《電子數(shù)據(jù)取證技術(shù)》課件-第8章

第8章Android操作系統(tǒng)取證技術(shù)8.1Android智能手機(jī)取證概述8.2Android操作系統(tǒng)常見邏輯數(shù)據(jù)提取分析8.3Android密碼繞過與物理取證

8.1?Android智能手機(jī)取證概述

8.1.1?Android概況及發(fā)展歷程Android操作系統(tǒng)的歷史最早可以追溯至2003年10月，AndyRubin等人創(chuàng)立了AndroidInc.公司，該公司在成立僅22個(gè)月后于2005年8月17日被Google公司收購。2007年，Google聯(lián)合其他軟硬件制造商與電信運(yùn)營商共同成立了開放手持設(shè)備聯(lián)盟(OpenHandsetAlliance)，基于開源的LinuxKernel2.6發(fā)布了首個(gè)免費(fèi)的移動(dòng)終端操作系統(tǒng)Android。

2008年，首個(gè)采用Android操作系統(tǒng)的智能手機(jī)——HTCDream發(fā)布，在其后近10年間，Android操作系統(tǒng)發(fā)展速度驚人，截至2021年1月，Android操作系統(tǒng)已經(jīng)發(fā)展到Android11版本，并陸續(xù)針對(duì)電視、智能可穿戴設(shè)備和汽車等發(fā)布了AndroidTV、WearOS以及AndroidAuto等衍生操作系統(tǒng)。

Android操作系統(tǒng)的基本架構(gòu)主要由Linux內(nèi)核、硬件抽象層、原生C/C++庫、Android運(yùn)行時(shí)庫(AndroidRuntime，ART)、JavaAPI框架以及系統(tǒng)應(yīng)用組成，關(guān)于每部分的具體構(gòu)成和組件，可以通過Android官方平臺(tái)介紹頁面詳細(xì)了解，由于篇幅所限，本節(jié)不再贅述。

與之類似的和取證相關(guān)的Android操作系統(tǒng)版本發(fā)展變化還包括安全方面的改進(jìn)，如Android6.0操作系統(tǒng)中增加了全盤加密(FullDiskEncryption，F(xiàn)DE)，為Android設(shè)備的數(shù)據(jù)安全提供了更高的安全保障，其后的Android7.x版本更是將單密鑰加密的FDE方式升級(jí)為了與iOS操作系統(tǒng)數(shù)據(jù)加密類似的基于文件加密(File-BasedEncryption，F(xiàn)BE)方式，允許數(shù)據(jù)根據(jù)需要進(jìn)行解密，這使得多數(shù)基于離線芯片拆卸(Chip-off)方式的取證完全失效。

上述兩個(gè)例子表明，作為目前占據(jù)市場份額最大的智能終端操作系統(tǒng)，Android版本的更新與完善直接影響了對(duì)它的取證方式和取證效果。所以，取證調(diào)查人員應(yīng)當(dāng)了解和熟悉不同版本的Android操作系統(tǒng)之間的主要差異，尤其是在安全功能方面的變化，并持續(xù)關(guān)注與了解Android操作系統(tǒng)的發(fā)展趨勢(shì)和最新動(dòng)態(tài)，以便及時(shí)適應(yīng)和有針對(duì)性地更新取證方面的知識(shí)與方法。

8.1.2常見Android手機(jī)廠商及系統(tǒng)特點(diǎn)

由于Android的開放性特點(diǎn)，眾多設(shè)備廠商甚至業(yè)余愛好者都可以在官方Android版本基礎(chǔ)上進(jìn)行再次開發(fā)和定制，增加額外的功能，提高系統(tǒng)效率。其中較為常見的廠商定制優(yōu)化版本包括小米MIUI、華為EMUI(EmotionUI)、OPPOColorOS、vivoFuntouchOS、魅族Flyme等，較為著名的CyanogenMod(簡稱CM)也是第三方團(tuán)隊(duì)在官方Android版本基礎(chǔ)上修改而來的。

下面選擇國內(nèi)常見的手機(jī)廠商使用的定制Android操作系統(tǒng)，從系統(tǒng)安全功能與數(shù)據(jù)提取方式方面進(jìn)行簡要介紹。

1.小米MIUI

MIUI由小米公司開發(fā)，于2010年發(fā)布了首個(gè)內(nèi)測版本。早期的MIUI是基于國外第三方團(tuán)隊(duì)的CyanogenModROM進(jìn)行定制的，適配于HTCNexusOne機(jī)型，結(jié)合國內(nèi)用戶需求進(jìn)行了功能定制與優(yōu)化，受到了大量用戶的好評(píng)。截至2021年1月，其已更新至MIUI12.5版本。

主要適配機(jī)型：小米手機(jī)、紅米手機(jī)。

接口協(xié)議與數(shù)據(jù)備份方式：除Android官方adb(Androiddebugbridge)外，部分版本還集成了可進(jìn)行通信的mdb協(xié)議；MIUI操作系統(tǒng)自帶備份功能，可進(jìn)行應(yīng)用程序數(shù)據(jù)備份。

2.華為EMUI

EMUI由華為公司開發(fā)，于2012年發(fā)布了首個(gè)版本EMUI1.0，是基于當(dāng)時(shí)的Android4.0進(jìn)行開發(fā)的。隨著華為公司移動(dòng)終端產(chǎn)品的不斷豐富，EMUI更新速度也同步加快，截至2021年1月，EMUI已更新至EMUI11版本。

主要適配機(jī)型：華為手機(jī)(P系列、Mate系列等)、華為榮耀系列手機(jī)。

接口協(xié)議與數(shù)據(jù)備份方式：可使用Android官方adb進(jìn)行連接；EMUI操作系統(tǒng)自帶備份功能，可進(jìn)行應(yīng)用程序數(shù)據(jù)備份。

3.?OPPOColorOS

ColorOS是OPPO公司基于Android操作系統(tǒng)深度定制的手機(jī)ROM。近年來越來越多的國內(nèi)手機(jī)廠商從傳統(tǒng)非智能機(jī)轉(zhuǎn)型至Android智能手機(jī)，OPPO便是一個(gè)較為典型的例子，通過在手機(jī)行業(yè)多年的發(fā)展，目前OPPO品牌的智能手機(jī)在國內(nèi)手機(jī)市場占據(jù)了相當(dāng)大的份額。截至2018年初，ColorOS最新版本為ColorOS11。

主要適配機(jī)型：OPPO品牌手機(jī)。

接口協(xié)議與數(shù)據(jù)備份方式：使用Android官方adb進(jìn)行連接。

4.?vivoFuntouchOS

FuntouchOS是vivo公司定制開發(fā)的Android操作系統(tǒng)，最初發(fā)布于2013年10月，目前主要使用于vivo品牌手機(jī)中，最新版本為FuntouchOS10。

主要適配機(jī)型：vivo品牌手機(jī)。

接口協(xié)議與數(shù)據(jù)備份方式：使用Android官方adb進(jìn)行連接，部分新版本無法使用adbbackup進(jìn)行備份。

8.1.3?Android功能特點(diǎn)

由于Android版本更新?lián)Q代較快，因此不同版本間的功能特點(diǎn)與取證相關(guān)聯(lián)的特性也不盡相同。本小節(jié)主要針對(duì)Android操作系統(tǒng)的一些安全機(jī)制方面的功能特點(diǎn)進(jìn)行介紹。

1.應(yīng)用程序權(quán)限機(jī)制

在Android操作系統(tǒng)中，應(yīng)用程序?qū)τ诰唧w系統(tǒng)功能的使用都需要進(jìn)行對(duì)應(yīng)授權(quán)，如攝像頭、撥號(hào)、短消息、地理位置、應(yīng)用程序列表和系統(tǒng)存儲(chǔ)等。這種權(quán)限控制可以在應(yīng)用程序安裝過程中進(jìn)行提示，也可以在應(yīng)用程序首次運(yùn)行時(shí)進(jìn)行授權(quán)提示。

2.應(yīng)用程序沙盒機(jī)制

Android操作系統(tǒng)使用沙盒機(jī)制對(duì)程序權(quán)限進(jìn)行控制，Android為每個(gè)應(yīng)用程序分配了一個(gè)獨(dú)立的UID(UniqueUserID)，從而確保每個(gè)應(yīng)用程序僅能訪問自己所屬的存儲(chǔ)和指定的系統(tǒng)權(quán)限。在這一機(jī)制保護(hù)下，潛在的惡意程序與病毒程序無法讀取其他應(yīng)用程序存儲(chǔ)的數(shù)據(jù)和系統(tǒng)數(shù)據(jù)，保護(hù)了用戶數(shù)據(jù)的安全。

3.全盤加密

Android4.4版本引入了FDE機(jī)制，在原生Android6.0版本設(shè)備中默認(rèn)啟用FDE設(shè)置。FDE是指使用密鑰(密鑰本身也經(jīng)過加密)對(duì)Android設(shè)備上的所有用戶數(shù)據(jù)進(jìn)行編碼的過程。設(shè)備經(jīng)過加密后，所有由用戶創(chuàng)建的數(shù)據(jù)在寫入磁盤之前都會(huì)自動(dòng)加密，并且所有讀取操作都會(huì)在將數(shù)據(jù)返回給調(diào)用進(jìn)程之前自動(dòng)解密數(shù)據(jù)。

4.文件級(jí)加密

在Android7.0及更高版本中，增加了文件級(jí)加密(File-BasedEncryption，F(xiàn)BE)。與FDE采用一個(gè)主密鑰進(jìn)行加密不同，F(xiàn)BE支持針對(duì)不同的文件采用不同的密鑰進(jìn)行加密，并按需進(jìn)行解密。

8.1.4?Android取證準(zhǔn)備工作

在了解Android操作系統(tǒng)的不同層次的取證方式前，首先需要了解有哪幾種方式可以提取Android操作系統(tǒng)數(shù)據(jù)、這些方式分別基于什么原理，以及可以提取到的數(shù)據(jù)范圍。下面介紹如何準(zhǔn)備和配置對(duì)Android進(jìn)行取證的環(huán)境。

1.?安裝AndroidSDK

AndroidSDK(SoftwareDevelopmentKit，軟件開發(fā)包)主要用于Android應(yīng)用程序的編寫測試與調(diào)試，其中包括一系列的文檔和調(diào)試工具，如Android手機(jī)取證中經(jīng)常使用到的adb以及AndroidVirtualDevice等。

AndroidSDK安裝包可以在GoogleAndroid項(xiàng)目頁面下載：https://developer.android.com/studio/#downloads，下載完成后即可運(yùn)行安裝包。

在安裝過程中，根據(jù)需要可以勾選AndroidVirtualDevice工具，該工具可以創(chuàng)建基于任意版本的Android虛擬機(jī)，取證調(diào)查人員借助該工具可以研究和分析不同版本的Android操作系統(tǒng)而無須使用實(shí)際的手機(jī)終端。

在全部安裝完成后，AndroidStudio將會(huì)自動(dòng)下載完成所需的組件，包括對(duì)應(yīng)的SDK工具包。

2.?adb

adb是Android操作系統(tǒng)用于進(jìn)行數(shù)據(jù)傳輸?shù)腃/S客戶端協(xié)議。對(duì)于Android取證來說，adb是非常重要的一個(gè)概念，絕大多數(shù)情況下的數(shù)據(jù)提取、備份都是基于adb進(jìn)行的。

使用adb進(jìn)行通信，除了在計(jì)算機(jī)端安裝AndroidSDK外，還需要在Android手機(jī)端開啟USB調(diào)試模式。在不同版本的Android操作系統(tǒng)中，USB調(diào)試模式的開啟方法也有所差異，如表8-1所示。

另外，出于安全考慮，Android4.2.2之后的版本在連接USB調(diào)試模式時(shí)，需要在屏幕上點(diǎn)擊“確定”按鈕，如圖8-1所示。這意味著如果手機(jī)設(shè)置了屏幕鎖定密碼，需要首先解除手機(jī)屏幕鎖定密碼后才能進(jìn)行USB調(diào)試模式的連接。圖8-1?Android手機(jī)端連接調(diào)試模式授權(quán)權(quán)

3.通過adb連接Android手機(jī)

當(dāng)在計(jì)算機(jī)端安裝AndroidSDK并在Android手機(jī)端打開調(diào)試模式后，便可以通過adb方式連接手機(jī)。

將Android手機(jī)連接至計(jì)算機(jī)并允許進(jìn)行調(diào)試連接后，可以使用adbdevices命令查看已連接的設(shè)備情況，如圖8-2所示。圖8-2使用adbdevices命令查看已連接的設(shè)備情況

如設(shè)備顯示為unauthorized，則需要先解除屏幕鎖定后再進(jìn)行USB調(diào)試模式方可，如圖8-3所示。此時(shí)，可以使用adb方式進(jìn)行數(shù)據(jù)提取和取證工作。圖8-3?adb手機(jī)端未授權(quán)連接

8.1.5?Android操作系統(tǒng)邏輯數(shù)據(jù)提取

8.1.4節(jié)曾提到，在Android取證工作中，adb是非常重要的一個(gè)概念，因?yàn)槎鄶?shù)針對(duì)Android的邏輯層面的取證都要依賴于adb的方式進(jìn)行。在對(duì)其展開介紹之前，首先需要了解不同方式手機(jī)取證方法的差異。

圖8-4所示是SamBrothers關(guān)于手機(jī)取證工具的分級(jí)圖，其中除了最基本的手工提取分析與較為復(fù)雜的芯片拆卸方式外，多數(shù)手機(jī)取證工具具備了邏輯數(shù)據(jù)提取和物理提取功能。圖8-4手機(jī)取證工具分級(jí)圖(SamBrothers)

Android操作系統(tǒng)中的邏輯數(shù)據(jù)通常存儲(chǔ)在以下兩種文件中：

(1)?SQLite數(shù)據(jù)庫文件：通常以?*.db為擴(kuò)展名，大部分?jǐn)?shù)據(jù)存儲(chǔ)于其中，多數(shù)SQLite數(shù)據(jù)庫文件采用不加密明文存儲(chǔ)方式，可以使用常用的數(shù)據(jù)庫查看器對(duì)其進(jìn)行查看和分析。

(2)?XML配置文件：用于保存應(yīng)用程序參數(shù)配置信息，可以直接使用文本查看器對(duì)其進(jìn)行查看。

表8-2列出了Android操作系統(tǒng)中常用邏輯數(shù)據(jù)路徑。

通常情況下，如果Android手機(jī)已解除屏幕鎖定并開啟了USB調(diào)試模式，則可以利用adb方式將文件從手機(jī)復(fù)制至計(jì)算機(jī)中，其命令格式如下：

Adbpull%源數(shù)據(jù)位置%%目標(biāo)位置%

例如，需要將Android手機(jī)中download目錄下的info.xml文件復(fù)制至計(jì)算機(jī)C盤根目錄，可以在命令行中執(zhí)行圖8-5所示命令。圖8-5?adbpull命令

需要注意的是，由于Android操作系統(tǒng)中的權(quán)限限制，adbpull命令在訪問包括應(yīng)用程序數(shù)據(jù)、系統(tǒng)數(shù)據(jù)時(shí)，需要具備root權(quán)限，此時(shí)需要對(duì)手機(jī)提前進(jìn)行root操作，或者選擇采用備份應(yīng)用程序數(shù)據(jù)包的方式進(jìn)行提取。

從Android4.0版本開始，Android增加了通過adb方式進(jìn)行備份的功能，通過該功能可以將Android操作系統(tǒng)中原本需要root權(quán)限才能訪問的應(yīng)用程序數(shù)據(jù)使用打包備份的方式進(jìn)行提取。該命令的主要參數(shù)如下：

adbbackup[-f備份文件名][-apk|-noapk][-shared|-noshared][-all][-system|-nosystem][應(yīng)用包名]

其中，“-f”參數(shù)用于指定備份文件的存儲(chǔ)位置，如無特殊指定，則默認(rèn)為adb目錄；“-apk|-noapk”參數(shù)分別代表備份或不備份應(yīng)用程序安裝包apk；“-shared|-noshared”參數(shù)代表是否備份共享存儲(chǔ)或存儲(chǔ)卡存儲(chǔ)；“-all”參數(shù)表示備份所有可備份的應(yīng)用程序數(shù)據(jù)；“-system|-nosystem”參數(shù)代表備份是否包含系統(tǒng)應(yīng)用程序；“應(yīng)用包名”可以單獨(dú)制定某個(gè)應(yīng)用包名，實(shí)現(xiàn)對(duì)單個(gè)應(yīng)用的獨(dú)立備份，如圖8-6所示。圖8-6?adbbackup命令

在計(jì)算機(jī)端執(zhí)行adbbackup命令后，Android手機(jī)端會(huì)彈出備份窗口，此時(shí)需要點(diǎn)擊界面右下方“備份我的數(shù)據(jù)”按鈕執(zhí)行備份，如圖8-7所示。圖8-7手機(jī)端adbbackup響應(yīng)

備份完成后，在計(jì)算機(jī)端可以找到backup.ab文件(如adbbackup命令執(zhí)行時(shí)未另行指定文件名)，對(duì)該備份數(shù)據(jù)包的解析需要將其轉(zhuǎn)換為可解壓格式，AndroidBackupExtractor(/projects/adbextractor)可以將?.ab格式的備份包轉(zhuǎn)換為可解壓的?.tar包。

8.2?Android操作系統(tǒng)常見邏輯數(shù)據(jù)提取分析

8.2.1短信息/彩信的提取和分析Android操作系統(tǒng)對(duì)短信息和彩信采用SQLite數(shù)據(jù)庫方式進(jìn)行存儲(chǔ)，默認(rèn)的存儲(chǔ)位置為/data/data/viders.telephony/databases/mmssms.db。SQLite數(shù)據(jù)庫的查看工具有多種，如SQLiteExpert、SQLiteBrowser、SQLiteStudio等，本節(jié)將對(duì)SQLiteExpert進(jìn)行介紹和演示。

使用SQLiteExpert打開該目錄下的mmssms.db數(shù)據(jù)庫，可以看到該數(shù)據(jù)庫中包含多個(gè)數(shù)據(jù)表，如圖8-8所示。

圖8-8?mmssms.db數(shù)據(jù)庫

圖8-8中，sms表用于存儲(chǔ)短信息及彩信，主要字段釋義如表8-3所示。

根據(jù)上述字段，可以對(duì)sms表中的短信息記錄進(jìn)行逐項(xiàng)解釋，其中多數(shù)字段采用整型數(shù)與文本格式存儲(chǔ)。其中，“person”字段編號(hào)與存儲(chǔ)聯(lián)系人信息的contacts2.db中的聯(lián)系人編號(hào)對(duì)應(yīng)(詳見8.2.3節(jié))；“date”與“date_sent”字段的時(shí)間均采用UNIX毫秒計(jì)數(shù)，需要進(jìn)行轉(zhuǎn)換變?yōu)闃?biāo)準(zhǔn)日歷時(shí)間，轉(zhuǎn)換時(shí)可以使用ClockSmith等工具進(jìn)行。如圖8-9所示，若轉(zhuǎn)換后所得時(shí)間為UTC(CoordinatedUniversalTime，協(xié)調(diào)世界時(shí))，則還應(yīng)根據(jù)所在時(shí)區(qū)調(diào)整時(shí)差。圖8-9短信息時(shí)間轉(zhuǎn)換

8.2.2通話記錄的提取和分析

Android操作系統(tǒng)中的通話記錄與聯(lián)系人存儲(chǔ)于同一SQLite數(shù)據(jù)庫中，其路徑為/data/data/viders.contacts/databases/contacts2.db。使用SQLiteExpert打開該數(shù)據(jù)庫，其中calls數(shù)據(jù)表用于存儲(chǔ)通話記錄項(xiàng)目。

需要注意的是，在部分品牌手機(jī)定制的Android操作系統(tǒng)中，contacts2.db數(shù)據(jù)庫并不直接使用calls數(shù)據(jù)表存儲(chǔ)通話記錄，而是將該數(shù)據(jù)單獨(dú)存儲(chǔ)為其他的數(shù)據(jù)庫，如華為EMUI的Calls.db數(shù)據(jù)庫用于存儲(chǔ)通話記錄，取證人員需要根據(jù)實(shí)際情況尋找對(duì)應(yīng)的數(shù)據(jù)來源。

calls數(shù)據(jù)表中記錄了通話記錄的相關(guān)信息，其主要字段釋義如表8-4所示。

在部分品牌手機(jī)定制的系統(tǒng)中，除了標(biāo)準(zhǔn)通話記錄的字段外，還會(huì)增加諸如黃頁標(biāo)記、來電識(shí)別歸屬地等個(gè)性化功能，這些數(shù)據(jù)也會(huì)一并存儲(chǔ)在其對(duì)應(yīng)的數(shù)據(jù)庫中，如圖8-10所示。圖8-10通話記錄的其他字段

8.2.3聯(lián)系人信息的提取和分析

聯(lián)系人信息與通話記錄信息一樣，也存儲(chǔ)在contacts2.db數(shù)據(jù)庫中，其中與聯(lián)系人相關(guān)的幾個(gè)主要數(shù)據(jù)表如下：

(1)?groups表：聯(lián)系人分組信息。

(2)?contacts表：聯(lián)系人信息。

(3)?raw_contacts表：存儲(chǔ)更多關(guān)于聯(lián)系人的字段數(shù)據(jù)。

(4)?data表：按行存儲(chǔ)的聯(lián)系人詳細(xì)信息。

(5)?mimetypes表：定義聯(lián)系人信息中的mime類型。

下面逐一對(duì)上述幾個(gè)表進(jìn)行分析。

1.?groups表

groups表中存儲(chǔ)了用戶針對(duì)聯(lián)系人進(jìn)行的分組信息，其中“title”字段是群組名稱，“notes”字段是群組描述，如圖8-11所示。圖8-11?groups表

2.?contacts表

contacts表中保存了聯(lián)系人的聯(lián)系次數(shù)和信息更新時(shí)間等信息，如表8-5所示。

3.?raw_contacts表

與contacts表類似，raw_contacts表中儲(chǔ)存了關(guān)于聯(lián)系人的更多屬性信息，如聯(lián)系人的顯示名稱、自定義手機(jī)鈴聲等，如表8-6所示。

4.?data表

data表用于存儲(chǔ)聯(lián)系人詳細(xì)的信息。隨著Android手機(jī)版本不斷更新，其所支持的聯(lián)系人字段較之以往非智能手機(jī)簡單的電話號(hào)碼、姓名、電子郵件等字段更為豐富，如聯(lián)系人的即時(shí)通信賬號(hào)、頭像照片以及個(gè)人網(wǎng)站等信息。這些信息通過data表與mimetypes表的關(guān)聯(lián)存儲(chǔ)在數(shù)據(jù)庫中，分別如圖8-12和表8-7所示。圖8-12?data表

通過圖8-12和表8-7可以看到，data表中保存的數(shù)據(jù)看起來并不規(guī)律，既有電子郵件，又有姓名或者電話號(hào)碼，其實(shí)這些信息與其他數(shù)據(jù)表均有關(guān)聯(lián)。其中，“raw_contact_id”代表聯(lián)系人唯一的id號(hào)碼，同一個(gè)id號(hào)碼的聯(lián)系人后方的data1～data15存儲(chǔ)的數(shù)據(jù)屬于同一聯(lián)系人；而“mimetype_id”的數(shù)值決定了后續(xù)data1～data15為哪種數(shù)據(jù)提供存儲(chǔ)，其詳細(xì)定義由mimetypes表存儲(chǔ)。

5.?mimetypes表

mimetypes表中按照id分別指定了該類型存儲(chǔ)的數(shù)據(jù)項(xiàng)目。圖8-13是一個(gè)典型的mimetypes表，可以看到，字段“_id”為1的數(shù)據(jù)項(xiàng)代表vnd.android.cursor.item/email_v2，從字面即可判斷為電子郵件數(shù)據(jù)；“_id”為5的數(shù)據(jù)項(xiàng)代表電話號(hào)碼；“_id”為7的數(shù)據(jù)項(xiàng)代表姓名。

根據(jù)這樣的定義，結(jié)合data表中的內(nèi)容來分析便清晰很多，如圖8-14中畫框部分，相同的“raw_contact_id”值25表示這些信息屬于同一聯(lián)系人，分別是該聯(lián)系人的電話號(hào)碼(mimetypes_id為5)、姓名(mimetypes_id為7)和他所屬的聯(lián)系人分組信息(mimetypes_id為12)。圖8-13?mimetypes表圖8-14同一聯(lián)系人的多項(xiàng)mimetypes記錄

8.2.4瀏覽器歷史記錄的提取和分析

在對(duì)Android手機(jī)的取證工作中，調(diào)查與瀏覽器相關(guān)的瀏覽記錄是一項(xiàng)較為重要的工作。與計(jì)算機(jī)瀏覽器類似，Android平臺(tái)也有多種不同類型的瀏覽器，常見的有GoogleChrome、FirefoxMobile、Opera以及國內(nèi)的UC瀏覽器、QQ瀏覽器和360瀏覽器等。本節(jié)主要以Android操作系統(tǒng)自帶瀏覽器為例，介紹如何分析瀏覽器的相關(guān)記錄。

Android自帶瀏覽器的數(shù)據(jù)包路徑位于/data/data/com.android.browser/browser2.db。通過adb方式或其他方式將該文件提取至分析計(jì)算機(jī)，使用SQLite數(shù)據(jù)庫查看器打開該數(shù)據(jù)庫，與瀏覽器用戶痕跡相關(guān)的主要為該數(shù)據(jù)庫中的history表和bookmarks表。

1.?history表

數(shù)據(jù)庫中的history表保存了瀏覽器的所有瀏覽歷史記錄，如圖8-15所示。圖8-15?history表

2.?bookmarks表

數(shù)據(jù)庫的bookmarks表保存了瀏覽器中所有的書簽記錄，如圖8-16所示。圖8-16?bookmarks表

8.2.5郵件客戶端信息的提取和分析

Android操作系統(tǒng)中自帶的電子郵件客戶端允許用戶直接配置賬戶信息后進(jìn)行郵件的收發(fā)，相對(duì)于iOS操作系統(tǒng)中郵件的高安全級(jí)別，分析Android平臺(tái)的電子郵件數(shù)據(jù)則較為簡單。

Android操作系統(tǒng)自帶電子郵件客戶端數(shù)據(jù)包的路徑位于/data/data/com.google.android.email/databases/EmailProvider.db。使用SQLite數(shù)據(jù)庫查看器打開該數(shù)據(jù)庫，發(fā)現(xiàn)其主要數(shù)據(jù)表結(jié)構(gòu)如下：

(1)?Account表：記錄郵件賬戶信息。

(2)?Attachment表：記錄郵件附件信息。

(3)?HostAuth表：記錄電子郵件收發(fā)服務(wù)器地址及郵箱賬戶密碼信息。

(4)?Mailbox表：郵箱文件夾信息。

(5)?Message表：電子郵件摘要數(shù)據(jù)。

表8-8所示為電子郵件字段釋義，選擇了一封郵件并節(jié)選了其部分字段，用以解釋電子郵件在上述兩個(gè)數(shù)據(jù)庫中的存儲(chǔ)方式，展示其關(guān)聯(lián)關(guān)系。

隨后，根據(jù)該郵件字段“id”的值32，在EmailProviderBody.db數(shù)據(jù)庫中找到該郵件的完整內(nèi)容，如圖8-17所示。圖8-17EmailProviderBody數(shù)據(jù)庫中的完整內(nèi)容

8.2.6微信數(shù)據(jù)的提取和分析

如前文所述，Android智能手機(jī)的邏輯數(shù)據(jù)提取除了包括短信息、通話記錄、聯(lián)系人這些系統(tǒng)數(shù)據(jù)外，還包括手機(jī)中安裝的各類App數(shù)據(jù)。在當(dāng)前的手機(jī)取證工作中，對(duì)App數(shù)據(jù)的提取和分析已經(jīng)成為手機(jī)取證的重要工作內(nèi)容。與此同時(shí)，對(duì)于各類手機(jī)App的取證也給調(diào)查人員帶來了更多的挑戰(zhàn)。例如，面對(duì)日益增加的應(yīng)用程序安全機(jī)制，如何才能有效提取數(shù)據(jù)？手機(jī)App快速更新導(dǎo)致數(shù)據(jù)存儲(chǔ)方式變化該如何進(jìn)行分析？

在Android操作系統(tǒng)中，微信官方版本的數(shù)據(jù)包存儲(chǔ)路徑(圖8-18)為/data/data/com.Tencent.mm/。該路徑下的MicroMsg目錄用于存儲(chǔ)微信聊天記錄。

需要額外注意的是，由于Android微信App6.0以上版本不再允許用戶使用adbbackup方式備份自身數(shù)據(jù)，因此提取微信數(shù)據(jù)一般需要在手機(jī)端取得root權(quán)限，或制作手機(jī)物理鏡像后方可進(jìn)行分析。

在MicroMsg目錄下，根據(jù)所使用微信賬號(hào)數(shù)量的不同，存在一個(gè)或多個(gè)對(duì)應(yīng)的以MD5值命名的目錄，用于保存不同賬號(hào)對(duì)應(yīng)的微信數(shù)據(jù)。該MD5值來源md5(mm，UIN)，代表不同微信賬號(hào)對(duì)應(yīng)的數(shù)據(jù)，如圖8-19所示。圖8-18com.Tencent.mm目錄圖8-19多個(gè)微信賬號(hào)對(duì)應(yīng)的目錄

對(duì)應(yīng)微信賬號(hào)下的EnMicroMsg.db數(shù)據(jù)庫用于存儲(chǔ)微信聊天記錄(圖8-20)，和前面介紹的多數(shù)系統(tǒng)信息采用SQLite數(shù)據(jù)庫不加密明文存儲(chǔ)不同，微信對(duì)其數(shù)據(jù)庫進(jìn)行了加密，加密方式為SQLcipher，此時(shí)需要計(jì)算出對(duì)應(yīng)的密碼來進(jìn)行解密。圖8-20?EnMicroMsg.db數(shù)據(jù)庫

計(jì)算數(shù)據(jù)庫密碼需要掌握兩個(gè)要素。首先，通過直接查看手機(jī)中的“關(guān)于”信息或在撥號(hào)界面輸入“*#06#”獲取手機(jī)的IMEI/MEID信息；然后，在微信數(shù)據(jù)包路徑com.tencent.mm\shared_prefs\auth_info_key_prefs.xml中找到明文存儲(chǔ)的微信UIN值，如圖8-21所示；最后，將兩者按照表8-9所示形式組合計(jì)算MD5散列，并取其散列值的前7位，即為對(duì)應(yīng)的EnMicroMsg.db的加密密碼。圖8-21?微信UIN值

使用支持SQLCipher的數(shù)據(jù)庫查看器打開EnMicroMsg.db數(shù)據(jù)庫，輸入上述7位密碼后即可打開加密的微信數(shù)據(jù)庫，如圖8-22所示。圖8-22解密后的微信數(shù)據(jù)庫

EnMicroMsg.db數(shù)據(jù)庫中部分?jǐn)?shù)據(jù)表的釋義如表8-10所示。

對(duì)解密后的微信數(shù)據(jù)庫進(jìn)行分析，便可以較為完整地提取出微信App中的各類數(shù)據(jù)。

本節(jié)選擇微信App為例介紹了對(duì)Android操作系統(tǒng)中App程序的手工分析方法，目的在于使讀者對(duì)AndroidApp的數(shù)據(jù)存儲(chǔ)方式和分析思路形成系統(tǒng)性的理解。在實(shí)際取證工作中，多數(shù)App程序的數(shù)據(jù)庫并未加密存儲(chǔ)，且通過手機(jī)取證軟件均可直接進(jìn)行提取和分析。

8.3?Android密碼繞過與物理取證

8.3.1獲取root權(quán)限在進(jìn)行Android手機(jī)取證工作時(shí)，獲取Android手機(jī)的root權(quán)限是很多數(shù)據(jù)提取的先決條件。本章開頭已介紹過，Android是基于Linux內(nèi)核開發(fā)的移動(dòng)設(shè)備操作系統(tǒng)，而在類UNIX操作系統(tǒng)中，root用戶具有最高級(jí)別權(quán)限。所以，基于安全方面的考慮，絕大多數(shù)版本的Android手機(jī)在默認(rèn)狀態(tài)下都不提供root權(quán)限。

因此，對(duì)于取證調(diào)查人員來說，了解和熟悉獲取root權(quán)限的原理、掌握常用的獲取手機(jī)root權(quán)限的方法，以及清楚理解root一部手機(jī)可能產(chǎn)生的影響與風(fēng)險(xiǎn)便顯得尤為重要。

1.?root的本質(zhì)

root的本質(zhì)是對(duì)系統(tǒng)進(jìn)行修改，通常情況下是利用了廠商在軟件或硬件上的安全缺陷或漏洞，將特定的程序(su)附加進(jìn)去并加以執(zhí)行來進(jìn)行權(quán)限提升。

由于該過程是未經(jīng)廠商許可進(jìn)行的修改，因此存在導(dǎo)致手機(jī)軟件與硬件故障且無法還原的風(fēng)險(xiǎn)，這將會(huì)直接導(dǎo)致電子證據(jù)的滅失。在任何情況下，取證人員都應(yīng)清楚意識(shí)到這一風(fēng)險(xiǎn)，在具備條件的情況下首先進(jìn)行測試驗(yàn)證，并在取證過程中翔實(shí)記錄全部操作。

2.通過第三方root工具獲得root權(quán)限

互聯(lián)網(wǎng)上有許多第三方工具可以根據(jù)手機(jī)型號(hào)和系統(tǒng)版本提供對(duì)應(yīng)的開機(jī)root權(quán)限獲取功能，常見工具包括Kingroot、360一鍵root、root精靈等。一般情況下，對(duì)Android操作系統(tǒng)版本較早的手機(jī)(一般為Android4.4及之前的版本)更容易獲取root權(quán)限，而對(duì)Android版本較高、安全更新日期較新的手機(jī)使用此類工具獲取root權(quán)限的成功率較低。

3.通過刷入第三方Recovery獲取root權(quán)限

Android操作系統(tǒng)的Recovery分區(qū)用于對(duì)系統(tǒng)更新和系統(tǒng)恢復(fù)，在早期版本的Android中，常用的第三方Recovery程序是CWM(Clock?Work?Mod)?Recovery；而適用于較新版本Android的第三方Recovery主要是TWRP(Team?Wim?Recovery?Project)?Recovery，如圖8-23所示。

在Android手機(jī)中刷入修改后的第三方Recovery，重啟進(jìn)入Recovery模式，第三方Recovery將直接提供adb及root權(quán)限進(jìn)行數(shù)據(jù)獲取。圖8-23?TWRPRecovery界面

4.部分廠商定制系統(tǒng)提供獲取root權(quán)限功能

除了以上方式以外，還有一些品牌Android手機(jī)采用廠商定制ROM提供或部分提供臨時(shí)性的root權(quán)限，如部分魅族品牌手機(jī)，在登錄用戶賬號(hào)后可以臨時(shí)開啟root權(quán)限。

在目前主流的Android操作系統(tǒng)取證工作中，使用最多且適用范圍最廣的是采用刷入第三方Recovery的方式獲取root權(quán)限，下面進(jìn)一步介紹其具體方法。與Android刷機(jī)相關(guān)的幾個(gè)概念如表8-11所示。

8.3.2繞過Android設(shè)備密碼

在很多實(shí)際取證操作中，由于Android手機(jī)設(shè)置了密碼或者調(diào)查對(duì)象特殊等原因，而無法獲知設(shè)備密碼。在這種情況下，取證分析人員必須通過技術(shù)手段繞過密碼環(huán)節(jié)或者恢復(fù)手機(jī)密碼才可以開展進(jìn)一步的取證工作。

1.?Android操作系統(tǒng)的密碼類型

通常情況下，Android操作系統(tǒng)允許用戶設(shè)置3種類型的屏幕鎖定，分別如下：

(1)圖案密碼：俗稱九宮格密碼，使用9點(diǎn)連線形成的組合圖形作為密碼。

(2)數(shù)字密碼：采用純數(shù)字形式的密碼，一般要求至少由4位數(shù)字組成。

(3)混合密碼：也稱為文本密碼，允許用戶使用任意文本字符作為密碼(包括數(shù)字、大小寫字母和符號(hào)等)。

2.圖案密碼的加密原理(Android2.2～Android5.x)

圖案密碼的加密方式主要分為圖案輸入、明文轉(zhuǎn)換、計(jì)算散列3個(gè)步驟。

(1)用戶設(shè)置圖案密碼“Z”字母圖形，如圖8-24所示。

(2)系統(tǒng)按照點(diǎn)位排列將上述圖案依序轉(zhuǎn)換為00-01-02-04-06-07-08。

(3)對(duì)該順序字符串00010204060708進(jìn)行SHA1散列計(jì)算，得到散列值6a062b9b3452e366407181a1bf92ea73e9ed4c48。

(4)將該散列值存儲(chǔ)為gesture.key文件。

圖8-24設(shè)置圖案密碼

3.數(shù)字密碼與混合密碼加密原理(Android2.2～Android5.x)。

(1)用戶輸入文字密碼“hello123”。

(2)系統(tǒng)在字符串中混入Salt值。

(3)將整合后的字符串分別計(jì)算SHA1和MD5散列值，并將散列值合并。

(4)合并后的散列值存儲(chǔ)為password.key文件。

在Android6.0以及之后的版本中，一些廠商針對(duì)設(shè)備屏幕鎖密碼的安全機(jī)制做了進(jìn)一步加強(qiáng)，在原有基礎(chǔ)上引入了Gatekeeper機(jī)制，用于校驗(yàn)和加密原來的設(shè)備密碼，用于存儲(chǔ)密碼的文件名稱也做了變更，如表8-12所示。

4.清除key文件實(shí)現(xiàn)密碼繞過

了解了3種密碼的加密原理后，便可以通過刪除對(duì)應(yīng)加密方式的密碼文件實(shí)現(xiàn)對(duì)系統(tǒng)密碼的繞過操作。如果該設(shè)備已經(jīng)通過不同方式獲取了root權(quán)限，則可以直接使用adb命令對(duì)gesture.key、password.key等文件進(jìn)行重命名或刪除來實(shí)現(xiàn)清除設(shè)備鎖密碼。

例如，使用如下命令刪除圖案密碼的key文件：

adbshell

cd/data/systemrmgesture.key

刪除后可以直接繞過圖案密碼進(jìn)入系統(tǒng)。

5.?Android4.4.2版本adb密碼繞過

據(jù)安全研究機(jī)構(gòu)的報(bào)告(/advisories/android-4-4-2-secure-usb-debugging-bypass)，Android4.4.2版本在屏幕密碼鎖定的情況下，可以通過重啟adb指令來實(shí)現(xiàn)無密碼授權(quán)adb連接。其具體操作方式如下：

(1)將密碼鎖定的Android4.4.2手機(jī)連接至計(jì)算機(jī)。

(2)將屏幕滑動(dòng)至“緊急撥號(hào)”或“相機(jī)”界面。

(3)執(zhí)行如下命令：

adbkill-server

adbshell

(4)此時(shí)，將彈出授權(quán)USB調(diào)試連接的對(duì)話框，無須輸入密碼即可點(diǎn)擊允許USB調(diào)試連接。

繞過Android手機(jī)密碼的目的主要是進(jìn)入用戶界面，從而可以與系統(tǒng)交互進(jìn)行多次邏輯取證工作。而如果Android手機(jī)版本較高，無有效獲取root權(quán)限的方式，則需要考慮通過對(duì)設(shè)備制作物理鏡像的方式來提取所需數(shù)據(jù)。

8.3.3?Android物理鏡像提取

針對(duì)Android手機(jī)進(jìn)行物理鏡像的提取通?？梢圆捎靡韵聨追N方法，下面分別進(jìn)行介紹與演示。

1.已root設(shè)備制作鏡像

在已獲取root權(quán)限的情況下，可以直接使用dd命令對(duì)Android手機(jī)指定分區(qū)制作物理鏡像。

連接手機(jī)并開啟調(diào)試模式，在命令行中輸入“adbshell，su”，使用mount枚舉手機(jī)中所有分區(qū)信息，如圖8-25所示。圖8-25?shell下枚舉分區(qū)

從圖8-25的輸出結(jié)果中可以看到，該手機(jī)對(duì)應(yīng)的分區(qū)掛載信息包括system系統(tǒng)分區(qū)、userdata用戶分區(qū)以及cache緩存分區(qū)。其中用戶數(shù)據(jù)分區(qū)掛載點(diǎn)為/dev/block/platform/msm_sdcc.1/by-name/userdata，使用dd命令可以對(duì)userdata分區(qū)數(shù)據(jù)進(jìn)行物理鏡像操作。dd命令如下：

ddif=/dev/block/platform/msm_sdcc.1/by-name/userdataof=/sdcard/data.img

執(zhí)行上述命令后，userdata分區(qū)將會(huì)被轉(zhuǎn)為鏡像文件，保存至手機(jī)SD存儲(chǔ)卡中。

2.聯(lián)發(fā)科處理器手機(jī)提取物理鏡像

聯(lián)發(fā)科(Media?Tek，MTK)是中國臺(tái)灣地區(qū)的芯片制造商，其芯片主要面向無線通信以及數(shù)字多媒體產(chǎn)品。在Android智能手機(jī)得到普及前，其低端手機(jī)芯片解決方案占據(jù)了國內(nèi)市場份額的大半。

以采用聯(lián)發(fā)科MT6797的某款國內(nèi)品牌手機(jī)為例，首先在取證計(jì)算機(jī)端安裝SPFlashTool工具并運(yùn)行，然后在其中選擇對(duì)應(yīng)的處理器型號(hào)，指定對(duì)應(yīng)的分散加載文件(ScatterFile)。分散加載文件用于描述該型號(hào)處理器存儲(chǔ)中各個(gè)block的范圍，取證人員可以在其他同樣使用MT6797處理器的手機(jī)中將其導(dǎo)出，如圖8-26所示。圖8-26使用MTKSPFlashTool下載MTK手機(jī)分區(qū)鏡像

加載完畢后，下方列表展示了該手機(jī)存儲(chǔ)中對(duì)應(yīng)的分區(qū)信息，首先選擇用于保存用戶數(shù)據(jù)的userdata分區(qū)，然后點(diǎn)擊“Download”按鈕，將需要制作鏡像的手機(jī)關(guān)機(jī)后使用數(shù)據(jù)線連接，即可開始鏡像下載。

3.高通處理器手機(jī)提取物理鏡像

高通(Qualcomm)公司是全球移動(dòng)通信行業(yè)的領(lǐng)軍企業(yè)，其面向移動(dòng)終端的驍龍(SnapDragon)系列處理器被廣泛用于中高端Android智能手機(jī)。與聯(lián)發(fā)科類似，針對(duì)部分型號(hào)的高通手機(jī)，也可以使用廠商的底層刷機(jī)工具提取手機(jī)的物理鏡像。

高通面向手機(jī)維修與售后人員提供了QualcommProductSupportTool(QPST)支持工具包，其中包含的QualcommFlashImageLoader(QFIL)工具可以直接下載采用高通處理器手機(jī)的物理鏡像。

使用高通鏡像下載工具下載鏡像，需要使手機(jī)進(jìn)入高通9008模式。根據(jù)手機(jī)的不同，可分別采用adbrebootedl方式、Fastboot方式或使用專門的9008數(shù)據(jù)線進(jìn)入該模式。

手機(jī)進(jìn)入9008模式后，可以在設(shè)備管理器中識(shí)別出該設(shè)備名稱為QualcommHS-USBQDLoader9008，如圖8-27所示。圖8-27高通9008模式設(shè)備識(shí)別

隨后打開QFIL鏡像下載工具(圖8-28)，使用該工具下載鏡像前還需要選擇手機(jī)對(duì)應(yīng)的*.mbn文件，通過下載該手機(jī)官方提供的線刷刷機(jī)包，可以直接提取出對(duì)應(yīng)的文件。圖8-28QFIL鏡像下載工具

如提供的?*.mbn無誤，接下來直接使用QFIL中的分區(qū)查看器瀏覽手機(jī)存儲(chǔ)中的分區(qū)情況，如圖8-29所示。圖8-29?用QFIL工具查看手機(jī)分區(qū)

向下拖動(dòng)滾動(dòng)條，找到主要用于保存用戶數(shù)據(jù)的userdata分區(qū)，選擇讀取該分區(qū)數(shù)據(jù)，如圖8-30所示。圖8-30?QFIL下載userdata分區(qū)

8.3.4獲取Android外置存儲(chǔ)設(shè)備鏡像

在部分Android手機(jī)上，除了使用內(nèi)置的存儲(chǔ)外，還允許用戶插入額外的擴(kuò)展存儲(chǔ)卡來存儲(chǔ)數(shù)據(jù)。目前較為常用的是MicroSD存儲(chǔ)卡(也稱TF存儲(chǔ)卡)，用戶不僅可以將Android手機(jī)拍攝的圖片、視頻等多媒體文件存儲(chǔ)在擴(kuò)展存儲(chǔ)卡中，還可以將App自身數(shù)據(jù)存儲(chǔ)在擴(kuò)展存儲(chǔ)卡中。在進(jìn)行Android手機(jī)取證時(shí)，如手機(jī)使用了外置擴(kuò)展存儲(chǔ)卡，取證人員也應(yīng)對(duì)其制作物理鏡像，便于后續(xù)進(jìn)行刪除恢復(fù)和數(shù)據(jù)分析工作，同時(shí)避免遺漏數(shù)據(jù)。

Android操作系統(tǒng)中的外置擴(kuò)展存儲(chǔ)卡一般采用FAT32/exFAT文件系統(tǒng)，這樣有助于在手機(jī)與計(jì)算機(jī)之間進(jìn)行數(shù)據(jù)傳輸共享。所以，對(duì)外置存儲(chǔ)卡可以使用WinHex/FTKimage等進(jìn)行鏡像。

8.3.5?Android物理鏡像分析

通過前面內(nèi)容可知，當(dāng)完成了Android手機(jī)物理鏡像的提取后，取證人員可以不受限制地對(duì)鏡像文件進(jìn)行分析。以主要保存用戶數(shù)據(jù)的userdata分區(qū)為例，該分區(qū)使用了Linux操作系統(tǒng)中常見的Ext4文件系統(tǒng)，這就意味著使用絕大多數(shù)計(jì)算機(jī)取證軟件、手機(jī)取證軟件甚至使用普通磁盤工具都可以對(duì)其進(jìn)行分析。

1.使用磁盤編輯工具WinHex分析Android物理鏡像

WinHex是電子數(shù)據(jù)取證與數(shù)據(jù)恢復(fù)工作中常用的一款磁盤編輯工具，支持多種常見的文件系統(tǒng)解析。利用WinHex的鏡像文件轉(zhuǎn)換功能(圖8-31)，取證人員可以在轉(zhuǎn)換后的文件結(jié)構(gòu)中提取需要分析的文件。圖8-31使用WinHex將鏡像文件轉(zhuǎn)換為磁盤

在WinHex中打開Android手機(jī)物理鏡像，此處以通過高通9008模式下載的userdata鏡像為例，打開后，選擇“Specialist”→“InterpretImageFileAsDisk”命令，將鏡像文件轉(zhuǎn)換為磁盤，結(jié)果如圖8-32所示。圖8-32?WinHex解析后的磁盤結(jié)構(gòu)

2.使用開源取證工具Autopsy分析Android物理鏡像

Autopsy是一款開源的免費(fèi)圖形界面取證工具，具備案例管理、證據(jù)解析和分析等一系列完整的取證功能，該軟件最新版本可以從中下載。

完成Autopsy安裝后，打開并新建案例，如圖8-33所示。圖8-33在Autopsy中新建案例

隨后，添加提取過的Android物理鏡像文件并選擇分析模塊，分別如圖8-34和圖8-35所示。圖8-34添加鏡像文件圖8-35選擇分析模塊

Autopsy處理完成后，展開軟件左側(cè)樹形視圖，可以展示出該Android物理鏡像的存儲(chǔ)結(jié)構(gòu)，可以進(jìn)一步選擇導(dǎo)出文件并對(duì)其進(jìn)行分析，也可以利用Autopsy自帶的搜索功能搜索指定的關(guān)鍵詞或手機(jī)號(hào)碼、郵箱地址等信息，如圖8-36所示。圖8-36?Autopsy解析結(jié)果

3.使用計(jì)算機(jī)取證軟件分析Android物理鏡像

無論是Android操作系統(tǒng)還是iOS操作系統(tǒng)，移動(dòng)終端操作系統(tǒng)與桌面操作系統(tǒng)具有諸多相似之處，尤其在文件系統(tǒng)方面，Android操作系統(tǒng)使用的文件系統(tǒng)主要包括Linux文件系統(tǒng)Ext以及Windows文件系統(tǒng)格式FAT32，這就意味著即便不是來源于計(jì)算機(jī)硬盤，也一樣可以使用計(jì)算機(jī)取證軟件對(duì)Android物理鏡像進(jìn)行解析和分析。

值得一提的是，近年來隨著移動(dòng)終端的普及，主流的計(jì)算機(jī)取證軟件也逐漸增加了對(duì)手機(jī)等智能移動(dòng)終端的數(shù)據(jù)分析功能。下面以EnCase為例來演示使用計(jì)算機(jī)取證軟件分析Android物理鏡像的過程。

首先在EnCase中新建案例，在添加Android物理鏡像時(shí)需要注意，在EnCase7及以后的版本中添加包括DD、Bin、Img等擴(kuò)展名在內(nèi)的各類非E01證據(jù)鏡像，需要使用“AddRawImage”(添加原始鏡像)功能加載，如圖8-37所示。圖8-37?在EnCase中加載Android物理鏡像

4.使用手機(jī)取證軟件分析Android物理鏡像

“工欲善其事，必先利其器”，除了使用通用型的工具輔助對(duì)Android物理鏡像進(jìn)行解析和分析之外，還可以直接使用專用的手機(jī)取證軟件對(duì)Android物理鏡像進(jìn)行分析。目前市面上主流的商業(yè)版手機(jī)取證軟件產(chǎn)品