當前位置:首頁 > 軟件教程

美亞取證大師怎么用?

時間:2019-05-29 20:40:00來源:軟件教程作者:seo實驗室小編閱讀:81次「手機版」
 

取證大師

美亞取證大師作為國內最專業的安卓手機取證軟件,小巧便捷、功能強大,支持手機通話錄音、手機錄音、手機照片、手機錄像等電子文件取證,本文主要為大家帶來詳細的Forensic data recovery美亞取證大師使用方法,歡迎有興趣的朋友前來參考。

取證大師專業版取證流程

第1步:前期準備

首先,從百度下載一張“.jpg”格式的圖片復制到手機內置存儲空間根目錄下,文件名為“meiya.jpg”,如圖1所示。

在手機中向“1234567890”這個號碼(當然了,這個號碼并不存在)發送一條短信,內容是“Mobile Forensics”,如圖2所示。

第2步:刪除相關信息

在手機文件管理器中刪除圖1中所示的圖片“meiya.jpg”;在手機中刪除剛才發送的短信,如圖3所示。

第3步:使用手機助手獲取短信

將手機連接電腦,分別使用小米手機助手和91手機助手查看、導出短信,沒有發現剛才刪除的那條短信。

第4步:使用ADB Shell查看文件

在電腦上安裝adb.exe(“adb”是“Android Debug Bridge”的縮寫,大部分手機助手都自帶且安裝了adb.exe),在命令提示符中將工作目錄切換到adb.exe所在目錄,輸入“adb shell”進入ADB Shell 模式,接著輸入“su”獲取Root權限,輸入“cd /mnt/sdcard”切換當前工作路徑到手機內置存儲空間根目錄下,輸入“ls -l”查看詳細文件/文件夾列表,沒有發現剛才刪除的圖片“meiya.jpg”。如圖4所示。

第5步:獲取手機鏡像

使用DC-4500手機取證系統工具箱”中的“Android鏡像下載”工具獲取手機“/data”分區的dd鏡像,如圖5所示。

第6步:分析鏡像

使用WinHex打開剛才創建的dd鏡像,在其偏移02BE522FB附近找到了如圖6所示內容,我們可以看到剛才發送的短信內容“Mobile Forensics”,并在附近發現了發送的號碼1234567890,同時還在附近發現了一串數字“11*****39”,這是這部手機登錄的小米帳號。

接下來,還在鏡像文件偏移005CCFFF0附件中找到了如圖7所示的內容,根據經驗判斷,這里有“.jpg”格式圖片的文件頭,繼續往下看,還找到了一個“.jpg”格式文件的結束標識。將這之間的內容另存為一個文件“未命名”,使用“windows照片查看器”順利打開,如圖8所示。

結果分析

第3步代表邏輯提取,各種手機助手都可以進行基本的邏輯提取,這種邏輯提取使用的是Android系統讀取短信的API,但系統并沒有獲取已刪除短信的API,所以邏輯提取無法獲取到已刪除的短信。其實邏輯提取還可以通過備份的方式將相關數據備份出來然后解析,例如美亞柏科的手機取證產品DC4501、FL-900等就能從Android手機的備份文件中提取一些刪除的短信等內容。

第4步代表邏輯瀏覽。在ADB Shell中無法看到“meiya.jpg”也很好理解,因為圖片已經刪除了,ADB Shell中只能顯示文件系統認為存在的文件,文件刪除后,文件系統就認為此文件已經不存在了。

第5步和第6步代表物理獲取。上述例子在運行的系統中獲取的鏡像其實還不是真正的“物理鏡像”,更徹底的物理鏡像是通過Chip Off(拆取芯片)等離線方式獲取鏡像。通過物理鏡像這種方式最全面,在取證中效果最好。之所以在手機上刪除了還能恢復,是因為原內容并沒有被覆寫,只要原始數據還在,就可以恢復。這就好比一本書的目錄中涂掉了一些章節,如果只看目錄,就會以為這些章節不存在了,但是只要這些章節的具體內容還沒有涂抹掉,一頁一頁地去尋找,就一定能夠找到。

目前Android系統并沒有對存儲設備進行全盤加密,只要獲取到了物理鏡像,然后使用十六進制編輯器查看,可以發現很多線索。當然了,這樣查看需要了解常見文件簽名、編碼等眾多知識和豐富的經驗,而且效率往往不高。當遇到一些文件已經部分損壞的情況,可能還需要文件雕刻知識。可以使用一些自動化的工具,比如開源的scalpel。

Android系統中的分區一般是Ext4文件系統,使用對應的數據恢復軟件也可以很方便地進行數據恢復。例如在此例中,使用取證大師電子數據分析系統加載此dd鏡像,使用簽名恢復恢復出了25177個圖片,其中就包括例子中刪除的那張。如圖9、圖10所示。

目前,大部分手機連接電腦查看、管理手機中的文件都是通過MTP模式而不是優盤模式,這樣做的好處是不需要考慮手機中文件系統格式,也不會因為電腦獨占手機存儲空間而導致手機中一些依賴sdcard分區的程序運行異常。而MTP模式是在文件系統層之上的,MTP連接模式下無法進行數據恢復。制作物理鏡像則沒有這一擔憂。

另外,手機在運行過程中,系統運行、程序運行、用戶操作都會都對手機中的數據造成持續的改變。從盡量保持檢材數據原始性的角度,制作手機鏡像是最好的選擇。

基本的手機取證源

在手機取證的過程中,第一步的工作是從手機各個相關證據源中獲取有線索價值的電子證據。手機的SIM卡、內存、外置存儲卡和移動網絡運營商的業務數據庫一同構成了手機取證中的重要證據源。

1.SIM卡

在移動通信網絡中,手機與SIM卡共同構成移動通信終端設備。SIM(SubscribeIdentityModule)卡即為客戶識別模塊,它也被稱為用戶身份識別卡。移動通信網絡通過此卡來對用戶身份進行鑒別,并且同時對用戶通話時的語音信息進行加密。目前,常見SIM卡的存儲容量有8kB、16kB、32kB和64kB這幾種。從內容上看,SIM卡中所存儲的數據信息大致可分為五類:

(1)SIM卡生產廠商存儲的產品原始數據。

(2)手機存儲的固有信息,主要包括各種鑒權和加密信息、GSIM的IMSI碼、CDMA的MIN碼、IMSI認證算法、加密密匙生成算法。

(3)在手機使用過程中存儲的個人數據,如短消息、電話薄、行程表和通話記錄信息。

(4)移動網絡方面的數據中包括用戶在使用SIM卡過程中自動存入和更新的網絡服務和用戶信息數據,如設置的周期性位置更新間隔時間和最近一次位置登記時手機所在位置識別號。

(5)其它的相關手機參數,其中包括個人身份識別號

(PIN),以及解開鎖定用的個人解鎖號(PUK)等信息。

2.手機內/外置存儲卡

隨著手機功能的增強,手機內置的存儲芯片容量呈現不斷擴充的趨勢。手機內存根據存儲數據的差

異可分為動態存儲區和靜態存儲區兩部分(見圖1)。動態存儲區中主要存儲執行操作系統指令和用戶應用程序時產生的臨時數據,而靜態存儲區保存著操作系統、各種配置數據以及一些用戶個人數據。

從手機調查取證的角度來看,靜態存儲區中的數據往往具有更大的證據價值。GSIM手機識別號IMEI、CDMA手機識別號ESN、電話薄資料、收發與編輯的短信息,主/被叫通話記錄、手機的鈴聲、日期時間以及網絡設置等數據都可在此存儲區中獲取。但是在不同的手機和移動網絡中,這些數據在讀取方式和內容格式上會有差異。另外,為了滿足人們對于手機功能的個性化需求,許多品牌型號的手機都提供了外置存儲卡來擴充存儲容量。當前市面上常見的外置存儲卡有SD、MiniSD和MemoryStick。外置存儲卡在處理涉及版權或著作權的案件時是一個重要的證據來源。

3.移動網絡運營

移動網絡運營商的通話數據記錄數據庫與用戶注冊信息數據庫存儲著大量的潛在證據。通話數據記錄數據庫中的一條記錄信息包括有主/被叫用戶的手機號碼、主/被叫手機的IMEI號、通話時長、服務類型和通話過程中起始端與終止端網絡服務基站信息。另外,在用戶注冊信息數據庫中還可獲取包括用戶姓名、證件號碼、住址、手機號碼、SIM卡號及其PIN和PUK、IMSI號和所開通的服務類型信息。在我國即將實行“手機實名制”的大環境下,這些信息可在日后案件調查取證過程中發揮巨大的實質性作用。

相關閱讀

Windows 7 with SP1簡體中文專業版(微軟MSDN原版)

Windows 7 with SP1簡體中文專業版(微軟MSDN原版)32位版本:ed2k://|file|cn_windows_7_professional_with_sp1_vl_build_x86_dvd_u_6

萬能淘寶:生意參謀專業版出租

有seo實驗室的親問小編作為一個新手賣家生意參謀有許多高級功能需要付費,而自己的店鋪剛剛起步,生意參謀專業版的費用過高該怎么辦?

最全的固態硬盤ssd安裝win10專業版指南

最近買了一個固態硬盤,安裝了win10 1803操作系統,中間遇到好多坑,寫個筆記分享一下可能遇到的問題。 1.硬盤的分區問題 我們的電腦硬

win10專業版激活方法——親測可行!!!

第一步: 首先,我們先查看一下Win10正式專業版系統的激活狀態: 點擊桌面左下角的“Windows”按鈕,從打開的擴展面板中依次點擊“設置

VS2017專業版和企業版激活密鑰

需要的請自取~Enterprise:NJVYC-BMHX2-G77MM-4XJMR-6Q8QFProfessional:KBJFW-NXHK6-W4WJM-CRMQB-G3CDH

分享到:

欄目導航

推薦閱讀

熱門閱讀

三肖必中特l三肖中特期期准免费