非root条件下获取安卓手机物理镜像
[计超豪1 
, 王即墨1 , 裴洪卿2, * ]
, 王即墨]
引用本文
计超豪, 王即墨, 裴洪卿. 非root条件下获取安卓手机物理镜像[J].刑事技术, 2018,43(6):463-465
JI Chaohao, WANG Jimo, PEI Hongqing. Acquiring Physical Dump-images from Android Phone without Root Authority[J]. Forensic Science and Technology,2018,43(6): 463-465
Doi: 10.16467/j.1008-3650.2018.06.008
JI Chaohao, WANG Jimo, PEI Hongqing. Acquiring Physical Dump-images from Android Phone without Root Authority[J]. Forensic Science and Technology,2018,43(6): 463-465
Permissions
Copyright©2018, 《刑事技术》编辑部
《刑事技术》编辑部
非root条件下获取安卓手机物理镜像
第一作者简介:计超豪(1982—),男,浙江温州人,学士,工程师,研究方向为电子物证。E-mail:32725229@qq.com
摘要
在电子物证检验工作的检材中,安卓系统的智能手机占有很大比例。以往在获取安卓系统手机中的数据时,为了尽可能全面提取和恢复数据,常采用获取root权限(系统最高权限)后进行物理镜像的方法进行数据固定。随着安卓手机系统版本的不断升级,获取手机root权限的难度越来越高,同时也伴随着破坏手机存储数据的风险,因此在非root条件下获取安卓手机的机身镜像数据是更符合司法取证规范的数据固定方法。在实际办案工作中,通过第三方recovery、专用通讯接口或安卓系统的特殊引导模式等方法可以有效提高安卓手机镜像获取的成功率。
关键词:
手机取证; 安卓系统; 安卓系统提权(root); 物理镜像
中图分类号:DF793.2
文献标志码:A
文章编号:1008-3650(2018)06-0463-03
Acquiring Physical Dump-images from Android Phone without Root Authority
Abstract
Among digital evidence examination, Android phones present high profile. Usually, examiners try to get root authority (highest in the system) to get physical dump-images from the Android phone so that the data can be fully extracted and recovered as many as possible. However, the constant updating of Android system make it even more difficult for the root authority to get, leading to high risk of damaging the data. Thus, it is getting imperative to acquire the physical dump-images from Android phones with no requirement of root warrant in digital forensics. In fact, there are available choices of third-party recovery, dedicated communication interface or Android special boot mode and others so as to effectively improve the success rate of dump-image acquisition from Android mobile phones.
Key words:
mobile phone forensics; Android phone; root; physical dump-images
在手机取证领域, 为了获取安卓手机机身数据, 同时为了更多地恢复删除数据, 检验人员往往会采用获取root权限[1]的办法, 因为在获取root权限后, 检验人员可以通过取证工具获取到更多的数据, 并可以实现删除数据的恢复。虽然获取root权限给取证工作带来很多好处, 但伴随着root而来的隐患和潜在风险也日益突显[2]。一方面, 安卓5.0以上版本安卓手机获取root权限难度不断提高, 另一方面, root属于对安卓系统的强制提权操作, 容易出现损坏系统导致无法正常启动手机甚至清除手机存储数据的情况。因此, 在非root条件下安全并且全面地获取安卓手机机身物理镜像数据是恢复删除数据的基础, 也是电子物证检验工作重要的发展方向。本文对目前实际取证工作进行了汇总和研究, 总结出在非root条件下获取安卓手机物理镜像的几种方法及适用情况, 以期为取证人员提供参考。
1 基于第三方recovery的提取方法
安卓手机默认都会有一个recovery分区, 这个分区不含任何用户数据, 主要用于安卓系统重新安装, 也就是俗称的刷机, 但是安卓手机进入默认自带的recovery分区时, 是没有root权限的, 因此可以利用第三方具有root权限的recovery分区实现手机数据的获取。这个过程虽然改变了recovery分区的数据, 但是对用户数据分区没有任何改变, 而且相对于直接进行root操作而言, 风险要小很多。具体操作是在手机进入fastboot模式或Download模式下或使用专用工具, 写入对应型号的第三方recovery分区镜像, 然后在第三方recovery分区下即可获取用户数据区的完整数据。这种数据获取虽然属于物理镜像获取方法, 但当取证工具不支持在第三方recovery分区下自动获取物理镜像的时候, 需要检验人员通过手工输入命令行的方式进行镜像提取, 检验人员必须能够熟练地选择正确的recovery分区镜像, 因此在实际检验工作中并不常用。而且随着安卓系统的升级, 在安卓手机锁定Bootloader引导分区的前提下, 这种方法已经不再适用。
2 基于JTAG的提取方法
JTAG是一种国际标准测试协议, 主要用于芯片测试, 在电子物证检验工作中主要用于疑难手机检验, 特别适用于高通芯片组的安卓系统手机存储芯片中数据的镜像。检验时, 需要将手机外壳拆开, 并根据取证工具提示的信息, 找到主板上相应的测试点, 如TDI、TDO、TMS、TRST、TCK、SYS等六个主要触点, 通过专用的取证程序将字库镜像提取出来进行解析。
由于近年来手机生产厂商逐渐取消了手机主板上预留的JTAG接口, 导致这种方法的适用范围逐渐缩小, 但是对于较早期的安卓手机以及Windows Phone手机而言, JTAG仍不失为一种好的方法。这种方法对机身硬件不做任何改变, 且不受软件系统版本的限制, 可以忽略root权限以及开启USB调试模式的要求, 但部分需要焊线的工作对检验人员来说有一定的操作要求, 同时JTAG的接口定义也需要镜像获取工具提供说明。
3 基于芯片拆解的提取方法
芯片拆解又被称之为Chip-Off方法, 一度被认为是手机取证中数据提取的终极解决方案。这种方法需要将手机中的存储芯片与主板“ 剥离” 并进行相应的处理, 使用芯片专用数据读取底座即可获取该手机的完整物理镜像。这种办法由于是直接对手机eMMC或eMCP存储芯片进行数据提取, 因此可以避开root权限和USB调试模式的限制完整地获取物理镜像。
在实际检验工作中, 涉及到手机损毁无法开机的情况, 就只能采用这种方法来获取手机机身数据。由于eMMC芯片本身的防护等级比较高, 在海水浸蚀、火烧、猛烈撞击等破坏条件下, 只要eMMC存储芯片没有受到破坏, 均可以采用芯片拆解方法进行提取。2015年温州“ 7• 5” 案件现场, 嫌疑人将手机置于煤球炉中试图破坏证据, 但经过芯片拆解方法, 完整地获取到手机存储芯片中的数据, 为案件侦破提供了重要线索。
虽然芯片拆解方法几乎可以满足所有品牌型号的安卓系统手机数据的提取要求, 但这种方法对于检验设备和检验人员来说都有相当高的技术挑战, 同时由于存储芯片的类型和原始镜像的数据格式都有所不同, 所以检验人员熟练拆解手机并从主板上完好剥离存储芯片的操作需要专业的培训和大量的练习, 包括学习电子方面和二进制数据分析方面的知识。
除了检验人员技术操作层面的限制, 芯片拆解后手机检材难以复原也是这种方法的主要限制条件之一, 毕竟在实际案件中, 并不是所有待检手机都无法开机或处于损毁状态, 大量难以获取数据的手机都带有锁屏密码且未开USB调试, 而使用芯片拆解方法提取数据要对手机进行彻底的拆解, 后期手机恢复原状的难度很高, 因此该方法在实际检验工作中并不作为首选方法。另一方面随着全盘加密技术FDE (full disk encryption)的应用越来越广泛, 这种芯片拆解的镜像获取方法受到的限制也越来越大。
4 基于硬件无损的提取方法
随着安卓5.0系统引入全盘加密机制, 并在安卓6.0版本默认开启, 不论是通过JTAG测试接口还是通过芯片拆解的方法, 对于加密的数据都难以做到手机机身存储数据有效解密获取和恢复。因此一些基于手机生产厂商底层通讯协议或者利用漏洞的物理镜像获取方法显示出了更强的获取能力, 并且可以实现镜像获取后锁屏密码的破解[3], 以及加密镜像的解密提取。其中以下几种方法较为常用:
4.1 基于META模式等底层通讯协议的提取方法
META模式是指MTK芯片组手机的特殊通讯模式, 主要用于以MTK芯片组为处理器的安卓手机的工厂测试。大多数手机进入META模式需要在关机状态下按住对应的META按键然后使用数据线将手机连接到电脑。常见的META按键是音量加减键, 但也有个别情况下手机不需要按任何按键也可以进入META模式, 因此针对不同的手机需要视具体情况而定。
在META模式下, 取证工具如UFED 5.0以上版本或XRY 6.0以上版本可以识别到“ USB single port” 的映射端口, 在驱动正确识别的条件下即可在取证电脑中获取到机身存储芯片的物理镜像。因此这种方法不受root权限的限制。这种方法对取证人员来说操作难度低, 仅对取证工具有MTK芯片组型号支持的要求。现阶段有相当多型号的MTK芯片组手机可以通过这种方法获取物理镜像, 如魅族、红米系列、VIVO以及华为等部分型号手机均采用MTK芯片组, 而且这类手机数量也在不断增加。
像META模式一样, 其他芯片组也有类似底层通讯协议, 如高通芯片组的9008端口等, 也可以用相似的方法提取手机物理镜像。
4.2 基于硬件漏洞的提取方法
除了META模式这种基于底层通讯协议的物理镜像提取方法外, 有些品牌型号的安卓手机还存在硬件和系统漏洞, 如三星系列广泛采用的猎户座芯片组, 其中Exynos 4412和Exynos 4410两个型号芯片组CPU内核存在的安全漏洞即可用来获取手机机身数据, 利用这些漏洞和底层通讯协议也可以实现关机状态下安卓手机物理镜像的获取。目前取证领域主流的手机取证工具或多或少已经包含有类似功能, 如UFED 6.0和XRY6.0都支持近百款型号的三星安卓手机, 可以实现在关机状态下进行物理镜像的获取, 原理就是基于三星手机猎户座CPU的硬件漏洞实现的。此外目前执法机关常用的手机镜像工具PH– Extractors也包含了上述无损镜像提取方法, 还增加了基于海思芯片组的华为手机镜像获取方法。
在我市某诈骗案中的涉案三星盖世7(型号SM-G9350)手机, 由于带有锁屏密码且未开启USB调试模式, 无法通过常规手段获取机身数据。同时由于该检材采用了UFS2.0存储芯片, 且默认使用了安卓6.0操作系统, 全盘数据进行了加密设置, 无法使用芯片拆解的方法进行数据获取, 此时基于该手机硬件漏洞的提取方法就充分发挥了优势。取证人员使用PH-Extractors 镜像获取工具1.3以上版本对该手机进行数据获取, 首先同时按下该检材手机“ 音量减” “ Home键” “ 开机键” 三个按键, 使检材手机进入到download模式, 然后将检材手机通过USB数据线接入取证工作站, 取证工具识别检材后通过底层通讯协议自动识别手机芯片所有分区, 即处于无损镜像的取证状态, 此时, 可在不进入操作系统的情况下获取到未加密的全盘镜像数据。这种方法突破了芯片拆解方法的技术要求限制, 而且对于高版本安卓系统手机也具有良好的支持, 简便的操作也方便取证人员更高效地获取数据。
5 讨论
2016年“ 两高一部” 颁发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定(法发〔2016〕22号)》中对电子物证取证规范做了进一步要求, 意味着司法取证规范要求的逐步提高。手机取证工作必将像计算机取证一样, 有完善的证据固定和镜像获取要求, 相对于获取root权限这种“ 有损” 检验方法而言, 在不开机条件下进行物理镜像获取无疑是符合司法取证规范要求的方法。对于取证人员来说, 越是简单和快速的操作, 越能够在实际办案过程中及时发挥证据和线索的作用。因此, 在手机软硬无损条件下进行的物理镜像获取方式必将成为未来手机取证的主要方法之一。由于手机取证技术也随着手机检材本身的不断推陈出新而发展, 未在本文列举的其他方法也欢迎各位读者探讨指教。
The authors have declared that no competing interests exist.
作者已声明无竞争性利益关系。The authors have declared that no competing interests exist.
参考文献
| [1] |
|
| [2] |
|
| [3] |
|