【YUNOS操作系统】手机微信数据提取方法

640?

来源:效率源科技

ID:xiaolvyuantech


随着数据恢复、提取技术的不断发展,手机制造商为保障使用者的数据安全,也在不断的升级手机数据保护措施,而保护措施的不断推陈出新,也给我们数据恢复和提取工作者造成了不小的困扰。但我们研究更新取证技术的脚步从未停止。

今天,源妹要给大家分享的是一种YUNOS操作系统的手机微信数据提取方法。


640?wx_fmt=png


YunOS作为阿里旗下多领域技术成果的集合产品,继iOS、Android后成为第三大移动操作系统, 广泛应用于智能手机中。常见的使用YunOS系统的智能手机有:小辣椒、百合、魅族,纽曼,朵唯,锤子等。

640?wx_fmt=png YUNOS系统手机数据提取常规方法

1、直接提取

获取系统root权限后,手动输入命令将数据提取出来,配合使用取证软件进行分析。YunOS 3.0及以下系统可以尝试使用root工具进行提权;

2、使用acb协议进行识别并备份;

3、recovery模式提取:使用recovery中自带的backup模块获取手机备份数据;

4、自动取证:连接手机利用手机接口获取手机基本信息。

 数据提取难点 

由于YunOS的系统特殊性及安全性,通常应用于android的数据镜像方法并不适用于该系统。常见的取证难点如下:

1、随着系统的不断完善,提权逐渐变得艰难;

2、部分手机采用YunOS定制的acb端口,adb协议并不能识别这类手机。

3、应用内部限制了acb 指令;

4、部分YUNOS系统手机recovery下没有backup备份功能,无法采用recovery备份方法;

5、在手机未root情况下可能无法获取到短信、通话记录、应用程序数据及已删除数据。

 解决方法 

针对上述数据提取难点,我们也对此进行了专门的研究,下面以具体的手机为例来为大家详细阐述。

手机:百合A8+,搭载YunOS 5.0系统

需求:提取手机微信数据

采用常规方法来提取手机数据,我们发现:

用android 手机镜像方案来提取该手机数据并不奏效,因此选择其他的专项方案来获取手机数据。

1、首先采用acb指令获取手机数据,但是此方案并没能成功的提取出手机微信数据;

2、采用recovery模式下的备份功能镜像数据,但遗憾发现该手机recovery下并不包含备份数据功能

3、最后采用了微信降级备份方法,但是降级备份出的数据,相对于正常的微信数据包而言,少了最为重要的一个文件夹 MicroMsg。众所周知,微信的应用数据都存储在该文件夹中,因此没有该文件夹无异于获取微信数据失败。那么降级备份这项方案也折戟于该手机。

640?wx_fmt=png

上述方法都以失败告终,因此我们只能转换思路,思考其他的方式。

查询该手机的具体手机参数信息时,得知该手机采用的是高通MSM8909的基带芯片,决定使用高通的9008模式来对该手机尝试进行镜像。

采用9008模式对该手机进行镜像操作

1

首先在网络上查找该手机的rom线刷包,成功提取到该手机的mbn文件,该文件是与EMMC、DDR的配置参数相关的。

640?wx_fmt=png

2

使用SPF9139智能手机数据恢复取证系统(以下简称SPF9139,【全新版本发布】SPF9139重装上阵,智能取证新技能轻松get内置的工具箱中的高通9008镜像工具,对文件和手机进行配合使用以读取手机数据。

640?wx_fmt=jpeg

640?wx_fmt=png

3

功夫不负有心人,最终成功的镜像出手机的data分区,再通过解析该分区的镜像文件成功获取出/data/data/com.tencent.mm 文件夹,文件夹中完整的包含了MicroMsg文件夹。至此成功获取微信数据,并且可以进行完整的数据解析。



【实战:小辣椒GM-Q5+】高通YunOS手机取证实战

阿里YunOS手机取证的方法研究

YunOS手机取证解析&案例介绍




640?wx_fmt=jpeg

640?wx_fmt=png

展开阅读全文

没有更多推荐了,返回首页