基于安卓系统的设备的数据取证方法
【技术领域】
[0001]本发明属于数据取证领域,具体涉及一种基于安卓系统的设备的数据取证方法。
【背景技术】
[0002]近年来,智能手机由于其无线接入互联网、PDA、开发性的操作系统、人性化、功能强大及运行速度快等特点,发展极为迅速,据《2013-2017年中国智能手机行业市场需求预测与投资战略规划分析报告》估算,2012前三季度,全球智能手机用户总数已经突破了 10亿大关。而2011前三季度的用户量只有约7亿户。可以看出,智能手机市场的潜力不可估量,而其中,由谷歌独家推出的智能操作系统-安卓成为其中的佼佼者,据CNET报道,调研机构Strategy Analytics 2014年第三季度报告中显示,Android以83.6%的市场占有率稳居移动操作系统市场之首,可以看出,智能手机取证尤其是安卓手机取证对于取证领域的重要性。
[0003]传统的手机取证软件,均通过adb调试工具连接电脑,针对4.0及以后的安卓系统,需在手机设置里面打开开发者选项,勾选USB调试,且在手机第一次连接电脑时,手机端会弹出是否“一律允许使用这台计算机进行调试”的选项,需选择允许,手机连上电脑以后,如果要对手机进行数据提取、镜像等操作,则需获取root权限(即手机系统的最高权限)。
[0004]目前市面上主流的解安卓屏幕锁方法,前提条件均是开启USB调试,并且手机需要先root,以便获取最高权限,手机连接电脑后使用adb shell rm - r/data/system/gesture, key或者password, key可删除对应的图案锁或者密码锁,限制条件较多,尤其针对嫌疑人手机的取证,手机第一次连接取证设备无法勾选“一律允许使用这台计算机进行调试”的选项,对取证造成较大的阻碍,传统的解屏幕锁方法无法解决此问题。
[0005]安卓手机recovery模式简介:recovery模式是安卓手机的一种恢复模式,该模式主要提供清空用户数据,恢复出厂等功能,传统的官方recovery功能较为单一,且无法通过adb进行调试工作,基于官方源码的基础上修改编译的recovery则可开启USB调试,获取root权限等。
[0006]安卓手机fastboot/download模式简介:该模式是一种较:recovery模式更为底层的刷机模式,可进行recovery文件的刷写,三星手机为download模式(挖煤模式)。
【发明内容】
[0007]本发明针对现有技术的不足,提供了一种基于安卓系统的设备的数据取证方法,能够有效解决现有技术无法获取锁屏模式下的数据问题。
[0008]为解决以上问题,本发明采用的技术方案如下:一种基于安卓系统的设备的数据取证方法,包括以下步骤:
[0009]SI制作具有root权限的recovery文件;
[0010]S2进入fastboot或者download模式,进行recovery文件刷写;
[0011]S3进入刷写后的recovery模式后直接进行屏幕解锁操作。
[0012]作为优选,SI的具体方法如下:
[0013]Sll获取待适配机型的官方recovery文件;
[0014]S12解压recovery文件,得到kernel文件与ramdisk文件夹;
[0015]S13修改ramdisk文件夹核心文件参数以关闭保护及开启USB调试;
[0016]S14编译源码,生产新的具有root权限的recovery文件。
[0017]作为优选,S13的具体方法如下:
[0018]将默认配置文件default, prop的参数r0.secure修改为0,即可关闭保护,参数r0.debuggable修改为1,即可在recovery模式下开启USB调试。
[0019]作为优选,S2的具体方法如下:手机进入fastboot/downloade模式,将生成的新的具有root权限的recovery文件通过fastboot.exe工具刷入。
[0020]本发明的有益效果如下:本发明主要解决安卓智能手机有屏幕锁无法连接电脑、无法开启USB调试、无法root的情况导致手机不能进行数据取证或者数据恢复的问题,通过刷入基于官方recovery修改的recovery包,在该recovery模式下开启USB调试并自带root权限,可解除屏锁,进行物理镜像并提取恢复的数据。本发明的应用范围除了安卓手机也包括使用日渐增多的安卓平板等设备。
【附图说明】
[0021]图1为本发明的主流程图。
【具体实施方式】
[0022]为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
[0023]实施例:一种基于安卓系统的设备的数据取证方法,本实施例以安卓手机为例,如图1所示:
[0024]SI制作具有root权限的recovery文件;
[0025]S2进入fastboot或者download模式,进行recovery文件刷写;
[0026]S3进入刷写后的recovery模式后直接进行屏幕解锁操作。
[0027]进一步地,SI的具体方法如下:
[0028]Sll获取待适配机型的官方recovery文件;
[0029]S12使用解压脚本unpack, sh解压recovery文件,得到kernel (内核)文件与ramdisk文件夹;
[0030]S13修改ramdisk文件夹核心文件参数,用于关闭保护及开启USB调试;修改分区表文件etc/recovery, fstab,用于增加内置SD卡挂载目录;修改初始化文件init.rc,用于初始化USB调试开启,data、system等分区挂载;
[0031]S14编译源码,生产新的具有root权限的recovery文件;
[0032]其中,recovery编译环境配置如下:安装Ubuntu64位操作系统,安装JAVA编译环境 JDK 1.6.0,recovery 源码下载;
[0033]进一步地,S13的具体方法如下:
[0034]将默认配置文件default, prop的参数r0.secure修改为0,即可关闭保护,参数r0.debuggable修改为1,即可在recovery模式下开启USB调试;
[0035]进一步地,S2的具体方法如下:手机进入fastboot/downloade模式,将生成的新的具有root权限的recovery文件通过fastboot.exe工具刷入。
[0036]进一步地,S3进入刷写后的recovery模式,即可完成以下操作:
[0037]A、连接USB线,此时无须手机端弹出“一律允许使用这台计算机进行调试”,默认开启USB调试;
[0038]B、手机在正常模式下未获取root权限,但在该模式下具有root权限,可进行文件系统级别的数据提取恢复;
[0039]C、对于调试无法开启或者无root权限时,屏幕锁无法清除,而该模式下具有root权限且可开启USB调试,可通过删除/data/system/目录下的gesture.key、password.key文件分别清除图案锁和密码锁。
[0040]D.在此recovery模式下,可使用镜像工具进行物理镜像,后续使用取证恢复软件加载镜像提取恢复手机中所有的应用数据、照片、视频及音频等数据文件。
[0041]本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
【主权项】
1.一种基于安卓系统的设备的数据取证方法,其特征在于,包括如下步骤: SI制作具有root权限的recovery文件; S2进入fastboot或者download模式,进行recovery文件刷写; S3进入刷写后的recovery模式后直接进行屏幕锁擦操作。2.根据权利要求1所述的基于安卓系统的设备的数据取证方法,其特征在于,SI的具体方法如下: Sll获取待适配机型的官方recovery文件; S12解压recovery文件,得到kernel文件与ramdisk文件夹; S13修改ramdisk文件夹核心文件参数以关闭保护及开启USB调试; S14编译源码,生产新的具有root权限的recovery文件。3.根据权利要求2所述的基于安卓系统的设备的数据取证方法,其特征在于,S13的具体方法如下: 将默认配置文件default, prop的参数r0.secure修改为0,即可关闭保护,参数r0.debuggable修改为1,即可在recovery模式下开启USB调试。4.根据权利要求2或3所述的基于安卓系统的设备的数据取证方法,其特征在于,S2的具体方法如下:手机进入fastboot/downloade模式,将生成的新的具有root权限的recovery文件通过fastboot.exe工具刷入。
【专利摘要】本发明公开了一种基于安卓系统的设备的数据取证方法,属于数据取证领域,包括如下步骤:S1制作具有root权限的recovery文件;S2进入fastboot或者download模式,进行recovery文件刷写;S3进入刷写后的recovery模式后直接进行屏幕解锁操作。本发明的有益效果如下:本发明主要解决安卓智能手机有屏幕锁无法连接电脑、无法开启USB调试、无法root的情况导致手机不能进行数据取证或者数据恢复的问题,通过刷入基于官方recovery修改的recovery包,在该recovery模式下开启USB调试并自带root权限,可解除屏锁,进行物理镜像并提取恢复的数据。
【IPC分类】G06F11/14, G06F21/60, H04M1/725
【公开号】CN105005514
【申请号】CN201510381759
【发明人】梁效宁, 张佳强, 朱星海, 赵飞
【申请人】四川效率源信息安全技术有限责任公司
【公开日】2015年10月28日
【申请日】2015年7月2日