可以看杂志的软件 【自备份在国产安卓手机取证中的应用】(4)

图 9 制作自备份

2.4 云备份

随着云服务的兴起，系统自带备份功能逐步强大，很多手机都在备份功能中提供了云服务，即通过网络将机身数据备份到云端服务器中，不占用本地空间。云备份的数据比较全面，操作也简单，也是刷机前的最佳选择。但由于需要连接网络登录账号才能开启备份，无疑给检材数据安全性带来了极大的风险，加上需要云端数据需要账号密码才能下载，对于手机取证来说无疑是多此一举。因此笔者不建议采用云备份的方式进行收集数据获取，仅当机身或本地数据无法满足需求时，可以考虑访问云端账户以寻求更多的历史备份作为补充。

2.5 第三方备份

顾名思义，第三方备份指的是借助第三方手机助手工具提供的数据备份功能进行的备份。常见的第三方通用手机同步工具（如360手机助手、91助手、腾讯手机管家等），以及厂商的官方工具（如华为手机助手、小米助手等）都提供相关功能。可以看杂志的软件通常各工具提供的备份数据格式各不相同，因此不能混用。第三方工具通常包括PC版和手机版两种，PC版通过连接手机将机身数据备份到电脑端；手机版则通过对机身关键数据的备份以备以后的数据还原，例如赫赫有名的钛备份。

由于第三方工具的民用性质，其备份的数据范围相对并不全面，再加上会在手机上强制安装APP，因此笔者觉得在手机取证中不建议使用第三方工具制作备份数据作为首选方案，更多的是在计算机取证时识别保存的历史备份作为证据链的一部分。

图 10 常见的第三方备份

3 国产安卓手机自备份取证

安卓系统从4.0版本开始推出了备份功能，但在原生系统中该功能仅仅作为系统还原后的数据恢复提供帮助，没有发挥其应有的能效。直至4.4版本的到来，国内安卓厂家陆续在其自主系统版本中推出了功能更加强大的自备份功能。该功能通过对机身数据（包括系统信息、基础通讯信息、应用程序记录、多媒体文件等等）选择性的备份，可以将数据导出到机身外进行存储。由于手机厂家定义的备份文件格式各不相同，很难通过一个固定的方法通吃。因此，针对不同厂家的自备份，市面上现有的手机取证软件总是滞后和不完善的，利用手工操作和已有的手机取证软件相结合的方式是目前处理国产安卓手机自备份数据解析问题的解决之道。

下文笔者通过对四大国产安卓手机自备份的解析方法的探讨和实验，旨在得出可行的分析方法和解决方案。

3.1 华为手机备份取证

华为作为几年国产安卓手机品牌持续保持着高速发展，并在国际市场占据了不小的份额，再加上大部分旗舰机型使用了自主的海思麒麟CPU，加大了传统方法的取证难度，可以说现在国内安卓手机取证，华为在很多情况下已经成为第一要务。华为手机通常在其EMUI系统中自带备份APP，备份文件路径为存储HuaweiBackupbackupFiles，以日期时间作为目录名，应用程序数据以格式存放。

1) 将备份数据拷贝到电脑端

图 11 华为自备份文件

2) 手机使用情况痕迹

由于自备份只能针对现有应用记录进行获取，如果出现嫌疑人卸载APP并清除数据的极端情况，常规取证便不能获取到相关记录信息。可以看杂志的软件此时嫌疑人很可能拒不承认曾经使用过相关APP，至此取证调查可能就会陷入被动。但是笔者通过实验发现，此时在华为手机拨号界面键输入*#*#6130#*#*指令，手机端会显示：手机信息，数据统计，WiFi连接信息记录等内部日志记录，其中便包含嫌疑人曾经的使用痕迹。

图 12 华为手机中的使用情况统计数据

3.2 小米手机备份取证

小米手机作为当前最流行的智能手机品牌之一，在中国市场占有率超过10%。为了增强数据的安全性，小米针对自己的MIUI系统开发出备份功能以保护用户数据。其中，手机里的联系人、通话记录、短信等重要信息一般都存储在内存卡或者SIM卡，如果用户利用小米备份工具备份了这些数据，我们就可以对备份文件进行提取和解析，找到手机中的关键信息。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-60735-4.html