隨著資料恢復、提取技術的不斷髮展,手機制造商為保障使用者的資料安全,也在不斷的升級手機資料保護措施,而保護措施的不斷推陳出新,也給我們資料恢復和提取工作者造成了不小的困擾。但我們研究更新取證技術的腳步從未停止。
今天,源妹要給大家分享的是一種YUNOS作業系統的手機微信資料提取方法。
YunOS作為阿里旗下多領域技術成果的集合產品,繼iOS、Android後成為第三大移動作業系統, 廣泛應用於智慧手機中。常見的使用YunOS系統的智慧手機有:小辣椒、百合、魅族,紐曼,朵唯,錘子等。
YUNOS系統手機資料提取常規方法
1、直接提取
獲取系統root許可權後,手動輸入命令將資料提取出來,配合使用取證軟體進行分析。YunOS 3.0及以下系統可以嘗試使用root工具進行提權;
2、使用acb協議進行識別並備份;
3、recovery模式提取:使用recovery中自帶的backup模組獲取手機備份資料;
4、自動取證:連線手機利用手機介面獲取手機基本資訊。
資料提取難點
由於YunOS的系統特殊性及安全性,通常應用於android的資料映象方法並不適用於該系統。常見的取證難點如下:
1、隨著系統的不斷完善,提權逐漸變得艱難;
2、部分手機採用YunOS定製的acb埠,adb協議並不能識別這類手機。
3、應用內部限制了acb 指令;
4、部分YUNOS系統手機recovery下沒有backup備份功能,無法採用recovery備份方法;
5、在手機未root情況下可能無法獲取到簡訊、通話記錄、應用程式資料及已刪除資料。
解決方法
針對上述資料提取難點,我們也對此進行了專門的研究,下面以具體的手機為例來為大家詳細闡述。
手機:百合A8+,搭載YunOS 5.0系統
需求:提取手機微信資料
採用常規方法來提取手機資料,我們發現:
用android 手機映象方案來提取該手機資料並不奏效,因此選擇其他的專項方案來獲取手機資料。
1、首先採用acb指令獲取手機資料,但是此方案並沒能成功的提取出手機微信資料;
2、採用recovery模式下的備份功能映象資料,但遺憾發現該手機recovery下並不包含備份資料功能;
3、最後採用了微信降級備份方法,但是降級備份出的資料,相對於正常的微信資料包而言,少了最為重要的一個資料夾 MicroMsg。衆所周知,微信的應用資料都儲存在該資料夾中,因此沒有該資料夾無異於獲取微信資料失敗。那麼降級備份這項方案也折戟於該手機。
上述方法都以失敗告終,因此我們只能轉換思路,思考其他的方式。
查詢該手機的具體手機引數資訊時,得知該手機採用的是高通MSM8909的基帶晶片,決定使用高通的9008模式來對該手機嘗試進行映象。
採用9008模式對該手機進行映象操作
1.首先在網路上查詢該手機的rom線刷包,成功提取到該手機的mbn檔案,該檔案是與EMMC、DDR的配置引數相關的。
2.使用SPF9139智慧手機資料恢復取證系統(以下簡稱SPF9139,【全新版本釋出】SPF9139重灌上陣,智慧取證新技能輕鬆get)內建的工具箱中的高通9008映象工具,對檔案和手機進行配合使用以讀取手機資料。
3.功夫不負有心人,最終成功的映象出手機的data分割槽,再通過解析該分割槽的映象檔案成功獲取出/data/data/com.tencent.mm 資料夾,資料夾中完整的包含了MicroMsg資料夾。至此成功獲取微信資料,並且可以進行完整的資料解析。
上述方法解決了YUNOS手機資料獲取的困境,最終不僅成功獲取了所需資料,也將手機儲存資料完整的映象出來了,有利於掃描獲取刪除資料。目前,此方法已經應用於效率源SPF9139智慧手機資料恢復取證系統,客戶可以通過自主搜尋手機cpu型號及查詢相應手機線刷包獲取mbn檔案的方式通過9008映象工具映象手機檔案。