当前位置:首页>新闻中心>【技术分享】第4期:手机工具解读之Android安全机制绕过

【技术分享】第4期:手机工具解读之Android安全机制绕过

  • 2019-02-23 19:40:47


  • 编者按
    感谢美亚柏科技术专家在此分享手机工具解读的Android版本的相关知识,期待更多技术大牛的加入,并期待下期对于iOS版的解读。

    通常,在手机取证过程中,软件允许对手机获取数据的权限越高,获取到的手机数据就会更加完整全面。 美亚柏科手机取证产品系列中的工具集目前已集成38个小工具,可以针对在取证过程中遇到的不同系统平台下权限问题导致无法取证,提供解决办法。 以下,本文主要从Android的USB调试、锁屏密码等不同设置的场景来介绍如何适当的使用工具集进行安全机制绕过,以及常见问题的解决方案。

    Android系统权限

    Android手机通常需要开启USB调试和Root权限,才能获取或获取到更多的数据:


    情形一


    当手机无屏幕密码时,可直接对手机进行操作,打开USB调试开关,如果手机没有Root权限,可采用“Android”工具进行Root,然后进行取证:

    首先打开工具“Android”,连接上手机,点击刷新设备,刷新出设备后点击。





    Root完成后,手机会自动重启,等重启完后再次点击刷新设备,即可看到已经Root成功。




    备注:当“Android”工具无法对手机进行Root时,可以采用第三方Root工具。工具集内也集成了3个最主流的第三方Root工具,可以点击一键安装并使用。


    情形二


    当手机有屏幕密码、调试开关已打开时,4.2.2及以下的系统,不需要授权 ,可直接连接手机进行取证。 4.3及以上,需要授权,这时候可以使用“打开USB授权界面”工具来对手机进行授权。

    首先运行“打开USB授权界面”工具,然后按照工具上面步骤的提示进行操作。




    手机授权后,电脑可以直接识别到手机,这时候可以采用Android屏幕锁绕过工具,绕过手机的屏幕锁。

    连接手机,运行“Android屏幕锁绕过”工具,点击屏幕锁绕过,就能自动尝试绕过屏幕锁。




    情形三


    当手机有屏幕密码未打开调试开关时,无法直接对手机进行操作打开调试开关。以下分几种情况进行分析:


    小米手机


    小米手机可使用“小米密码清除与还原”工具进行密码清除:




    在步骤一中要注意选择正确的手机型号。然后按照步骤二、步骤三中的提示进行操作。




    HTC手机


    HTC手机可以使用“打开HTC USB调试”工具打开调试开关,该工具支持部分HTC手机。

    连接HTC手机后,点击打开,就能自动尝试打开USB调试开关。




    三星手机


    三星手机,Android 4.3以下版本,可以使用“三星无USB调试清除屏幕锁”工具,清除屏幕锁后打开调试进行取证;



    目前市面上的三星手机,大部分都是高于Android 4.3版本,此时可以采用“三星Recovery”工具,选择对应型号的Recovery包刷机取证,刷Recovery包一般不影响用户数据。针对有Bootloader锁的三星手机,可以到三星官网申请解锁Bootloader,然后才能刷Recovery包进行取证。


    MTK平台


    MTK平台的手机,可以尝试使用MTK Android高级工具,打开USB调试开关,同时自动授权连接,成功后,可直接进行取证;也可以直接使用此工具下载手机镜像。




    MTK芯片的Android手机也可以直接尝试使用“镜像采集终端”工具,对手机镜像进行下载,然后对镜像进行解析。此工具运行时需连接“山寨机镜像终端”盒子,如果是普通山寨机,使用镜像终端自己的数据线连接到手机,MTK Android手机的话,则镜像终端仅仅是作为授权模块使用,手机仍然是直接连接到电脑。按以下步骤操作:

    首先手机拔掉电池关机,选择USB CABLE模式及引导8,点击开始,手按住音量向下键,手机再连接到电脑USB接口,镜像下载完成,可通过美亚DC-4501 产品进行镜像解析取证。




    在对Android手机进行取证时,还有几种常见问题导致无法识别到手机:

    1. 若安装第3方手机助手工具,如:91手机助手等,导致无法取证,如何处理?

    解决方案: XP系统:运行->输入:msconfig,到服务中取消第3方手机助手工具服务。

    Win7系统: 启动任务管理器可直接取消第3方手机助手工具服务。


    2. 当adb.exe会挂掉,进程仍然存在,导致无法检测到手机,如何处理?

    解决方案: 启动任务管理器,到进程中,结束adb.exe然后拔掉手机,重新连接。


    芯片取证


    当以上方法都无法实现对手机的安全机制进行绕过,导致取证失败,可以采取直接拆下芯片的方法进行取证,拆焊下手机存储芯片,使用手机芯片提取设备提取芯片镜像,再使用手机取证设备加载镜像进行解析。

    美亚柏科产品FL-930手机恢复塔,集成了FL-910手机芯片数据提取系统,FL-900 手机取证塔,CR-2000 M 手机恢复大师,ATT-6000 智能手机仿真系统。首先将手机芯片完整地从手机主板上取下,置于芯片数据提取设备上进行数据获取。获得镜像后,可以采用手机取证塔进行镜像分析、采用手机恢复大师进行数据恢复或者采用智能手机仿真系统进行芯片镜像仿真。

    手机恢复塔展示如下:




    长按"识别二维码"关注美亚柏科手机取证大师