浅谈司法鉴定中Android手机的解锁及镜像
来源:用户上传
作者:
摘要:随着移动通信技术的高速发展,手机取证已成为司法鉴定中电子数据取证的重要组成部分。在取证过程中,手机锁屏密码经常会给取证工作的进行带来障碍。针对这一问题,本文总结了不同场景条件下Android手机解锁及获取镜像的常用流程和所需技术,为司法鉴定中破解Android手机锁屏密码和提取数据镜像提供相关思路。
关键词:电子取证;Android手机;手机解锁;手机镜像
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)35-0264-02
随着信息技术迅猛发展,智能手机已演变成为一个包含个人综合全面信息的终端设备,智能手机中包含的信息证据也越来越多。在司法鉴定过程中,对目标手机包含的各类信息的调查和取证也越来越重要,手机已经成为调查取证所需重要信息的获取来源[1]。根据IDC的数据,2018年Android手机销量在全球市场占比约为85%。所以,Android手机的取证技术目前已成为司法鉴定工作中各类技术的重点关注内容。
1 Android系统
Android是Google公司开发的一款基于Linux内核的嵌入式操作系统。其体系结构自下而上分别为:Linux内核层、系统运行库层、应用程序框架层、应用程序层。Android手机加电开机后,CPU从ROM的固定位置读取引导加载程序到RAM并执行,然后加载系统。这个过程有三种模式:
(1)Recovery模式(恢复模式)。在该模式下,用户可以进行系统备份、系统升级、还原出厂设置等操作,进入恢复模式后,用户可以根据需要进行备份、刷机、清除数据等操作。
(2)Fastboot模式(快速引导模式)。该模式是一种比Recov-ery模式更底层的刷机模式,当手机的系统无法进入恢复模式时,可以通过Fastboot进行重新刷机,恢复设备。
(3)正常启动模式。在该模式下,手机会启动Android系统,并加载系统程序到System分区,然后读取用户应用程序,初始化后正常启动。
2 Android手机锁屏方式
2.1图形锁
图形锁需要用户在一个3x3的点阵上绘制一个个性化图形,用于解锁手机设备。由于规则要求,图形锁一共只有389112种,比6位数字密码的1000000种更少一些,换句话说,图形锁的安全性要弱于6位数字密码。
2.2密码锁
密码锁包括简单密码和复杂密码,简单密码一般情况需要输入4到6位纯数字,对于2019年6月之前的Android手机,最多可设置16位以内的纯数字密码。复杂密码一般情况下需要输入4到16位至少包含一个字母的数字、大小写字母和标点符号的组合。
2.3 PIN码
PIN码是手机SIM卡的个人识别码,是保护SIM卡的一种安全措施,防止SIM卡被盗用。如果手机启用了PIN码,那么每次开机后就要输入4到8位数PIN码才能启用SIM卡,且连续3次输入错误的密码后SIM卡会被锁定,需要输入运营商提供的PUK码才能解锁。
2.4生物特征
生物特征锁屏是通过手机设备中的传感器录入生物特征信息作为锁屏密码。目前应用比较多的是指纹和面部识别。出于安全性考虑,Android系统6.0后,google对所有支持指纹识別的手机制造商提出了要求:在第一次使用指纹锁屏时,用户需先设置设备密码(图案密码、密码、PIN码),再添加指纹密码,所以指纹密码并不是单独存在。
3 Android手机解锁与镜像获取
在司法鉴定手机取证中,比较常规的三种取证方法是:自带备份、ADB备份和降级备份。而这三种取证方法的实施都是建立在已知手机锁屏密码的前提之下的,所以当遇到不知道锁屏密码的情况时,光靠常规思路是无法满足需求的。
针对上述手机取证难点,目前可以考虑从手机解锁和手机镜像两个方向进行突破。通过手机解锁可以顺利突破密码限制,获取到手机中的重要数据;通过手机镜像可以对删除数据做进一步的恢复工作,从而挖掘更多有价值的线索。
3.1 ROOT权限
用软件方法进行物理取证是Android手机取证的首选[2],如果在手机开启了USB调试且有ROOT权限的情况下,就可以采用ADB命令的方式清除或者提取密码文件。不同Android版本其密码文件存储的位置也不相同,只要提取或者删除其密码文件就可以破解锁屏密码。同时还能够通过DD命令,来获取到ROOT权限下的镜像文件,为数据分析和恢复提供帮助。
当手机开启了USB调试但没有ROOT权限时,可以通过使用第三方工具尝试提权,比如ROOT精灵、ROOT大师、KING-ROOT等。也可以尝试利用本地漏洞提权,在提权成功后,就可以尝试删除密码文件,或者提取密码文件解密,从而获取到手机的数据镜像[3]。
3.2Recovery模式
Recovery模式是Android手机备份恢复模式,在这个模式下,我们可以对已有的系统进行备份或升级。
目前有两种类型的Recovery,分别是官方Recovery和第三方Recovery。官方Recovery功能较少,而第三方Recovery不仅涵盖了官方Recovery的功能,还带有Root权限,常见的第三方Recovery有CWM、TWRP等。当成功刷入第三方Recovery后手机将变成Root状态,此时就可以直接提取镜像,分析数据了。
3.3解锁BootLoader
Bootloader就是操作系统内核运行之前运行的一段小程序,它负责在开机时根据基带初始化硬件,并引导系统内核,启动系统进程。如果BootLoader不能正常加载,手机就无法正常开机和使用。这也就是必须要解锁BootLoader后才能刷第三方ROM的原因。 部分品牌的官方提供了相应解锁码,用户可以申请解锁,其缺点在于处理时长不可控,且通过官方途径对部分手机解锁后数据可能会被清除,这对取证工作也造成了一定的困扰。由于BootLoader代码是闭源的,并且与硬件高度耦合,所以利用BootLoader漏洞进行破解的范围和实用性会有所局限。
3.4工厂模式绕过BootLoader锁
在无法解开BootLoader锁的情况下,我们还可以采用进入工厂模式绕过BootLoader锁的方法获取手机镜像。首先,按手机芯片将工厂模式分为高通模式和MTK模式,其分别对应高通镜像(9008端口号)和MTK镜像(MTK端口号)。用户可以通过手机组合键的方式分别进入两种模式提取镜像。
对于比较新的机型,通过组合键进入两种模式的方法已经被禁用,此时可以利用热风枪、撬棍、洗盘等拆机工具打开手机后盖,找到高通9008/MTK的短接点,用工具连接短接点,最后开机进入对应模式。
3.5全盘加密镜像
Android 6.0版本之后,系统会强制开启全盘加密,而在开启了全盘加密的手机上,即使通过芯片方式获取到了镜像文件,也是无法查看数据的。针对这种情况,可以采用以下几种方法来获取手机镜像或者清除/绕过锁屏密码。
(1)刷入带有官方密钥签名的ROM包,获取ROOT权限,直接提取明文镜像。
(2)拆机短接,进入9008模式或MTK模式,找到System分区,修改密码校验机制,此方法会把校验过程和输入手机密码的界面一并删除。
(3)针对部分vivo高通机型,通过拆机短接,进入9008模式,然后清除MISC分区数据,清除锁屏密码。
(4)针对部分vivo MTK机型,在Recovery下开启ADB重启,然后禁用systemui,清除锁屏密码。
(5)针对开启了ADB权限特定型號的手机,找到并利用漏洞进行ADB提权,从而在Data分区中删除锁屏密码,或在Sys-tem分区中修改密码校验机制。
4 结束语
本文针对司法鉴定中Android手机在电子取证过程中的解锁和镜像,总结出常见的几种解决方案。随着Android系统的不断发展,密码保护机制也在不断地完善,在以后的取证工作中,不可避免地会出现新的加密方式,或更复杂的安全验证机制。因此,研究并找到这些加密技术的破解方法,也是未来手机取证工作中的一个重要方向。
参考文献:
[1]危蓉.锁屏Android智能手机取证方法的研究[J].中国司法鉴定,2015(01):67-70.
[2]卿斯汉.Android安全研究进展[J].软件学报,2016,27(1):45-71.
[3]Hassan M,Pantaleon L.An investigation into the impact ofrooting android device on user data integrity[C]//Seventh In-ternational Conference on Emerging Security Technologies.IEEE,2017:32-37.
【通联编辑:光文玲】
收稿日期:2019-08-27
转载注明来源:https://www.xzbu.com/8/view-15123263.htm