WinHex制作手機(jī)鏡像的應(yīng)用研究

孟 利，劉康康，陳君雨

（1.河南警察學(xué)院，河南 鄭州 450046；2.安徽公安職業(yè)學(xué)院，安徽 合肥 230031；3.南陽(yáng)市公安局，河南 南陽(yáng) 473000）

1 研究背景及意義

隨著經(jīng)濟(jì)社會(huì)的發(fā)展和科技的進(jìn)步，手機(jī)早已成為個(gè)人的“掌上電腦”，存儲(chǔ)著大量私人數(shù)據(jù)。與此同時(shí)，犯罪手段也層出不窮，在網(wǎng)絡(luò)電信詐騙犯罪率居高不下的社會(huì)現(xiàn)狀下，針對(duì)手機(jī)等電子設(shè)備的取證就顯得尤為重要。本文提出運(yùn)用WinHex軟件制作手機(jī)鏡像，希望能夠探究出針對(duì)手機(jī)更加系統(tǒng)、規(guī)范的鏡像制作方法。通過(guò)在具體實(shí)驗(yàn)中對(duì)比運(yùn)用WinHex軟件制作手機(jī)鏡像具體操作過(guò)程的差異，總結(jié)WinHex軟件制作手機(jī)鏡像的可行性。因此在選取實(shí)驗(yàn)樣本時(shí)需要廣泛地將不同類型的手機(jī)考慮其中，不光智能機(jī)，老年機(jī)、老舊智能機(jī)尤其需要引起重視。毒販、間諜等組織，為了逃避打擊往往會(huì)使用老年機(jī)、老舊智能機(jī)等作案。因此，研究WinHex軟件制作不同類型手機(jī)鏡像的適用性、差異性、可靠性有著重要意義[1-2]，運(yùn)用WinHex軟件制作手機(jī)鏡像可以將手機(jī)相關(guān)信息掌握并保存下來(lái)，從而為破案提供線索，保存關(guān)鍵證據(jù)，提升案件處理規(guī)范化程度。

WinHex軟件是一款以通用十六進(jìn)制編輯器為核心，專門用來(lái)進(jìn)行計(jì)算機(jī)取證、數(shù)據(jù)恢復(fù)、低級(jí)數(shù)據(jù)處理，以及IT安全性、各種日常緊急情況的高級(jí)工具，具備檢查和修復(fù)各種文件、恢復(fù)刪除文件、修復(fù)損壞磁盤和恢復(fù)因數(shù)碼相機(jī)卡損壞而丟失的數(shù)據(jù)、進(jìn)行磁盤克隆等的強(qiáng)大功能[3]。同時(shí)它的管理功能也十分強(qiáng)大，可以管理文件并對(duì)其進(jìn)行分區(qū)，可以自動(dòng)分析文件簇鏈與分區(qū)鏈，依據(jù)其本身性質(zhì)對(duì)不同的儲(chǔ)存單元進(jìn)行多元化、個(gè)性化的備份和保存，其具備的磁盤鏡像克隆功能可以對(duì)整體磁盤進(jìn)行克隆，該功能是制作手機(jī)鏡像的基礎(chǔ)和必要條件。在這個(gè)基礎(chǔ)上其還可以對(duì)任意一種文件類型的二進(jìn)制內(nèi)容（利用十六進(jìn)制顯示）進(jìn)行編輯，該軟件的磁盤編輯器能夠?qū)壿嫶疟P或者物理磁盤的任意扇區(qū)進(jìn)行編輯，是一款直接對(duì)數(shù)據(jù)進(jìn)行手工恢復(fù)、對(duì)電子物證提取、保存、固定的優(yōu)秀軟件[4]。

2 實(shí)驗(yàn)分析

2.1 實(shí)驗(yàn)儀器

實(shí)驗(yàn)儀器包括WinHex18.0SR-3x64、Windows10專業(yè)版、i7-4770CPU12（GB）RAM、64位操作系統(tǒng)、Android 2.3 HTCA310e、Android 5.1 GIONEEGN3001、Android10.0VCE-AL00等。

2.2 實(shí)驗(yàn)分析

1）為了探究WinHex軟件制作手機(jī)鏡像的相關(guān)操作，并探究WinHex軟件在制作不同系統(tǒng)、不同型號(hào)、不同牌子手機(jī)鏡像時(shí)存在的差異以及形成差異的原因，特地在市面上尋找頗具代表性的幾種類型手機(jī)作為研究對(duì)象。其中包括型號(hào)為HTCA310e版本是Android 2.3的手機(jī)；型號(hào)為GIONEEGN3001版本是Android 5.1的手機(jī)；型號(hào)為VCE-AL00版本是Android 10.0的手機(jī)[5]。

2）避免因不熟悉操作而造成手機(jī)上重要的數(shù)據(jù)遭到破壞，首先進(jìn)行預(yù)實(shí)驗(yàn)，在電腦上創(chuàng)建虛擬磁盤；然后運(yùn)用WinHex軟件制作虛擬磁盤鏡像；熟悉相關(guān)操作后進(jìn)行鏡像還原，保證鏡像完整沒(méi)有損壞后再制作手機(jī)鏡像。

3）一是選用一款版本為Android 2.3的老式安卓系統(tǒng)手機(jī)，打開(kāi)手機(jī)設(shè)置，找到“開(kāi)發(fā)人員”選項(xiàng)，點(diǎn)開(kāi)后打開(kāi)USB調(diào)試模式。

二是將實(shí)驗(yàn)手機(jī)用數(shù)據(jù)線連接電腦。

三是以管理員的身份打開(kāi)WinHex軟件，在工具欄找到“磁盤克隆”選項(xiàng)（見(jiàn)圖1），點(diǎn)擊“磁盤克隆”選項(xiàng)將會(huì)彈出任務(wù)框，在任務(wù)框里有“源盤：儲(chǔ)存介質(zhì)”以及“目標(biāo)：鏡像文件”。前者是需要被鏡像復(fù)制的客體對(duì)象（見(jiàn)圖2），后者是將鏡像復(fù)制的客體對(duì)象儲(chǔ)存的位置。

圖1 磁盤克隆

圖2 目標(biāo)介質(zhì)

四是點(diǎn)擊“源盤：儲(chǔ)存介質(zhì)”磁盤選項(xiàng)，找到目標(biāo)磁盤將其選中（見(jiàn)圖3），然后點(diǎn)擊“目標(biāo)：鏡像文件”后的文件選項(xiàng)，將鏡像復(fù)制的客體對(duì)象以文件形式保存下來(lái)，需要整盤復(fù)制時(shí)，選擇復(fù)制整個(gè)磁盤介質(zhì)選項(xiàng)。

圖3 找到目標(biāo)磁盤

五是選擇“遇到壞扇區(qū)跳轉(zhuǎn)”選項(xiàng)，這樣做就可以在遇到壞掉的扇區(qū)時(shí)自動(dòng)跳轉(zhuǎn)為設(shè)定的扇區(qū)數(shù)（一般設(shè)定為32個(gè)扇區(qū)），不影響整體鏡像復(fù)制進(jìn)程。選擇“同時(shí)輸入輸出”選項(xiàng)可以加快鏡像復(fù)制速度。

六是點(diǎn)擊確定，目標(biāo)磁盤開(kāi)始被鏡像復(fù)制（見(jiàn)圖4），根據(jù)磁盤大小和電腦性能差異，鏡像復(fù)制時(shí)間也會(huì)有所差異（見(jiàn)圖5）。

圖4 鏡像制作

圖5 鏡像制作成功

4）進(jìn)行鏡像還原驗(yàn)證是運(yùn)用WinHex軟件制作手機(jī)鏡像的關(guān)鍵一步，也是對(duì)手機(jī)取證成功與否的驗(yàn)證。

一是依然點(diǎn)開(kāi)“磁盤克隆”，選擇“源盤：儲(chǔ)存介質(zhì)”，找到剛剛鏡像復(fù)制的文件。

二是找到“目標(biāo)：RAW鏡像文件”，選擇把鏡像文件還原到所需的磁盤中，如果是還原到原先磁盤，一定要謹(jǐn)慎選擇，保證正確無(wú)誤，否則還原過(guò)后的新磁盤內(nèi)容會(huì)將原有的磁盤內(nèi)容覆蓋，造成該磁盤文件系統(tǒng)的完整性嚴(yán)重受損，產(chǎn)生不必要的麻煩。

三是等待一定的時(shí)間后還原成功，點(diǎn)擊屬性觀察磁盤大小和運(yùn)用WinHex軟件進(jìn)行手機(jī)鏡像復(fù)制前該磁盤的大小是否吻合，還可以選擇關(guān)鍵重要的信息進(jìn)行驗(yàn)證，觀察這些文件信息是否和運(yùn)用WinHex軟件制作手機(jī)鏡像前一致，以驗(yàn)證WinHex軟件制作手機(jī)鏡像的準(zhǔn)確性和可行性。

5）以上是以Android 2.3手機(jī)為例運(yùn)用WinHex軟件制作手機(jī)鏡像，接著需要選用準(zhǔn)備好的不同類型的手機(jī)。在型號(hào)為VCE-AL00版本是Android 10.0的手機(jī)、型號(hào)為GIONEEGN3001版本為Android 5.1的手機(jī)上分別進(jìn)行以上操作，來(lái)觀察WinHex軟件是否均能有效地制作手機(jī)鏡像。

2.3 實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)結(jié)果表明Android 2.3的手機(jī)、各種品牌的老年機(jī)，包括可以插入外置內(nèi)存卡的手機(jī)通過(guò)讀卡器均可以運(yùn)用WinHex軟件制作手機(jī)鏡像，并且制作的鏡像完好無(wú)損。蘋(píng)果手機(jī)、Android 3.0以上的手機(jī)則無(wú)法運(yùn)用WinHex軟件制作手機(jī)鏡像，這也是WinHex制作手機(jī)鏡像的不足。

2.4 差異性原因分析

運(yùn)用WinHex軟件制作手機(jī)鏡像，本質(zhì)上還是運(yùn)用了WinHex軟件的磁盤克隆功能，把手機(jī)當(dāng)作磁盤進(jìn)行復(fù)制，凡是能夠運(yùn)用WinHex軟件制作鏡像的手機(jī)都必須在手機(jī)通過(guò)數(shù)據(jù)線連入電腦后顯示為磁盤，否則不能制作鏡像。這就造成了有些類型手機(jī)可以運(yùn)用WinHex軟件制作手機(jī)鏡像，有些類型手機(jī)則無(wú)法制作手機(jī)鏡像。

通過(guò)查閱文獻(xiàn)資料[6-8]，深入分析，找到問(wèn)題的根源是：Android 3.0以下版本的手機(jī)使用的文件傳輸協(xié)議是USB大容量存儲(chǔ)（USB Mass Storage，UMS），以上使用的文件傳輸協(xié)議是媒體傳輸協(xié)議（Media Transfer Protocol，MTP）。手機(jī)系統(tǒng)中文件傳輸協(xié)議的不同導(dǎo)致手機(jī)在電腦端不能顯示為文件系統(tǒng)，而是設(shè)備塊，設(shè)備塊不能被WinHex軟件讀取，這也是在實(shí)驗(yàn)中Android手機(jī)系統(tǒng)2.3版本的手機(jī)在用數(shù)據(jù)線接入電腦的時(shí)候在硬盤里顯示移動(dòng)磁盤，而Android手機(jī)系統(tǒng)3.0以上版本的手機(jī)在用數(shù)據(jù)線接入電腦的時(shí)候顯示移動(dòng)設(shè)備的原因。

當(dāng)Android手機(jī)通過(guò)UMS模式將sdcard掛載到PC上，PC就擁有對(duì)sdcard的絕對(duì)控制權(quán)。這種模式下，手機(jī)將無(wú)法同時(shí)訪問(wèn)sdcard，同時(shí)也存在PC端操作損壞Android系統(tǒng)的風(fēng)險(xiǎn)，導(dǎo)致手機(jī)不能使用?；谝陨显?，Android手機(jī)系統(tǒng)3.0版本開(kāi)始集成MTP，它是微軟公司提出的一套媒體文件傳輸協(xié)議。

Android手機(jī)可以通過(guò)MTP把智能設(shè)備當(dāng)作U盤使用，但它和UMS有所不同：當(dāng)Android手機(jī)的sdcard以MTP模式掛載到PC機(jī)上，sdcard的控制權(quán)其實(shí)還屬于手機(jī)，只不過(guò)智能手機(jī)通過(guò)MTP向PC機(jī)構(gòu)建了一個(gè)虛擬文件系統(tǒng)。PC機(jī)操作其中的文件時(shí)，都會(huì)通過(guò)MTP向智能手機(jī)發(fā)起請(qǐng)求。

因此Android 3.0以上版本的手機(jī)、IOS手機(jī)是無(wú)法運(yùn)用WinHex軟件制作手機(jī)鏡像的，而Android手機(jī)系統(tǒng)3.0以下版本的手機(jī)、大多數(shù)老年機(jī)，以及插入外置內(nèi)存卡的手機(jī)在借助讀卡器的情況下是可以運(yùn)用WinHex軟件制作手機(jī)鏡像的。

3 結(jié)束語(yǔ)

當(dāng)今社會(huì)，互聯(lián)網(wǎng)發(fā)展迅速，各種電子通信工具為電信詐騙、網(wǎng)絡(luò)黑色交易等犯罪提供了土壤，給不法分子隱藏身份作案以可乘之機(jī)。本文以WinHex軟件制作手機(jī)鏡像為研究方向，探討Win-Hex鏡像在通信工具作案中起到的作用。WinHex是一款可以操縱電子設(shè)備最底層數(shù)據(jù)的軟件，運(yùn)用WinHex軟件能夠有效提取手機(jī)數(shù)據(jù)，將證據(jù)完整保存下來(lái)，為案件取證工作提供有力支撐。本文闡釋了WinHex軟件的功能，WinHex軟件制作手機(jī)鏡像的操作流程，相關(guān)電子物證的取證要求，分析了運(yùn)用WinHex軟件制作不同類型手機(jī)鏡像產(chǎn)生差異性的原因。圍繞相關(guān)操作流程進(jìn)行了具體實(shí)驗(yàn)，通過(guò)實(shí)驗(yàn)檢驗(yàn)WinHex軟件制作手機(jī)鏡像的可行性和有效性，將提取老年機(jī)與智能機(jī)過(guò)程的差別以及提取Android與IOS系統(tǒng)過(guò)程的差別進(jìn)行比較，分析其存在的問(wèn)題和原因，以及操作過(guò)程的注意事項(xiàng)，為公安基層提取、固定和保存不同客體電子物證的工作提供參考。