手机里被删除的数据为什么能恢复
杭州电子科技大学计算机应用技术研究所副所长徐明教授说,手机数据恢复是近两年才开始兴起的,由于缺乏相对应的破解软件和工具,所以才显得有点神秘,价格自然会高一些。
手机存储的装置叫做flash芯片,这种芯片的特性是使用寿命比较短,目前的技术只能达到擦写10万次左右,为了解决芯片性能和寿命的问题,芯片在存储数据时会使用一种“磨损均衡”的技术,也正是这种技术,让数据恢复成为了可能。
“磨损均衡技术是指芯片的某块存储区间被清空以后,我们尽量不马上占用它,而是找一块新的区间去存放新数据,所以手机的数据被更新或者删除,并不是真正意义上的删除,它只是在这块存储区间做了个删除的标记。”
打个比方,删除手机数据相当于拆房子,被删除的数据就像是写上了“拆迁”两字的旧房子,只是做了一个标记,在房子真正被推倒之前,我们都能从旧房里获取到一些信息。
10分钟恢复出删除的通讯录
恢复出厂设置比手动删除更安全
《好奇实验室》准备了两台手机,一台是苹果iPhone4,一台是三星note1,我们先手动删除两台手机上的短信、通讯录、照片。
要恢复手机里的信息,首先要用到“手机取证器”,或者是专业的手机解析破解软件,它们的价格都在十万元以上。
徐教授说,这些工具之所以价格高,是因为需求小众化,产量小造成的,实际上它们的技术含量并不是特别高。“只要手机芯片上的信息没有被覆盖,通过这些专业工具,我们可以把手机上所有在用的和已经删除的信息恢复出来,然后再做进一步的分析。”
我们首先恢复的是三星note1里的数据,3个小时左右,一部分数据被找了出来,通过分析,我们发现这些数据是手机里被删除的短信内容。而有了分析短信的经验以后,又用了10分钟,手机里的通讯录、通话记录,以及部分照片也被恢复出来了。
不过,相对于三星note1的安卓系统,苹果的ios系统显得更难突破一些,恢复的内容也更少,但我们还是可以从手机里找回部分电话号码和短信内容。
“因为安卓系统比苹果的ios系统更开放一些,所以相对来说更容易提取到深层次的信息。”
徐教授说,目前苹果系统的开发源比安卓系统要封闭很多,大家对苹果系统的理解深度还不够,这增加了恢复苹果手机信息的难度,但并不代表苹果手机就是安全的。“这就相当于开锁的工具,总是要落后于新锁的发明。”
手动删除的数据被找回,那么,如果是恢复出厂设置,手机里的信息会不会删除得更彻底,无法恢复呢?
同样的方法,安卓系统在恢复出厂设置后,还是能读取出部分数据,不过跟手动删除相比,这次读取出来的手机信息明显要少很多,而苹果的ios系统读取出来的就更少了。
徐教授说:“恢复出厂设置是把手机里面的信息分区删除,然后,重新分区格式化,是管理系统层面上的删除,层级更高,所以信息被再次恢复读取的难度更大。但从原理上讲,即使恢复出厂设置,手机里的信息还是可以被恢复读取,只是对技术的要求更高了。”
应用程序里的信息会被加密
具体内容很难读取
除了手机系统里的内容能被恢复,智能手机里安装的应用程序中的内容同样也能恢复,比如说,微信中的聊天信息,虽然在软件中已经被删除,找不到具体的聊天记录,但是删除的文件还是被找到了,只是这些内容都是乱码形式,无法马上识别。
“有些应用程序出于安全上的考虑,在存入flash芯片之前,会先加密后再存储,这样恢复数据的时候,可以恢复原始数据,但是没有解密密钥,所以很难知道具体内容,但一些简单的信息,比如聊天时间的长短还是可以直接获得。”
徐教授说,一般优秀的软件开发商,会隔一段时间更换一次信息存储的密钥,所以信息相对比较安全。但是,并不是所有的软件都会做好加密工作,因为软件加密解密会大大损耗手机的计算处理能力,也会影响到程序的运行速度,所以很多软件并没有强大的加密保护。
