基于adb調(diào)試的非root安卓手機取證技術(shù)研究

劉善軍

摘要：安卓手機的取證技術(shù)主要包括在線和離線兩種，但是都有各自局限性。該文提出了一種改良的基于adb調(diào)試的非root手機取證技術(shù)，折中離線和在線取證方法的優(yōu)缺點，能夠很好地滿足實際安卓手機取證的需求。

關(guān)鍵詞：安卓取證；adb備份

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）34-0035-02

隨著移動通信技術(shù)的迅猛發(fā)展，智能終端設(shè)備已經(jīng)成為人們必不可少的工具。智能終端設(shè)備類似于PC，具備獨立的智能操作系統(tǒng)，可以由用戶自行安裝軟件等第三方服務(wù)程序，通過第三方軟件不斷擴充終端的能力，并支持通過移動互聯(lián)網(wǎng)接入，是一個功能強大，集通信、影視娛樂、存儲為一體的綜合性設(shè)備。其中Google公司推出的Android操作系統(tǒng)，由于其開源、免費等特點，使其迅速占領(lǐng)巨大的市場份額。

與此同時，利用安卓手機進行犯罪的行為也越來越多。例如通過瀏覽器、電子郵件、即時通信工具、短信等APP進行詐騙，性騷擾，涉黃涉毒交易等。 針對安卓手機的取證將能夠有效地打擊這類案件，通過對安卓手機、備份以及鏡像的數(shù)據(jù)提取、保護和分析將能夠獲取破獲案件所需要的重要線索。其中基礎(chǔ)信息（通話記錄、通訊錄、短信、GPS等）、即時通信記錄、郵件信息、瀏覽器的歷史記錄和書簽都是線索的重要來源。

1安卓手機的取證技術(shù)

安卓取證技術(shù)從本質(zhì)上分為在線取證和離線取證兩類。

1.1 安卓在線取證技術(shù)

在線取證技術(shù)也叫邏輯全局取證技術(shù) [1-3] ，通過adb調(diào)試器連接手機，訪問手機的文件系統(tǒng)，實現(xiàn)對現(xiàn)有文件系統(tǒng)中文件的獲取和數(shù)據(jù)解析。安卓操作系統(tǒng)的數(shù)據(jù)主要存儲在/data/data/和/sdcard兩個目錄下，后者為數(shù)據(jù)共享區(qū)域，即可以直接通過adb命令進行訪問，主要為音樂、視頻、文檔等多媒體文件，而/data/data/目錄主要存儲的是手機基礎(chǔ)信息和所有第三方APP的數(shù)據(jù)，由于數(shù)據(jù)的重要性，該目錄的訪問需要ROOT權(quán)限。每一個APP的數(shù)據(jù)對應/data/data/目錄下的一個文件夾，且每個問你件下都有一個名為database目錄，該目錄下存儲的是SQLite數(shù)據(jù)庫文件，如下表：

手機在線的狀態(tài)有兩種，一種是正常開機狀態(tài)，此狀態(tài)需要手機以USB調(diào)試的模式連接取證設(shè)備；另一種是Recovery模式，該模式下，可以掛載手機相應分區(qū)，然后連接取證設(shè)備。兩種狀態(tài)下都可以采用adb調(diào)試接口進行數(shù)據(jù)的查詢和導出，但是在正常開機狀態(tài)下需要手機具有root權(quán)限。在線取證存在一些問題主要表現(xiàn)為：

1） Recovery模式需要第三方具有分區(qū)掛載功能的Recovry包，對于大部分手機第三方Recovery包的獲取難度很大。

2） 正常開機狀態(tài)下，需要手機取得root權(quán)限，但是最新版的安卓系統(tǒng)和手機獲取root權(quán)限的難度大，只有很少一部分能獲取root權(quán)限。

3） 手機在線取證無法對手機已刪除的數(shù)據(jù)進行刪除恢復。

1.2 安卓離線取證技術(shù)

安卓離線取證技術(shù)以稱為物理取證技術(shù) [4-7] ，主要是針對安卓手機的備份文件或者物理鏡像進行取證分析。通過對備份或者鏡像文件的不同分區(qū)格式進行對應的文件系統(tǒng)解析，可以獲取到安卓手機的原始數(shù)據(jù)。鏡像文件可以獲取安卓手機的全部原始數(shù)據(jù)，包括/data/data目錄下的所有數(shù)據(jù)以及SD卡下的數(shù)據(jù)。備份文件（安卓4.0以后通過adb接口獲?。?，由于軟件的支持的程度不同，數(shù)據(jù)不完全，通訊錄、通話記錄等基礎(chǔ)信息無法獲取，另外有些第三方應用程序的數(shù)據(jù)無法獲取，同時備份文件中的路徑做了相應的變化，例如database縮寫為db，需要一一對應。

安卓鏡像的獲取方式有三種：

1）硬件方式：通過jtag接口或者直接拆解存儲芯片進行存儲物理鏡像的獲取。

2）adb調(diào)試方式：在獲得root權(quán)限的情況下，利用adb shell運行dd命令，對手機的各個分區(qū)做dd鏡像文件。

3）recovery備份：依次進入“備份還原”、“選擇備份格式”，執(zhí)行“備份到外置卡”，獲取對應分區(qū)的鏡像文件[8]。

針對鏡像文件的離線取證，可以對已經(jīng)刪除的文件進行刪除恢復。

但是安卓手機離線取證技術(shù)同樣存在一定的問題：鏡像的獲取條件比較苛刻，需要root權(quán)限、第三方recovery或者物理拆解，難度都很大，且存在一定的危險；adb備份的方式下，可取的數(shù)據(jù)有限。

2基于adb調(diào)試的非root取證技術(shù)

針對于一般在線取證和離線取證的一些問題，對基于adb備份的取證進行改良，從而能夠較為方便的獲取非root手機較多的可用數(shù)據(jù)。其基本流程如圖1所示。

2.1基本信息的獲取

在非root情況下，安裝MobileData.apk，該程序具有通訊錄、通話記錄、短信獲取權(quán)限。在手機上啟動該軟件利用安卓系統(tǒng)的API接口獲取手機的基本信息，并生成格式化的MobileData.xml文件。利用adb的pull接口，將該文件導出到取證計算機，并進行解析即可獲取基本信息。如圖2所示，利用此方法獲取非root手機oppo r7中通話記錄數(shù)據(jù)。

2.2第三方應用程序數(shù)據(jù)獲取

利用adb的backup命令進行備份，將無法獲取到一些app的數(shù)據(jù)，主要原因為該版本的app不支持該命令，所以備份文件中不包含該app數(shù)據(jù)。但是相同app的低版本數(shù)據(jù)不受備份的限制，也就是安裝低版本的app就可以進行備份操作。因此先將手機中app原來的版本進行備份保存，然后安裝低版本的apk，安裝完成之后對手機進行備份操作，備份完成之后再用備份保存的apk重新安裝回去進行app還原。最后將該備份文件進行解析，進而獲取該app的數(shù)據(jù)。如圖3，利用該方法獲取了非root手機oppo r7中6.2.3 版QQ的數(shù)據(jù)。

3 總 結(jié)

本文首先介紹了安卓在線取證和安卓離線取證技術(shù)，并在此基礎(chǔ)上提出了改良的基于adb調(diào)試的非root取證技術(shù)，該技術(shù)能夠很好地解決安卓手機無法root情況下的取證問題，同時也解決了硬件級別鏡像取證操作難度大的問題。能夠獲取手機基礎(chǔ)信息和第三方應用的信息，同時支持第三方應用數(shù)據(jù)的刪除恢復。能夠很好地為相關(guān)案件的偵破提供有力的取證技術(shù)支持。

參考文獻：

[1] 殷聯(lián)甫.計算機取證工具分析 [J]. 計算機系統(tǒng)應用， 2005， 14（8）：88-90.

[2] 趙斌，屈會芳.面向安卓移動終端設(shè)備數(shù)據(jù)取證技術(shù)[J].濟寧學院學報，2014，35（3）：72：75.

[3] 周敏，龔箭.分布式計算機取證模型研究[J].微電子學與計算機 ，2012，29（2）：40-43.

[4] 楊澤明，錢桂瓊，許榕生，等.計算機取證技術(shù)研究 [J].網(wǎng)絡(luò)安全技術(shù)與應用，2003：32-35.

[5] 孫波.計算機取證方法關(guān)鍵問題研究[D].北京：中國科學院研究生院，2004.

[6]譚敏 ，胡曉龍 ，楊衛(wèi)平.計算機取證概述[J].網(wǎng)絡(luò)安全技術(shù)與應用 ，2006（12）：75-77.

[7] 石惠東，李蒙，雷鳴.運用第三方recovery破解安卓手機屏幕鎖[J].刑事技術(shù)，2015（40）：327-329.