資料提取常用的手機資料提取方法

閒暇時間，隨手記錄，願與諸位朋友分享。學識有限，不當之處，懇請各位大神不吝賜教，也是對我自己的學習提高過程！

言歸正文

手機取證，從字面理解，可以分為取和證兩個過程。取，把資料原原本本的從手機中提取出來。證，通過資料檢索、挖掘、分析，尋找與案件有關的線索和證據。對於我們來說，二者缺一不可。但萬事開頭難，如何取，往往是大家最頭疼的事。後面把現在智慧型手機常用的資料提取方法做個歸納，也會簡述對應的優缺點。

1.邏輯提取

目前ios的提取，安卓開機後通過adb的提取，都屬於邏輯提取。這個方法操作最簡單，只要手機沒有鎖，理論上對都可以。對於ios,由於系統特殊性，暫時也沒有更好的提取辦法。對於安卓系統，隨著安卓版本的提高，特別是6.0以後，在沒有root許可權的情況下能提取到的應用資訊越來越少。對於高版本安卓，用邏輯提取只能是沒有辦法後的無奈之舉。

2.root後的邏輯提取

安卓手機root後，已經獲得最高的系統許可權，通過邏輯提取可以獲取到大量的資料，包括各種應用的刪除資料。但在安卓6.0後，手機的root越來越難，幾乎不可能簡單的通過第三方工具獲得許可權。

3.root後的開機邏輯映象

所有安卓手機在開機狀態下獲得許可權後，都可以提取手機的邏輯映象（作為與物理映象的區分，手機開機後這種adb讀取映象暫稱為邏輯映象吧，不慎準確）。在安卓4.x時代，這個方法用的很多。有了邏輯映象，就可以通過分析軟體對資料進行解析，恢復刪除資料（即使6.0後開啟全盤加密，只提取使用者區的邏輯映象也可以解析）。同上，隨著手機難以root，除了少部分機型外，現在也很少這個方法。

4.recovery下的邏輯提取和邏輯映象

4.高通cpu的物理映象

目前安卓使用的主流cpu即為美國高通的cpu，除了華為，大部分品牌的每代旗艦產品都是高通的cpu。高通cpu的手機都可以進入到9008（進入模式後連線電腦裝置管理器會新出現乙個9008埠）強刷模式，這個通常是在手機無法正常啟動，用於對手機進行救磚的乙個操作辦法，在這個模式下可以不通過系統的引導強制重新整理系統檔案，對手機進行修復。取證中可以利用這個埠對手機進行資料讀取，儲存成映象檔案。因為不需要通過安卓系統的啟動，屬於物理映象。這個方法對於沒有開啟全盤加密的手機都有效。換言之，6.0以後開啟全盤加密的，就無法這樣操作了（全盤加密的映象無法解析）。這個方法還有一點需要注意，有些手機需要拆開外殼，在主機板上短接兩個測試點才可以進入到9008模式（大部分不需要拆殼，直接關機狀態下按音量鍵插資料線可進入到9008模式）

5.mtk物理映象

mtk作為台灣產的cpu，因其價效比高，被眾多國產品牌青睞，中低端手機通常都採用的這個cpu.這個cpu的安卓手機，同樣可以通過cpu的底層命令對儲存晶元資料進行讀取。讀取時同樣不需要啟動作業系統，跟高通9008類似，會在裝置管理器裡出現乙個mtk的埠，讀取後可獲得儲存晶元的完整物理映象。缺點也和高通9008類似，只適用於未有全盤加密手機。

6.拆晶元讀儲存晶元（chipoff）

將手機儲存晶元用拆焊工具從手機主機板上取下，放到專用的晶元讀取裝置上進行讀取，獲得物理映象。這個方法可以適用各種破損手機。但對於全盤加密無法解析。

7.download,fastboot模式讀映象

三星手機的刷機模式是download模式，華為小公尺手機是fastboot模式。對於這幾個廠家的少部分機型，在這種刷機狀態下可以獲得手機的映象檔案。沒有普適性，不過多介紹了。

8.自備份

最後：關於邏輯映象和物理映象個人理解：

手機系統開啟時（包含recovery,download等模式）獲取的映象都應該稱為邏輯映象。

不依賴於作業系統，即使手機作業系統丟失無法啟動也能獲取的映象稱為物理映象。

以上，不當之處，歡迎交流！！

後續有時間會陸續整理！

資料提取常用的手機資料提取方法

python資料提取方法

selenium提取資料的方法總結

jansson資料提取

資料提取 常用的手機資料提取方法

python資料提取方法

selenium提取資料的方法總結

jansson資料提取

相關推薦

資料提取常用的手機資料提取方法