分析Android系統(tǒng)漏洞，繞過開機(jī)密碼等方面，對(duì)手機(jī)內(nèi)存進(jìn)行鏡像再恢復(fù)取證。文獻(xiàn)[4]研究了手機(jī)臨時(shí)Root權(quán)限，通過調(diào)用API來(lái)對(duì)SQLite數(shù)據(jù)庫(kù)中數(shù)據(jù)進(jìn)行恢復(fù)，并提出一種細(xì)粒度數(shù)據(jù)完整性校驗(yàn)方案。文獻(xiàn)[5]作者設(shè)計(jì)了基于FAT32和EXT4兩種文件系統(tǒng)的數(shù)據(jù)恢復(fù)及擦除軟件，申請(qǐng)了國(guó)家專利，對(duì)數(shù)據(jù)保護(hù)做出很大貢獻(xiàn)。文獻(xiàn)[6]通過研究不含外置存儲(chǔ)的且只有MTP模式的Android智能手機(jī)，通過不同模式的鏡像方法，恢復(fù)出丟失的圖片信息。

本文從數(shù)據(jù)丟失的原因出發(fā)，把Android智能手機(jī)數(shù)據(jù)恢復(fù)方法進(jìn)行了總結(jié)和分類測(cè)試，以便于用戶應(yīng)該根據(jù)自身情況去選擇合適自己手機(jī)情況的恢復(fù)方法提供參考。

2 Android手機(jī)數(shù)據(jù)恢復(fù)方法

2.1 芯片恢復(fù)方法

將存儲(chǔ)介質(zhì)作為目標(biāo)，不從文件系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行訪問，直接拆解芯片進(jìn)行鏡像數(shù)據(jù)恢復(fù)[7]。拆解后取出存儲(chǔ)芯片，然后需要通過其他工具對(duì)芯片進(jìn)行處理然后恢復(fù)數(shù)據(jù)。這種方法優(yōu)點(diǎn)可以最大化的防止對(duì)丟失數(shù)據(jù)的影響，保護(hù)數(shù)據(jù)的完整性和原有狀態(tài)[8]。芯片恢復(fù)可以通過物理鏡像繞過口令保護(hù)，不僅可以恢復(fù)刪除數(shù)據(jù)，系統(tǒng)認(rèn)為不需要而丟棄的數(shù)據(jù)也都可以一并找回。缺點(diǎn)在于這種方法對(duì)工具和動(dòng)手能力要求較高，稍有不慎手機(jī)和芯片都有報(bào)廢風(fēng)險(xiǎn)。在沒有工具環(huán)境前提下普通用戶更是難以獨(dú)立完成這類操作。

2.2 手機(jī)軟件恢復(fù)方法

針對(duì)手機(jī)端的數(shù)據(jù)恢復(fù)軟件，目前市場(chǎng)上免費(fèi)軟件和收費(fèi)軟件數(shù)量都很多，效果和價(jià)格也大不相同，比如：數(shù)據(jù)恢復(fù)CTRL+Z、數(shù)據(jù)恢復(fù)大師、數(shù)據(jù)恢復(fù)DiskDigger Pro、壁虎照片恢復(fù)、壁虎系列、短信恢復(fù)工具、圖片恢復(fù)、圖片恢復(fù)工具等。通過對(duì)市場(chǎng)上免費(fèi)手機(jī)數(shù)據(jù)恢復(fù)軟件進(jìn)行了測(cè)試實(shí)驗(yàn)，得出表1數(shù)據(jù)。

通過實(shí)驗(yàn)發(fā)現(xiàn)，市場(chǎng)上免費(fèi)數(shù)據(jù)恢復(fù)軟件恢復(fù)效果不能讓人滿意，幾乎沒有一款工具能夠恢復(fù)出手機(jī)內(nèi)置存儲(chǔ)器中的圖片、視頻或者文檔等有價(jià)值的數(shù)據(jù)。大部分軟件無(wú)法正常使用，少部分通過掃描恢復(fù)出大量緩存無(wú)用數(shù)據(jù)。針對(duì)這一結(jié)果，不建議用戶通過直接使用免費(fèi)軟件進(jìn)行重要數(shù)據(jù)的恢復(fù)。一方面效果不是很好，更重要的方面是這樣的操作有可能對(duì)丟失數(shù)據(jù)造成二次覆蓋。

2.3 電腦軟件恢復(fù)方法

相對(duì)于不成熟的智能手機(jī)數(shù)據(jù)軟件，磁盤數(shù)據(jù)恢復(fù)軟件的研究相對(duì)成熟很多。而用戶可以將手機(jī)內(nèi)置存儲(chǔ)通過鏡像到其他存儲(chǔ)介質(zhì)，然后根據(jù)功能進(jìn)行恢復(fù)的效果會(huì)相對(duì)較好。電腦端的數(shù)據(jù)恢復(fù)軟件現(xiàn)在比較成熟，可以完成不同程度的數(shù)據(jù)損壞。按功能分如表2所示。

用戶可以間接使用電腦恢復(fù)軟件，將手機(jī)內(nèi)置存儲(chǔ)用一定的方法轉(zhuǎn)移到電腦磁盤中，這樣可以保證手機(jī)數(shù)據(jù)不再被破壞，并且能很好地利用現(xiàn)在成熟的恢復(fù)技術(shù)進(jìn)行掃描恢復(fù)。但可能由于用戶對(duì)數(shù)據(jù)恢復(fù)軟件不夠熟悉，在提取鏡像后又做了一些畫蛇添足的處理，比如利用VhdTool.exe對(duì)鏡像進(jìn)行各種后期處理，不僅增加了步驟的煩瑣程度，可能還會(huì)起到誤導(dǎo)作用。

3 結(jié)束語(yǔ)

本文針對(duì)如今常用的手機(jī)數(shù)據(jù)恢復(fù)方法進(jìn)行了實(shí)驗(yàn)分析，發(fā)現(xiàn)現(xiàn)有的數(shù)據(jù)恢復(fù)方法或是需要花費(fèi)高額的成本，或是在恢復(fù)過程中造成手機(jī)內(nèi)置存儲(chǔ)數(shù)據(jù)的覆蓋，影響數(shù)據(jù)完整性。Android智能手機(jī)通過物理級(jí)芯片恢復(fù)雖然能夠達(dá)到最好的恢復(fù)效果，但由于成本與技術(shù)等因素，普通用戶不會(huì)選擇該方式。通過手機(jī)軟件對(duì)比電腦軟件可以得出，將手機(jī)內(nèi)置存儲(chǔ)鏡像到電腦磁盤中，比直接用手機(jī)軟件，對(duì)手機(jī)進(jìn)行操作恢復(fù)成功效率高，并且對(duì)數(shù)據(jù)的保護(hù)程度也較高，不會(huì)更多的對(duì)手機(jī)中的數(shù)據(jù)做再次覆蓋。目前還沒有一款工具可對(duì)手機(jī)整個(gè)內(nèi)存進(jìn)行鏡像，然后在內(nèi)存鏡像副本上進(jìn)行操作，保證原始證物的完好無(wú)損。如何獲取手機(jī)內(nèi)存整體鏡像，還需進(jìn)一步投入大量的研究。

參考文獻(xiàn)：

[1]楊鬧春.Android手機(jī)取證系統(tǒng)研究[D].南京：南京郵電大學(xué)，2013： 70-71.

[2]陳德俊，丁紅軍，手機(jī)取證研究概述[J].中國(guó)公共安全：學(xué)術(shù)版，2012（3）：100-102。

[3]張輝極，薛艷英.基于Android系統(tǒng)的取證技術(shù)分析[J]信息網(wǎng)絡(luò)安全，2012（4）：58-60.

[4]陳明艷.手機(jī)信息取證系統(tǒng)的研究與設(shè)計(jì)[D].武漢：武漢理工大學(xué)，2014： 70-72.

[5]孫典.基于Android平臺(tái)的數(shù)據(jù)恢復(fù)與擦除軟件的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2014： 67-70.

[6]危蓉，麥永浩.MTP模式下智能手機(jī)數(shù)據(jù)的恢復(fù)與取證[J].警察技術(shù)，2015（2）：34-37.

[7]趙斌，何涇沙，萬(wàn)雪姣，等，針對(duì)安卓移動(dòng)終端設(shè)備的數(shù)據(jù)取證技術(shù)分析[J].警察技術(shù)，2014（3）：79-82.

[8] L.Aouad， Kechadi T.Android Forensics：A Physical Approach[C]. The 2012 International Conference on Security and Man-agement，2012：1-5.

[9]楊陽(yáng).Android手機(jī)數(shù)據(jù)恢復(fù)方法研究綜述[J].計(jì)算機(jī)時(shí)代，2017（4）：29-31.