当前位置: 首页 > 新闻中心 > 技术分享 > 【美亚技术分享】第三十五期: 阿里YunOS手机取证的方法研究

【美亚技术分享】第三十五期: 阿里YunOS手机取证的方法研究

【美亚技术分享】第三十五期: 阿里YunOS手机取证的方法研究

编者按:本期技术分享感谢美亚柏科技术专家的分享,关于阿里YunOS手机取证的方法,在这里都由专家一一为您解答!欢迎更多的技术达人和技术爱好者加入我们的讨论。


imageYunOS系统简介

YunOS是阿里巴巴集团旗下的一款智能设备操作系统,在国内手机系统中的占有量日渐增多。

目前与YunOS合作的厂商有波导、基伍、尼凯恩、优思、海客、卓普、蓝天信、维纳斯、西维、VOTO、广信、奥克斯、欧奇、青橙、普莱达、UBTEL、英特奇、朵唯、小蜜蜂、夏新、KOMI 博瑞、UTime、誉品、友信达等。

根据YunOS官方统计,其2015年用户数已达到4千万,预计2016底其用户量将达到1亿,市场占有率在20%与30%之间。

因此,如何针对YunOS手机进行取证成为手机取证工作中不可忽视的问题。


imageYunOS系统常见问题

YunOS手机因其系统特殊性,在对YunOS手机取证过程中,主要存在以下问题:

· 存在部分手机没有标准adb接口,而是YunOS定制的acb接口,不能被标准adb协议识别;

· 部分有些手机没有开放短信息与通话记录数据的获取接口;

· 不支持通过adb备份应用数据。


imageYunOS系统常规解决方案

针对以上YunOS取证存在问题,目前YunOS手机可行的解决方案主要包括:

· 增加对acb接口的支持;

· 利用YunOS手机recovery模式中的备份功能进行数据获取,此方法不仅可以获取到短信息、通话记录、应用程序数据和已删除的数据,还同时可绕过手机屏幕锁和手机无法识别这两个主要障碍,但缺点是操作相对繁琐。


DC-4501 手机取证系统是美亚柏科自主研发的便携式手机调查取证勘察箱设备,下面简单介绍使用美亚柏科DC-4501手机取证系统对YunOS手机进行取证的具体步骤:



一、自动取证

在手机能够被识别、手机无屏幕锁或已知屏幕锁密码情况下,通过数据线直接连接YunOS手机进行正常取证流程操作,取证结果如下图所示(以YunOS手机Zopo 9520为例):


这种取证方式在手机未root情况下存在获取不到短信息、通话记录的可能和无法获取应用程序数据和已删除数据(注:原因如前文所述)。



二、recovery模式取证

在正常取证方法获取不到数据情况下,可通过设置YunOS手机进入recovery模式下进行进一步操作,具体步骤如下:

· 准备一张sd卡,建议sd内存卡容量不低于手机存储容量,并将sd卡插入到手机中。

· 进入recovery模式:在手机关机状态下,同时按住音量向上键和电源键直到出现开机界面,后按电源键手机将出现如下图所示画面(不同品牌型号设备进入Recovery模式方式可能不同,有些YunOS手机是按音量向下键和电源键,可利用搜索引擎查找对应方法):

· 在recovery模式下备份用户数据:如上图所示,在recovery模式下有一个选项backup&restore,通过音量上下键选择到该选项后按电源键直接进入备份用户数据,随后继续选择backup后进入备份数据页面。

1)选择backup&restore进入页面:

2)备份过程(选择backup后页面):

image

3)备份完成:


· 因采用YunOS系统的手机较多,操作可能略有不同,此处另以Zopo9520手机为例,需要选择backup user data按音量上进入,进入后会显示系统正在升级,此时系统正在进行一个备份用户数据的动作(等待备份完成,会出现Backup user data complete)。

1)Zopo9520进入recovery页面如下所示:

2)选择backup user data后如下图所示(正在备份用户数据):

3)备份完成界面(出现Backup user data complete):


· 拷贝备份数据用于解析:

1)如果手机有屏幕锁,需将sd卡拔出,使用读卡器连接到电脑上,拷贝sd卡内backup文件夹中对应时间的备份文件到电脑上。

2)如果没有屏幕锁可以直接连接电脑将sd卡目录下backup文件夹中拷贝对应时间的备份文件到电脑上, 以小蜜蜂bee2A为例,备份数据名称为(backup_20160615_083629.zip),如下图所示:


· 不同YunOS手机的备份文件格式可能不同,以Zopo 9520为例,备份文件在存储卡中是一种backup文件的格式,名称为userdata_20160707_024150.backup,如下图所示:

此外,有些YunOS手机的备份格式是多个文件,此时需要将多个recovery备份文件合并成为一个文件(使用美亚柏科DC-4501手机取证系统-〉工具集-〉Android备份转换-文件合成-多个文件合成一个),合并后的文件是YunOS手机用户数据的一个镜像。

备份格式如下图所示:


· 对备份数据进行解析:此时打开美亚柏科DC-4501手机取证软件,对单个备份文件选择文件取证->手机备份文件-〉Android,文件路径选择从SD卡中拷贝的备份文件(tar文件或backup文件)进行解析。如果是备份文件是多个备份文件合并后的镜像文件,此时需要使用文件取证-〉镜像-〉android平台进行解析合并后的文件。

解析后结果如下图所示:

1)小蜜蜂bee2A:

2)Zopo 9520:

附注:YunOS手机比较多,相应的操作或者步骤与显示页面难免会存在一定差异,本文谨以两部手机(小蜜蜂bee2A与Zopo 9520)为例实现对YunOS手机的完美取证。