来源:取证爱好者之家,原创:王洋
捡漏儿,古玩界的行话,漏是给有准备的人的丰厚回报。我们在取证时,有时也会遇到这样的好事。下面把两个去年遇到的取证案例与大家分享。
【案例一】
看下图这部手机,可以自己先思考两分钟,考虑下自己遇到该如何提取,然后再继续往下阅读。
这台小米手机的安卓版本并不高,正常逻辑提取或自备份都能提取到数据。但朋友在现场,时间不是很充分,又希望能最大限度的提取删除数据。小米这款手机采用的高通cpu,安卓版本6.0以下没有全盘加密。我当时第一个想法就是通过高通9008模式提取,然后查询进入9008模式的方法,发现需要拆后壳短接:
朋友在现场,不具备短接条件,遂放弃了这个方案。继续想办法,这款手机是没有BL锁的,刷三方recovery获得root权限也是可行的,联系经验丰富的同事,看看手边有没有相应三方recovery文件。
我:江湖救急,赶紧帮忙看看有没有这个手机的三方recovery(附带手机图片)。
同事:你这运气太好了!
我:手里有赶紧发过来哈。
同事:你这手机是开发版的,自带权限啊。直接就是root的。
我:卧槽,还遇到这好事啦。
到这里手机的问题也就解决了,直接进设置~授权管理~root权限管理,开启权限后手机重启,再开机直接逻辑提取或读取逻辑镜像就都可以了。
小米手机有稳定版和开发版,开发版自带系统权限。很多米粉都喜欢自己刷成开发版的。大家在工作中遇到小米手机,也细心一点,如果遇到开发版的,恭喜了!
但需要提醒:开发版开启权限后,是无法再关闭权限的。如果需要还原手机,就需要刷入对应开发版版本才可以。所以要注意这一点。
【案例二】
这次遇到的也是小米家族的,型号为红米4x。手机是装了一个韩文的系统,要求是获取手机里几款应用信息,而且这几个应用都是安装到手机的系统区里了。百度了一下,红米4x的参数,一看是安卓6.0的心有点凉。
这个手机的操作系统被改动非常大,设置里也屏蔽了很多选项。逻辑提取什么应用也没提取到。最后想用9008的方法把镜像先读出来吧,以后能有解决方案时也可以当做学习研究了。查找进入9008的方法后开始读取。
用读取工具把各个分区备份完后,解析工具加载镜像文件,居然能解析,惊喜不惊喜?事后一支烟,思考一下:这个手机改版了操作系统,是先解锁了BL锁,然后刷入的定制系统,而且这个定制系统并未开启全盘加密。
以上两个案例,希望给大家带来一点启发。
其实取证做多了,总会碰到捡漏儿这样的幸运事。平时多积累,遇到案例时细心一些,不要太经验主义就好啦。希望大家在日常工作中多捡漏儿,让取证变成一件轻松愉快的事!