kjb文件解析_安卓手机 F2FS文件系统镜像快速解析技巧

最新推荐文章于 2023-12-27 19:00:00 发布

weixin_39531378

最新推荐文章于 2023-12-27 19:00:00 发布

阅读量460

点赞数

文章标签： kjb文件解析 TF卡里删掉文件后内存没变大安卓加密软件安卓手机加密

F2FS文件系统相比传统的EXT4文件系统更适合移动设备存储，EXT4文件系统是从linux系统延申应用至安卓系统当中的，当然了，你可以理解安卓系统其实就是linux系统的一个变种，很多linux系统机制乃至内核漏洞都会在安卓系统中体现，EXT4文件系统最初并不是为安卓存储而设计，当时并没有考虑到安卓系统这样大规模的碎片化存储，导致安卓系统从设计之初到现在一直成为“诟病”的碎片化问题，表现就是安卓系统的智能设备，越用越慢，最终无可忍受。

这种碎片化问题一直未得到有效的改善，直至一种新的针对安卓移动设备所设计的文件系统--F2FS的诞生才有所改善。

2016年底，华为公司发布了它自己设计的移动设备CPU--海思麒麟960，同时上市一款基于安卓系统的智能手机--华为Mate9，广告宣称该型号使用18个月不卡顿！正所谓一剑诛心。真正让mate9使用18个月不卡顿的，主要功勋就是F2FS文件系统(F2FS对于提升系统速度和效率有着很大帮助，但是并不是说仅仅因为F2FS，华为对安卓系统的优化贡献是除了google之外是最多的，现有的安卓源码里有相当大一部分都是华为贡献的，华为和google有着大量的交叉互换专利协议，华为有着大量的系统设计修改经验，所以，华为的强大不仅仅是说说而已。)

F2FS是一种动态的文件系统，怎么理解呢，采用F2FS文件系统的手机用户分区，只要在正常的开机状态，该分区永远都是在不停的变化的。文件系统嘛就像是一本书，有目录有内容，但是F2FS的目录和内容无时不刻的在变化，所以就会有一个问题，做镜像的时候要不要在文件系统工作的时候做呢？也就是开机状态下做呢？答案很明显嘛，目录部分已经镜像出来了，后面在镜像内容的时候(实际镜像的时候是根据存储地址进行先后拷贝的，但是可以这样理解，因为目录表一般都会在前，而数据内容都在后)，手机上即使没有新的文件写入，而前面的文件目录这时候却已经发生了变化，已经拷贝的镜像里可是不能随便改变的。喏，这样使得镜像变得毫无意义(EXT4文件系统在没有产生新的存储文件的时候，目录是不会发生改变的，即使有新的文件产生，其改变也仅在于当前写入的文件的目录结构地址和文件存储地址而已)。所以，镜像F2FS文件系统的时候，尽可能的使其发生最小的改变量，不建议在手机系统正常工作的条件下对其镜像，采用FDE加密的F2FS分区，建议在第三方recovery下进行镜像(这样提取的镜像依然会有部分数据发生错乱会导致最终解析出错)，未加密的F2FS分区建议采用关机端口镜像(一定要正常关机，非正常关机会导致镜像里部分数据错乱)。

正是由于F2FS文件系统如上的一些问题，目前没有开源的镜像解析方案，关于F2FS文件系统镜像的解析方法呢，早在2017年我们就写过类似的文章，当时是利用虚拟机安装ubuntu系统，在虚拟机里挂载F2FS镜像文件，虽然可以解析到文件系统，但是提取分析数据相当的繁琐，很多取证软件不能很好的配合和利用。今天呢我们继续探讨一下，F2FS文件系统镜像内数据的快速提取和解析，也算是针对之前方法的一个补充利用。

一个典型机型：锤子的PRO2S，遇到这个机器，很多人心里都在骂娘，这破机器你镜像个锤子啊！

首先我们通过9008端口对其用户分区进行镜像，感谢苍天，这机器不加密啊老铁。怎么判断的不加密呢，我们只镜像userdata分区的前500M(当前，如果像小编这样有强迫症的可以把105G全部镜像完)，然后winhex打开：0X0开始一片00000000那么就可以判定userdata并未采用FDE全盘加密(未采用FDE全盘加密不代表就不加密哦，小编以后再给大家讲解另一种加密方式：FBE)。

接下来，我们镜像出完整的userdata，大概2个小时左右，比较难熬。105G的用户区镜像再通过winhex克隆到一张128G TF卡上(当然，如果您比小编有钱的话，可以买256G或者更大容量的卡，只要比当前镜像容量大即可)，然后我们找到一部17年以后生产销售的，已经解锁过bootloader锁的，并且刷好第三方recovery的华为手机(一定要华为，不要问为什么，就是爱国！)