|
转自:盘石软件PANSAFE(ID:Pansafe) 随着手机系统安全性越来越强,手机数据的提取也面临着诸多阻碍,经常会碰到手机数据提取后,数据浏览内容是:真的一无所有~~~,甚至连通话记录、短信的基本信息都没能提取出来,简直了!!! 碰到这样的问题,对于数据取证者来说是个很闹心的事,因为手机提取无非就是直接逻辑提取,或者是物理芯片提取这两种(芯片提取要求外界因素过高,所以此路不通),碰到无法直接逻辑提取数据的只能看看是否通过提升权限再次进行提取,但就目前手机厂商针对手机出厂的设置,基本上可以杜绝手机提取权限这条路了,因为目前大部分厂商都会将手机提升权限这条路尽可能的屏蔽掉或者增加困难环节,比如解BL(bootloader)锁需要申请官方支持,时间大概7个工作日后,还有那些类似于设置手机账号安全认证的机制,更是增加手机数据提取的难度。 今天介绍的内容就是在用户碰到的一个实际案例,也结合上述问题给大家提供一个提取手机数据的思维方向,可以用到实际手机提取应用中。 注:以下内容所涉及方法只针对文章中提到的手机机型和系统版本,其他品牌机型和系统版本可以借鉴此方法。 背景: 客户使用国内某品牌手机取证软件对vivo Y55a手机采取直接逻辑提取数据信息后,提取不到任何内容,尝试联系该厂商进行案件支持,也未能提取出数据,后联系盘石北京分公司了解到盘石有关于此类手机数据提取方法,故安排现场技术支持。 环境: 手机型号:vivo Y55a 手机系统:安卓6.0.1 微信版本:6.0.0.54(降级版本) QQ版本:5.1.1(降级版本) 准备:
内容: 碰到此型号手机后,先尝试进行直接逻辑提取,但在提取时发现手机上的应用程序无法进行低版本替换备份操作,(QQ、微信等应用程序新版本无法通过ADB命令进行数据备份操作,所以需要程序降级)且由于手机取证软件所安装插件无访问权限,无法提取到通讯录、短信、通话记录等信息。遇到这种现象,可尝试通过ADB命令模式,将手机上的QQ、微信等应用程序进行手动降低版本操作,在通过手机取证软件进行数据提取。通讯录、短信、通话记录等基本信息可通过手机上的I管家进行软件权限设置,点击允许访问通讯录、短信、通话记录等数据内容。 加载设备:将手机连接到电脑端,开启USB调试模式,通过电脑端的cmd命令对话框输入adb devices命令进行如加载设备。 APP应用程序卸载操作命令:adb shell pm uninstall –k com.tencent.mobileqq,此命令中的-k选项是必须加上的,确保卸载应用程序不清除应用数据,(此命令操作以QQ为例,其他应用程序操作同上),提示success为操作成功,此时可看手机端QQ图标是否消失了。 应用程序卸载完成后,可通过电脑端将盘石手机取证软件中自带的低版本应用程序安装包拷贝至手机存储设备中,并手动点击安装,低版本应用程序安装包路径C:\Program Files (x86)\PanSafe\SafeMobilePro\tools\AndroidImageTool\backupapp\qq.apk,其中涉及必要的安装程序是AndroidPlugin.apk(手机取证软件提取插件)。 准备工作完成后,通过盘石手机取证系统黄蜂版本直接进行逻辑提取,效果很明显,基本信息和降级备份的应用程序数据都出来了。 注:数据提取完成后,需要对应用程序进行升级,可通过互联网直接升级,或者通过上述操作进行替换升级。 以上内容为此次vivo手机提取全部内容,仅供参考。 |
|
|
