浅谈Android手机取证中获取物理镜像的重要性
本文通过实验说明物理镜像的获取及数据分析在手机取证中的重要性。实验用的手机为红米 2 加强版(型号为2014813),2 GB RAM,16 GB ROM,Android 4.4.4,MIUI 版本为MIUI 5.7.31开发版,手机已Root。
第1步:前期准备
首先,从百度下载一张“.jpg”格式的图片复制到手机内置存储空间根目录下,文件名为“meiya.jpg”,如图1所示。
在手机中向“1234567890”这个号码(当然了,这个号码并不存在)发送一条短信,内容是“Mobile Forensics”,如图2所示。
 |
第2步:删除相关信息
在手机文件管理器中删除图1中所示的图片“meiya.jpg”;在手机中删除刚才发送的短信,如图3所示。
第3步:使用手机助手获取短信
将手机连接电脑,分别使用小米手机助手和91手机助手查看、导出短信,没有发现刚才删除的那条短信。
第4步:使用ADB Shell查看文件
在电脑上安装adb.exe(“adb”是“Android Debug Bridge”的缩写,大部分手机助手都自带且安装了adb.exe),在命令提示符中将工作目录切换到adb.exe所在目录,输入“adb shell”进入ADB Shell 模式,接着输入“su”获取Root权限,输入“cd /mnt/sdcard”切换当前工作路径到手机内置存储空间根目录下,输入“ls -l”查看详细文件/文件夹列表,没有发现刚才删除的图片“meiya.jpg”。如图4所示。
 |
第5步:获取手机镜像
使用DC-4500手机取证系统“工具箱”中的“Android镜像下载”工具获取手机“/data”分区的dd镜像,如图5所示。
 |
第6步:分析镜像
使用WinHex打开刚才创建的dd镜像,在其偏移02BE522FB附近找到了如图6所示内容,我们可以看到刚才发送的短信内容“Mobile Forensics”,并在附近发现了发送的号码1234567890,同时还在附近发现了一串数字“11*39”,这是这部手机登录的小米帐号。
 |
接下来,还在镜像文件偏移005CCFFF0附件中找到了如图7所示的内容,根据经验判断,这里有“.jpg”格式图片的文件头,继续往下看,还找到了一个“.jpg”格式文件的结束标识。将这之间的内容另存为一个文件“未命名”,使用“Windows照片查看器”顺利打开,如图8所示。
 |
 |
结果分析
第3步代表逻辑提取,各种手机助手都可以进行基本的逻辑提取,这种逻辑提取使用的是Android系统读取短信的API,但系统并没有获取已删除短信的API,所以逻辑提取无法获取到已删除的短信。其实逻辑提取还可以通过备份的方式将相关数据备份出来然后解析,例如美亚柏科的手机取证产品DC4501、FL-900等就能从Android手机的备份文件中提取一些删除的短信等内容。
第4步代表逻辑浏览。在ADB Shell中无法看到“meiya.jpg”也很好理解,因为图片已经删除了,ADB Shell中只能显示文件系统认为存在的文件,文件删除后,文件系统就认为此文件已经不存在了。
第5步和第6步代表物理获取。上述例子在运行的系统中获取的镜像其实还不是真正的“物理镜像”,更彻底的物理镜像是通过Chip Off(拆取芯片)等离线方式获取镜像。通过物理镜像这种方式最全面,在取证中效果最好。之所以在手机上删除了还能恢复,是因为原内容并没有被覆写,只要原始数据还在,就可以恢复。这就好比一本书的目录中涂掉了一些章节,如果只看目录,就会以为这些章节不存在了,但是只要这些章节的具体内容还没有涂抹掉,一页一页地去寻找,就一定能够找到。
目前Android系统并没有对存储设备进行全盘加密,只要获取到了物理镜像,然后使用十六进制编辑器查看,可以发现很多线索。当然了,这样查看需要了解常见文件签名、编码等众多知识和丰富的经验,而且效率往往不高。当遇到一些文件已经部分损坏的情况,可能还需要文件雕刻知识。可以使用一些自动化的工具,比如开源的scalpel。
Android系统中的分区一般是Ext4文件系统,使用对应的数据恢复软件也可以很方便地进行数据恢复。例如在此例中,使用取证大师电子数据分析系统加载此dd镜像,使用签名恢复恢复出了25177个图片,其中就包括例子中删除的那张。如图9、图10所示。
 |
 |
目前,大部分手机连接电脑查看、管理手机中的文件都是通过MTP模式而不是优盘模式,这样做的好处是不需要考虑手机中文件系统格式,也不会因为电脑独占手机存储空间而导致手机中一些依赖sdcard分区的程序运行异常。而MTP模式是在文件系统层之上的,MTP连接模式下无法进行数据恢复。制作物理镜像则没有这一担忧。
另外,手机在运行过程中,系统运行、程序运行、用户操作都会都对手机中的数据造成持续的改变。从尽量保持检材数据原始性的角度,制作手机镜像是最好的选择。
结论
对于手机取证人员来说,在不破坏手机硬件的情况下,应尽可能地获取手机内存(Flash)的物理镜像,通过物理镜像通常获得完整的文件系统,并恢复已删除的文件(如照片、视频等)。此外物理镜像还可通过十六进制编辑器搜索并分析文件系统中的未分配空间中的残留数据,从而可能提取到有价值的相关数据。
本文最早发布于微信公众号“美亚柏科”,发布日期为2015年9月2日
微信公众号“cnforensics”于2015年9月14日授权发布
本文同时收录到美亚柏科官网技术分享栏目
其他平台为非授权转载。