浅谈司法鉴定中Android手机的解锁及镜像

2019-03-07 05:22贾钊丁兆锟谢波史向东廖赟
电脑知识与技术 2019年35期

贾钊 丁兆锟 谢波 史向东 廖赟

摘要:随着移动通信技术的高速发展,手机取证已成为司法鉴定中电子数据取证的重要组成部分。在取证过程中,手机锁屏密码经常会给取证工作的进行带来障碍。针对这一问题,本文总结了不同场景条件下Android手机解锁及获取镜像的常用流程和所需技术,为司法鉴定中破解Android手机锁屏密码和提取数据镜像提供相关思路。

关键词:电子取证;Android手机;手机解锁;手机镜像

中图分类号:TP393 文献标识码:A

文章编号:1009-3044(2019)35-0264-02

随着信息技术迅猛发展,智能手机已演变成为一个包含个人综合全面信息的终端设备,智能手机中包含的信息证据也越来越多。在司法鉴定过程中,对目标手机包含的各类信息的调查和取证也越来越重要,手机已经成为调查取证所需重要信息的获取来源[1]。根据IDC的数据,2018年Android手机销量在全球市场占比约为85%。所以,Android手机的取证技术目前已成为司法鉴定工作中各类技术的重点关注内容。

1 Android系统

Android是Google公司开发的一款基于Linux内核的嵌入式操作系统。其体系结构自下而上分别为:Linux内核层、系统运行库层、应用程序框架层、应用程序层。Android手机加电开机后,CPU从ROM的固定位置读取引导加载程序到RAM并执行,然后加载系统。这个过程有三种模式:

(1)Recovery模式(恢复模式)。在该模式下,用户可以进行系统备份、系统升级、还原出厂设置等操作,进入恢复模式后,用户可以根据需要进行备份、刷机、清除数据等操作。

(2)Fastboot模式(快速引导模式)。该模式是一种比Recov-ery模式更底层的刷机模式,当手机的系统无法进入恢复模式时,可以通过Fastboot进行重新刷机,恢复设备。

(3)正常启动模式。在该模式下,手机会启动Android系统,并加载系统程序到System分区,然后读取用户应用程序,初始化后正常启动。

2 Android手机锁屏方式

2.1图形锁

图形锁需要用户在一个3x3的点阵上绘制一个个性化图形,用于解锁手机设备。由于规则要求,图形锁一共只有389112种,比6位数字密码的1000000种更少一些,换句话说,图形锁的安全性要弱于6位数字密码。

2.2密码锁

密码锁包括简单密码和复杂密码,简单密码一般情况需要输入4到6位纯数字,对于2019年6月之前的Android手机,最多可设置16位以内的纯数字密码。复杂密码一般情况下需要输入4到16位至少包含一个字母的数字、大小写字母和标点符号的组合。

2.3 PIN码

PIN码是手机SIM卡的个人识别码,是保护SIM卡的一种安全措施,防止SIM卡被盗用。如果手机启用了PIN码,那么每次开机后就要输入4到8位数PIN码才能启用SIM卡,且连续3次输入错误的密码后SIM卡会被锁定,需要输入运营商提供的PUK码才能解锁。

2.4生物特征

生物特征锁屏是通过手机设备中的传感器录入生物特征信息作为锁屏密码。目前应用比较多的是指纹和面部识别。出于安全性考虑,Android系统6.0后,google对所有支持指纹识別的手机制造商提出了要求:在第一次使用指纹锁屏时,用户需先设置设备密码(图案密码、密码、PIN码),再添加指纹密码,所以指纹密码并不是单独存在。

3 Android手机解锁与镜像获取

在司法鉴定手机取证中,比较常规的三种取证方法是:自带备份、ADB备份和降级备份。而这三种取证方法的实施都是建立在已知手机锁屏密码的前提之下的,所以当遇到不知道锁屏密码的情况时,光靠常规思路是无法满足需求的。

针对上述手机取证难点,目前可以考虑从手机解锁和手机镜像两个方向进行突破。通过手机解锁可以顺利突破密码限制,获取到手机中的重要数据;通过手机镜像可以对删除数据做进一步的恢复工作,从而挖掘更多有价值的线索。

3.1 ROOT权限

用软件方法进行物理取证是Android手机取证的首选[2],如果在手机开启了USB调试且有ROOT权限的情况下,就可以采用ADB命令的方式清除或者提取密码文件。不同Android版本其密码文件存储的位置也不相同,只要提取或者删除其密码文件就可以破解锁屏密码。同时还能够通过DD命令,来获取到ROOT权限下的镜像文件,为数据分析和恢复提供帮助。

当手机开启了USB调试但没有ROOT权限时,可以通过使用第三方工具尝试提权,比如ROOT精灵、ROOT大师、KING-ROOT等。也可以尝试利用本地漏洞提权,在提权成功后,就可以尝试删除密码文件,或者提取密码文件解密,从而获取到手机的数据镜像[3]。

3.2Recovery模式

Recovery模式是Android手机备份恢复模式,在这个模式下,我们可以对已有的系统进行备份或升级。

目前有两种类型的Recovery,分别是官方Recovery和第三方Recovery。官方Recovery功能较少,而第三方Recovery不仅涵盖了官方Recovery的功能,还带有Root权限,常见的第三方Recovery有CWM、TWRP等。当成功刷入第三方Recovery后手机将变成Root状态,此时就可以直接提取镜像,分析数据了。

3.3解锁BootLoader

Bootloader就是操作系统内核运行之前运行的一段小程序,它负责在开机时根据基带初始化硬件,并引导系统内核,启动系统进程。如果BootLoader不能正常加载,手机就无法正常开机和使用。这也就是必须要解锁BootLoader后才能刷第三方ROM的原因。