隨著數據恢復、提取技術的不斷髮展,手機制造商為保障使用者的數據安全,也在不斷的升級手機數據保護措施,而保護措施的不斷推陳出新,也給我們數據恢復和提取工作者造成了不小的困擾。但我們研究更新取證技術的腳步從未停止。
今天,源妹要給大家分享的是一種YUNOS操作系統的手機微信數據提取方法。
YunOS作為阿里旗下多領域技術成果的集合產品,繼iOS、Android後成為第三大移動操作系統, 廣泛應用於智能手機中。常見的使用YunOS系統的智能手機有:小辣椒、百合、魅族,紐曼,朵唯,錘子等。
YUNOS系統手機數據提取常規方法
1、直接提取
獲取系統root權限後,手動輸入命令將數據提取出來,配合使用取證軟件進行分析。YunOS 3.0及以下系統可以嘗試使用root工具進行提權;
2、使用acb協議進行識別並備份;
3、recovery模式提取:使用recovery中自帶的backup模塊獲取手機備份數據;
4、自動取證:連接手機利用手機接口獲取手機基本信息。
數據提取難點
由於YunOS的系統特殊性及安全性,通常應用於android的數據鏡像方法並不適用於該系統。常見的取證難點如下:
1、隨著系統的不斷完善,提權逐漸變得艱難;
2、部分手機採用YunOS定製的acb端口,adb協議並不能識別這類手機。
3、應用內部限制了acb 指令;
4、部分YUNOS系統手機recovery下沒有backup備份功能,無法採用recovery備份方法;
5、在手機未root情況下可能無法獲取到短信、通話記錄、應用程序數據及已刪除數據。
解決方法
針對上述數據提取難點,我們也對此進行了專門的研究,下面以具體的手機為例來為大家詳細闡述。
手機:百合A8+,搭載YunOS 5.0系統
採用常規方法來提取手機數據,我們發現:
用android 手機鏡像方案來提取該手機數據並不奏效,因此選擇其他的專項方案來獲取手機數據。
1、首先採用acb指令獲取手機數據,但是此方案並沒能成功的提取出手機微信數據;
2、採用recovery模式下的備份功能鏡像數據,但遺憾發現該手機recovery下並不包含備份數據功能;
3、最後採用了微信降級備份方法,但是降級備份出的數據,相對於正常的微信數據包而言,少了最為重要的一個文件夾 MicroMsg。眾所周知,微信的應用數據都存儲在該文件夾中,因此沒有該文件夾無異於獲取微信數據失敗。那麼降級備份這項方案也折戟於該手機。
上述方法都以失敗告終,因此我們只能轉換思路,思考其他的方式。
查詢該手機的具體手機參數信息時,得知該手機採用的是高通MSM8909的基帶芯片,決定使用高通的9008模式來對該手機嘗試進行鏡像。
採用9008模式對該手機進行鏡像操作
1.首先在網絡上查找該手機的rom線刷包,成功提取到該手機的mbn文件,該文件是與EMMC、DDR的配置參數相關的。
2.使用SPF9139智能手機數據恢復取證系統(以下簡稱SPF9139,【全新版本發佈】SPF9139重裝上陣,智能取證新技能輕鬆get)內置的工具箱中的高通9008鏡像工具,對文件和手機進行配合使用以讀取手機數據。
3.功夫不負有心人,最終成功的鏡像出手機的data分區,再通過解析該分區的鏡像文件成功獲取出/data/data/com.tencent.mm 文件夾,文件夾中完整的包含了MicroMsg文件夾。至此成功獲取微信數據,並且可以進行完整的數據解析。
上述方法解決了YUNOS手機數據獲取的困境,最終不僅成功獲取了所需數據,也將手機存儲數據完整的鏡像出來了,有利於掃描獲取刪除數據。目前,此方法已經應用於效率源SPF9139智能手機數據恢復取證系統,客戶可以通過自主搜索手機cpu型號及查找相應手機線刷包獲取mbn文件的方式通過9008鏡像工具鏡像手機文件。
閱讀更多 效率源 的文章