浅谈安卓系统备份文件ab格式解析

【浅谈安卓系统备份文件ab格式解析】

在对安卓手机进行取证时，经常需要备份手机的应用程序数据，备份后得到的数据文件为ab格式。虽然大部分的取证软件都可以对ab文件进行分析，但是，有时候你可能需要解析ab文件的文件系统，然后对应用程序数据进行手动分析。ab文件一般分两种，一种是没有加密，这种文件前面有24字节的文件头，文件头包含none标志，文件头之后就是数据；一种是加密的备份文件，它的文件头就比较复杂了，文件头包含AES-256标志。

未加密的ab备份文件头

 

加密的ab备份文件头

详细的文件结构本文不做深入讨论，下面就如何使用工具解析ab备份内部的文件系统进行一些讨论。

解析ab格式的文件系统可以采用三种方式：

1.使用Android backup extractor进行解析

Androidbackup extractor是一个开源项目，从sourceforge和github都可以下载最新的源码，它采用java编写，因此运行的时候需要java环境。Android backup extractor可以将ab格式转换为我们熟悉的tar格式，最重要的是它同时支持没有加密和数据加密的adb备份。下面分别介绍一下转换时的命令格式：

对于没有加密的ab文件，命令格式为：java -jar abe.jar unpack <backup.ab>  <backup.tar>。如果执行成功，则没有任何信息提示；如果出现错误提示，有可能ab文件损坏，需要重新制作备份。

对于加密的ab文件，转换就比较麻烦，需要安装Java Cryptography Extension，可以从java官网下载文件local_policy.jar和US_export_policy.jar，复制到当前系统的java相应目录下，具体细节大家可以参考Android backup extractor的readme.txt文件。对于加密ab备份的转换，具体命令格式为：java -jar abe.jar unpack <backup.ab>  <backup.tar>  [password]。如果执行成功，则没有任何信息提示；如果出现错误信息，有可能ab文件损坏或者密码错误。

Androidbackup extractor除了可以将ab转化为tar，还可以将tar转换为ab。例如，你需要修改一些应用程序数据，但是手机又无法root，因此可以先将手机数据备份为ab文件，将ab备份转换为tar后修改数据，然后将修改后的tar转换为ab备份，最后恢复修改后的ab备份到设备。不过，这个功能对我们取证来说意义不大，大家了解一下。

2.使用DD命令转换

使用DD命令也可以将ab备份转换为tar文件，只是DD命令需要Linux环境，而且Linux系统需要安装openssl和zlib，此外openssl要求必须支持zlib。检查自己Linux系统的openssl是否支持zlib，可以用命令$openssl help。

    如果能看到zlib，说明当前系统openssl支持zlib模块。如果openssl不支持zlib，则需要重新安装openssl，修改源码的配置文件增加zlib模块，详细安装方法可以百度。使用DD转换ab的命令为：dd if=backup.ab bs=24 skip=1| openssl zlib -d > backup.tar。

使用DD命令只能转换没有加密的ab备份，不支持带加密的ab备份。

3.使用一些取证软件解析文件

一些取证软件支持将ab备份中的数据文件直接导出或者解析。笔者测试用的取证软件是Belkasoft Evidence Center，用户可以下载demo版本，demo版本支持将ab备份中的文件直接导出或者分析其文件系统。Belkasoft Evidence Center操作比较简单，不足之处是不支持加密的ab备份。

Belkasoft Evidence Center的文件分析功能

4.小结

以上是对安卓系统ab备份解析涉及的一些工具和方法的讨论，相比之下，可能Android backup extractor的功能更全面一些；但是使用取证软件解析ab备份的文件，操作可能更简单一些。希望本文的讨论对大家取证有所帮助和启发。

 

涉及的工具下载地址：

Android backupextractor：

https://sourceforge.net/projects/adbextractor/

https://github.com/nelenkov/android-backup-extractor