当前位置: 首页 > 新闻中心 > 技术分享 > 【美亚技术分享】第二十七期:手机取证中 Android ROOT权限对于取证数据的影响(上)

【美亚技术分享】第二十七期:手机取证中 Android ROOT权限对于取证数据的影响(上)

【美亚技术分享】第二十七期:手机取证中 Android ROOT权限对于取证数据的影响(上)

编者按:本期感谢美亚柏科技术专家在此与大家分享关于手机取证中Android ROOT权限对于取证数据的影响的相关内容,欢迎更多的技术大牛或者技术爱好者加入我们的探秘之旅!


通常,在手机取证过程中,允许对手机操作的权限越多,获取到的手机数据就会更加完整全面。本文主要从美亚柏科手机取证系列产品如:FL-900手机取证塔,DC-4501手机取证系统等产品对Android ROOT和未ROOT手机的数据获取情况,进行对比分析。


一、Android ROOT手机能获取到什么数据:

Android手机通常需要开启USB调试并取得Root权限,才能获取或获取到更多的数据:


手机信息:

1、手机基本信息:本机号码、设备名称、操作系统、系统版本、手机品牌、手机型号、I MEI/IMEID、IMSI、ICCID、运营商、

蓝牙MAC地址、Wi-Fi MAC地址、时区、原始权限、SD卡信息、CPU ABI、Board Name、Hardware Name、Device

Name;

2、通讯录、已删除通讯录、短信、已删除短信、通讯记录、已删除通话记录、快速拨号、彩信;

3、记事本、已删除记事本、日历、已删除日历;

4、WI-FI信息;

5、蓝牙传输记录;

6、位置信息:指南针校准数据、图片位置信息、视频位置信息、应用程序地理位置信息;

7、媒体文件:图片、音频、视频;

8、程序列表包含版本、安装/更新日期等;

9、同步帐号(各种类型帐号);

10、系统日志:应用程序使用记录、开关机时间;

11、用户文件、系统文件;


即时通讯(已支持41种应用):

微信、微信小号、QQ、QQ轻聊版、QQ国际版、陌陌、快牙、Telegram(电报)、钉钉、Talkbox、点点虫、YY语音、Voxer、

DIDI(嘀嘀电话)、Whatsapp、米聊、旺信、飞信、LINE、遇见、易信、Viber、微话、Zello、CoCo voice、ooVoo、

Peeem、Hellotalk、Tango、keechat、zalo、pal+(原cubi message)、有信、来电通、千牛、百度云、百度Hi、

Beetalk(蜜语)、全民K歌、Kik、Skype;


备注:点点虫(数据库被加密了正在逆向分析其解密方式);QQ、QQ轻聊版、QQ国际版、

钉钉、旺信均支持已删除数据获取;微信5.0以后的版本就都无法恢复删除数据,因为删除数据是清零操作,会在手机源文件中填

0;


邮件客户端(已支持5种应用):

自带邮件、QQ邮箱客户端、139邮箱、网易邮箱大师、Gmail邮箱


电子商务(已支持4种应用):

京东、天猫、淘宝、支付宝


社交网络(已支持5种应用):

新浪微博、腾讯微博、人人网、FaceBook、Twitter


手机安全(已支持2种应用):

360手机卫士、360隐私保险箱


上网记录:

自带浏览器、UC浏览器、QQ浏览器、欧朋浏览器、百度浏览器、Chrome、海豚浏览器、傲游云浏览器、天天浏览器


地图导航:

高德地图、百度地图


二、AndroidROOT手机相比ROOT手机少获取到什么数据:

Ø  通讯录、短信、通话记录均少获取已删除数据(已删除需要看手机是否支持备份出对应数据包的数据库才可获取);

Ø  Wi-Fi信息:无法获取Wi-Fi密码;

Ø  彩信:无法获取;

Ø  蓝牙传输记录:无法获取;

Ø  同步帐号:无法获取;

Ø  百度、高德地图、携程网信息无法获取;

Ø  旺信、人人网、LINE、Telegram、Skype、Hellotalk、百度云、钉钉无法获取;

Ø  腾讯微博无法获取;

Ø  自带邮箱、网易邮箱大师、139邮箱、QQ邮箱无法获取;

Ø  chrome浏览器、海豚浏览器、傲游云浏览器、百度浏览器、UC浏览器、搜狗浏览器无法获取;

Ø  京东商城、淘宝、支付宝无法获取;

Ø  360手机卫士、360隐私保险箱无法获取;

Ø  Android 6.0系统微信需要通过自带备份解析的方式才能获取;


三、介绍Android 6.0 手机如何通过自带备份的方式提取和解析微信数据:

以华为Mate7手机为例:

1、点击手机桌面“备份”图标,进入备份界面,建议选择SD卡备份(手机插入空白SD卡)


2、选择微信应用,点击开始备份


3、进入设置密码,不要设置密码,点击跳过


4、打开Android备份转换工具,对备份文件进行转换


5、将手机内的tencent\MicroMsg\MD5文件夹 拷贝到转换后的文件com.tencent.mm\MicroMsg\MD5文件夹内(注:MD5文件夹需一样才能解析得到,主要为了获取微信的附件)


6、通过FL-900手机取证塔,DC-4501等产品的文件解析进行解析,即可获取微信数据

备注:对于相关操作不清楚,可以参照工具集的手机备份应用引导工具