來源：科技強檢（ID：techjc）

一、手機(jī)芯片與物聯(lián)網(wǎng)取證

　　在不能直接連接手機(jī)或其他電子設(shè)備提取數(shù)據(jù)時，我們就要通過拆解的手段得到存儲著重要信息的芯片來達(dá)到提取數(shù)據(jù)的目的。

　　1.被破壞的手機(jī)

　　一些案例當(dāng)中手機(jī)都被暴力破壞或者受外部環(huán)境腐蝕過，內(nèi)部電路已經(jīng)被破壞，根本無法開機(jī)或插數(shù)據(jù)線來提取數(shù)據(jù)。

　　由于手機(jī)存儲芯片使用陶瓷封裝，具有防火、防水、防摔等特性，所以即使手機(jī)被外力損壞，手機(jī)芯片依然不會被破壞。

　　不要小瞧了上圖中的小芯片，它叫EPROM，俗稱碼片，主要用于存儲電話本、通信記錄、短信等內(nèi)容，容量多為4M、8M、16M，以及32M。早期BB機(jī)、市面上山寨機(jī)，諾基亞功能機(jī)1050，以及很多功能簡單的電子設(shè)備都用的這種芯片，所以在提取數(shù)據(jù)中這種芯片往往有著巨大的作用。

　　2.數(shù)據(jù)提取

　　取出芯片下一步就要提取數(shù)據(jù)。通過RH-6900手機(jī)數(shù)據(jù)采集與分析系統(tǒng)可以完整的提取手機(jī)鏡像并通過分析鏡像得到珍貴的數(shù)據(jù)。

△RH-6900手機(jī)數(shù)據(jù)采集與分析系統(tǒng)主要功能

　　3.物聯(lián)網(wǎng)取證

　　在很多案件中手機(jī)并不是主角，而那些日常使用的電子設(shè)備才是破案的關(guān)鍵。

　　例如保險柜中保存的文件就可能會是重要的線索，而打開保險柜卻沒那么容易。一些使用電子密碼鎖和指紋鎖的保險柜可以通過讀取芯片中的數(shù)據(jù)來破譯出密碼。

△密碼鎖保險柜指紋保險柜破譯

除此之外，大家經(jīng)常談及的銀行卡盜竊案，其中犯罪分子使用的銀行卡讀取設(shè)備沒有通信接口，此時就需要拆下作案設(shè)備的八腳EPROM存儲芯片，從而讀取出數(shù)據(jù)鏡像文件，然后解析文件得到銀行卡數(shù)據(jù)。

△銀行卡盜竊案作案設(shè)備

　　還有一些利用其他電子設(shè)備犯罪的案例，例如地磅造假案，打印機(jī)竊取打印內(nèi)容，無線路由器后臺偷取個人信息，房卡記錄等等。隨著我們?nèi)粘＝佑|電子設(shè)備越來越頻繁，可以保存信息的設(shè)備也越來越多，芯片取證在物聯(lián)網(wǎng)方面也有非常大的空間。

二、物理解決手段與邏輯提取

　　在很多案件中手機(jī)保存完整功能正常，但是有密碼鎖BL鎖無法直接提取數(shù)據(jù)。這時可以通過一些物理手段來提取數(shù)據(jù)，不需要拆解芯片就能夠解決這些疑難問題。按處理器種類來分可以分為以下幾種。

　　1. Qualcomm高通處理器

　　高通CPU市場保有量非常大，早期的高通處理器需要在主板上預(yù)留接口來測試手機(jī)功能，這個接口也可以用來提取手機(jī)鏡像數(shù)據(jù)，這就是JTAG接口。無需開機(jī)、話機(jī)鎖密碼、ROOT權(quán)限，也不需要打開USB調(diào)試，JTAG物理數(shù)據(jù)提取皆可提取鏡像文件。

△HTC G1主板JTAG接口定義

而近幾年的高通CPU手機(jī)并沒有JTAG接口，例如OPPO、華為、小米、聯(lián)想等等。那么沒有JTAG接口就拿它們沒辦法了嗎？當(dāng)然不是，高通還預(yù)留了一個9008/9006接口，通過這個接口只需要連接一條USB線即可不開機(jī)直接拿到手機(jī)鏡像。這種提取手段也不需要ROOT手機(jī)，更不需要解鎖密碼。提取速度也非常快，甚至能達(dá)到1GB/s。但是這種提取手段也是有局限性的，僅限于高通MSM89xx系列，像較早的MSM72xx和APQ80xx系列則不適用。

　　2.MTK聯(lián)發(fā)科處理器/展訊處理器

　　聯(lián)發(fā)科大家應(yīng)該早有耳聞，早期的山寨機(jī)大多用的聯(lián)發(fā)科處理器，以及展訊英飛凌等等。在目前的智能機(jī)上使用聯(lián)發(fā)科處理器的也相當(dāng)多，比如華為、OPPO、魅族、金立、紅米、樂視等等。

　　提取聯(lián)發(fā)科處理器的手機(jī)鏡像方法類似于高通9008，不過在操作上有一些小的區(qū)別。提取聯(lián)發(fā)科手機(jī)鏡像時要在手機(jī)關(guān)機(jī)時先在軟件里開始提取鏡像然后插手機(jī)，這樣就可以繞過聯(lián)發(fā)科的自檢。

　　不過對于使用阿里Yun OS的聯(lián)發(fā)科處理器手機(jī)，需要先聯(lián)系手機(jī)生產(chǎn)廠家獲得證書之后就可以讀出手機(jī)鏡像文件了。

△MTK沒有加密

△MTK有加密阿里云手機(jī)帶BL鎖

　　3.三星獵戶座處理器

　　三星作為全球銷量最大的手機(jī)廠商，其自主設(shè)計的獵戶座處理器存世量也非常大。目前很多三星手機(jī)都有BL鎖，而解鎖刷機(jī)會造成數(shù)據(jù)丟失。

　　對于這種情況，可以使用安卓解鎖系統(tǒng)來一鍵解鎖手機(jī)。在Android6.0版本中，谷歌加入了強制全盤加密，針對升級到6.0及以上版本的三星手機(jī)，可以在安卓解鎖系統(tǒng)軟件中進(jìn)入對應(yīng)機(jī)型的一鍵Recovery，找到對應(yīng)系統(tǒng)版本和基帶版本，刷入Boot來繞過BL鎖，然后刷入Recovery，之后可以開始備份Data區(qū)了。這個手段對于部分7.0機(jī)型也有效。

△三星S7讀取鏡像

4.華為海思處理器

　　經(jīng)過多年發(fā)展，華為自主設(shè)計的海思處理器也成為了市場占有率很高的一個品牌。大多數(shù)華為手機(jī)都有BL鎖，而去官網(wǎng)申請解鎖必然會導(dǎo)致手機(jī)數(shù)據(jù)被清空，這樣得不償失。當(dāng)然，我們也有針對華為手機(jī)提取數(shù)據(jù)的手段。

　　首先我們可以在安卓解鎖系統(tǒng)軟件中對華為手機(jī)進(jìn)行一鍵備份，在這里我們只需要提取Data區(qū)鏡像就可以了。

　　由于最新的幾款華為手機(jī)例如P9、Mate9采用了F2FS文件系統(tǒng)，提取出鏡像可能會無法解析，而在提取鏡像時軟件會在Fastboot模式下解除BL鎖并推入第三方的Recovery，此時我們可以在RH-6900手機(jī)數(shù)據(jù)采集與分析系統(tǒng)軟件中直接進(jìn)行邏輯提取來獲得手機(jī)所有的數(shù)據(jù)。

△華為P9 Plus備份Data區(qū)

　　5.超級ADB

　　超級ADB是行業(yè)內(nèi)非常火的一個話題，該功能主要依靠于一個手機(jī)桌面的一個漏洞，適用于安卓安全補丁2016.11之前的系統(tǒng)。

　　超級ADB可以在手機(jī)解鎖沒有Root權(quán)限下直接抓取Data區(qū)鏡像。但由于各個手機(jī)廠家的定制情況不同，該方案實現(xiàn)起來的效果也有偏差，該功能可以作為輔助手段提取鏡像。

三、山寨機(jī)平臺

　　山寨機(jī)也是一個占據(jù)大量市場的機(jī)型。有很多不上網(wǎng)的人群，他們使用的手機(jī)大多是山寨機(jī)，而取證時這些山寨機(jī)就會成為突破口。

△僅一個MTK平臺的山寨機(jī)就有38萬多主題帖

　　嘉賓簡介

　　張彬

大連睿海信息科技有限公司 技術(shù)總監(jiān)

　　計算機(jī)專業(yè)畢業(yè)，2003年開始從事手機(jī)芯片底層數(shù)據(jù)的讀取、擦除和寫入的研究和開發(fā)工作（統(tǒng)稱編程器），研究開發(fā) 過JTAG物理數(shù)據(jù)提取、JTAG物理定義偵測、山寨機(jī)定義偵測鏡像獲取、三星華為密碼破解技術(shù)等。對市面上各種移動終端的邏輯數(shù)據(jù)提取手段、解鎖、物理數(shù)據(jù)提取手段和鏡像解析都有深入的研究和開發(fā)。