基于recovery的手机取证方法与设计方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在此说明书中,本技术已参照其特定的实施例作了描述。但是,很显然仍可以作出各种 修改和变换而不背离本技术的精神和范围。因此,说明书和附图应被认为是说明性的而非限 制性的。
(1)电脑判断所述的手机是否以fastboot模式连入电脑;
(2)如果所述的手机以fastboot模式连入电脑,则刷入第三方的recovery;
(3)挂载所述的手机的分区; (4)将手机上的文件导出至所述的电脑中; (5)如果无手机以fastboot模式连入电脑,则继续步骤(1)。 进一步地,所述的步骤(1)具体包括以下步骤: (1.1)所述的手机进入fastboot模式; (1.2)所述的手机连接至电脑; (1.3)所述的电脑判断所述的手机是否以fastboot模式连入电脑。
(3)挂载所述的手机的分区;
(4)将手机上的文件导出至所述的电脑中; (5)如果无手机以fastboot模式连入电脑,则继续步骤(1)。 2.根据权利要求1所述的基于recovery的手机取证方法,其特征在于,所述的步骤(1)
具体包括以下步骤:
(1.1)所述的手机进入fastboot模式; (1.2)所述的手机连接至电脑; (1.3)所述的电脑判断所述的手机是否以fastboot模式连入电脑。 3.根据权利要求2所述的基于recovery的手机取证方法,其特征在于,所述的步骤(1.2)
(6)将手机上的文件导出到本地电脑进行解析。通过adb.exepull(源目录)(目的目 录),将手机文件导出。
采用了该技术中的基于recovery的手机取证方法,可以对Android手机进行手机信息读 取,大大提高了Android手机信息读取效率,数据读取完整有效,能直接为司法取证以及实
际工作需求提供有效的帮助,适用于大规模推广应用。
为了能够更清楚地描述本技术的技术内容,下面结合具体实施例来进行进一步的描述。
安卓手机的取证主要是对/data/data目录下的具体存储数据文件进行读取的,读取这些文 件需要获取ROOT权限,然后连接电脑进行读取,但是在有开机密码和USB调试没有打开 的情况下连接电脑都不行,简单的ROOT是行不通的。
6.根据权利要求1所述的基于recovery的手机取证方法,其特征在于,所述的挂载所述
的手机的分区,具体为:
选择recovery模式下的U盘模式,直接将手机的所有分区挂载到对应的目录下;
或者
通过选择recovery模式下特定的选项,挂载特定的分区。
说明书
基于recovery的手机取证方法
技术领域
本技术涉及信息技术领域,尤其涉及信息安全,具体是指一种基于recovery的手机取证
Android手机提供了fastboot模式,在安卓系统手机中fastboot是一种比recovery更底层 的刷机模式。就是使用USB数据线连接手机的一种刷机模式。相对于某些系统卡刷来说,线 刷更可靠,安全;如果我们称recovery模式为恢复模式,那么fastboot就是真正的刷机模式, 因为官方所提供的刷机包和刷机教程很多都是在fastboot模式下完成的,所以说fastboot模式
(5)挂载对应的手机分区。第一种方法是选择recovery模式下的U盘模式,直接将手 机的所有分区挂载到对应的目录下;第二种方法,通过选择recovery模式下具体的选项,将 特定的分区挂载,如“挂载data”就是/data对应的分区挂在到该目录下。第三种是调用adb的 shell命令,利用mount(挂在目录)(挂在分区),将分区挂载到特定目录。
更进一步地,所述的步骤(1.2)具体为: (1.2)所述的电脑安装与所述的手机相对于的驱动; (1.3)所述的手机连接至电脑。 更进一步地,所述的步骤(1.3)具体为: 所述的电脑通过谷歌提供的fastbootdevices命令查看是否有手机以fastboot模式连入电
脑。
进一步地,所述的刷入第三方的recovery,具体包括以下步骤: (2.1)所述的电脑判断是否有多部手机连入电脑; (2.2)如果有多部手机连入电脑,则通过fastboot-s.img命令给指定的手机刷入recovery, 其中s为手机序列号;
采用了该技术中的基于recovery的手机取证方法,可以对Android手机进行手机信息读 取,大大提高了Android手机信息读取效率,数据读取完整有效,能直接为司法取证以及实
际工作需求提供有效的帮助,适用于大规模推广应用。
附图说明
图1为本技术的基于recovery的手机取证方法的整体流程图。
具体实施方式
本技术涉及一种基于recovery的手机取证方法,所述的方法包括以下步骤:(1)电脑判断所述 的手机是否以fastboot模式连入电脑;(2)如果所述的手机以fastboot模式连入电脑,则刷入第 三方的recovery;(3)挂载所述的手机的分区;(4)将手机上的文件导出至所述的电脑中;(5)如 果无手机以fastboot模式连入电脑,则继续步骤(1)。采用该种结构的基于recovery的手机取证 方法,对Android手机进行手机信息读取,大大提高了Android手机信息读取效率,数据读取
(2.1)所述的电脑判断是否有多部手机连入电脑;
(2.2)如果有多部手机连入电脑,则通过fastboot-s.img命令给指定的手机刷入recovery, 其中s为手机序列号;
(1.3)如果只有一部手机连入电脑,则通过fastboots.img命令给指定的手机刷入 recovery,其中s为手机序列号。
具体为:
(1.2)所述的电脑安装与所述的手机相对于的驱动; (1.3)所述的手机连接至电脑。
4.根据权利要求2所述的基于recovery的手机取证方法,其特征在于,所述的步骤(1.3)
具体为:
所述的电脑通过谷歌提供的fastbootdevices命令查看是否有手机以fastboot模式连入电
脑。
5.根据权利要求1所述的基于recovery的手机取证方法,其特征在于,所述的刷入第三 方的recovery,具体包括以下步骤:
是真正的刷机模式。
recovery模式指的是一种可以对安卓机内部的数据或系统进行修改的模式(类似于
windowsPE或DOS)。在这个模式下我们可以刷入新的安卓系统,或者对已有的系统进行备
份或升级,也可以在此恢复出厂设置,挂载对应的分区。
官方提供的Recovery没有挂在权限,或者USB调试模式,无法连接电脑,通过ADB.EXE 获取手机的相关信息,所以需要输入第三方的recovery。
完整有效,能直接为司法取证以及实际工作需求提供有效的帮助,适用于大规模推广应用。
权利要求书
1.一种基于recovery的手机取证方法,其特征在于,所述的方法包括以下步骤:
(1)电脑判断所述的手机是否以fastboot模式连入电脑;
(2)如果所述的手机以fastboot模式连入电脑,则刷入第三方的recovery;
方法。
背景技术
现阶段针对Android智能手机的取证,主要有两种,第一种是利用Android手机的调试
接口或者借助于芯片级别的技术将存储芯片摘取下来,获取手机底层的物理镜像,然后对物 理镜像的文件系统进行解析,获取对应的数据文件,进而取证。另一种是通过软件方法,借
助于谷歌提供的adb.exe,也就安卓手机的调试工具,连接手机,通过adb命令,将所需要解
析的文件进行导出,。但是这两种方法都有其不足之处。对于第一种方法,对手机的硬件要 求
很苛刻,需要手机开放一案件调试接口,大部分手机是没有开发的,那么就需要通过拆机的 方法来解决,但是很显然会破坏原始证据手机,而且拆解手机的难度很高,需要实验室级别
的支持。另一种方法也有一些相对比较严格的限制条件,比如需要开机密码,需要ROOT, 需要USB调试打开,只要其中某一个条件不满足,就很有可能无法对手机进行取证,然而借 助于Recovery可以绕过这些限制对手机进行取证工作。
技术内容
本技术的目的是克服了上述现有技术的缺点,提供了一种提高了Android手机信息读取
效率、数据读取完整有效、能直接为司法取证以及实际工作需求提供有效的帮助的基于
recovery的手机取证方法。
为了实现上述目的,本技术的基于recovery的手机取证方法具有如下构成:
该基于recovery的手机取证方法,其主要特点是,所述的方法包括以下步骤:
(1.3)如果只有一部手机连入电脑,则通过fastboots.img命令给指定的手机刷入 recovery,其中s为手机序列号。
进一步地,所述的挂载所述的手机的分区,具体为:
选择recovery模式下的U盘模式,直接将手机的所有分区挂载到对应的目录下;
或者
通过选择recovery模式下特定的选项,挂载特定的分区。
手机驱动,没有驱动电脑是无法识别手机的,连接电脑是失败的。
(3)判断手机是否以fastboot模式正确连接电脑。利用谷歌提供的fastboot.exe,利用 fastbootdevices命令查看是否有手机以fastboot模式连接,如果显示手机的序列号和fastboot 字样即连接成功两者以制表符\t隔开。
(4)刷入第三方的recovery。获取对应手机的第三方recovery.img文件,官方提供的 recovery一般不会开发adb调试接口所以不适用。找到合适的IMG文件后,通过fastboot ***.img向手机刷入recovery,如果有多部手机同时连接电脑,需要执行fastboot–s(手机序 列号)***.img给指定的手机刷入recovery。如果文件匹配,在刷入recovery之后会手机会 自动进入recovery模式。
请参阅图1所示,取证具体步骤:
(1)手机进入fastboot模式,不同的手机进入fastboot模式的方法是不一样的,例如小 米手机是通过同时按开机和音量减fastboot模式。三星手机的fastboot模式也就是刷机模式有
个特别的名称叫挖煤模式。Leabharlann Baidu
(2)连接电脑,让电脑识别出手机。需要到手机厂商的网站或者第三方网站下载对应的
(1)电脑判断所述的手机是否以fastboot模式连入电脑;
(2)如果所述的手机以fastboot模式连入电脑,则刷入第三方的recovery;
(3)挂载所述的手机的分区; (4)将手机上的文件导出至所述的电脑中; (5)如果无手机以fastboot模式连入电脑,则继续步骤(1)。 进一步地,所述的步骤(1)具体包括以下步骤: (1.1)所述的手机进入fastboot模式; (1.2)所述的手机连接至电脑; (1.3)所述的电脑判断所述的手机是否以fastboot模式连入电脑。
(3)挂载所述的手机的分区;
(4)将手机上的文件导出至所述的电脑中; (5)如果无手机以fastboot模式连入电脑,则继续步骤(1)。 2.根据权利要求1所述的基于recovery的手机取证方法,其特征在于,所述的步骤(1)
具体包括以下步骤:
(1.1)所述的手机进入fastboot模式; (1.2)所述的手机连接至电脑; (1.3)所述的电脑判断所述的手机是否以fastboot模式连入电脑。 3.根据权利要求2所述的基于recovery的手机取证方法,其特征在于,所述的步骤(1.2)
(6)将手机上的文件导出到本地电脑进行解析。通过adb.exepull(源目录)(目的目 录),将手机文件导出。
采用了该技术中的基于recovery的手机取证方法,可以对Android手机进行手机信息读 取,大大提高了Android手机信息读取效率,数据读取完整有效,能直接为司法取证以及实
际工作需求提供有效的帮助,适用于大规模推广应用。
为了能够更清楚地描述本技术的技术内容,下面结合具体实施例来进行进一步的描述。
安卓手机的取证主要是对/data/data目录下的具体存储数据文件进行读取的,读取这些文 件需要获取ROOT权限,然后连接电脑进行读取,但是在有开机密码和USB调试没有打开 的情况下连接电脑都不行,简单的ROOT是行不通的。
6.根据权利要求1所述的基于recovery的手机取证方法,其特征在于,所述的挂载所述
的手机的分区,具体为:
选择recovery模式下的U盘模式,直接将手机的所有分区挂载到对应的目录下;
或者
通过选择recovery模式下特定的选项,挂载特定的分区。
说明书
基于recovery的手机取证方法
技术领域
本技术涉及信息技术领域,尤其涉及信息安全,具体是指一种基于recovery的手机取证
Android手机提供了fastboot模式,在安卓系统手机中fastboot是一种比recovery更底层 的刷机模式。就是使用USB数据线连接手机的一种刷机模式。相对于某些系统卡刷来说,线 刷更可靠,安全;如果我们称recovery模式为恢复模式,那么fastboot就是真正的刷机模式, 因为官方所提供的刷机包和刷机教程很多都是在fastboot模式下完成的,所以说fastboot模式
(5)挂载对应的手机分区。第一种方法是选择recovery模式下的U盘模式,直接将手 机的所有分区挂载到对应的目录下;第二种方法,通过选择recovery模式下具体的选项,将 特定的分区挂载,如“挂载data”就是/data对应的分区挂在到该目录下。第三种是调用adb的 shell命令,利用mount(挂在目录)(挂在分区),将分区挂载到特定目录。
更进一步地,所述的步骤(1.2)具体为: (1.2)所述的电脑安装与所述的手机相对于的驱动; (1.3)所述的手机连接至电脑。 更进一步地,所述的步骤(1.3)具体为: 所述的电脑通过谷歌提供的fastbootdevices命令查看是否有手机以fastboot模式连入电
脑。
进一步地,所述的刷入第三方的recovery,具体包括以下步骤: (2.1)所述的电脑判断是否有多部手机连入电脑; (2.2)如果有多部手机连入电脑,则通过fastboot-s.img命令给指定的手机刷入recovery, 其中s为手机序列号;
采用了该技术中的基于recovery的手机取证方法,可以对Android手机进行手机信息读 取,大大提高了Android手机信息读取效率,数据读取完整有效,能直接为司法取证以及实
际工作需求提供有效的帮助,适用于大规模推广应用。
附图说明
图1为本技术的基于recovery的手机取证方法的整体流程图。
具体实施方式
本技术涉及一种基于recovery的手机取证方法,所述的方法包括以下步骤:(1)电脑判断所述 的手机是否以fastboot模式连入电脑;(2)如果所述的手机以fastboot模式连入电脑,则刷入第 三方的recovery;(3)挂载所述的手机的分区;(4)将手机上的文件导出至所述的电脑中;(5)如 果无手机以fastboot模式连入电脑,则继续步骤(1)。采用该种结构的基于recovery的手机取证 方法,对Android手机进行手机信息读取,大大提高了Android手机信息读取效率,数据读取
(2.1)所述的电脑判断是否有多部手机连入电脑;
(2.2)如果有多部手机连入电脑,则通过fastboot-s.img命令给指定的手机刷入recovery, 其中s为手机序列号;
(1.3)如果只有一部手机连入电脑,则通过fastboots.img命令给指定的手机刷入 recovery,其中s为手机序列号。
具体为:
(1.2)所述的电脑安装与所述的手机相对于的驱动; (1.3)所述的手机连接至电脑。
4.根据权利要求2所述的基于recovery的手机取证方法,其特征在于,所述的步骤(1.3)
具体为:
所述的电脑通过谷歌提供的fastbootdevices命令查看是否有手机以fastboot模式连入电
脑。
5.根据权利要求1所述的基于recovery的手机取证方法,其特征在于,所述的刷入第三 方的recovery,具体包括以下步骤:
是真正的刷机模式。
recovery模式指的是一种可以对安卓机内部的数据或系统进行修改的模式(类似于
windowsPE或DOS)。在这个模式下我们可以刷入新的安卓系统,或者对已有的系统进行备
份或升级,也可以在此恢复出厂设置,挂载对应的分区。
官方提供的Recovery没有挂在权限,或者USB调试模式,无法连接电脑,通过ADB.EXE 获取手机的相关信息,所以需要输入第三方的recovery。
完整有效,能直接为司法取证以及实际工作需求提供有效的帮助,适用于大规模推广应用。
权利要求书
1.一种基于recovery的手机取证方法,其特征在于,所述的方法包括以下步骤:
(1)电脑判断所述的手机是否以fastboot模式连入电脑;
(2)如果所述的手机以fastboot模式连入电脑,则刷入第三方的recovery;
方法。
背景技术
现阶段针对Android智能手机的取证,主要有两种,第一种是利用Android手机的调试
接口或者借助于芯片级别的技术将存储芯片摘取下来,获取手机底层的物理镜像,然后对物 理镜像的文件系统进行解析,获取对应的数据文件,进而取证。另一种是通过软件方法,借
助于谷歌提供的adb.exe,也就安卓手机的调试工具,连接手机,通过adb命令,将所需要解
析的文件进行导出,。但是这两种方法都有其不足之处。对于第一种方法,对手机的硬件要 求
很苛刻,需要手机开放一案件调试接口,大部分手机是没有开发的,那么就需要通过拆机的 方法来解决,但是很显然会破坏原始证据手机,而且拆解手机的难度很高,需要实验室级别
的支持。另一种方法也有一些相对比较严格的限制条件,比如需要开机密码,需要ROOT, 需要USB调试打开,只要其中某一个条件不满足,就很有可能无法对手机进行取证,然而借 助于Recovery可以绕过这些限制对手机进行取证工作。
技术内容
本技术的目的是克服了上述现有技术的缺点,提供了一种提高了Android手机信息读取
效率、数据读取完整有效、能直接为司法取证以及实际工作需求提供有效的帮助的基于
recovery的手机取证方法。
为了实现上述目的,本技术的基于recovery的手机取证方法具有如下构成:
该基于recovery的手机取证方法,其主要特点是,所述的方法包括以下步骤:
(1.3)如果只有一部手机连入电脑,则通过fastboots.img命令给指定的手机刷入 recovery,其中s为手机序列号。
进一步地,所述的挂载所述的手机的分区,具体为:
选择recovery模式下的U盘模式,直接将手机的所有分区挂载到对应的目录下;
或者
通过选择recovery模式下特定的选项,挂载特定的分区。
手机驱动,没有驱动电脑是无法识别手机的,连接电脑是失败的。
(3)判断手机是否以fastboot模式正确连接电脑。利用谷歌提供的fastboot.exe,利用 fastbootdevices命令查看是否有手机以fastboot模式连接,如果显示手机的序列号和fastboot 字样即连接成功两者以制表符\t隔开。
(4)刷入第三方的recovery。获取对应手机的第三方recovery.img文件,官方提供的 recovery一般不会开发adb调试接口所以不适用。找到合适的IMG文件后,通过fastboot ***.img向手机刷入recovery,如果有多部手机同时连接电脑,需要执行fastboot–s(手机序 列号)***.img给指定的手机刷入recovery。如果文件匹配,在刷入recovery之后会手机会 自动进入recovery模式。
请参阅图1所示,取证具体步骤:
(1)手机进入fastboot模式,不同的手机进入fastboot模式的方法是不一样的,例如小 米手机是通过同时按开机和音量减fastboot模式。三星手机的fastboot模式也就是刷机模式有
个特别的名称叫挖煤模式。Leabharlann Baidu
(2)连接电脑,让电脑识别出手机。需要到手机厂商的网站或者第三方网站下载对应的