近年来的安卓手机取证相较过往,可以施展的手法是愈来愈受限了,大体上可以安卓7.0做为一个分野,在安卓7.0以上的高版本明显有以下反取证的特性出现:
1. 降级(Downgrade)搭配ADB Backup的技法无法备份到App的数据,如此一来即便你知道嫌疑犯明明有用WeChat等IM,但却苦无方法可以提取聊天记录。
2.愈来愈多的手机有锁Bootloader,导致难以透过解BL锁以刷入第三方Recovery ROM的技法进行提权。因为一旦强行解BL锁便会付出整机重置的代价,数据也就不复存在了。换言之,若能做到解BL锁但却还能保住资料,即能在取证领域拔得头筹。
3.手机出厂即默认启用全机加密(FDE),导致物理获取的取证功效大打折扣,因为即便顺利得到手机完整镜像,可想而知若未能顺利decode的话,这镜像对取证人员而言充其量就是一个解不开的黑盒子。
简而言之,高版本安卓手机取证难到了何种程度呢?即便都没有任何屏幕锁的情况之下,取证人员也明明看到了手机里有WeChat等App,但就是没法用取证工具把聊天记录给提取出来。
那该如何是好呢?总不能告诉长官,很抱歉因为是高版本安卓,连昂贵的商业取证工具也没辄,所以就只能放弃了。这也是上一篇要分享给大家的目的,毕竟手机取证的目的就是要取得里头的数据以查明是否有与案情相关的线索,因此,为达成此一目的,就先把技术含量撇一边,以取得数据的思路为主要出发点。
只要设法先让嫌疑犯好好配合,该解锁的先解锁,该交出的账号密码先要他/她交出来,那接下来,就可以利用如上一篇所示范的乾坤大挪移绝技,将WeChat的聊天记录给悉数备份至保证能顺利提取的手机之上。何谓保证可提取?毫无疑问自然是低版本的安卓手机~这支手机当然不是随便挑一支旧版安卓手机就搞定的,而是取证人员精心准备的,不论是已Root的或是确认过可用工具顺利提取的皆可,它绝对是特别用来侍候此种取证情境之时所用的。
手机取证的攻防互有消长,随着操作系统版本的不断提升,伴随而来的日益强化的各项安全机制,在在造就了取证上的深沟壁垒。未来高版本安卓手机取证,可能会如对待iOS取证一般,若该装置未解锁,装置本身难以突破,就只能寻求嫌疑犯的计算机上的备份或云端上的备份了。