摘 要:本文对基于MTP模式下智能收集数据恢复及取证技术进行了分析,针对支持MTP连接模式的安卓智能手机,提出了完整的数据恢复取证方法与流程,对仅支持MTP模式不支持外插SD卡的手机恢复提取方法进行了验证。
关键词:MTP模式;智能手机;数据恢复取证
中图分类号:TP309.3;TP399-C2 文献标识码:A 文章编号:2096-4706(2018)12-0027-02
Data Recovery and Forensics Technology of Smart Phone Based on MTP
YE Zhigang
(Jinhua Public Security Bureau,Jinhua 321000,China)
Abstract:This paper analyzes the data recovery and forensics technology of intelligent collection based on MTP mode,proposes a complete method and process of data recovery and forensics for Android smart phones supporting MTP connection mode and validates the method of mobile recovery and extraction which only supports MTP mode and does not support plug-in SD card.
Keywords:MTP mode;smart phone;data recovery forensics
0 引 言
智能手机是现代社会的重要通讯工具,移动互联网的崛起与智能移动终端的广泛使用,使智能手机应用程序进行隐私窃取及恶意攻击等犯罪活动不断增多。研究智能手机数据恢复取证技术对遏制不法行为具有重要意义。手机运营商更加注重手机文件的安全性,大量的智能手机采用MTP等新型连接模式,避免了直接读取文件的风险,但MTP模式下手机无法识别为盘符,传统数据恢复软件无法恢复不能拔插SD卡的手机所删除信息。本文通过研究基于安卓智能手机MTP模式的数据恢复方法。
1 手机取证原则
随着硬件技术与移动互联网技术的快速发展,智能手机广泛应用到人们的日常生活中。据IDC公司发布的最新数据显示,2017年智能手机总出货量为14.6亿部,Android系统总市场份额达到85.1%,占据了市场主导地位。CNNIC 2018年1月最新调查显示,我国手机网民规模已达7.53亿,网民中使用手机上网的人数占比同期提升97.5%。
智能手机的迅速普及使利用智能手机实施诈骗等犯罪活动不断增多,智能手机具有较高的便携性,为犯罪分子实施犯罪活动提供了有利条件。智能手机通常按照即时通讯软件,相应的用户数据记录了犯罪实施过程。通过分析取证记录数据可容易地破获网络毒品交易等电子案件。取证人员对犯罪嫌疑人的手机取证分析有利于司法部门获取侦破案件的关键信息。
电子证据是科技高速发展的产物,手机取证是电子取证技术的重要分支。手机取证的特点是取证范围广,取证对象具有很强的移动性,文件系统建立在非易失性的存储中。
手机取证工作需取证调查人员掌握相关的专业技术,保证电子证据的有效性与可信性。取证工作必须经过严格的功能测试被证明有效,从而确保电子证据的可信度。手机取证需借助高科技手段,取证合法性是证据合法性的必要前提。手机取证中必须强调合法性原则,包括取证主体必须具有法定资格,取证过程必须合法,取证工具必须合法。手机中保存的数据易受到外界环境因素的干扰,手机容量较小,内存数据动态更新快,手机上现存记录有被破坏的可能[1]。很多手机厂商充电接口不统一,智能手机一旦关机,会使缓存数据发生变化,影响数据的可信度。
对包含电子数据的手机必须在合法见证人的见证下运用符合法律规定的工具、方式对取证数据备份。备份数据被制为两个副本被封存,供复检与取证人员对证据提取检验,从而确保获取电子证据原始的完整性。
2 MTP模式及其体系结构
MTP模式是一种新型的USB连接模式,该协议允许用户在移动设备上线性访问媒体文件。MTP可支持数字音频播放器的音乐文件与媒体文件,及个人信息的传输。智能手机通过USB将内存卡挂载到电脑,电脑拥有对其绝对控制权,导致内存卡重新挂载到手机后不能被识别。智能手机通过MTP协议向电脑构建了虚拟文件系统,电脑操作文件时通过MTP协议向智能手机发起请求,使文件更安全。
C++层包括MTP Request,其负责从USB驱动读取数据;MTP Data负责结构化手机要返回给PC数据包;MTP Response负责结构化手机为返回的Response;MTP Server负责解析PC命令调用相应的接口函数处理。
Java层包括Usb Receiver等对象,Usb Receiver用来监视UDB事件,MTP Servicer加载存储设备信息到数据库,Media Provide负责查询更新数据库,MTP Server负责启动停止,Storage处理添加删除。MTP Database用于Media Provider与MTP Server间数据转换数据格式。
3 MTP模式恢复取证技术
MTP模式提高了手机文件系统的安全性,但为取证带来了很大难题。当前很多手机厂商不支持外插SD卡,此硬件结构使得取证无法取下手机存储卡用单独专用设备恢复取证。专用取证设备只能恢复短信等文本信息,对内置存储卡,传统取证方法在手机连接电脑后,识别出盘符,用数据恢复软件直接恢复取证。对只支持MTP模式的智能手机连接电脑后,无法识别盘符,传统的取证恢复方法无法使用。
MTP模式连接智能手机多媒体数据恢复取证有三种情况。手机支持外插,多媒体信息保存在SD卡中,取下SD卡直接用读卡器读取信息。手机不支持外插SD卡,为保证数据完整性,物理分析通过内存镜像进行数据恢复寻找删除文件。手机镜像的获取是成功恢复的首要条件。逻辑分析利用文件系统分析,不同手机厂商对系统不同设置导致非所有手机都可成功制作镜像文件。对于手机不支持外插SD卡,无法获取镜像时,可注入数据恢复APK程序进行手机端数据恢复取证。
数据恢复功能是最核心的功能,分别对特定数据库文件进行扫描,由用户分别决定具体恢复文件数据。系统总体分为应用模块及Linux底层模块,应用层模式负责提供人机交互界面与用户操作的处理控制,包括界面展示、进度呈现、结果显示与提示警告四个子模块。Linux底层模式包括SOLite数据库文件提取与数据库恢复。系统根据应用层用户不同操作执行不同模块。
Aadroid数据恢复系统是基于Android平台的工具类应用程序。数据恢复系统整体由应用层模块与Linux底层模块两部分组成,Linux底层模块为核心功能模块。系统启动后,应用层模块将显示出可供选择的文件恢复方法,用户根据自己需要选择一种恢复方法。执行相应数据恢复操作,执行结束后将扫描结果返回到应用层模块。
4 实验验证
MTP手机数据恢复取证的难点在于内置内储卡,手机仅支持MTP模式连接的情况,为保证数据的完整有效性,先提取手机的镜像文件,使用分析软件分析镜像,获取手机的Root权限,利用取证大师等专业软件对镜像文件进行挂载恢复。
可使用网络的免费软件获取手机镜像,手机平台多样化,在对镜像无法直接获取情况下,可进入手机的Recovery模式[2]。通过组合键使手机进入Recovery模式,下达ADB命令用devices连接手机,返回List of devices即连接成功。通过SU指令进入Super User权限,找到User Data的MTD值。
使用mount lgrep获取dd镜像目标,若dd镜像不成功,可直接用cat方式输出镜像文件。提取成功的img镜像文件可用Encase等常用硬盘软件实现数据的恢复取证。镜像的成功获取使手机数据恢复取证脱离手机系统环境的限制,保证了数据的完整有效性。由于手机厂家对底层操作系统的设置不同,利用上述方法可能无法获取有效镜像情况。
小米2型号手机不支持外插SD卡,可先打开USB调试,获取ROOT权限,安装APK恢复程序,运行该恢复程序前,如手机在恢复中锁屏会停止数据恢复。应注意在恢复前调整休眠模式再进行操作。程序运行成功后,选择全部恢复,在恢复前用OTG连接U盘,设置数据恢复后存储于目标盘,保证手机原始信息不被恢复信息覆盖。
5 结 论
本文研究实验手机恢复取证,对不同恢复方式进行试验验证。在MTP模式的智能手机在数据恢复取证时,连接后不能直接识别盘符进行物理恢复的情况下,可用镜像提取分析法实现恢复提取。这种方法可成功提取出删除信息,克服了MTP模式的各种限制。
参考文献:
[1] 陈飞.智能移动终端应用数据取证技术研究 [D].南京:东南大学,2015.
[2] 方冬蓉.基于Android手机的数据恢复方法研究及应用 [D].兰州:兰州理工大学,2014.
作者简介:叶志刚(1982.01-),男,湖北孝感人,中级工程师,研究生。研究方向:软件工程。
