WinHex制作手机镜像的应用研究

孟 利，刘康康，陈君雨

（1.河南警察学院，河南 郑州 450046；2.安徽公安职业学院，安徽 合肥 230031；3.南阳市公安局，河南 南阳 473000）

1 研究背景及意义

随着经济社会的发展和科技的进步，手机早已成为个人的“掌上电脑”，存储着大量私人数据。与此同时，犯罪手段也层出不穷，在网络电信诈骗犯罪率居高不下的社会现状下，针对手机等电子设备的取证就显得尤为重要。本文提出运用WinHex软件制作手机镜像，希望能够探究出针对手机更加系统、规范的镜像制作方法。通过在具体实验中对比运用WinHex软件制作手机镜像具体操作过程的差异，总结WinHex软件制作手机镜像的可行性。因此在选取实验样本时需要广泛地将不同类型的手机考虑其中，不光智能机，老年机、老旧智能机尤其需要引起重视。毒贩、间谍等组织，为了逃避打击往往会使用老年机、老旧智能机等作案。因此，研究WinHex软件制作不同类型手机镜像的适用性、差异性、可靠性有着重要意义[1-2]，运用WinHex软件制作手机镜像可以将手机相关信息掌握并保存下来，从而为破案提供线索，保存关键证据，提升案件处理规范化程度。

WinHex软件是一款以通用十六进制编辑器为核心，专门用来进行计算机取证、数据恢复、低级数据处理，以及IT安全性、各种日常紧急情况的高级工具，具备检查和修复各种文件、恢复删除文件、修复损坏磁盘和恢复因数码相机卡损坏而丢失的数据、进行磁盘克隆等的强大功能[3]。同时它的管理功能也十分强大，可以管理文件并对其进行分区，可以自动分析文件簇链与分区链，依据其本身性质对不同的储存单元进行多元化、个性化的备份和保存，其具备的磁盘镜像克隆功能可以对整体磁盘进行克隆，该功能是制作手机镜像的基础和必要条件。在这个基础上其还可以对任意一种文件类型的二进制内容（利用十六进制显示）进行编辑，该软件的磁盘编辑器能够对逻辑磁盘或者物理磁盘的任意扇区进行编辑，是一款直接对数据进行手工恢复、对电子物证提取、保存、固定的优秀软件[4]。

2 实验分析

2.1 实验仪器

实验仪器包括WinHex18.0SR-3x64、Windows10专业版、i7-4770CPU12（GB）RAM、64位操作系统、Android 2.3 HTCA310e、Android 5.1 GIONEEGN3001、Android10.0VCE-AL00等。

2.2 实验分析

1）为了探究WinHex软件制作手机镜像的相关操作，并探究WinHex软件在制作不同系统、不同型号、不同牌子手机镜像时存在的差异以及形成差异的原因，特地在市面上寻找颇具代表性的几种类型手机作为研究对象。其中包括型号为HTCA310e版本是Android 2.3的手机；型号为GIONEEGN3001版本是Android 5.1的手机；型号为VCE-AL00版本是Android 10.0的手机[5]。

2）避免因不熟悉操作而造成手机上重要的数据遭到破坏，首先进行预实验，在电脑上创建虚拟磁盘；然后运用WinHex软件制作虚拟磁盘镜像；熟悉相关操作后进行镜像还原，保证镜像完整没有损坏后再制作手机镜像。

3）一是选用一款版本为Android 2.3的老式安卓系统手机，打开手机设置，找到“开发人员”选项，点开后打开USB调试模式。

二是将实验手机用数据线连接电脑。

三是以管理员的身份打开WinHex软件，在工具栏找到“磁盘克隆”选项（见图1），点击“磁盘克隆”选项将会弹出任务框，在任务框里有“源盘：储存介质”以及“目标：镜像文件”。前者是需要被镜像复制的客体对象（见图2），后者是将镜像复制的客体对象储存的位置。

图1 磁盘克隆

图2 目标介质

四是点击“源盘：储存介质”磁盘选项，找到目标磁盘将其选中（见图3），然后点击“目标：镜像文件”后的文件选项，将镜像复制的客体对象以文件形式保存下来，需要整盘复制时，选择复制整个磁盘介质选项。

图3 找到目标磁盘

五是选择“遇到坏扇区跳转”选项，这样做就可以在遇到坏掉的扇区时自动跳转为设定的扇区数（一般设定为32个扇区），不影响整体镜像复制进程。选择“同时输入输出”选项可以加快镜像复制速度。

六是点击确定，目标磁盘开始被镜像复制（见图4），根据磁盘大小和电脑性能差异，镜像复制时间也会有所差异（见图5）。

图4 镜像制作

图5 镜像制作成功

4）进行镜像还原验证是运用WinHex软件制作手机镜像的关键一步，也是对手机取证成功与否的验证。

一是依然点开“磁盘克隆”，选择“源盘：储存介质”，找到刚刚镜像复制的文件。

二是找到“目标：RAW镜像文件”，选择把镜像文件还原到所需的磁盘中，如果是还原到原先磁盘，一定要谨慎选择，保证正确无误，否则还原过后的新磁盘内容会将原有的磁盘内容覆盖，造成该磁盘文件系统的完整性严重受损，产生不必要的麻烦。

三是等待一定的时间后还原成功，点击属性观察磁盘大小和运用WinHex软件进行手机镜像复制前该磁盘的大小是否吻合，还可以选择关键重要的信息进行验证，观察这些文件信息是否和运用WinHex软件制作手机镜像前一致，以验证WinHex软件制作手机镜像的准确性和可行性。

5）以上是以Android 2.3手机为例运用WinHex软件制作手机镜像，接着需要选用准备好的不同类型的手机。在型号为VCE-AL00版本是Android 10.0的手机、型号为GIONEEGN3001版本为Android 5.1的手机上分别进行以上操作，来观察WinHex软件是否均能有效地制作手机镜像。

2.3 实验结果

实验结果表明Android 2.3的手机、各种品牌的老年机，包括可以插入外置内存卡的手机通过读卡器均可以运用WinHex软件制作手机镜像，并且制作的镜像完好无损。苹果手机、Android 3.0以上的手机则无法运用WinHex软件制作手机镜像，这也是WinHex制作手机镜像的不足。

2.4 差异性原因分析

运用WinHex软件制作手机镜像，本质上还是运用了WinHex软件的磁盘克隆功能，把手机当作磁盘进行复制，凡是能够运用WinHex软件制作镜像的手机都必须在手机通过数据线连入电脑后显示为磁盘，否则不能制作镜像。这就造成了有些类型手机可以运用WinHex软件制作手机镜像，有些类型手机则无法制作手机镜像。

通过查阅文献资料[6-8]，深入分析，找到问题的根源是：Android 3.0以下版本的手机使用的文件传输协议是USB大容量存储（USB Mass Storage，UMS），以上使用的文件传输协议是媒体传输协议（Media Transfer Protocol，MTP）。手机系统中文件传输协议的不同导致手机在电脑端不能显示为文件系统，而是设备块，设备块不能被WinHex软件读取，这也是在实验中Android手机系统2.3版本的手机在用数据线接入电脑的时候在硬盘里显示移动磁盘，而Android手机系统3.0以上版本的手机在用数据线接入电脑的时候显示移动设备的原因。

当Android手机通过UMS模式将sdcard挂载到PC上，PC就拥有对sdcard的绝对控制权。这种模式下，手机将无法同时访问sdcard，同时也存在PC端操作损坏Android系统的风险，导致手机不能使用。基于以上原因，Android手机系统3.0版本开始集成MTP，它是微软公司提出的一套媒体文件传输协议。

Android手机可以通过MTP把智能设备当作U盘使用，但它和UMS有所不同：当Android手机的sdcard以MTP模式挂载到PC机上，sdcard的控制权其实还属于手机，只不过智能手机通过MTP向PC机构建了一个虚拟文件系统。PC机操作其中的文件时，都会通过MTP向智能手机发起请求。

因此Android 3.0以上版本的手机、IOS手机是无法运用WinHex软件制作手机镜像的，而Android手机系统3.0以下版本的手机、大多数老年机，以及插入外置内存卡的手机在借助读卡器的情况下是可以运用WinHex软件制作手机镜像的。

3 结束语

当今社会，互联网发展迅速，各种电子通信工具为电信诈骗、网络黑色交易等犯罪提供了土壤，给不法分子隐藏身份作案以可乘之机。本文以WinHex软件制作手机镜像为研究方向，探讨Win-Hex镜像在通信工具作案中起到的作用。WinHex是一款可以操纵电子设备最底层数据的软件，运用WinHex软件能够有效提取手机数据，将证据完整保存下来，为案件取证工作提供有力支撑。本文阐释了WinHex软件的功能，WinHex软件制作手机镜像的操作流程，相关电子物证的取证要求，分析了运用WinHex软件制作不同类型手机镜像产生差异性的原因。围绕相关操作流程进行了具体实验，通过实验检验WinHex软件制作手机镜像的可行性和有效性，将提取老年机与智能机过程的差别以及提取Android与IOS系统过程的差别进行比较，分析其存在的问题和原因，以及操作过程的注意事项，为公安基层提取、固定和保存不同客体电子物证的工作提供参考。