賈釗 丁兆錕 謝波 史向東 廖赟

摘要：隨著移動(dòng)通信技術(shù)的高速發(fā)展，手機(jī)取證已成為司法鑒定中電子數(shù)據(jù)取證的重要組成部分。在取證過(guò)程中，手機(jī)鎖屏密碼經(jīng)常會(huì)給取證工作的進(jìn)行帶來(lái)障礙。針對(duì)這一問(wèn)題，本文總結(jié)了不同場(chǎng)景條件下Android手機(jī)解鎖及獲取鏡像的常用流程和所需技術(shù)，為司法鑒定中破解Android手機(jī)鎖屏密碼和提取數(shù)據(jù)鏡像提供相關(guān)思路。

關(guān)鍵詞：電子取證;Android手機(jī);手機(jī)解鎖;手機(jī)鏡像

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）35-0264-02

隨著信息技術(shù)迅猛發(fā)展，智能手機(jī)已演變成為一個(gè)包含個(gè)人綜合全面信息的終端設(shè)備，智能手機(jī)中包含的信息證據(jù)也越來(lái)越多。在司法鑒定過(guò)程中，對(duì)目標(biāo)手機(jī)包含的各類信息的調(diào)查和取證也越來(lái)越重要，手機(jī)已經(jīng)成為調(diào)查取證所需重要信息的獲取來(lái)源[1]。根據(jù)IDC的數(shù)據(jù)，2018年Android手機(jī)銷量在全球市場(chǎng)占比約為85%。所以，Android手機(jī)的取證技術(shù)目前已成為司法鑒定工作中各類技術(shù)的重點(diǎn)關(guān)注內(nèi)容。

1 Android系統(tǒng)

Android是Google公司開(kāi)發(fā)的一款基于Linux內(nèi)核的嵌入式操作系統(tǒng)。其體系結(jié)構(gòu)自下而上分別為：Linux內(nèi)核層、系統(tǒng)運(yùn)行庫(kù)層、應(yīng)用程序框架層、應(yīng)用程序?qū)?。Android手機(jī)加電開(kāi)機(jī)后，CPU從ROM的固定位置讀取引導(dǎo)加載程序到RAM并執(zhí)行，然后加載系統(tǒng)。這個(gè)過(guò)程有三種模式：

（1）Recovery模式（恢復(fù)模式）。在該模式下，用戶可以進(jìn)行系統(tǒng)備份、系統(tǒng)升級(jí)、還原出廠設(shè)置等操作，進(jìn)入恢復(fù)模式后，用戶可以根據(jù)需要進(jìn)行備份、刷機(jī)、清除數(shù)據(jù)等操作。

（2）Fastboot模式（快速引導(dǎo)模式）。該模式是一種比Recov-ery模式更底層的刷機(jī)模式，當(dāng)手機(jī)的系統(tǒng)無(wú)法進(jìn)入恢復(fù)模式時(shí)，可以通過(guò)Fastboot進(jìn)行重新刷機(jī)，恢復(fù)設(shè)備。

（3）正常啟動(dòng)模式。在該模式下，手機(jī)會(huì)啟動(dòng)Android系統(tǒng)，并加載系統(tǒng)程序到System分區(qū)，然后讀取用戶應(yīng)用程序，初始化后正常啟動(dòng)。

2 Android手機(jī)鎖屏方式

2.1圖形鎖

圖形鎖需要用戶在一個(gè)3x3的點(diǎn)陣上繪制一個(gè)個(gè)性化圖形，用于解鎖手機(jī)設(shè)備。由于規(guī)則要求，圖形鎖一共只有389112種，比6位數(shù)字密碼的1000000種更少一些，換句話說(shuō)，圖形鎖的安全性要弱于6位數(shù)字密碼。

2.2密碼鎖

密碼鎖包括簡(jiǎn)單密碼和復(fù)雜密碼，簡(jiǎn)單密碼一般情況需要輸入4到6位純數(shù)字，對(duì)于2019年6月之前的Android手機(jī)，最多可設(shè)置16位以內(nèi)的純數(shù)字密碼。復(fù)雜密碼一般情況下需要輸入4到16位至少包含一個(gè)字母的數(shù)字、大小寫字母和標(biāo)點(diǎn)符號(hào)的組合。

2.3 PIN碼

PIN碼是手機(jī)SIM卡的個(gè)人識(shí)別碼，是保護(hù)SIM卡的一種安全措施，防止SIM卡被盜用。如果手機(jī)啟用了PIN碼，那么每次開(kāi)機(jī)后就要輸入4到8位數(shù)PIN碼才能啟用SIM卡，且連續(xù)3次輸入錯(cuò)誤的密碼后SIM卡會(huì)被鎖定，需要輸入運(yùn)營(yíng)商提供的PUK碼才能解鎖。

2.4生物特征

生物特征鎖屏是通過(guò)手機(jī)設(shè)備中的傳感器錄入生物特征信息作為鎖屏密碼。目前應(yīng)用比較多的是指紋和面部識(shí)別。出于安全性考慮，Android系統(tǒng)6.0后，google對(duì)所有支持指紋識(shí)別的手機(jī)制造商提出了要求：在第一次使用指紋鎖屏?xí)r，用戶需先設(shè)置設(shè)備密碼（圖案密碼、密碼、PIN碼），再添加指紋密碼，所以指紋密碼并不是單獨(dú)存在。

3 Android手機(jī)解鎖與鏡像獲取

在司法鑒定手機(jī)取證中，比較常規(guī)的三種取證方法是：自帶備份、ADB備份和降級(jí)備份。而這三種取證方法的實(shí)施都是建立在已知手機(jī)鎖屏密碼的前提之下的，所以當(dāng)遇到不知道鎖屏密碼的情況時(shí)，光靠常規(guī)思路是無(wú)法滿足需求的。

針對(duì)上述手機(jī)取證難點(diǎn)，目前可以考慮從手機(jī)解鎖和手機(jī)鏡像兩個(gè)方向進(jìn)行突破。通過(guò)手機(jī)解鎖可以順利突破密碼限制，獲取到手機(jī)中的重要數(shù)據(jù);通過(guò)手機(jī)鏡像可以對(duì)刪除數(shù)據(jù)做進(jìn)一步的恢復(fù)工作，從而挖掘更多有價(jià)值的線索。

3.1 ROOT權(quán)限

用軟件方法進(jìn)行物理取證是Android手機(jī)取證的首選[2]，如果在手機(jī)開(kāi)啟了USB調(diào)試且有ROOT權(quán)限的情況下，就可以采用ADB命令的方式清除或者提取密碼文件。不同Android版本其密碼文件存儲(chǔ)的位置也不相同，只要提取或者刪除其密碼文件就可以破解鎖屏密碼。同時(shí)還能夠通過(guò)DD命令，來(lái)獲取到ROOT權(quán)限下的鏡像文件，為數(shù)據(jù)分析和恢復(fù)提供幫助。

當(dāng)手機(jī)開(kāi)啟了USB調(diào)試但沒(méi)有ROOT權(quán)限時(shí)，可以通過(guò)使用第三方工具嘗試提權(quán)，比如ROOT精靈、ROOT大師、KING-ROOT等。也可以嘗試?yán)帽镜芈┒刺釞?quán)，在提權(quán)成功后，就可以嘗試刪除密碼文件，或者提取密碼文件解密，從而獲取到手機(jī)的數(shù)據(jù)鏡像[3]。

3.2Recovery模式

Recovery模式是Android手機(jī)備份恢復(fù)模式，在這個(gè)模式下，我們可以對(duì)已有的系統(tǒng)進(jìn)行備份或升級(jí)。

目前有兩種類型的Recovery，分別是官方Recovery和第三方Recovery。官方Recovery功能較少，而第三方Recovery不僅涵蓋了官方Recovery的功能，還帶有Root權(quán)限，常見(jiàn)的第三方Recovery有CWM、TWRP等。當(dāng)成功刷入第三方Recovery后手機(jī)將變成Root狀態(tài)，此時(shí)就可以直接提取鏡像，分析數(shù)據(jù)了。

3.3解鎖BootLoader

Bootloader就是操作系統(tǒng)內(nèi)核運(yùn)行之前運(yùn)行的一段小程序，它負(fù)責(zé)在開(kāi)機(jī)時(shí)根據(jù)基帶初始化硬件，并引導(dǎo)系統(tǒng)內(nèi)核，啟動(dòng)系統(tǒng)進(jìn)程。如果BootLoader不能正常加載，手機(jī)就無(wú)法正常開(kāi)機(jī)和使用。這也就是必須要解鎖BootLoader后才能刷第三方ROM的原因。