当前位置: 主页 > 关于效率源 > 行业洞察 > 热点技术

【技术视界】YUNOS操作系统手机微信数据提取方法

2018-07-21 16:47

随着数据恢复、提取技术的不断发展,手机制造商为保障使用者的数据安全,也在不断的升级手机数据保护措施,而保护措施的不断推陈出新,也给我们数据恢复和提取工作者造成了不小的困扰。但我们研究更新取证技术的脚步从未停止。

今天,源妹要给大家分享的是一种YUNOS操作系统的手机微信数据提取方法。

YunOS作为阿里旗下多领域技术成果的集合产品,继iOS、Android后成为第三大移动操作系统, 广泛应用于智能手机中。常见的使用YunOS系统的智能手机有:小辣椒、百合、魅族,纽曼,朵唯,锤子等。

YUNOS系统手机数据提取常规方法

1、直接提取

获取系统root权限后,手动输入命令将数据提取出来,配合使用取证软件进行分析。YunOS 3.0及以下系统可以尝试使用root工具进行提权;

2、使用acb协议进行识别并备份;

3、recovery模式提取:使用recovery中自带的backup模块获取手机备份数据;

4、自动取证:连接手机利用手机接口获取手机基本信息。
 数据提取难点 

由于YunOS的系统特殊性及安全性,通常应用于android的数据镜像方法并不适用于该系统。常见的取证难点如下:

1、随着系统的不断完善,提权逐渐变得艰难;

2、部分手机采用YunOS定制的acb端口,adb协议并不能识别这类手机。

3、应用内部限制了acb 指令;

4、部分YUNOS系统手机recovery下没有backup备份功能,无法采用recovery备份方法;

5、在手机未root情况下可能无法获取到短信、通话记录、应用程序数据及已删除数据。
 

解决方法 

针对上述数据提取难点,我们也对此进行了专门的研究,下面以具体的手机为例来为大家详细阐述。

手机:百合A8+,搭载YunOS 5.0系统

需求:提取手机微信数据

采用常规方法来提取手机数据,我们发现:

用android 手机镜像方案来提取该手机数据并不奏效,因此选择其他的专项方案来获取手机数据。

1、首先采用acb指令获取手机数据,但是此方案并没能成功的提取出手机微信数据;

2、采用recovery模式下的备份功能镜像数据,但遗憾发现该手机recovery下并不包含备份数据功能;

3、最后采用了微信降级备份方法,但是降级备份出的数据,相对于正常的微信数据包而言,少了最为重要的一个文件夹 MicroMsg。众所周知,微信的应用数据都存储在该文件夹中,因此没有该文件夹无异于获取微信数据失败。那么降级备份这项方案也折戟于该手机。

2.png

上述方法都以失败告终,因此我们只能转换思路,思考其他的方式。

查询该手机的具体手机参数信息时,得知该手机采用的是高通MSM8909的基带芯片,决定使用高通的9008模式来对该手机尝试进行镜像。

采用9008模式对该手机进行镜像操作


1.首先在网络上查找该手机的rom线刷包,成功提取到该手机的mbn文件,该文件是与EMMC、DDR的配置参数相关的。
3.png

2.使用SPF9139智能手机数据恢复取证系统(以下简称SPF9139,【全新版本发布】SPF9139重装上阵,智能取证新技能轻松get)内置的工具箱中的高通9008镜像工具,对文件和手机进行配合使用以读取手机数据。

1532162816855049805.png


3.功夫不负有心人,最终成功的镜像出手机的data分区,再通过解析该分区的镜像文件成功获取出/data/data/com.tencent.mm 文件夹,文件夹中完整的包含了MicroMsg文件夹。至此成功获取微信数据,并且可以进行完整的数据解析。

产品试用通道

上述方法解决了YUNOS手机数据获取的困境,最终不仅成功获取了所需数据,也将手机存储数据完整的镜像出来了,有利于扫描获取删除数据。目前,此方法已经应用于效率源SPF9139智能手机数据恢复取证系统,客户可以通过自主搜索手机cpu型号及查找相应手机线刷包获取mbn文件的方式通过9008镜像工具镜像手机文件。

☛产品试用通道

点击微信“会员专享”—“产品试用”即可申请SPF9139免费试用(产品试用申请指南戳这里:【号外!号外】免费产品试用、全方位技术支持都到这里来!);

☛咨询通道

拨打电话:028-85211099,或者在微信后台留言,我们会第一时间给您回复。


【拓展阅读】

干干干干干干干干货!!!!

【全新版本发布】SPF9139重装上阵,智能取证新技能轻松get

 SPF9139全新发布,精彩预告抢先看

【技术视界】Access数据库文件恢复提取技术介绍

【技术视界】虚拟机文件取证技术研究

【技术实战】如何对有访问密码的MySQL数据库进行取证?

【便携易用】只读设备新选择

【技术实战】安卓模拟器数据提取分析方法

【技术实战】树莓派的数据固定与提取方法

【技术视界】暗网取证思路和方法研究

【技术视界】WhatsApp取证:对未root手机的数据库解密以及删除数据的提取