引用本文
崔鹤群, 赵强. 巧用MTP协议破解Android智能手机屏幕锁密码[J]. 刑事技术,2015,40(1): 82-83
CUI He-qun, ZHAO Qiang. Lockscreen Password Cracking on Android Smart Mobile Phone Using MTP Protocol[J]. Forensic Science and Technology,2015,40(1): 82-83  
Permissions
Copyright©2015, 《刑事技术》编辑部
《刑事技术》编辑部
巧用MTP协议破解Android智能手机屏幕锁密码
崔鹤群, 赵强
天津市公安局物证鉴定中心,300193

作者简介:崔鹤群(1984—),女,天津市人,工程师,研究方向为移动终端取证。E-mail:hcte25@sohu.com

摘要

本文介绍了基于Android平台的智能手机应用MTP协议[1]在PC机构建的一个虚拟文件系统[2]中进行案件检验的实例。涉案手机因设置了手机防盗锁且USB调试未打开,现有的手机取证工具无法对其数据进行提取。通过查询手机生产日期推断该手机版本支持MTP协议, 并尝试利用MTP协议查看和拷贝手机内的文件,最终找到QQ文件夹下保存的解锁密码,解除屏幕锁后利用现有手机取证工具成功提取到涉案手机中的短信息、即时通讯记录等与案件相关的信息,为手机检验中破解第三方软件设置的屏幕锁解锁提供了一种新的方法。

关键词: 电子物证; Android平台; MTP协议; 屏幕解锁
中图分类号:DF793.2 文献标志码:B 文章编号:1008-3650(2015)01-0082-02 doi: 10.16467/j.1008-3650.2015.01.020
Lockscreen Password Cracking on Android Smart Mobile Phone Using MTP Protocol
CUI He-qun, ZHAO Qiang
Institute of Forensic Science, Tianjin Public Security Bureau, Tianjin 300193, China
Abstract

This paper introduces digital forensic examination on Android smart phone using MTP protocol to build up a virtual file system in PC. By the request of MTP protocol, PC can operate and then view and copy files on some Android smart phones. The data from the phone involved in the case could not be extracted with current smart phone forensic tools, because it set up a mobile phone anti-theft lock and USB debugging was not open. The author queried the production date of smart phone and concluded the Android System version was supported by MTP protocol, which was used to find password in Tencent folder and exact SMS\IM records from the phone. Therefore, this paper provides a new method for unlocking smart phone whose screen lock is set by third party software.

Keyword: digital evidence; Android platform; MTP protocol; unlock screen
1 案件检验

2014年某日, 柏某被扎伤后, 抢救无效死亡。案件侦查提取柏某“ 三星” 牌Android智能手机, 型号为GT-I9200, 拟对其短信息、即时通讯记录等进行检验。

技术人员发现手机使用 “ 腾讯手机管家” 手机防盗功能[3, 4]将手机屏幕锁定, 需要输入“ 90” 开头的QQ号码解锁, 同时该手机的USB调试模式未开启。办案人员提供的手机持有人柏某QQ账号, 也并非“ 90” 开头。故此, 现有的手机取证工具无法提取手机的短信息、即时通讯记录等与案件相关的数据。技术人员根据查询手机的出厂日期, 判断此手机版本应为4.0以上版本, 支持MTP协议, 可以尝试利用MTP协议查看和拷贝该手机中文件。

将检材接入取证工作站(windows 7操作系统), 发现弹出“ 自动播放” 窗口(见图1), 点击“ 打开设备以查看文件” 选项, 进入手机内存储的文件夹界面, 发现腾讯公司的即时聊天工具“ tencent” 文件夹(见图2)。进入“ tencent” 文件夹, 在其文件夹内发现为“ MobileQQ” 的文件夹(见图3)。内有一个“ 90” 开头的文件夹(见图4)。以此QQ号码作为解锁密码, 顺利的解除了屏幕锁。手机屏幕锁解除后, 打开手机的USB调试, 使用手机取证工具成功提取出短信息、即时通讯记录等与案件相关的数据。

图1 自动播放窗口Fig. 1 Automatic playback window

图2 文件夹界面及” tencent” 文件夹Fig. 2 Folder interface and “ tencent” Folder

图3 “ tencent” 文件夹界面及“ MobileQQ” 文件夹Fig. 3 “ tencent” Folder interface and “ MobileQQ” Folder

图4 “ MobileQQ” 文件夹界面及“ 90” 开头文件夹Fig. 4 “ MobileQQ” Folder interface and “ 90” beginning Folder

2 讨 论

针对第三方手机安全软件, 其设置要求输入QQ账号的屏幕锁方式与Android系统原生的防盗锁加密方法是不同的。当被检手机USB调试模式未开启的情况下, Android系统可用MTP协议使手机与PC进行数据的查看和交换, 达到解除屏幕锁的目的。值得注意的是, 只有在操作系统安装Windows Media Player 10或者更高版本才具备支持MTP协议能力。随着Android版本的更新, 当前的4.3和4.4版本在没有解除屏幕锁(包括第三方软件)的情况下, 拒绝PC访问手机内的文件, 也就是说我们只能看到一个以手机“ 设备名称” 命名的盘符存在, 并不能看到盘符里面的文件。所以, 针对4.3和4.4版本使用上述办法是不能查看到手机内的任何文件的。MTP的用途是传输媒体文件, 并从(向)设备关联元数据, 对设备的远程控制有可选的额外支持, 读取和设置设备参数, 如特别的DRM相关的受限内容设备参数。利用此用途可直接导出所需的媒体文件和即时通讯等文件信息, 大大缩短了取证时间, 提高了工作效率。

The authors have declared that no competing interests exist.

参考文献
[1] Innost. MTP in Android [EB/OL]. [2013-5-2]. http://blog.csdn.net/innost/article/details/8876392. [本文引用:1]
[2] 邓凡平. 深入理解SEAndroid(卷1)[M]. 北京: 机械工业出版社, 2011. [本文引用:1]
[3] 明日科技. Android从入门到精通[M]. 北京: 清华大学出版社, 2012. [本文引用:1]
[4] 郭宏志. Android应用开发详解[M]. 北京: 电子工业出版社, 2010. [本文引用:1]