安卓加密软件_【winhex/Xways实战应用】安卓QQ卸载后的手工恢复实战

原创：阮咸 330wang

 

0x01 案例说明

接到总部给分配的一个活，说是客户要不惜一切代价恢复一些聊天记录。案发时间是2014年xx月初，客户发现时间2014年xx月中旬。涉案手机有两部，涉案电脑有两台。经过与客户交流得知，目前能提供线索的只有一部手机。其它的设备由于各种原因被排除在外。

0x02 恢复可行性分析

1.这两台电脑上一台上安装了还原精灵，QQ聊天记录会在关机时被清除。所以电脑上的QQ聊天记录不好恢复。另外一台根本没有聊天的痕迹。2.由于电脑上的QQ聊天记录存放的数据库文件是加密的，以碎片的方式恢复聊天记录数据库几乎是不可能的。3.再看手机，如果手机系统版本比较高，不管应用是删除还是卸载，数据区都会清0。4.其中的一台手机，在案发时间内根本没有使用过，直接忽略掉。5.另一台是早期的手机，安卓版本是4.0，不存在清0的问题。所以有恢复的可能。6.安卓QQ的聊天记录存储也是加密的，只不过它是xor(异或)加密。只要得到手机的解密密钥和数据库结构，就可以做碎片恢复。7.安卓QQ的解密密钥一般是它的串号(存在其它特殊情况)，数据库结构根据QQ版本的不同而不同。目前有关安卓QQ我们在实际测试过程中发现了至少24种不同的结构(包括最新发现的)。综上所述，这四个检材中有一个手机有可能能恢复出相关的数据。下面着重对这个手机进行恢复操作。

0x03 手机镜像

接到手机以后，手机处于关机状态，由于这个手机型号是联想A789。通过查询它的参数(http://detail.zol.com.cn/328/327598/param.shtml)，知道它的CPU品牌是联发科MTK，所以第一步，用flash_tool来回读它的镜像。从网上下载这个手机专用的刷机工具，发现这是旧版本(V3.0版本)的flash_tool，打开回读工具后，正常回读，但是每读取一点就断，还得重新读取。不知是工具的原因还是手机的原因。由于时间紧迫，所以想试试ROOT的方法，手机开机后发现手机已经有ROOT了！和客户交流，客户说这个手机已经在几个地方做过了，ROOT是其他人做的。当时心就凉了一半，因为不知道手机的ROOT方式，如果用第三方软件ROOT的话，会往手机上推送大量的apk软件，这些apk软件肯定会放到data分区上，造成原始数据覆盖。先不管这些了，既然有了ROOT，先做镜像来吧。手工镜像过程省略，可以参考http://www.intohard.com/article-219-1.html来镜像手机，如果有手机恢复/取证软件的话可以直接用手机镜像工具做镜像。

0x04镜像分析

取完镜像后，用winhex加载镜像，并解释为磁盘模式，结果发现这个手机的采用MBR磁盘格式，如下图所示