作者简介:崔鹤群(1984—),女,天津市人,工程师,研究方向为移动终端取证。E-mail:hcte25@sohu.com
This paper introduces digital forensic examination on Android smart phone using MTP protocol to build up a virtual file system in PC. By the request of MTP protocol, PC can operate and then view and copy files on some Android smart phones. The data from the phone involved in the case could not be extracted with current smart phone forensic tools, because it set up a mobile phone anti-theft lock and USB debugging was not open. The author queried the production date of smart phone and concluded the Android System version was supported by MTP protocol, which was used to find password in Tencent folder and exact SMS\IM records from the phone. Therefore, this paper provides a new method for unlocking smart phone whose screen lock is set by third party software.
2014年某日, 柏某被扎伤后, 抢救无效死亡。案件侦查提取柏某“ 三星” 牌Android智能手机, 型号为GT-I9200, 拟对其短信息、即时通讯记录等进行检验。
技术人员发现手机使用 “ 腾讯手机管家” 手机防盗功能[3, 4]将手机屏幕锁定, 需要输入“ 90” 开头的QQ号码解锁, 同时该手机的USB调试模式未开启。办案人员提供的手机持有人柏某QQ账号, 也并非“ 90” 开头。故此, 现有的手机取证工具无法提取手机的短信息、即时通讯记录等与案件相关的数据。技术人员根据查询手机的出厂日期, 判断此手机版本应为4.0以上版本, 支持MTP协议, 可以尝试利用MTP协议查看和拷贝该手机中文件。
将检材接入取证工作站(windows 7操作系统), 发现弹出“ 自动播放” 窗口(见图1), 点击“ 打开设备以查看文件” 选项, 进入手机内存储的文件夹界面, 发现腾讯公司的即时聊天工具“ tencent” 文件夹(见图2)。进入“ tencent” 文件夹, 在其文件夹内发现为“ MobileQQ” 的文件夹(见图3)。内有一个“ 90” 开头的文件夹(见图4)。以此QQ号码作为解锁密码, 顺利的解除了屏幕锁。手机屏幕锁解除后, 打开手机的USB调试, 使用手机取证工具成功提取出短信息、即时通讯记录等与案件相关的数据。
针对第三方手机安全软件, 其设置要求输入QQ账号的屏幕锁方式与Android系统原生的防盗锁加密方法是不同的。当被检手机USB调试模式未开启的情况下, Android系统可用MTP协议使手机与PC进行数据的查看和交换, 达到解除屏幕锁的目的。值得注意的是, 只有在操作系统安装Windows Media Player 10或者更高版本才具备支持MTP协议能力。随着Android版本的更新, 当前的4.3和4.4版本在没有解除屏幕锁(包括第三方软件)的情况下, 拒绝PC访问手机内的文件, 也就是说我们只能看到一个以手机“ 设备名称” 命名的盘符存在, 并不能看到盘符里面的文件。所以, 针对4.3和4.4版本使用上述办法是不能查看到手机内的任何文件的。MTP的用途是传输媒体文件, 并从(向)设备关联元数据, 对设备的远程控制有可选的额外支持, 读取和设置设备参数, 如特别的DRM相关的受限内容设备参数。利用此用途可直接导出所需的媒体文件和即时通讯等文件信息, 大大缩短了取证时间, 提高了工作效率。
The authors have declared that no competing interests exist.
[1] |
|
[2] |
|
[3] |
|
[4] |
|