在移动设备取证中,最让人头疼的莫过于手机被执行了恢复出厂设置。我们知道,一旦手机被执行了恢复出厂设置也就意味着手机被格式化,所有的数据都被清空删除了。针对这种情况任你是什么取证工具也都束手无策。
手机的恢复出厂设置是由recovery执行的,在对recovery进行解包后可在/sbin目录中找到“factory_reset”文件。该文件为可执行文件,恢复出厂操作就是有这个文件来完成的。在此文件中,也可找到关于恢复出厂设置的相关字样。具体内容还需对此文件进行逆向分析。
(可执行程序)
(低级格式化)
由此可以看出,在执行恢复出厂设置的同时会对用户数据区进行低级格式化,擦除用户分区的所有数据。而我们知道,无论是APP数据、拍摄的照片视频还是网络上下载的数据都是存储在用户分区的。这也是为什么恢复出厂后的手机无法进行数据取证的根本原因。
那么为什么这里小编还要跟大家讨论这个话题呢。我们且看下面的实验过程。测试机是一部OPPO手机,其中存有音视频以及照片等数据。
(手机存储空间)
首先使用测试机拨打电话,如图可看到拨打的号码是134****5926;呼出时间为2021年11月22日11:72分。
(通话详情)
接下来转至手机设置,对手机继续恢复出厂设置操作。通常还原手机设置有几种选项。
-
还原所有设置:不清除任何数据和文件,对于网络设置、安全验证设置(指纹、面容识别、密码等)进行重置。应用设置、账户信息一般不还原。
-
还原所有网络设置:仅对WLAN、移动网络数据以及蓝牙数据进行重置。
-
恢复出厂设置:会彻底删除内部存储中的所有数据,如账户信息、APP数据、音视频媒体文件等。
不同品牌的手机,菜单名称略有差异。这里选择“抹掉全部内容与设置”即对手机中的所有数据进行抹除,也就是我们通常所说的恢复出厂设置。
(还原手机)
在成功验证过锁屏密码后,手机将自动重启并开始低级格式化操作。待手机二次重启进入系统后表示恢复出厂设置执行完成,此时将要求用户重新激活设备。至此完成了整个恢复出厂设置过程,手机还原至初始状态。手机中原有的数据自然被抹除了。
前文提到所有的用户数据均存储在userdata中,那么是否可以从userdata入手。将分区镜像出来然后进行逻辑扫描尝试恢复被删除的数据?该手机采用的FDE加密所以无法对用户区进行回读,只得通过dd的方式将分区镜像出来。
(userdata分区)
(镜像过程)
待镜像完毕后对镜像文件进行逻辑扫描。不难看出,底层几乎没有有效的用户数据。说明恢复出厂设置后的确将底层数据进行了擦除并且不可恢复。
(逻辑扫描过程)
不要着急接着往下看,回到分区文件管理,可以看到在Android系统具有诸多功能各异的分区,这其中除了userdata、cache、recovery等几个常见分区以外,其他一些分区在电子取证中几乎从没关注过。
(分区管理)
接下来分别对“resever”字样的分区进行回读。此分区不具有文件系统也就没有目录结构同时也没有加密。
resever4
该分区下记录着手机的开关机时间、应用程序的打开时间以及通话记录等信息。
-
开关机时间
28表示关机时间;27表示开机时间
(开关机时间)
-
应用程序的打开时间
图中com.android.settings是点开手机的设置并点恢复出厂设置;com.android.contacts是执行恢复出厂前打开通话记录和联系人。
(APP打开时间)
-
通话记录
out表示本机拨出;in表示来电。如图2021-11-22 11:72正是本次实验的这条通话记录。
(通话记录)
resever2
充电日志、错误代码计数等数据。
-
错误代码计数
40:APK安装失败、202:音视频录制异常、206:显示异常、404:待机无服务、406:掉卡等。
(错误代码计数)
-
充电日志
日志中记录连接时间、电量、温度、充电类型等信息。其中type:Unknown表示采用的是非官方充电器进行充电;如果type:USB则表示是通过手机数据线与电脑进行连接。
(充电日志)
总结:通过实验不难看出,恢复出厂后想单纯的通过userdata获取数据是比较困难的。但是恢复出厂设置不一定对所有的分区进行擦除,所以可行的办法是尝试从其他分区中寻找蛛丝马迹。
当然本实验不是以偏概全,不同品牌之间的手机可能存在差异。后续小编也会持续研究这一方向,待有新的发现再与大家继续分享。
原文始发于微信公众号(天鉴科技):【技术分享】Android手机恢复出厂后的电子取证
