闲暇时间,随手记录,愿与诸位朋友分享。学识有限,不当之处,恳请各位大神不吝赐教,也是对我自己的学习提高过程!
言归正文
手机取证,从字面理解,可以分为取和证两个过程。取,把数据原原本本的从手机中提取出来。证,通过数据检索、挖掘、分析,寻找与案件有关的线索和证据。对于我们来说,二者缺一不可。但万事开头难,如何取,往往是大家最头疼的事。后面把现在智能手机常用的数据提取方法做个归纳,也会简述对应的优缺点。
1.逻辑提取
目前ios的提取,安卓开机后通过adb的提取,都属于逻辑提取。这个方法操作最简单,只要手机没有锁,理论上对都可以。对于ios,由于系统特殊性,暂时也没有更好的提取办法。对于安卓系统,随着安卓版本的提高,特别是6.0以后,在没有root权限的情况下能提取到的应用信息越来越少。对于高版本安卓,用逻辑提取只能是没有办法后的无奈之举。
2.root后的逻辑提取
安卓手机root后,已经获得最高的系统权限,通过逻辑提取可以获取到大量的数据,包括各种应用的删除数据。但在安卓6.0后,手机的root越来越难,几乎不可能简单的通过第三方工具获得权限。
3.root后的开机逻辑镜像
所有安卓手机在开机状态下获得权限后,都可以提取手机的逻辑镜像(作为与物理镜像的区分,手机开机后这种adb读取镜像暂称为逻辑镜像吧,不慎准确)。在安卓4.x时代,这个方法用的很多。有了逻辑镜像,就可以通过分析软件对数据进行解析,恢复删除数据(即使6.0后开启全盘加密,只提取用户区的逻辑镜像也可
最低0.47元/天 解锁文章
4067
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
