基于recovery的手机取证方法与设计方案

电子取证设备方案随着科技的不断发展和普及，电子取证已成为重要的法律工具。

在犯罪现场和调查过程中，电子取证设备的使用可以帮助警方和律师收集、保护和分析数字证据。

这篇文章将介绍一种有效的电子取证设备方案，旨在提高取证效率和保证数据安全。

首先，电子取证的第一步是采集电子证据。

为了完成这一步骤，警方或律师需要一个高性能的设备，能够连接和获取来自各种电子设备的数据。

这包括计算机、手机、平板电脑、硬盘驱动器等。

一个多功能的取证设备是非常重要的，它能够通过USB、蓝牙等多种方式连接到各种设备上。

其次，为了保证数据的完整性和可靠性，电子取证设备应具备严格的数据保护功能。

这是因为数据在被采集和分析的过程中经常面临篡改和丢失的风险。

一个好的设备应该能够确保数据的原始状态不被更改，并具有强大的加密技术来防止未经授权的访问。

此外，设备还应该有防火墙和恶意软件检测功能，以防止恶意攻击。

第三，电子取证设备方案需要提供有效的数据分析功能。

一旦数据被采集，专业人员需要对其进行深入的分析，以发现可能有价值的证据。

这就要求设备具备强大的数据处理和分析能力。

此外，设备还应具备数据可视化和模式识别功能，以便用户能够更直观地理解和解释数据。

此外，好的电子取证设备方案应该具备易用性和可移植性。

这意味着设备界面应该简洁直观，操作步骤应该清晰明了，以便用户能够快速上手。

此外，设备的尺寸和重量应该适中，便于携带。

这样，警方或律师可以在不同的现场进行取证工作，而不会受到设备的限制。

最后，保证数据的安全存储也是一个重要的考虑因素。

电子取证过程中获得的数据可能是非常重要和敏感的。

因此，在整个取证过程中，设备应该提供安全存储解决方案，确保数据不会被意外删除或泄露。

这可以通过数据备份和恢复功能、密码保护等方式来实现。

总之，电子取证在现代法律系统中扮演着重要的角色。

一个有效的电子取证设备方案应该具备多功能的采集能力、严格的数据保护、强大的数据分析、易用性和可移植性以及安全的数据存储解决方案。

基于MTP下的智能手机数据恢复及其取证技术作者：叶志刚来源：《现代信息科技》2018年第12期摘要：本文对基于MTP模式下智能收集数据恢复及取证技术进行了分析，针对支持MTP 连接模式的安卓智能手机，提出了完整的数据恢复取证方法与流程，对仅支持MTP模式不支持外插SD卡的手机恢复提取方法进行了验证。

关键词：MTP模式；智能手机；数据恢复取证中图分类号：TP309.3；TP399-C2 文献标识码：A 文章编号：2096-4706（2018）12-0027-02Data Recovery and Forensics Technology of Smart Phone Based on MTPYE Zhigang（Jinhua Public Security Bureau，Jinhua 321000，China）Abstract：This paper analyzes the data recovery and forensics technology of intelligent collection based on MTP mode，proposes a complete method and process of data recovery and forensics for Android smart phones supporting MTP connection mode and validates the method of mobile recovery and extraction which only supports MTP mode and does not support plug-in SD card.Keywords：MTP mode；smart phone；data recovery forensics0 引言智能手机是现代社会的重要通讯工具，移动互联网的崛起与智能移动终端的广泛使用，使智能手机应用程序进行隐私窃取及恶意攻击等犯罪活动不断增多。

手机取证——关于iPhone手机数据提取方式的探讨编者按在《技术视界》前13期中，数据恢复四川省重点实验室科研人员讲解了手机音频文件提取、SQLite数据库文件恢复、手机APP取证脚本编写以及防御手机APP窃密等主题，本期重点介绍iPhone手机（越狱和未越狱）数据提取的多种方式，可以有效提取各类应用数据，包括文字、图片、声音、视频等各种多媒体信息。

随着移动通信技术的不断发展，手机也逐渐成为人与人之间不可或缺的联系工具，几乎人人都会携带一部甚至多部手机。

手机中各种APP会记录下大量信息，包括聊天、位置等，这些信息很可能成为警方破案有效的辅助证据，所以对手机数据的提取很有必要。

目前Android始终是手机行业的老大，各个手机数据提取商对Android的支持也是首当其冲。

来自ZDC(互联网消费调研中心)手机品牌关注度的数据显示（如图1），2015年三星毫无疑问位居第一，但我们也同时发现，iPhone手机紧随华为位居第三，所以对iPhone手机数据提取的支持刻不容缓。

下面将和大家一起来探讨iPhone手机数据的提取方式。

图1：苹果手机品牌关注位居第三同Android手机一样，iPhone手机数据的提取也分两种情况越狱和未越狱。

一、未越狱手机数据的提取未越狱手机主要通过备份和沙盒提取方式。

目前8.3以上的系统不再支持沙盒提取，而且也比较简单，故不再拿出来讨论。

下面只针对备份方式进行简要说明。

1、数据备份备份可通过两种方式实现：（1）通过iTunes直接备份。

备份路径为XP：C:\Documents and Settings\用户名\Application Data\Apple Computer\MobileSync\Backup；WIN7及以上：C:\Users\用户名\AppData\Roaming\Apple Computer\MobileSync\Backup。

（2）AppleMobileBackup.exe命令。

安卓手机取证技术引言Android系统是近些年快速兴起的一款手机操作系统。

其用户覆盖度在2011年已经以27%的占比排在智能手机的第一位。

Android系统的取证系统的需求迫在眉睫。

本项目主要针对Android手机的软件数据及硬件数据两部分提取。

充分覆盖Android手机的全部数据。

1总休设计1.1系统整体流程本取证项目主要包括两个部分，一个部分为软件数据的提取，另一部分为硬件数据的提取。

两个部分组成完整的取证系统。

同时，由于数据提取的速度的限制，本系统将两个部分分开实现。

取证人员可根据需要选择取证类型。

1-2系统结构本取证系统主要从软件数据取证和硬件数据取证2方面进行、在软件数据取证中包括了程序数据、用户数据，在硬件数据取证中包括了芯片数据。

1.3系统子功能概述1.3.1通讯录数据的提取。

通讯录的提取主要包括SIM卡里的号码和手机里面的号码。

当SIM 卡中的电话号码被删除后，要想恢复是不大可能的，这是因为电话号码在SIM卡中是以十六进制的编码方式存储的，每个存储空间包含一个名字和—个号码。

删除W后十六进制的FF就会覆盖存储空间的信息*不过由于SIM卡存储空间是循环分配的，我们可以通过识别用过的空间之间的空闲空间来判断存储的号码是否被删除过。

其提取设计流程简单的说就是先进行取证系统初始化，然后Android手机数据线连接PC,启动手机连接，系统驱动扫描接口，判断连接是否成功，若成功则创建Android手机连接，启动数据提取模块，加载通讯录提取子模块，启用Android手机连接，连接Android手机数据接口，随后分别启动手机通讯录管理模块或者手机SIM卡管理模块，连接Android通讯录数据库或者SIM卡，进行手机及SIM卡通讯录数据的提取。

将提取到的数据下载到PC，最后通过对通讯录的解析并提取数据进行界面显示。

1.3.2短信数据的提取。

SIM卡提供了存储文本信息的空间，每个SMS空间占176字节，由第一个字节Status(状态字节）和第2-176字节TPDU组成。

手机犯罪取证，IOS和Android系统实例随着移动互联网技术发展，手机已成为人们工作生活中不可或缺的联系工具，与此同时,利用手机进行诈骗、伪造和传播色情等犯罪活动也屡见不鲜。

手机取证正是打击这类犯罪的一个有效手段。

手机取证就是从手机安装手机应用程序、手机内/外置存储卡及SIM 卡中收集和分析相关的数据证据。

目前牵涉到手机的犯罪行为大致有以下几种 :•在犯罪行为的实施过程中使用手机来通信联络 ;•被用作犯罪证据的存储介质，如照片、短信、QQ、微信聊天记录 ;•手机被作为短信骚扰、诈骗和病毒软件传播等犯罪活动的工具。

•用于民事取证，如婚外情调查。

手机取证所面临的一些问题：•厂商与用户的安全意识不断提高，不断产生的新的保护措施和加密技术手段.•手机存储容量日益增大，取证平均耗时大大增加•手机存储容量日益增大，取证平均耗时大大增加•从“怎么取”逐渐转换为“怎么看”和“怎么用”下面我们说一下手机取证遇到的一些常见问题，按照IOS（苹果系统）和Android（安卓系统）进行了区分：•iOS: 高版本有密码\iTunes备份加密\应用程序数据加密\删除文件恢复\删除应用程序恢复•Android：有密码未开调试\高版本root问题\BL锁\应用程序备份限制\应用程序删除填充•以及对损坏、被破坏手机的取证手机取证的一些常用方法1，App备份限制Android 6.0版本下，目前微信无法通过备份方式获取导致微信提取结果为0。

解决思路：1. 利用厂商自带备份工具，将手机数据备份，随后将厂商备份数据转换为可解析格式后，进行数据提取和分析。

2. 少数非原生Android 6.0手机，通过提取root权限方式取得应用程序数据。

Android 4.x以及5.x版本下，部分应用程序限制了自身的备份，如腾讯QQ、微信、WhatsApp等。

解决思路： 1. 首先将手机中的应用程序替换为旧版本。

2. 通过支持备份的旧版本进行备份。

文章编号:1007-757X(2021)01-0107-04安卓取证系统的设计与实现王德广，倪怀乾(大连交通大学软件学院，辽宁大连116028)摘要：为了取证人员快速提取分析安卓系统的数据信息，利用ADB和Python等工具在Windows系统中开发针对于安卓系统取证的桌面应用程序°并利用数据挖掘技术获取嫌疑人的微信好友信息，通过时间序列图、网络拓扑图的方式显示联系人之间的亲密度，使用词云显示浏览文本，获得重要信息°此程序具有较高的可行性和普适性，为取证人员提供较大的便利°关键词：安卓系统；手机取证；数据分析中图分类号：TP391文献标志码：ADesignandImplemen)a)ionofAndroidForensicsSys)emWANG Deguang,NI Huaiqian(College of software,Dalian Jiaotong University,Dalian116028,China)Abstract:In order to quickly extract and analyze data information of forensic system,this paper uses ADB and Python to devel­op deskGop applicaGions for Android forensics,uses daGa miningGechnologyGo obGainGhe WeChaGfriend informa ion ofGhe sus-pecG,displaysinimacybeGweenconGacGsbymeansofimeseriesgraphsandneGworkGopologymaps,useswordcloudGodisplay browsing text and obtain important information.The program has high feasibility and universality,and provides greater con-veniencefortheforensicpersonnel.Key words:Android system；mobile forensics；data analysis0引言智能手机已不止于通讯，而具备了一台电脑的重要功能&与此同时，不少犯罪分子也利用智能手机进行犯罪活动。

安卓自制recovery教程（推荐学习）我想大家对recovery已经很熟悉了吧，基本每个机型都可以在网络上找到你们机型的对应的recovery，但是有些新出的机型或者一些冷门安卓机型是没有recovery的，这时候我们怎么办呢，其实我们完全可以手工去制作一个属于自己机型的recovery，下面我就给大家写个教程一起探讨一下。

首先我给大家介绍一下，recovery.img包含镜像和内核两部分，大家一般对着recovery.img右击解压会出现压缩包损坏，其实这个包是可以解开的，需要特定的工具，思路我们就有了，我们可以拿其它型号的recovery解包后得到镜像和内核部分，然后从你要的型号的官方ruu中提取官方的recovery.img也解包得到镜像和内核部分，然后把官方recovery的内核部分和cwm recovery的镜像合包组成新的recovery，这样我们的recovery 就做成了。

下面我们来看看具体步骤（以htc为例）：准备工作：下载recovery.img专用的bootimg.rar（群共享），这个工具本来是解包boot.img的，同样可以用来解包recovery，但recovery.img要名为boot.img；从官方ruu中提取到官方recovery.img并命名为boot.img；下载其他机型的cwm的recovery.img，建议大家下载g6的5.0.2.0（比较稳定），同样命名为boot.img；解压bootimg.rar得到bootimg文件夹复制到d盘，先复制官方的recovery到bootimg文件夹流程：开始-运行-cmdd:回车cd boot回车bootimg --unpack-bootimg这时候我们的官方recovery就被解包了解包后会得到下面一个文件夹和一个文件，将这两个文件剪切到电脑其他地方我们用同样的方法解包一下cwm的recovery也会得到两个相同的文件，之后我们把官方的内核kernel和cwm的镜像ramdisk.gz一起放到bootimg 文件夹看图中的第一步官方recovery解包base基址是0x200000,cmdline命令行是“mem=211M console=null androidboot.hardware=qcom",page-size是2048，padding-size是4096，那么都要回编回去，接下来打包的时候就应该输入以下命令（根据你操作的时候实际数值来）bootimg --repack-bootimg 0x200000 "mem=211M console=null androidboot.hardware=qcom" 2048 4096 如下图所示，OK！这才是真正的打包完成，就如果直接打包的话，华为中兴的无所谓，不过其他机器就开不了机器了！个性点的定制思路：可以用boot --unpack-ramdisk命名解开镜像包ramdisk后到initrd文件夹中的res文件夹改改图标，之后用bootimg --repack-ramdisk命令重新合成ramdisk，之后再合成boot.img以上我们成功解包官方的和cwm的recovery之后合并了一个新的recovery，最后我们把新生成的boot.img再改回recovery.img，recovery.img 得到了下面的不用我说了吧，呵呵，教程就写到这吧！--枫叶刷机技术群枫叶。

达思智能手机数据恢复与取证系统公检法军智能手机数据恢复与取证解决方案概述随着智能手机的快速普及，智能手机（安卓、IOS）在国内的保有量已经突破7亿部，其中安卓手机保有量接近6亿部，大有取代传统PC和平板电脑的趋势。

智能手机除了满足人们通信（打电话、发短信、网络聊天）的需求，在出行（如滴滴出行、高德地图、携程、12306等）、即时通信（如微信、QQ、陌陌、旺信等）、在线购物（如淘宝、京东等）、金融（如支付宝、微信支付、招行等）、日常办公（如备忘录、邮件、网盘等）等方方面面的应用日益普及。

人们对智能手机的依赖程度日益加强。

然而，遇到各类纠纷、案件时，手机成为最重要的工具，成为最重要的证据来源，如何准确的提取智能手机的数据，并且尽可能把被删除或破坏的数据证据进行数据恢复，形成完整的证据链，这是我们一直研究的方向。

达思科技成立于2007年8月，是国内数据恢复行业的领导品牌，于2014年8月推出了安卓及苹果手机数据恢复软件，并于2015年4月发布了智能手机数据恢复软件2.0版，支持手机自带的应用以及常用的第三方应用app的数据提取与数据恢复。

2017年初，达思智能手机恢复与取证系统即将正式发布，达思手机数据恢复与取证系统,包含运行安卓及IOS系统的所有终端设备，支持对现有数据的提取及分析、数据恢复、报告等。

此外，新增加了针对安卓手机由于物理原因导致的不能开机情况下的物理级数据提取设备。

功能特点：一、手机数据提取与恢复（逻辑层）1、支持所有的安卓系统（最高支持7.X，包括安卓定制系统如ophone、阿里云、amigo、miui等）及IOS苹果智能手机操作系统（最高支持10.X）等；2、支持所有运行安卓系统及苹果IOS系统的终端设备，如安卓系统的三星、华为、小米、中兴、摩托罗拉、LG、索尼爱立信、HTC、联想、魅族、天语、海尔、酷派等内品牌以及山寨手机、PDA和GPS设备；支持运行ios的苹果设备如：iphone3GS、iphone4、iphone4s、iphone5、iphone5s、iphone5c、iphone6、iphone6plus、iphone6s、iphone6splus、iphone7、iphone7plus、ipad全系列、ipod全系列；3、系统可以自动识别手机品牌、型号、系统版本、是否root等；4、部分安卓手机无需root，苹果手机无需越狱即可提取及恢复数据；5、支持安卓手机内存镜像到本地硬盘，每分钟达300M；支持全字库备份，且支持字库有坏块提取镜像，支持断点续传；支持指定app数据提取；6、支持安卓手机及苹果手机删除后的图片、视频、语音等文件的数据恢复；7、支持安卓手机刷机、恢复出厂设置、中病毒、误删除、格式化后的数据恢复技术；8、支持安卓手机碎片扫描恢复重组功能，从散乱的碎片中恢复更多数据；9、支持华为手机PC客户端备份解析，提取数据及数据恢复；10、支持小米手机PC客户端备份解析，提取数据及数据恢复；11、支持YAFF文件系统的数据解析；12、支持苹果手机GPS行驶轨迹数据提取与恢复功能，提取并恢复足迹；13、在特定前提下，支持苹果手机有屏幕锁的情况下提取并恢复数据；14、支持对安卓机苹果手机系统自带应用删除的数据恢复，如通讯录、通话记录、短信、图片、视频、音频、邮件、备忘录、日历等；15、支持安卓及苹果系统第三方应用APP的数据提取解析及数据恢复，如安卓手机QQ、微信、陌陌、whatsapp、滴滴出行、QQ邮件、高德地图、QQ浏览器、360浏览器、百度云盘、360云盘、115网盘、微云、邮箱大师、189邮箱、美团等。