【281期-1】Android ROOT權限對於取證數據的影響

2021-12-23 電子物證

 

來源:美亞柏科手機取證大師(ID:Mobile_Forensics)

編者按

本期感謝美亞柏科技術專家分享Android ROOT 權限在手機取證中的影響,期待更多技術專家共同探討。

通常,在手機取證過程中,允許對手機操作的權限越多,獲取到的手機數據就會更加完整全面。本文主要從美亞柏科手機取證系列產品如:FL-900手機取證塔,DC-4501手機取證系統等產品對Android ROOT和未ROOT手機的數據獲取情況,進行對比分析。

一、Andorid ROOT手機能夠獲取到什麼數據

Android手機通常需要開啟USB調試並取得ROOT權限,才能獲取或獲取到更多的數據,支持的數據如下:

手機基本信息:本機號碼、設備名稱、作業系統、系統版本、手機品牌、手機型號、

IMEI/IMEID、IMSI、ICCID、運營商、藍牙MAC地址、Wi-Fi MAC地址、時區、原始權限、SD卡信息、CPU ABI、Board Name、Hardware Name、Device Name;

通訊錄、已刪除通訊錄、簡訊、已刪除簡訊、通訊記錄、已刪除通話記錄、快速撥號、彩信;

記事本、已刪除記事本、日曆、已刪除日曆;

Wi-Fi信息;

藍牙傳輸記錄;

位置信息:指南針校準數據、圖片位置信息、視頻位置信息、應用程式地理位置信息;

媒體文件:圖片、音頻、視頻;

程序列表包含版本、安裝/更新日期等;

同步帳號(各種類型帳號);

系統日誌:應用程式使用記錄、開關機時間;

用戶文件、系統文件。

即時通訊:已支持41種應用

微信、微信小號、QQ、QQ輕聊版、QQ國際版、陌陌、快、Telegram(電報)、釘釘、 Talkbox、點點蟲、YY語音、Voxer、DIDI(嘀嘀電話)、Whatsapp、米聊、旺信、飛信、LINE、遇見、易信、Viber、微話、Zello、CoCo Voice、ooVoo、Peeem、Hellotalk、Tango 、keechat、zalo、pal+(原cubi message)、有信、來電通、千牛、百度雲、百度Hi、Beetalk(蜜語)、全民K歌、Kik、Skype。


備註:點點蟲(資料庫被加密了正在逆向分析其解密方式);QQ、QQ輕聊版、QQ國際版、釘釘、旺信均支持已刪除數據獲取;微信5.0以後的版本就都無法恢復刪除數據,因為刪除數據是清零操作,會在手機源文件中填0。

郵件客戶端:已支持5種應用

自帶郵件、QQ郵箱客戶端、139郵箱、網易郵箱大師、Gmail郵箱。

京東、天貓、淘寶、支付寶。

社交網絡:已支持5種應用

新浪微博、騰訊微博、人人網、 FaceBook、 Twitter。

手機安全:已支持2種應用

360手機衛士、360隱私保險箱。


上網記錄:已支持9種應用

自帶瀏覽器、UC瀏覽器、QQ瀏覽器、歐朋瀏覽器、百度瀏覽器、Chrome、海豚瀏覽器、傲遊雲瀏覽器、天天瀏覽器。

高德地圖、百度地圖。

二、Andorid 未 ROOT手機少獲取到什麼數據

Android手機未ROOT情況下同樣能獲取大量的數據,包括未刪除的通訊錄、簡訊、通話記錄及QQ、微信等各種應用程式數據,對比ROOT後的取證,以下是未ROOT手機無法獲取的數據:

通訊錄、簡訊、通話記錄均少獲取已刪除數據(已刪除需要看手機是否支持備份出對應數據包的資料庫才可獲取);

Wi-Fi信息:無法獲取Wi-Fi密碼;

彩信:無法獲取;

藍牙傳輸記錄:無法獲取;

同步帳號:無法獲取;

百度地圖、高德地圖、攜程網信息無法獲取;

旺信、人人網、LINE、Telegram、Skype、Hellotalk、百度雲、釘釘無法獲取;

騰訊微博無法獲取;

自帶郵箱、網易郵箱大師、139郵箱、QQ郵箱無法獲取;

chrome瀏覽器、海豚瀏覽器、傲遊雲瀏覽器、百度雲瀏覽器、UC瀏覽器、搜狗瀏覽器無法獲取;

京東商城、淘寶、支付寶無法獲取;

360手機衛士、360隱私保險箱無法獲取;

Android 6.0系統微信需要通過自帶備份解析的方式才能獲取

備註:Android未ROOT手機取證,主要採用備份技術取證,有些手機App可以備份,有些手機App不支持備份,這是手機App的配置。其中比較獨特的是Android版微信,在Android6.0(不含)以前的版本可以備份,從Andorid 6.0開始就無法備份。華為、小米、OPPO、酷派、索尼五個品牌手機可以用手機自帶的備份應用來備份微信數據。詳見工具集的「手機備份應用引導」工具。

三、 Andorid6.0用自帶備份提取/解析微信數據

以華為Mate7手機為例:

1.點擊手機桌面「備份」圖標,進入備份界面,建議選擇SD卡備份(手機插入空白SD卡)。

2.選擇微信應用,點擊開始備份。

3.進入設置密碼,不要設置密碼,點擊跳過。

4.打開Android備份轉換工具,對備份文件進行轉換。


5.將手機內的tencent\MicroMsg\MD5文件夾 拷貝到轉換後的文件com.tencent.mm\MicroMsg\MD5文件夾(註:MD5文件夾需一樣才能解析,此步驟主要為了獲取微信的語音、圖片等附件)。


6.通過FL-900手機取證塔,DC-4501手機取證系統等產品的文件解析進行解析,即可獲取微信數據。

備註:相關手機自帶備份取證方法,可以參照工具集的手機備份應用引導工具。


推薦閱讀:

手機root後無法開機有救了

看完這篇,你就知道了關於 root 的一切

Android 提權 (Root) 的原理

如何破解手機的Root權限

相關焦點

  • 手機數據恢復取證技術 聯想ZUK Z1無法root提取數據
    聯想ZUK Z1 安卓5.1.1系統 使用各種root工具都root不了免root免開調試繞過屏幕密碼手機數據恢復與取證更輕鬆今天接到了一款來自內蒙古的同行發來的手機,聯想ZUK Z1系統版本是android5.1.1,用戶使用了很多種
  • 手機取證中iPhone手機越獄權限對於取證數據的影響
    通常,在手機取證過程中,軟體允許對手機獲取數據的權限越多,獲取到的手機數據就會更加完整全面。
  • AOP編程_Android優雅權限框架(1)概念基礎
    但是,講解雖詳細,但是缺乏對於技術的深度的挖掘。正文大綱1、Demo地址2、本文所涉技術盤點3、關於Android權限的梗4、初級/中級/高級android開發的權限請求寫法5、AOP優雅權限框架詳解     gradle配置     Java代碼6、AOP思想以及常用AOP框架
  • 電視盒和智能電視如何通過ADB獲取ROOT權限?
    如何通過adb獲取root權限(安卓電視盒和智能電視通用)
  • Android權限機制與適配經驗
    一、概要Android M已經發布一段時間了,市面上很多應用都已經適配Android M。舉個例子,讀sd卡和寫sd卡,這兩個權限通常都是成對聲明和使用的,因此,它們被分為一組,而且,只要我們獲取了這個權限組裡面的任意一個權限,就可以獲取整個權限組的權限。Google對於危險權限的定義和分組見下圖。權限相關API說明首先,在動態權限申請的流程中,開發者主要關注流程和API如下:1、檢查權限是否授予。
  • root是什麼意思?手機怎麼獲取root權限
    root是什麼意思?手機怎麼獲取root權限?現在智慧型手機在出產前都設置著自己的權限。為了不讓用戶隨意卸載系統應用、刪除系統文件、安裝未知軟體等,但是用戶也不簡單,因此手機一鍵ROOT就出現了,獲取ROOT權限才能變成手機真正的主人,那麼手機一鍵ROOT是什麼意思?怎麼獲取呢?
  • 【技術取證】重現手機移動軌跡
    手機取證電子數據取證可分為電腦取證、手機取證、網絡取證、資料庫取證、多媒體取證、屬於新興科技之雲端取證及物聯網(Internet of Thing,IoT)取證等領域,且根據國際標準化組織(ISO)與國際電氣技術委員會(IEC)共同提出的ISO/IEC 27037標準,電子數據取證流程又可分為電子數據證據的識別(Identification
  • 一次Android權限刪除經歷
    劉望舒作者: 魔焰之https://juejin.im/post/5cb53e93e51d456e55623b071.
  • Android ADB實例分析
    扭起屁股得意洋洋最近,我負責的項目因為臨近量產,把之前的userdebug版本關閉,轉成了user版本,增加selinux的權限,大家都洋溢在項目準備量產的興奮和喜悅之中不能自拔
  • 華為榮耀6如何獲取root權限之下進行解鎖root
    華為榮耀6如何獲取root權限之下進行解鎖root。華為榮耀6如何獲取root權限之下進行解鎖root?上回說了如何獲取解鎖碼,現在說下如何利用解鎖碼解鎖,然後進行root。其實在「返回」「提交」下面就有解鎖的教程了。如圖:就如解鎖步驟所言的,需要兩個準備工作。
  • 百度一鍵Root授權管理完美卸載解決方案
    參考網上,一般解決方法,下載一個能卸載系統預裝的apk,一般就卸載掉了(如:下載個手機.360衛士 點擊進去 點擊下面的軟體管理 再點擊軟體卸載 再點擊系統預裝 找到百度一鍵root 一鍵卸載),但其留下的su無法刪除掉。我的解決辦法:  1、刪除授權管理。
  • MOTO Me600全版本獲取Root權限教程
    MOTO Me600因為其獨特的造型,在發布之初大家給它親切地命名為後空翻,其實世界各地不同的運營商為它取了多個名字: ME600/MB300/Backflip,但是不管是什麼名字都換湯不換藥,它還是大家熟悉的後空翻,今天小編則為大家帶來後空翻全系列獲取ROOT權限的方法
  • 如何讓PHP通過ROOT權限來執行LINUX命令
    一般 PHP 在 LINUX 伺服器上執行 shell 命令時,只能擁有 www:www 帳戶權限,想執行一些系統命令是沒有權限的,如重啟 apache,因為控制 apache 需要 root 權限,因此下面的辦法可以讓 PHP 執行 ROOT 權限的命令。
  • 詳解Android 6.0運行時權限
    我猜大家今天都已沒什麼學習精神了,因為根據以往的歷史數據,周五的文章閱讀量總是最低的。那麼今天不給大家帶來什麼高端複雜的技術,而是一篇簡單易懂的6.0運行時權限講解。我知道目前國內大多數的項目都還沒有去兼容6.0系統,但現在6.0的設備已經慢慢多起來了,足以引起我們的重視,希望這篇文章可以給大家帶來幫助,提前祝大家周末愉快。
  • 大數據對審計取證的影響
    為此,本文的理論框架首先分析大數據對審計載體的影響,在此基礎上,再分析審計載體的變化所帶來的審計取證方式、模式及方法的變化,審計取證方式、模式和方法是不同層級的問題,需要分別討論。上述這些內容,構成大數據影響審計取證的理論框架。(一)大數據對審計載體的影響通俗地說,大數據就是數據量很大的數據。然而,究竟要大到什麼程度才是大數據呢?
  • Linux 爆新漏洞,長按回車 70 秒可獲得 root 權限
    按住回車70秒,黑客就能在linux系統繞過認證,進而獲取root權限,並能遠程控制經過加密的linux系統。而當用戶輸入錯誤93次後,程序就會給用戶一個帶root權限的shell(busybox)。也就是說,如果你重複93次輸錯密碼,或者持續按回車鍵大概70秒,你就能夠獲得root initramfs (initial RAM filesystem) shell。獲取shell之後,你就可以複製、修改或者破壞整個硬碟,或者也可以使用網絡傳輸數據。
  • Android各版本迭代改動與適配集合!
    這一點其實就是限制了在應用間共享文件,如果需要在應用間共享,需要授予要訪問的URI臨時訪問權限,我們要做的就是註冊FileProvider:1)聲明FileProvider。res/android"> //代表設備的根目錄new File("/");    <root-path name="root" path="."
  • Android 雜知識總結
    ; if(splitArray.length > 1){ String dotValue = splitArray[1]; int diff = dotValue.length() + 1 - 2; if(diff >
  • 安卓root權限獲取_太平洋電腦網PConline
    【PConline 資訊】如果你是一名安卓root用戶,相信會知道Super Su的名字。Super Su來自著名的開發者Chainfire,是一款用來管理root權限的App,也可以通過刷入zip包來root安卓系統。Super Su現在更新到了2.1.3版,對新版安卓系統安卓L、安卓TV等擁有更好的支持。
  • 【319期-1】美國的電子數據取證標準
    來源:電子數據取證與鑑定美國的取證實驗室已經比較普及,至少有70%的法律部門都擁有自己獨立的實驗室,當有計算機犯罪案件被舉報