来源:臻相软件,作者:杨乐
近期现场协助某客户搞一个诈骗案件,涉及手机检材超过1000部,其中红米4A这一款超过800部,据办案民警介绍该款手机是公司统一配发给员工使用的。其中一名案件关键人物就有2,30部手机,如下图。
这些红米4A手机MIUI版本基本都是9.6-10.5稳定版,并且都没有解BL锁。快速遍历每一步手机,发现其中绝大部分都有多个微信应用,少的2-3个,多的5-6个不同微信。取证的目的就是为了把手机中微信数据尽可能多的取出来。
小米可以9008吗?
首先尝试9008镜像,按下图所示短接两点,9008驱动安装成功,通过手机取证工具打出dd镜像。查看后发现是加密镜像,这批机器全部都是安卓6.0以上系统,默认启用了全盘加密,9008这种离线镜像就行不通了。好吧,耐心点,再仔细想想方案吧。
MIUI稳定版和开发版区别
稳定版相对于开发版而言更加着重稳定性,升级周期约为1-2月一次,偏向于一些日常用机的稳定用户,不爱折腾,希望有一个稳定,流畅,省电的ROM使用。他的更新频率不定,但更新时间几乎大于1个月,除了紧急的修复包。
开发版着重于功能尝鲜和快速更迭,升级周期为每周一次,因为更新频率的速度,它的问题也油然而生,有可能出现掉电快,ROM不稳定,等各种问题,但不要担心,只要您不过度使用,还是可以正常使用的。
其实就小米手机取证而言,稳定版意味着没有Root权限,并且由于BL锁未解锁,无法刷入第三方Recovery,市面上所有Root工具都无法Root。而开发版自带Root权限,菜单中开启即可。
最终带来的结果就是开发版适用文件系统提取、镜像提取在内的多种取证方法,无论是微信还是各类型微信分身都可以轻松提取。而稳定版则只能通过ADB备份和厂商备份两种方式来提取微信和微信分身了。
微信分身类型
总的来说微信分身分成两大类,一类是小米系统自带的应用双开,允许开启第二个微信程序;另一类则是通过第三方分身工具,并在工具内添加微信应用从而实现微信的双开或多开。
小米系统自带的应用双开,此功能在MIUI8.0上引入,可以在一台手机上运行双微信、双QQ、双游戏,绝大多数应用均可双开。对于像小米这样有系统修改权限的厂商,可以修改Framework来实现双开的目的。
第三方分身工具则根据实现原理不同,也可以分成两类。其一,如多开分身通过反编译微信APK,修改APK 包名、签名,将APK伪装成另外一个不同的APK,从而在程序列表中出现多个同名APP。
另一类则是虚拟Framework层、虚拟文件系统、模拟Android对组件的管理、虚拟应用进程管理 等一整套虚拟技术,将APK复制一份到虚拟空间中运行,诸如平行空间、双开助手、分身大师、双开大师等全部归这一类。
厂商备份显身手
尝试厂商备份,MIUI对于取证来说是比较友好的,内置备份选项,支持备份基本信息和应用数据,在机器存有SD卡的情况下,优先备份到SD卡,没有SD则备份到机身存储(存在污染检材的风险),因此强烈建议备份到外置存储中。
当我们准备选择备份微信及各个分身时,会发现下面几个结论:
官方微信进备份
官网微信应用双开不进备份
多开分身会以多个微信程序的形式存在,直接选择进备份。
平行空间、双开助手、分身大师、双开大师等直接备份分身程序即可。
备份完成后,可以看到每个应用会生成一个bak文件。
每个手机每次备份会生成类似上图的文件夹,拿到后,直接在手机取证系统里面加载小米备份,软件会自动还原文件系统,并解析出微信记录。
总结
综上,针对于没有Root权限的小米稳定版系统,用一张表来描述小米微信分身取证结果。
写在最后的话
厂商备份的方法目前只适用于解微信的数据库文件,能够得到明文聊天记录,目前还没有厂商把数据库与多媒体文件做关联(多媒体文件通过MTP方式很容易获得),等待各家更新了。另外业内有极个别厂商有渠道和能力(代价较大)把稳定版的小米Root掉的,那小米系统自带的分身也就迎刃而解了。此外,小米系统还有个系统分身,系统分身里面是不带厂商备份的,就不在本文的探讨范围内了。