不要告诉别人安卓8.0(安卓8.0通用升级包)

通过对四大国产安卓手机自备份的解析方法的探讨和实验，旨在得出可行的分析方法和解决方案。

 

摘  要随着系统和APP的不断升级，ADB备份已无法正常发挥作用安卓7.0版本后，针对5.x和6.x系统屡试不爽的APP降版本备份在面对新兴的7.x甚至8.0系统时已显得力不从心；即便能保数据解BL锁，

ROOT也是天方夜谭；随着FDE全盘加密时代的到来，芯片镜像更是加密难解自备份已经俨然成为当下国产安卓手机取证的最佳解决方案关键词安卓系统、手机取证、加密、备份注：本文已在计算机科学杂志2017年第44卷第12A期发表。

Backup with System Used in Chinese Android Phones ForensicsPi Hao1     Mu Dongsheng 2（Pansafe Software (Shanghai) Co. LTD.,Shanghai, 200333, China

）（Pansafe Software (Shanghai) Co. LTD.,Shanghai, 200333, China）AbstractADB Backup can not do its work while Android OS and applications are upgrading.Afterversion 7.0,the solution, backup with degrading, that we used and had a goodeffect on version 5.x and 6.x, cannot work either.Maybe you can unlock theBootLoader Lock, but it is an Arabian Nights for root on Andriod 7.0 or 8.0.Withthe coming of Full Disk Encryption, the physical image cannot be decrypted andanalysed.Backup with the system function has already been the best new way ofChinese Android phones forensics.

KeyWordsAndroid,Mobile Forensics, Encryption, Backup手机作为当今社会最重要的通讯工具，随着智能化和低价化的推进，其发展速度已经逐步超越传统个人计算机其中由谷歌公司和开放手机联盟领导及开发的安卓系统（。

Android）作为一款开源的智能手机操作系统，很成功的吸引了大批开发者和用户近年来，安卓系统手机市场占有率剧增，迅速成为市场的主导力量根据2017年8月市场研究机构Gartner公布的2017年第二季度全球移动设备报告显示，目前。

Android操作系统的全球市场份额已达87.7%，稳居第一位仅2016年第二季度，Android设备在全球范围内的出货量已经超过3.2亿部1     取证基础1.1       安卓系统与手机2008。

年9月，谷歌正式发布了安卓 1.0系统，这也是安卓系统最早的版本此后从2009年4月30日发布的安卓1.5 Cupcake到2017年8月22日发布的安卓8.0系统，为了避免可能涉及的版权问题，谷歌将其命名规则变更为用甜点作为它们系统版本代号的命名方法（如图。

1）。伴随着手机硬件的飞速提升及系统功能的完善和升级，在短短5年多时间里，安卓系统推出了20多个版本。

图 1 安卓系统各代版本安卓系统是一种基于Linux的自由及开放源代码的操作系统安卓系统的开放平台允许任何移动终端厂商加入到安卓联盟中来目前除了三星、HTC、摩托罗拉等第一批加入安卓阵营的国际知名品牌外，诸如黑莓、诺基亚等专注于各其他智能系统的厂商也开始转型；同时安卓系统也不例外的受到了国内众多厂商的青睐，纷纷推出了各自品牌基于安卓系统的智能手机，如早期的联想、酷派、中兴、华为等，其中不乏诸如小米、魅族、一加等仅依靠安卓系统和网络营销模式即获得巨大成功的新兴品牌和公司。

目前市面上品牌安卓手机的型号超过2000款，随着联发科（MTK）CPU的加入，尤其当前越来越多的千元以下级别手机的风靡，因此增加的型号更是无法精确统计目前，随着OPPO、vivo的崛起，华为、OPPO、

vivo和小米四大国产品牌已经通过扩张分销网络布局和产品快速升级，占据了中国市场出货量最多的前四大品牌。

图 2 2017年第2季度全球智能手机销售情况

图 3 2017年第2季度中国智能手机市场情况1.2       系统特性对取证的影响1.2.1BootLoader锁随着移动设备安全受到越来越多的关注，多数的手机厂商采取了加BootLoader锁（简称

BL锁）的方式来控制用户自行安装非官方ROM的行为，像市场上常见的三星、小米、华为、HTC等手机厂商均已采用这种方式保护手机的安全那什么是BootLoader锁呢？BootLoader其实就是在操作系统内核运行之前运行的一段小程序。

通过这段小程序，我们可以初始化硬件设备、建立内存空间映射图，从而将系统的软硬件环境带到一个合适状态，以便为最终调用操作系统内核准备好正确的环境在嵌入式系统中，通常并没有像BIOS那样的固件程序（注，有的嵌入式

CPU也会内嵌一段短小的启动程序），因此整个系统的加载启动任务就完全由BootLoader来完成BootLoader锁（简称BL锁）实际就是不让随意更换刷机底包，同时ROOT权限也将无法开启，从而保证系统的安全和稳定。

解BL锁会有风险吗？手机厂商都会在各自网站明文标识出解锁的种种风险，如：设备的所有功能将不保证正常运行；设备的稳定性受到影响，通话质量、电池、网络的效能都将下降；部分固件可能无法启动；安全性降低，不能正常升级等等。

同时，各手机厂商也会特别提醒用户：解锁会自动恢复出厂设置，解锁前请备份好用户数据在很多案例中我们或许不得不为了获取更高的系统权限考虑而去尝试解锁，但是否真的如厂家提醒的那样因解锁而清除数据吗？通过众多典型手机的实测，笔者得到的答案是不一定。

此处的情况非常复杂，故不在此文中赘述总之，传统的提权（ROOT）获取方式已经完全受制于BL锁，我们需要发掘更新的通用取证方法1.2.2  全盘加密从Android6.0开始，谷歌向所有厂商发出要求，系统的全盘加密（。

Full Disk Encryption，即FDE）要强制默认开启，对于用户来说，这样可以从更大程度上保护用户的安全开启全盘加密带来的问题也很明显，越来越多的鼓吹离线物理镜像和芯片取证（Chip-Off。

、ISP和JTAG）的拥趸开始陷入恐慌，极端案件和故障手机的取证变得愈发艰难由于加密导致无法进行镜像文件的正常解析，这给手机取证最重要的数据挖掘和文件恢复带来了巨大的影响由于采用了AES加密算法且内含一个。

RSA密钥的加密数据块，解密也变得遥遥无期。

图 4 安卓手机全盘加密1.2.3  锁屏密码安卓手机的锁屏密码一直是手机取证界的一大难题锁屏分为两大类，一类是系统设置自带；一类是第三方锁屏工具系统自带的锁屏密码又有多种类型：图形密码（手势/图案密码）、简单密码（。

pin码）、复杂密码等绝大多数的指纹、虹膜等生物识别技术解锁方式原理上也是通过与常规密码关联进行设置和解密的无论哪种锁屏方式，实际上都是通过常规的哈希算法进行的简单加密，加密后的密文保存在data分区system

目录下的一系列密钥文件中（例如图案密码存储在\data\system\gesture.key中）。只不过要拿到这些文件来进行破解就必须取得ROOT权限，然后我们又会回到解BL锁的拉锯战中。

图 5 安卓手机锁屏密码设置第三方锁屏工具，实际上就是一个APP，替代系统设置中自带的图形密码，进行屏幕密码设置要解决这类密码，只要将手机进入安全模式，安全模式下，第三方APP将停止运行，设置的图形密码将不会出现，从而可以顺利进入系统。

当然，在诸多已知的CPU漏洞（如高通9008模式、三星猎户座、MTK等）和系统漏洞（如相机漏洞、WiFi热点漏洞、紧急拨号漏洞等）作用下，我们已经可以通过手工或软件自动化的方式解决部分手机的锁屏密码问题，但是随着

CPU国产化和安全性的加强，硬件和系统升级周期的缩短，缺失通用解决方案的解密思路终究会行将就木2       备份取证方法备份是通过对现有数据进行的有规律的收集和整理，安卓手机备份通常根据机制不同可以分为五种：。

ADB备份、recovery备份、自备份、云备份以及第三方备份2.1       ADB备份ADB备份是安卓 4.0以后特有的通过ADB 工具执行backup命令实现的数据备份，备份解析主要适用于对没有。

Root权限或无法一键临时Root的安卓手机进行取证。手动备份方式是在ADB环境下键入命令，命令执行后手机屏幕会有相应提示。当然市面上的众多手机取证软件都已实现了ADB备份的自动化执行。

图 6 ADB备份时手机屏幕提示完成后通过手机取证软件分析生成的.ab文件即可得到与文件系统获取类似的结果这种方法的优点是无需Root权限，获取数据较完整，也能基于SQLite文件进行数据恢复缺点一方面是仅支持安卓。

4.0以上系统，且随着系统和APP的不断升级，针对5.x和6.x系统屡试不爽的APP降版本备份在面对新兴的7.x甚至8.0系统时已显得力不从心，可获取的数据已经寥寥无几；另一方面是无法获取未分配簇中的数据，因而不支持基于未分配簇中的深度数据挖掘。

2.2       Recovery备份Recovery模式，即恢复模式，简单地说可以理解成刷机的工程模式，就好比是电脑安装Windows操作系统前，有一个DOS系统一样手机一般自带recovery，通常可以通过电源、音量等几个组合键进入，不同手机进入的方法也不同。

官方recovery只能对手机进行还原出厂设置或者清理缓存等操作，不过当手机提权或解锁后，就可以安装第三方recovery，第三方recovery提供了更多的功能选项：•reboot system now

（立刻重启系统）•apply update from sdcard（从SD卡上升级）•wipe data/factory reset（清除数据并恢复出厂设置）•wipe cache partition（清除缓存区）

•install zip from sdcard（从SD卡上安装zip升级包）•backup and restore（备份与还原）•mounts and storage（加载与存储）•advanced（高级设置）

图 7 常见的recovery 模式界面其中备份与还原选项提供了手机机身数据备份的功能，通过备份选项可以绕过常规的系统环境将data、system、cache分区的数据导出到机身外，再通过专门的手机取证软件进行深入的解析。

既绕过了烦心的锁屏密码，又无需最高权限的获取了尽可能多的数据

图 8 制作recovery备份2.3       自备份自备份是指大多数国产安卓手机在其自主系统中提供备份功能该功能可以对机身数据（包括系统信息、基础通讯信息、应用程序记录、多媒体文件等等）选择性的备份。

备份时数据默认导出到机身内，也可以将数据导出到机身外置存储（如U盘、TF卡）或电脑端进行存储由于没有统一的规范，各手机厂家备份的操作方式也五花八门，大致分为独立APP和系统设置两类；导出的备份文件格式各不相同，大致分为单一备份文件和若干程序包两类。

由于安卓7.0后ADB备份已无法正常发挥作用，降版本备份宣告无效，即便能保数据解锁，ROOT也是天方夜谭，芯片镜像更是加密难解。自备份已经俨然成为当下国产安卓手机取证的最佳解决方案。

图 9 制作自备份2.4       云备份随着云服务的兴起，系统自带备份功能逐步强大，很多手机都在备份功能中提供了云服务，即通过网络将机身数据备份到云端服务器中，不占用本地空间云备份的数据比较全面，操作也简单，也是刷机前的最佳选择。

但由于需要连接网络登录账号才能开启备份，无疑给检材数据安全性带来了极大的风险，加上需要云端数据需要账号密码才能下载，对于手机取证来说无疑是多此一举因此笔者不建议采用云备份的方式进行收集数据获取，仅当机身或本地数据无法满足案件需求时，可以考虑访问云端账户以寻求更多的历史备份作为补充。

2.5       第三方备份顾名思义，第三方备份指的是借助第三方手机助手工具提供的数据备份功能进行的备份常见的第三方通用手机同步工具（如360手机助手、91助手、腾讯手机管家等），以及厂商的官方工具（如华为手机助手、小米助手等）都提供相关功能。

通常各工具提供的备份数据格式各不相同，因此不能混用第三方工具通常包括PC版和手机版两种，PC版通过连接手机将机身数据备份到电脑端；手机版则通过对机身关键数据的备份以备以后的数据还原，例如赫赫有名的钛备份。

由于第三方工具的民用性质，其备份的数据范围相对并不全面，再加上会在手机上强制安装APP，因此笔者觉得在手机取证中不建议使用第三方工具制作备份数据作为首选方案，更多的是在计算机取证时识别保存的历史备份作为证据链的一部分。

图 10 常见的第三方备份3       国产安卓手机自备份取证安卓系统从4.0版本开始推出了备份功能，但在原生系统中该功能仅仅作为系统还原后的数据恢复提供帮助，没有发挥其应有的能效直至4.4版本的到来，国内安卓厂家陆续在其自主系统版本中推出了功能更加强大的自备份功能。

该功能通过对机身数据（包括系统信息、基础通讯信息、应用程序记录、多媒体文件等等）选择性的备份，可以将数据导出到机身外进行存储由于手机厂家定义的备份文件格式各不相同，很难通过一个固定的方法通吃因此，针对不同厂家的自备份，市面上现有的手机取证软件总是滞后和不完善的，利用手工操作和已有的手机取证软件相结合的方式是目前处理国产安卓手机自备份数据解析问题的解决之道。

下文笔者通过对四大国产安卓手机自备份的解析方法的探讨和实验，旨在得出可行的分析方法和解决方案3.1  华为手机备份取证华为作为几年国产安卓手机品牌持续保持着高速发展，并在国际市场占据了不小的份额，再加上大部分旗舰机型使用了自主的海思麒麟。

CPU，加大了传统方法的取证难度，可以说现在国内安卓手机取证，华为在很多情况下已经成为第一要务华为手机通常在其EMUI系统中自带备份APP，备份文件路径为存储\HuaweiBackup\backupFiles\。

，以日期时间作为目录名，应用程序数据以数据库格式存放1)   将备份数据拷贝到电脑端针对华为Andriod 7.0版本手机，我们通过手机自备份功能将数据备份出来，手机连接电脑后会出现华为手机存储盘符，找到所在目录后，将数据拷贝到电脑端（华为手机备份应用都会关联应用的。

apk文件），使用专业软件对以日期时间为名的目录进行解析（微信目录为例）如图：

图 11 华为自备份文件2)  手机使用情况痕迹由于自备份只能针对现有应用记录进行获取，如果出现嫌疑人卸载APP并清除数据的极端情况，常规取证便不能获取到相关记录信息此时嫌疑人很可能拒不承认曾经使用过相关。

APP，至此取证调查可能就会陷入被动但是笔者通过实验发现，此时在华为手机拨号界面键输入*#*#6130#*#*指令，手机端会显示：手机信息，数据统计，WiFi连接信息记录等内部日志记录，其中便包含嫌疑人曾经的使用痕迹。

图 12 华为手机中的使用情况统计数据3.2       小米手机备份取证小米手机作为当前最流行的智能手机品牌之一，在中国市场占有率超过10%为了增强数据的安全性，小米针对自己的MIUI系统开发出备份功能以保护用户数据。

其中，手机里的联系人、通话记录、短信等重要信息一般都存储在内存卡或者SIM卡，如果用户利用小米备份工具备份了这些数据，我们就可以对备份文件进行提取和解析，找到手机中的关键信息与华为手机不同，小米手机的自备份功能并没有通过独立的。

APP中体现，而需要进入小米的MIUI系统设置，选择其他高级设置，再点备份和重置进行备份操作备份的存储位置默认机身，手机自带备份数据范围很全面，必然占用较大内置存储，对于取证来说此类破坏原始检材的操作非常不利，因此笔者建议务必将数据备份到电脑上使用。

图 13 制作小米自备份1)   将备份文件拷贝到电脑端小米手机自备份文件扩展名为.bak，一般存储在\MIUI\backup\Allbackup\xxx（xxx代表备份的日期时间）目录中小米Andriod 7.0。

版本手机都支持OTG功能，笔者借助OTG优盘插入手机数据接口，通过自备份功能在手机上进行备份，将备份路径将选择到OTG优盘，等待备份完成，然后拔出OTG优盘插入电脑端查看是否备份成功通过浏览对应目录可以看到。

.bak文件，如图：

图 14 小米手机自备份文件2)  WinHex修改bak文件头使用Winhex软件打开备份好的.bak文件，笔者发现其实MIUI自备份文件多出了一个自定义文件头通过Winhex的hex编辑功能移除这个文件头，按图示的方法选中并删除“。

41 4E”前面的数据即可，完成后保存。然后使用专门的取证软件对.bak文件进行解析即可。

图 15 使用Winhex修改bak文件头最近刚刚发布的盘石手机取证蜂系列软件SafeMobile已经支持直接解析小米自备份。

图 16 使用SafeMobile直接解析小米自备份3)   数据解析使用7-Zip解压通讯录.bak文件，得到addressbook.store和descript.xml用Winhex打开addressbook.store。

文件，记录数据中不同的标记代表不同的含义，如图：

图 17 使用Winhex打开addressbook.store文件其中：•0x12为记录开始标记•0x32标记为序号•0x18是状态标记（0x01是接收，0x02是发送）•0x0A是姓名标记•0x22

为姓的标记•0x12为名标记•第二个0x0A是电话号码的标记这样可以依次解析出通讯录中的每个数据同样的，使用7-Zip工具解压通话记录.bak，得到calllog.store和descript.xml；解压短信

.bak，得到sms.store和descript.xml用Winhex打开分别calllog.store和sms.store文件，依次解析即可得到通话记录和短信信息3.3       OPPO手机备份取证。

1)   将备份数据拷贝到电脑端OPPO手机备份文件拓展名为.tar，一般存储路径在存储\BACKUP，应用程序在APP目录下，通讯录/短信在Data目录下笔者通过OPPO手机Andriod7.0版本手机系统自带的备份。

APP进行数据备份，手机连接电脑后会出现存储盘符，找到备份文件所在的目录后，将数据拷贝到电脑端得到备份.tar文件（OPPO手机备份应用都会关联应用的apk文件），如图：

图 18 OPPO手机自备份文件2)   使用7-zip解压.tar文件大部分电脑上都装有WinRAR解压缩软件，拿到.tar文件后下意识地使用该软件进行解压，解压后会发现数据不完整，这是由于.tar文件压缩结构的特殊性导致的。

该备份文件需要借助7-zip软件对进行解压，通过使用 7-zip解压该文件后导入专门的手机取证软件对com.tencent.mm目录（注，以微信目录为例）进行解析3)   手机使用情况痕迹与华为手机相似，在。

OPPO手机拨号界面键输入*#*#4636#*#*指令，手机端会显示：手机信息，数据统计，WiFi连接信息记录等内部日志记录，数据统计中会包含嫌疑人曾经的使用痕迹。

图 19 OPPO手机中的使用情况统计数据3.4       vivo手机备份取证随着大街小巷电视网络的广告轰炸，vivo手机和OPPO手机一同成为近两年曝光度最高的两大国产品牌，也一跃成为国内安卓手机四强。

因vivo自己的Funtouch OS系统限制，手机并没有提供自带备份功能在Andriod 6.0及以下版本的手机中，可以通过vivo手机助手或ADB备份方式进行数据备份，备份中包含基本信息，应用数据；升级到。

Andriod 7.0后，应用数据已经不能备份1)   查询ROOT权限现在大部分手机都没有ROOT或者无法ROOT，但是从取证角度来说既不能污染证据，也不能给手机里面写数据，这样需要借助VIVO手机厂家指令来判断是否。

ROOT，这里需要在手机拨号键输入：*#*#001#*#*，其中显示结果中is_root=0"表示未root"  ，则is_root=1“表示具有root权限”，如图：

图 20 查询ROOT权限2)   手机使用情况痕迹与OPPO手机一样，vivo手机只需要在拨号界面输入*#*#4636#*#*指令，手机端会显示：手机信息，数据统计，WiFi连接信息记录等日志信息，数据统计中会包含嫌疑人曾经的使用痕迹。

4       自备份取证的不足自备份作为全盘加密、无法ROOT、无法ADB降版本备份的7.0以上版本国产安卓手机的解决方案，已经足够应对绝大多数安卓手机的取证问题但是，随着系统安全性的提升、APP功能的拓展，以及嫌疑人反取证意识的提高，自备份取证方式还存在着很多的不足。

4.1       应用分身自360奇酷手机发布后，国产安卓手机争相推出应用分身、微信双开等类似概念，有一些第三方应用也以分身/双开作为亮点抢占市场，一时间分身类应用成为主流手机的一个必备功能分身功能可以实现在一部手机上安装多个相同应用，实现多个帐号同时登录使用，无需切换。

有些是厂商开发，内置于手机系统内，如小米、奇酷、vivo、金立，还有一些第三方应用单独实现了此功能，如LBE平行空间（原分身大师）、克隆大师等其中对手机取证起到最大影响的主要还是社交通联类APP的双开或多账号登录。

图 21 应用分身越来越多的案件中，嫌疑人同时使用两个以上微信等APP实施犯罪行为，常规的备份取证往往只关注原版APP，忽略了可能存在的分身APP或者隐藏在同一APP下的分身数据特备是国产安卓系统自带的分身功能，往往借助系统设置，依托原版。

APP，开启多账号分身登录功能，自备份得到的往往是一个APP数据包，很容易忽略包中可能含有的分身数据。

图 22 系统自带的微信分身功能4.2       锁屏密码自备份制作的前提是手机能够正常启动并进入到系统内，如果出现手机有锁屏密码，又无法破解或者绕过的情形，那自备份取证便被困在起点，无法实施了4.3       数据恢复。

众所周知，不管是哪种形式的备份，得到的数据范围总是小于整个存储芯片的完整容量的，能够备份到的数据通常只是用户产生的记录痕迹的绝大部分，自备份也一样针对手机的数据恢复通常包含两种：基于数据库内容的记录级恢复和基于磁盘空间的文件级恢复。

对于备份而言，由于无法像芯片镜像那样涉及完整的磁盘空间和未分配簇，文件级恢复当然无法实现，很多APP涉及的多媒体收发记录及相册中涉案的关键视频和图片删除后也因此无法重见天日相关记录所在的数据库文件是完全可以获得的，记录级恢复理论上也可以实现，但是随着数据库存储机制的发展和变化，数据删除后的收缩整理给恢复带来了毁灭性的影响，我们更多的需要从原数据库文件以外其他缓存区域寻求更多的机会。

结束语相信在未来的很长一段时间内，安卓系统都将继续统治智能手机市场，安卓手机取证技术的发展也值得我们持续关注随着安卓系统的升级、系统和数据安全性的加固，以及国产安卓手机在国内乃至全球市场的骄人占有率，利用自备份功能实现的手机取证也势必将在安卓取证的广阔领域燃起一星火光。

虽然其依然囿于加密情形，具有很大的局限性，但结合常规的审讯手段，对解锁后的新系统手机取证至少为现阶段某一类棘手的问题提供了新的思路笔者相信在推动手机取证技术的发展的主力中安卓系统取证研究将仍然是一股强劲的力量，值得所有行业人员一起拭目以待。

参考文献［1］Rick Ayers/Sam Brothers/Wayne Jansen.NIST Special Publication 800-101 Revision 1.Guidelineson Mobile Device Forensics [S]. 出版地：美国: 出版者：U.S. Department of Commerce 出版年：2014

［2］菲菲博客. 轻松解包MIUI备份bak文件 还原出明文数据［C/OL］.(2016/10/24).获取和访问路径：http://www.feifeiboke.com/android/3669.html

［3］安卓Android中文百科.［OL］.(2011/1/11).获取和访问路径：http://android.baike.com/［4］百度文库. 安卓系统重要文件类型与系统模式详解［OL］.(2011/9/23).获取和访问路径：http://wenku.baidu.com/link?url=O_vDdK990ncmwImjATG86Uh-t9RSCn0iX_9KNwMxb5M2E8oED0mgcx9X3GdZ6Ts8Ho0QAMtZ7034gwkA5ARH3tBpAMLJB53ZzRYNcFwTEcm

［5］站长之家. Gartner第二季度智能机报告：三星居首 Oppo、Vivo份额快速上升［R/OL］.(2017/8/24).获取和访问路径： http://www.chinaz.com/mobile/2017/0824/798842.shtml

［6］安卓网. 中国手机品牌Q2占国内市场份额87%［R/OL］.(2017/7/25).获取和访问路径：http://mobile.hiapk.com/new/s59771809ea06.html-------------------------------------------------------------------------