本文介绍了在无法获取ROOT权限的情况下,如何从一部vivoX5Max+手机中恢复删除的照片。当手机默认连接电脑仅充电时,通过设置USB连接为‘U盘功能’,然后使用FTKImager创建物理驱动器镜像,再通过取证大师进行签名恢复,成功恢复了大量照片。这种方法适用于系统版本较低且不能通过常规手段获取镜像的Android手机。
最近接到一部手机,需要恢复手机中删除的照片。手机型号为vivo X5Max+,系统为Funtouch OS 2.0(基于Android 4.4.4)。尝试获取ROOT权限失败,尝试使用DC-4501工具箱中的“MTK Android 高级工具”关机镜像,失败。
经过一番研究,发现这部手机每次连接电脑的时候,默认情况下仅仅为手机充电。下拉通知栏,点击当前连接状态的通知,可以进行USB设置,连接方式有4中可选,分别是只充电、U盘功能、媒体设备(MTP)、相机(PTP),如图1、图2所示。(“只充电”模式下无法在电脑端对手机进行截图并保存到电脑,图1、图2是将手机设置成MTP模式后截的图。)
打开FTK Imager,点击工具栏的图标创建镜像,证据类型选择“Physical Drive”,在列表中选择“\\.\PHYSICALDRIVE2 -Linux File-CD Gadget USB Drive [25 GB USB]”,然后填写案例存储路径等案例信息后,点击“Start”开始镜像。大约10分钟后,镜像完成,并自动计算了哈希值。如图4所示。
使用FTK Imager加载刚刚创建的镜像,在“\DCIM\.thumbnails\”、“\DCIM\Camera\”等目录下发现大量已删除的文件,如图5所示。
图5使用FTK Imager加载创建的镜像
选择取证大师工具栏数据按钮,选择签名恢复,恢复文件类型选择“JPEG图片(标准)”和“JPEG图片(非标准)”,点击“开始恢复”启动签名恢复功能。
经过半个小时的等待,恢复出了4万多张图片,剔除占大多数的缩略图及应用缓存图片,筛选出了不少委托方需要的照片。
总结:
Android手机照片恢复主要的思路是从手机存储设备文件系统层面按照图片文件的特征进行签名恢复,而如何从文件系统层面接触到手机中的数据是最主要的问题。
如果手机带有外置SD卡,直接对SD卡制作镜像并分析即可;如果照片存在于机身内存,首先考虑ROOT后制作全盘镜像。对于系统版本比较低的Android手机,可以使用ROOT工具获取ROOT权限后使用手机取证工具获取手机全盘镜像;对于近两年的一些MTK芯片的手机,可以使用手机取证工具在关机状态下获取镜像;对于一些已经物理损坏或其他方式都解决不了的手机,可以采用ChipOff拆芯片的方式,直接对手机存储芯片进行镜像。
本例中,手机没有外置存储卡,尝试ROOT失败,虽然是MTK芯片,但是尝试关机镜像失败,而拆芯则风险太大。幸好这部手机有“U盘模式”,可以连接电脑对手机中的部分区域进行镜像。
注:MTP模式下虽然也可以从计算机上读取手机中的数据,但和U盘模式有很大区别。MTP(Media Transfer Protocol)是上层应用协议,手机通过MTP模式连接计算机,计算机端并不能直接访问手机中文件系统。
2195
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
