【技术视界】YUNOS操作系统手机微信数据提取方法

随着数据恢复、提取技术的不断发展，手机制造商为保障使用者的数据安全，也在不断的升级手机数据保护措施，而保护措施的不断推陈出新，也给我们数据恢复和提取工作者造成了不小的困扰。但我们研究更新取证技术的脚步从未停止。

今天，源妹要给大家分享的是一种YUNOS操作系统的手机微信数据提取方法。

YunOS作为阿里旗下多领域技术成果的集合产品，继iOS、Android后成为第三大移动操作系统， 广泛应用于智能手机中。常见的使用YunOS系统的智能手机有：小辣椒、百合、魅族，纽曼，朵唯，锤子等。

YUNOS系统手机数据提取常规方法

1、直接提取

获取系统root权限后，手动输入命令将数据提取出来，配合使用取证软件进行分析。YunOS 3.0及以下系统可以尝试使用root工具进行提权；

2、使用acb协议进行识别并备份；

3、recovery模式提取：使用recovery中自带的backup模块获取手机备份数据；

4、自动取证：连接手机利用手机接口获取手机基本信息。
　数据提取难点　

由于YunOS的系统特殊性及安全性，通常应用于android的数据镜像方法并不适用于该系统。常见的取证难点如下：

1、随着系统的不断完善，提权逐渐变得艰难；

2、部分手机采用YunOS定制的acb端口，adb协议并不能识别这类手机。

3、应用内部限制了acb 指令；

4、部分YUNOS系统手机recovery下没有backup备份功能，无法采用recovery备份方法；

5、在手机未root情况下可能无法获取到短信、通话记录、应用程序数据及已删除数据。
　

解决方法　

针对上述数据提取难点，我们也对此进行了专门的研究，下面以具体的手机为例来为大家详细阐述。

手机：百合A8+，搭载YunOS 5.0系统

需求：提取手机微信数据

采用常规方法来提取手机数据，我们发现：

用android 手机镜像方案来提取该手机数据并不奏效，因此选择其他的专项方案来获取手机数据。

1、首先采用acb指令获取手机数据，但是此方案并没能成功的提取出手机微信数据；

2、采用recovery模式下的备份功能镜像数据，但遗憾发现该手机recovery下并不包含备份数据功能；

3、最后采用了微信降级备份方法，但是降级备份出的数据，相对于正常的微信数据包而言，少了最为重要的一个文件夹 MicroMsg。众所周知，微信的应用数据都存储在该文件夹中，因此没有该文件夹无异于获取微信数据失败。那么降级备份这项方案也折戟于该手机。

上述方法都以失败告终，因此我们只能转换思路，思考其他的方式。

查询该手机的具体手机参数信息时，得知该手机采用的是高通MSM8909的基带芯片，决定使用高通的9008模式来对该手机尝试进行镜像。

采用9008模式对该手机进行镜像操作

1.首先在网络上查找该手机的rom线刷包，成功提取到该手机的mbn文件，该文件是与EMMC、DDR的配置参数相关的。

2.使用SPF9139智能手机数据恢复取证系统（以下简称SPF9139，【全新版本发布】SPF9139重装上阵，智能取证新技能轻松get）内置的工具箱中的高通9008镜像工具，对文件和手机进行配合使用以读取手机数据。

3.功夫不负有心人，最终成功的镜像出手机的data分区，再通过解析该分区的镜像文件成功获取出/data/data/com.tencent.mm 文件夹，文件夹中完整的包含了MicroMsg文件夹。至此成功获取微信数据，并且可以进行完整的数据解析。

产品试用通道

上述方法解决了YUNOS手机数据获取的困境，最终不仅成功获取了所需数据，也将手机存储数据完整的镜像出来了，有利于扫描获取删除数据。目前，此方法已经应用于效率源SPF9139智能手机数据恢复取证系统，客户可以通过自主搜索手机cpu型号及查找相应手机线刷包获取mbn文件的方式通过9008镜像工具镜像手机文件。