手机

备份

手机取证注意点:

屏蔽信号

不要立即关机

保持电量充足

不要胡乱测试导致屏幕密码锁住

注意屏幕的提示

不可轻易更改手机中的硬件设备、软件设置、设置项

image-20220502190718667

苹果手机
IOS系统提取方法:

提权提取:通过临时提权方式,免越狱对文件系统作全盘逻辑镜像进行数据提取。

备份提取:通过备份方式对IOS设备进行数据提取。

快速提取:通过临时提权方式,免越狱对选择的单项或者多项进行数据快速提取。

备份密码提取:通过临时提权方式,免越狱直接提取备份密码。

lOS提权全盘逻辑镜像比备份多了什么

系统应用/第三方应用不允许备份的目录(缓存目录/临时目录等)
·自带浏览器缓存页面。已阅读的邮件内容及附件
. Twitter等类似的应用(因为登陆后数据文件可以重新生成)

系统日志数据

数据库WAL文件
·可能恢复删除的记录

系统记录的地理位置信息

应用程序本身
·添加了外挂功能的微信等

使用了ThisDeviceOnly属性的Keychain内容·例如苹果很多核心的账号/密码/Token等数据

应用最后一屏的截图

文件系统新增/修改/删除的记录

iTunes备份:

备份文件在电脑中的存储路径: C:\Users\Administrator\AppData\Roaming\AppleComputer\MobileSync\Backup

文件中包含: Info.plist、Manifest.plist、Status.plist、Manifest.db数据文件,其中info.plist包含了设备名称、IMEI、最后一次同步的时间、操作系统、UDID、应用程序列表等。

Manifest.plist保存了备份密码的加密密钥,使用Passware Kit Forensic可对密码进行暴力破解。

iTunes备份加密

iOS 11以上允许重置备份密码·设置-通用-还原-还原所有设置。重置备份密码一般不影响用户数据,但是会重置相关设置,例如wifi密码、VPN设置、图标布局、墙纸、闹铃及屏幕使用时间等·是一种破坏证据原始性的行为!

安卓手机
Android系统提取方法

备份提取-ADB备份

ADB备份为官方提供的基础备份。

备份提取-厂商自备份

自动备份将自动运行设备自带的备份程序,需要证据手机的内部存储或SD卡有足够的空间用来存放生成的备份文件。

备份提取-APK降级备份

APK降级备份会临时降低应用版本以备份到数据。

备份提取-高级备份

利用厂商备份协议直接备份应用数据,需要证据手机至少拥有占用空间最大的应用数据大小的容量。

某自开发软件的备份功能

Pan ADB(完整文件系统)

通过临时提权方式提取设备完整的文件系统。这是一种高级的文件系统提取方式,将会提取证据手机上用户数据分区的整个文件系统,包括所有隐藏的文件。

芯片端口镜像

使用高通9008端口或MTK vcom端口直接提取用户数据分区的二进制转储。

目前取证难点:解锁难、全盘加密、应用数据加密复杂等。

USB调试无法开启原因

1.手机驱动未正常安装

2.手机数据连接线不匹配

3.与第三方的手机管理软件冲突

4.未关闭护眼模式,悬浮球

5.不知道隐私密码

多种备份方式

系统自备份
OTG备份(华为、小米、oppo)

手机自备份(小米、Android9以下华为、oppo)

官方手机助手备份(克隆、搬家、换机助手)

ADB备份(4.0以后引入)

直接备份(解决不能root的问题)

降级备份(解决不能直接备份的高版本APP问题)

第三方备份

手机助手/管家(PC端的数据)

手机厂商云端(云端服务器中的数据)

注意:

华为备份不支持支付宝数据备份

华为和小米备份时受手机内部空间影响

有些应用数据不允许备份或不允许获取,所以显示为0KB(分机型和厂商)

脱壳

程序功能分析