可以看杂志的软件 【自备份在国产安卓手机取证中的应用】(5)

与华为手机不同，小米手机的自备份功能并没有通过独立的APP中体现，而需要进入小米的MIUI系统设置，选择其他高级设置，再点备份和重置进行备份操作。备份的存储位置默认机身，手机自带备份数据范围很全面，必然占用较大内置存储，对于取证来说此类破坏原始检材的操作非常不利，因此笔者建议务必将数据备份到电脑上使用。

图 13 制作小米自备份

1) 将备份文件拷贝到电脑端

小米手机自备份文件扩展名为.bak，一般存储在MIUIbackupAllbackupxxx（xxx代表备份的日期时间）目录中。小米Andriod 7.0版本手机都支持OTG功能，笔者借助OTG优盘插入手机数据接口，通过自备份功能在手机上进行备份，将备份路径将选择到OTG优盘，等待备份完成，然后拔出OTG优盘插入电脑端查看是否备份成功。通过浏览对应目录可以看到.bak文件，如图：

图 14 小米手机自备份文件

2) WinHex修改bak文件头

图 15 使用Winhex修改bak文件头

最近刚刚发布的盘石手机取证蜂系列软件SafeMobile已经支持直接解析小米自备份。

图 16 使用SafeMobile直接解析小米自备份

3) 数据解析

使用7-Zip解压.bak文件，得到addressbook.store和de.xml。用Winhex打开addressbook.store文件，记录数据中不同的标记代表不同的含义，如图：

图 17 使用Winhex打开addressbook.store文件

其中：

??0x12为记录开始标记

??0x32标记为序号

??0x18是状态标记（0x01是接收，0x02是发送）

??0x0A是姓名标记

??0x22为姓的标记

??0x12为名标记

??第二个0x0A是电话号码的标记

这样可以依次解析出中的每个数据。

同样的，使用7-Zip工具解压通话记录.bak，得到calllog.store和de.xml；解压短信.bak，得到sms.store和de.xml。用Winhex打开分别calllog.store和sms.store文件，依次解析即可得到通话记录和短信信息。

3.3 OPPO手机备份取证

1) 将备份数据拷贝到电脑端

OPPO手机备份文件拓展名为.tar，一般存储路径在存储BACKUP，应用程序在APP目录下，/短信在Data目录下。笔者通过OPPO手机Andriod7.0版本手机系统自带的备份APP进行数据备份，手机连接电脑后会出现存储盘符，找到备份文件所在的目录后，将数据拷贝到电脑端得到备份.tar文件（OPPO手机备份应用都会关联应用的apk文件），如图：

图18 OPPO手机自备份文件

2) 使用7-zip解压.tar文件

3) 手机使用情况痕迹

与华为手机相似，在OPPO手机拨号界面键输入*#*#4636#*#*指令，手机端会显示：手机信息，数据统计，WiFi连接信息记录等内部日志记录，数据统计中会包含嫌疑人曾经的使用痕迹。

图19 OPPO手机中的使用情况统计数据

3.4 vivo手机备份取证

随着大街小巷电视网络的广告轰炸，vivo手机和OPPO手机一同成为近两年曝光度最高的两大国产品牌，也一跃成为国内安卓手机四强。因vivo自己的Funtouch OS系统限制，手机并没有提供自带备份功能。在Andriod 6.0及以下版本的手机中，可以通过vivo手机助手或ADB备份方式进行数据备份，备份中包含基本信息，应用数据；升级到Andriod 7.0后，应用数据已经不能备份。

1) 查询ROOT权限

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-60735-5.html