可以看杂志的软件 【自备份在国产安卓手机取证中的应用】(2)

目前，随着OPPO、vivo的崛起，华为、OPPO、vivo和小米四大国产品牌已经通过扩张分销网络布局和产品快速升级，占据了中国市场出货量最多的前四大品牌。

图 2 2017年第2季度全球智能手机销售情况

图 3 2017年第2季度中国智能手机市场情况

1.2 系统特性对取证的影响

1.2.1BootLoader锁

随着移动设备安全受到越来越多的关注，多数的手机厂商采取了加BootLoader锁（简称BL锁）的方式来控制用户自行安装非官方ROM的行为，像市场上常见的三星、小米、华为、HTC等手机厂商均已采用这种方式保护手机的安全。那什么是BootLoader锁呢？

BootLoader其实就是在操作系统内核运行之前运行的一段小程序。通过这段小程序，我们可以初始化硬件设备、建立内存空间映射图，从而将系统的软硬件环境带到一个合适状态，以便为最终调用操作系统内核准备好正确的环境。在嵌入式系统中，通常并没有像BIOS那样的固件程序（注，有的嵌入式CPU也会内嵌一段短小的启动程序），因此整个系统的加载启动任务就完全由BootLoader来完成。

BootLoader锁（简称BL锁）实际就是不让随意更换刷机底包，同时ROOT权限也将无法开启，从而保证系统的安全和稳定。

解BL锁会有风险吗？手机厂商都会在各自网站明文标识出解锁的种种风险，如：设备的所有功能将不保证正常运行；设备的稳定性受到影响，通话质量、电池、网络的效能都将下降；部分固件可能无法启动；安全性降低，不能正常升级等等。同时，各手机厂商也会特别提醒用户：解锁会自动恢复出厂设置，解锁前请备份好用户数据。

在很多案例中我们或许不得不为了获取更高的系统权限考虑而去尝试解锁，但是否真的如厂家提醒的那样因解锁而清除数据吗？通过众多典型手机的实测，笔者得到的答案是不一定。此处的情况非常复杂，故不在此文中赘述。

总之，传统的提权（ROOT）获取方式已经完全受制于BL锁，我们需要发掘更新的通用取证方法。

1.2.2 全盘加密

从Android6.0开始，谷歌向所有厂商发出要求，系统的全盘加密（Full Disk Encryption，即FDE）要强制默认开启，对于用户来说，这样可以从更大程度上保护用户的安全。

开启全盘加密带来的问题也很明显，越来越多的鼓吹离线物理镜像和芯片取证（Chip-Off、ISP和JTAG）的拥趸开始陷入恐慌，极端和故障手机的取证变得愈发艰难。由于加密导致无法进行镜像文件的正常解析，这给手机取证最重要的数据挖掘和文件恢复带来了巨大的影响。由于采用了AES加密算法且内含一个RSA密钥的加密数据块，解密也变得遥遥无期。

图 4 安卓手机全盘加密

1.2.3 锁屏密码

安卓手机的锁屏密码一直是手机取证界的一大难题。锁屏分为两大类，一类是系统设置自带；一类是第三方锁屏工具。

系统自带的锁屏密码又有多种类型：图形密码（手势/图案密码）、简单密码（pin码）、复杂密码等。绝大多数的指纹、虹膜等生物识别技术解锁方式原理上也是通过与常规密码关联进行设置和解密的。无论哪种锁屏方式，实际上都是通过常规的哈希算法进行的简单加密，加密后的密文保存在data分区system目录下的一系列密钥文件中（例如图案密码存储在datasystemgesture.key中）。只不过要拿到这些文件来进行破解就必须取得ROOT权限，然后我们又会回到解BL锁的拉锯战中。

图 5 安卓手机锁屏密码设置

第三方锁屏工具，实际上就是一个APP，替代系统设置中自带的图形密码，进行屏幕密码设置。要解决这类密码，只要将手机进入安全模式，安全模式下，第三方APP将停止运行，设置的图形密码将不会出现，从而可以顺利进入系统。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-60735-2.html