可以看杂志的软件 【自备份在国产安卓手机取证中的应用】(3)

当然，在诸多已知的CPU漏洞（如高通9008模式、三星猎户座、MTK等）和系统漏洞（如相机漏洞、WiFi热点漏洞、紧急拨号漏洞等）作用下，我们已经可以通过手工或软件自动化的方式解决部分手机的锁屏密码问题，但是随着CPU国产化和安全性的加强，硬件和系统升级周期的缩短，缺失通用解决方案的解密思路终究会行将就木。

2 备份取证方法

备份是通过对现有数据进行的有规律的收集和整理，安卓手机备份通常根据机制不同可以分为五种：ADB备份、recovery备份、自备份、云备份以及第三方备份。

2.1 ADB备份

ADB备份是安卓4.0以后特有的通过ADB 工具执行backup命令实现的数据备份，备份解析主要适用于对没有Root权限或无法一键临时Root的安卓手机进行取证。手动备份方式是在ADB环境下键入命令，命令执行后手机屏幕会有相应提示。当然市面上的众多手机取证软件都已实现了ADB备份的自动化执行。

图 6 ADB备份时手机屏幕提示

完成后通过手机取证软件分析生成的.ab文件即可得到与文件系统获取类似的结果。这种方法的优点是无需Root权限，获取数据较完整，也能基于SQLite文件进行数据恢复。缺点一方面是仅支持安卓4.0以上系统，且随着系统和APP的不断升级，针对5.x和6.x系统屡试不爽的APP降版本备份在面对新兴的7.x甚至8.0系统时已显得力不从心，可获取的数据已经寥寥无几；另一方面是无法获取未分配簇中的数据，因而不支持基于未分配簇中的深度数据挖掘。

2.2 Recovery备份

Recovery模式，即恢复模式，简单地说可以理解成刷机的工程模式，就好比是电脑安装Windows操作系统前，有一个DOS系统一样。手机一般自带recovery，通常可以通过电源、音量等几个组合键进入，不同手机进入的方法也不同。官方recovery只能对手机进行还原出厂设置或者清理缓存等操作，不过当手机提权或解锁后，就可以安装第三方recovery，第三方recovery提供了更多的功能选项：

??reboot system now（立刻重启系统）

??apply update from sdcard（从SD卡上升级）

??wipe data/factory reset（清除数据并恢复出厂设置）

??wipe cache partition（清除缓存区）

??install zip from sdcard（从SD卡上安装zip升级包）

??backup and restore（备份与还原）

??mounts and storage（加载与存储）

??advanced（高级设置）

图 7 常见的recovery 模式界面

其中备份与还原选项提供了手机机身数据备份的功能，通过备份选项可以绕过常规的系统环境将data、system、cache分区的数据导出到机身外，再通过专门的手机取证软件进行深入的解析。既绕过了烦心的锁屏密码，又无需最高权限的获取了尽可能多的数据。

图 8 制作recovery备份

2.3 自备份

自备份是指大多数国产安卓手机在其自主系统中提供备份功能。该功能可以对机身数据（包括系统信息、基础通讯信息、应用程序记录、多媒体文件等等）选择性的备份。备份时数据默认导出到机身内，也可以将数据导出到机身外置存储（如U盘、TF卡）或电脑端进行存储。由于没有统一的规范，各手机厂家备份的操作方式也五花八门，大致分为独立APP和系统设置两类；导出的备份文件格式各不相同，大致分为单一备份文件和若干程序包两类。

由于安卓7.0后ADB备份已无法正常发挥作用，降版本备份宣告无效，即便能保数据解锁，ROOT也是天方夜谭，芯片镜像更是加密难解。自备份已经俨然成为当下国产安卓手机取证的最佳解决方案。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-60735-3.html