目前牽涉到手機(jī)的犯罪行為大致有以下幾種 :
手機(jī)取證所面臨的一些問題:
下面我們說一下手機(jī)取證遇到的一些常見問題,按照IOS(蘋果系統(tǒng))和Android(安卓系統(tǒng))進(jìn)行了區(qū)分:
手機(jī)取證的一些常用方法
Android 6.0版本下,目前微信無法通過備份方式獲取 導(dǎo)致微信提取結(jié)果為 0。解決思路: 1. 利用廠商自帶備份工具,將手機(jī)數(shù)據(jù)備份,隨后將廠商備份數(shù)據(jù)轉(zhuǎn)換 為可解析格式后,進(jìn)行數(shù)據(jù)提取和分析。 2. 少數(shù)非原生Android 6.0手機(jī),通過提取root權(quán)限方式取得應(yīng)用程序 數(shù)據(jù)。 Android 4.x以及5.x版本下,部分應(yīng)用程序限制了自身的備份, 如騰訊QQ、微信、WhatsApp等。解決思路: 1. 首先將手機(jī)中的應(yīng)用程序替換為舊版本。 2. 通過支持備份的舊版本進(jìn)行備份。 3. 取證完成后,替換為原始版本。 潛在問題:證據(jù)有效性問題、系統(tǒng)安全機(jī)制問題、數(shù)據(jù)完整性問題。
Android 4.x以及5.x版本下,部分應(yīng)用程序限制了自身的備份, 如騰訊QQ、微信、WhatsApp等。解決思路: 1. 找到iOS設(shè)備使用者對(duì)應(yīng)的計(jì)算機(jī),將Lockdown文件拷貝并移動(dòng)至 取證計(jì)算機(jī),以實(shí)現(xiàn)無密碼建立信任關(guān)系。 2. 使用芯片替換的方法突破iOS的密碼嘗試次數(shù)限制,目前POC階段。 1吹下iPhone Flash芯片,并使用復(fù)制設(shè)備制作副本; 2將副本使用測(cè)試架橋接至iPhone主板,開機(jī); 3窮舉密碼,5-10次為一輪; 4如觸發(fā)長(zhǎng)時(shí)間鎖定或觸發(fā)數(shù)據(jù)抹除,則更換副本; 5重復(fù)上述步驟,直至解鎖。
在Android 4.4以上,尤其是Android 5.x版本中,用戶設(shè)置密碼 無法進(jìn)入用戶交互開始調(diào)試和允許調(diào)試. 在設(shè)備沒有Bootloader鎖定的情況下,通過刷入第三方Recovery程 序?qū)崿F(xiàn)備份(如TWRP)。針對(duì)有Bootloader鎖定的,根據(jù)情況采用芯片級(jí)取證方案。
目前,手機(jī)芯片級(jí)解決方案主要適用于以下幾種情況: 1. 手機(jī)損壞,無法通過在線提取方式進(jìn)行取證; 2. Android手機(jī)設(shè)置密碼,無法破解或者繞過的; 3. 部分非智能手機(jī)無可用數(shù)據(jù)接口或通訊協(xié)議。
|
|