移动取证秘籍-全-

移动取证秘籍（全）

原文：annas-archive.org/md5/8e097f04ec23149c767d0161a3fa35e5

译者：飞龙

协议：CC BY-NC-SA 4.0

前言

移动设备（如手机、智能手机、平板电脑及其他电子设备）在我们的生活中无处不在。我们每天都在使用它们。用户越来越多地将移动设备作为与他人沟通的手段。这不仅仅是语音通话，还包括通过各种即时通讯（如 Skype、iChat、WhatsApp 和 Viber）和社交网络应用程序（如 Facebook）进行的交流。

通常，移动设备包含很多关于其所有者的个人数据。

本书将涉及移动取证的取证工具及其成功使用的实际技巧和方法。

本书内容涵盖

第一章，SIM 卡获取与分析，将引导你通过 TULP2G、MOBILedit Forensic、Oxygen Forensic 和 Simcon 进行 SIM 卡的获取与分析。你还将学习如何使用 TULP2G、MOBILedit Forensic、Oxygen Forensic 和 Simcon 分析 SIM 卡。

第二章，安卓设备获取，将教你如何使用 Oxygen Forensic、MOBILedit Forensic、Belkasoft Acquisition Tool、Magnet Aсquire 和 Smart Switch 从安卓设备中获取数据。

第三章，苹果设备获取，将教你如何获取不同的 iOS 设备数据。你将学习如何使用 Oxygen Forensic、libmobiledevice、Elcomsoft iOS Toolkit 和 iTunes 从 iOS 设备中获取数据。

第四章，Windows Phone 与 BlackBerry 设备获取，将解释如何获取不同的 Windows Phone 和 BlackBerry 设备的数据。你还将学习如何使用 Oxygen Forensic、BlackBerry Desktop Software 和 UFED 4PC 从 Windows Phone 和 BlackBerry 设备中获取数据。

第五章，云端作为替代数据来源，将讨论如何获取云端数据。在这一章中，你还将学习如何使用 Cloud Extractor、Electronic Evidence Examiner、Elcomsoft Phone Breaker 和 Belkasoft Evidence Center 从云端获取数据。

第六章，SQLite 取证解析，将教你如何分析 SQLite 数据库。同时，你将学习如何使用 Belkasoft Evidence Center、DB Browser for SQLite、Oxygen Forensic SQLite Viewer 和 SQLite Wizard 从 SQLite 数据库中提取和分析数据。

第七章，Plist 取证解析，将帮助你分析 plist 文件。你将学习如何使用 Apple Plist Viewer、Belkasoft Evidence Center、plist Editor Pro 和 Plist Explorer 从 plist 文件中提取和分析数据。

第八章，分析 Android 设备的物理转储和备份，将教你如何分析来自 Android 设备的数据（物理转储、备份等）。同时，你将学到如何使用 Autopsy、Oxygen Forensic、Belkasoft Evidence Center、Magnet AXIOM 和 Encase Forensic 提取和分析数据。

第九章，iOS 取证，将解释如何分析 iOS 设备中的数据。你将学到如何使用 iPhone Backup Extractor、UFED Physical Analyzer、BlackLight、Oxygen Forensic、Belkasoft Evidence Center、Magnet AXIOM、Encase Forensic 和 Elcomsoft Phone Viewer 提取和分析数据。

第十章，Windows Phone 和 BlackBerry 取证，将教你如何分析 Windows Phone 和 BlackBerry 设备中的数据。你将学到如何使用 Elcomsoft Blackberry Backup Explorer Pro、Oxygen Forensic 和 UFED Physical Analyzer 提取和分析数据。

第十一章，JTAG 和芯片拆卸技术，将向你展示如何从锁定或损坏的 Android 设备、Windows Phone 设备和 Apple 设备中提取数据。

本书所需的工具

本书所需的软件如下：

• AccessData FTK Imager

• Autopsy

• Belkasoft Acquisition

• Belkasoft Evidence Center

• BlackBerry 桌面软件

• BlackLight

• Cellebrite UFED4PC

• DB Browser for SQLite

• Elcomsoft Blackberry Backup Explorer Pro

• Elcomsoft iOS Toolkit

• Elcomsoft Phone Breaker

• Elcomsoft Phone Viewer

• Encase Forensic

• iPhone Backup Extractor

• iThmb Converter

• iTunes

• libmobiledevice

• Magnet AXIOM

• Magnet Aсquire

• MobilEdit Forensics

• Oxygen Software

• Paraben 电子证据检查员

• PC 3000 Flash

• Plist Editor Pro

• Plist Explorer

• SIMCon

• Smart Switch

• ThumbExpert

• TULP2G

• UFED Physical Analyzer

• Z3X EasyJtag BOX JTAG Classic Suite

本书中大多数商业工具都有试用版本，可以免费下载。下载链接将在章节中提供。

本书适合谁阅读

如果你是移动取证分析师、数字取证分析师或数字取证学生，想要对不同平台（如 Android、iOS、Windows Phone 或 BlackBerry 操作系统）进行移动取证调查，那么这本书适合你。

各章

本书中有几个标题会经常出现（准备工作、如何操作…、如何工作…、还有更多…和另见）。为了清楚地指导你完成食谱，我们将按如下方式使用这些部分：

准备工作

本节告诉你在本食谱中可以期待什么，并描述如何设置任何所需的软件或初步设置。

如何操作…

本节包含执行该步骤所需的操作。

如何工作…

本节通常包含对上一节内容的详细解释。

还有更多…

本节包含了关于该配方的附加信息，旨在让读者对配方有更深入的了解。

另见

本节提供了有助于理解该配方的其他有用链接。

约定

在本书中，您会看到多种文本样式，用于区分不同类型的信息。以下是一些样式示例及其含义的解释。文本中的代码词汇、数据库表名、文件夹名、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 账户名如下所示：“在 TULP2G 下载页面（sourceforge.net/projects/tulp2g/files/），选择 TULP2G-installer-1.4.0.4.msi 文件并下载。”

代码块如下所示：

;Google Nexus One
%SingleAdbInterface%        = USB_Install, USB\VID_18D1&PID_0D02
%CompositeAdbInterface%     = USB_Install, USB\VID_18D1&PID_0D02&MI_01
%SingleAdbInterface%        = USB_Install, USB\VID_18D1&PID_4E11
%CompositeAdbInterface%     = USB_Install, USB\VID_18D1&PID_4E12&MI_01

新术语和重要词汇以粗体显示。您在屏幕上看到的词汇，例如菜单或对话框中的内容，文本中会以这种方式呈现：“当程序启动时，点击 Open Profile... 按钮。”

警告或重要提示如下所示。

提示和技巧如下所示。

读者反馈

我们始终欢迎读者的反馈。请告诉我们您对本书的看法——喜欢或不喜欢的地方。读者反馈对我们来说非常重要，因为它帮助我们开发您真正能够从中受益的书籍。如果您希望提供一般反馈，请通过电子邮件发送至 feedback@packtpub.com，并在邮件主题中注明书名。如果您在某个领域有专长，并且有兴趣撰写或参与书籍的编写，请参阅我们的作者指南：www.packtpub.com/authors。

客户支持

既然您已经成为一本 Packt 书籍的骄傲拥有者，我们提供了一些帮助您充分利用购买内容的资源。

勘误

虽然我们已经尽力确保内容的准确性，但错误仍然会发生。如果您在我们的书籍中发现错误——可能是文本或代码中的错误——我们将不胜感激，如果您能报告此问题。这样，您可以帮助其他读者避免困扰，并帮助我们改进后续版本。如果您发现任何勘误，请通过访问 www.packtpub.com/submit-errata 报告，选择您的书籍，点击“Errata 提交表单”链接，填写勘误详情。一旦您的勘误得到验证，您的提交将被接受，并且勘误将上传到我们的网站或添加到该书籍的勘误列表中。要查看之前提交的勘误，请访问 www.packtpub.com/books/content/support，并在搜索字段中输入书名。所需的信息将在勘误部分显示。

盗版

网络上侵犯版权的行为是一个普遍存在的问题，涵盖所有媒体。在 Packt，我们非常重视保护我们的版权和许可证。如果你在网络上遇到任何形式的非法复制作品，请立即提供该地址或网站名称，以便我们采取措施。请通过copyright@packtpub.com与我们联系，并附上涉嫌盗版材料的链接。感谢你帮助我们保护作者的权益，并支持我们为你提供有价值的内容。

问题

如果你在本书的任何部分遇到问题，可以通过questions@packtpub.com与我们联系，我们将尽力解决问题。

第一章：SIM 卡获取与分析

在本章中，我们将介绍以下内容：

• 使用 TULP2G 进行 SIM 卡获取与分析

• 使用 MOBILedit Forensics 进行 SIM 卡获取与分析

• 使用 SIMCon 进行 SIM 卡获取与分析

• 使用 Oxygen Forensic 进行 SIM 卡获取与分析

介绍

SIM 卡的主要功能是识别网络中移动电话用户，以便用户能够访问其服务。

SIM 卡中可以找到以下对专家或调查人员有价值的数据：

• 与移动运营商提供的服务相关的信息

• 电话簿和通话信息

• 交换的消息信息

• 位置信息

最初，SIM 卡几乎是唯一包含移动设备拥有者联系人数据的来源，因为关于电话簿、通话记录和短信的信息只能在其存储中找到。后来，这些数据的存储被转移到了移动设备的内存中，SIM 卡开始仅用于在蜂窝网络中识别用户。因此，一些法医工具开发者在进行移动设备检查时，决定不在其产品中包含对 SIM 卡的检查功能。然而，今天有很多低价手机（通常我们称之为“山寨手机”），它们的内存容量有限。在这些手机中，一部分用户数据存储在 SIM 卡中。这就是为什么 SIM 卡的法医检查仍然具有相关性的原因。

SIM 卡是一个普通的智能卡。它包含以下主要组件：

• 处理器

• 内存

• 只读存储器

• EEPROM

• 文件系统

• 控制器输入输出

实际上，我们会遇到两种类型的 SIM 卡，它们的接触垫上有六个和八个接触点。这是因为这两个接触点不会直接与手机（智能手机）进行交互，它们的缺失减少了 SIM 卡在手机中占用的空间面积。

SIM 卡可以使用三种类型的供电电压（VCC）：5 V、3.3 V、1.8 V。每张卡有一个特定的供电电压。

SIM 卡具有过电压保护。因此，当一个 3.3 V 供电电压的 SIM 卡被放入只能使用 5 V 供电电压（旧型号）的读卡器中时，既不会损坏信息，也不会损坏 SIM 卡，但无法与该 SIM 卡进行操作。专家可能会认为 SIM 卡损坏了，但实际上并非如此。

在从安装 SIM 卡的移动设备中提取数据之前进行 SIM 卡的法医检查是没有意义的，因为存储在移动设备内存中的用户数据可能在移除 SIM 卡的过程中被重置或删除。

对 SIM 卡进行分析时，需要将其从移动设备中移除，并通过专用设备：卡读卡器，将其连接到专家的计算机。

根据之前提到的 SIM 卡信息，我们可以推导出对于卡片读取设备的主要要求，确保专家能够舒适地检查 SIM 卡：

• 卡片读取设备必须支持 5V、3.3V 和 1.8V 的智能卡。

• 卡片读取设备必须支持具有六个和八个接触点的智能卡。

• 该卡片读取设备必须支持 Microsoft PC/SC 协议。这类设备的驱动程序已预装在所有版本的 Windows 操作系统中，因此无需额外安装驱动程序即可将此类设备连接到专家的计算机。

以下图片展示了这种卡片读取器的示例：

由«ASR»公司生产的 SIM 卡读取器，型号为«ACR38T»。

尽管市场上有专门用于读取 SIM 卡数据的卡片读取设备，但也可以使用那些专为读取标准尺寸卡片（如银行卡尺寸）的设备。为了方便使用这些设备，可以使用一张空白卡片，将 SIM 卡用一些小胶带固定在卡片上。

这就是调整过的 SIM 卡，外形类似银行卡。

使用 TULP2G 进行 SIM 卡采集和分析

TULP2G是由荷兰法医研究所开发的一款免费的工具，用于 SIM 卡和手机的法医检查。不幸的是，这个程序已经很久没有更新了。然而，它仍然可以用于非常旧的手机和 SIM 卡的数据采集与分析。

准备就绪

在 TULP2G 下载页面（sourceforge.net/projects/tulp2g/files/）上，选择TULP2G-installer-1.4.0.4.msi文件并下载。本文写作时，最新版本为 1.4.0.4。下载完成后，双击该文件，将启动程序的安装过程。

如果在 Windows XP 操作系统中安装 TULP2G 程序，则需要先安装 Microsoft .Net Framework 2.0 和 Windows Installer 3.1，然后才能安装 TULP2G。之前提到的程序可以从微软官网下载安装。

如何操作...

1. 启动程序后，点击“打开配置文件...”按钮：

TULP2G 程序的主窗口

1. 在打开的窗口中，您将看到配置文件，必须加载其中一个配置文件。选择 TULP2G.Profile.SIM-Investigation 配置文件，然后点击“打开”。

TULP2G 的数据提取配置文件

1. 在案件/调查设置窗口中，填写以下字段：案件名称、调查员姓名和调查名称。这些信息将在稍后由 TULP2G 在报告中使用。

案件/调查设置窗口

1. 在下一个窗口中，TULP2G - SIM 卡；对于通信插件字段，将值设置为PC/SC 芯片卡通信[1.4.0.3]。对于协议插件字段，将值设置为SIM/USIM 芯片卡数据提取[1.4.0.7]。如果被检测的 SIM 卡有 PIN 或 PUK 码，请点击位于协议插件字段旁边的配置按钮输入相应的代码。

窗口 TULP2G - SIM 卡。

如果未输入 PIN 或 PUK 码，则无法读取被检查的 SIM 卡的数据。

1. 点击“运行”按钮。SIM 卡数据提取过程将开始。提取进度可以通过进度条看到。

进度条。

1. 当 SIM 卡中的数据被提取后，您可以进行新的提取或生成已执行提取的报告。要生成报告，请转到报告标签。在报告名称字段中，输入报告名称；在导出插件和选定的转换插件字段中，选择将用于生成报告的插件。在选定的调查字段中，选择要为其生成报告的提取项，然后点击“运行”。

报告生成选项窗口

1. 当报告生成过程完成后，将会有两个文件，格式分别为 HTML 和 XML。HTML 文件可以使用任何网页浏览器打开。

报告的一个片段

这些文件包含从被检查的 SIM 卡中提取的信息（如通讯录、短信、通话记录等）。可以查看并进行分析。

它是如何工作的...

TULP2G 从插入到读卡器中的 SIM 卡中提取数据，该读卡器连接到专家的计算机，并生成报告。在验证过程中，图像和源的 MD5 和 SHA1 哈希值会被进行比较。

另见

• TULP2G 项目网站：tulp2g.sourceforge.net

• TULP2G 下载页面：sourceforge.net/projects/tulp2g/files/

使用 MOBILedit Forensics 进行 SIM 卡采集与分析

MOBILedit Forensic是由 Compelson 公司开发的一款商业取证软件。它会定期更新。该程序可以从手机、智能手机和 SIM 卡中提取数据。根据程序开发者的说法，MOBILedit Forensic 是一个允许我们通过最少的步骤从手机或 SIM 卡中提取数据的程序。此外，该程序还具有一个独特的功能，我们将在另一个章节中重点介绍。

准备工作

在 MOBILedit 下载页面（www.mobiledit.com/download-list/mobiledit-forensic）点击“下载”。下载完成后，双击下载的程序文件并进行安装。首次运行程序时，需要输入许可证密钥。如果没有输入许可证密钥，程序将在试用模式下运行 7 天。

如何操作...

使用 MOBILedit Forensic 从 SIM 卡提取数据有两种方式：

1. 通过向导提取数据

2. 通过 MOBILedit Forensic 程序的主窗口提取数据

本书将重点介绍如何通过 MOBILedit Forensic 程序的主窗口从 SIM 卡提取数据。

当你运行该程序时，连接的读卡器信息会出现在 MOBILedit Forensic 程序主窗口的左上角。

主窗口的片段

如果点击“连接”，MOBILedit Forensic 向导将启动，你可以通过它从移动设备和 SIM 卡中提取数据。

现在我们来看一下如何提取数据：

1. 点击读卡器的图标。将显示 SIM 卡的答复重置（ART）和 ICCID 信息。如果 SIM 卡被锁定，将提示输入 PIN 或 PUK 码。

主窗口中显示的 SIM 卡信息片段

1. 输入 PIN 或 PUK 码后，SIM 卡将被解锁，报告向导选项将出现在主窗口中。解锁的 SIM 卡会显示国际代码（IMSI），该代码仅在输入正确的 PIN 码后才能访问。

显示 SIM 卡信息的主窗口片段

1. 点击“报告向导”；它将打开 MOBILedit Forensic 向导窗口，从 SIM 卡提取数据并生成报告。

2. 填写设备标签、设备名称、设备证据编号、所有者电话号码、所有者姓名和电话备注字段。然后点击“下一步”按钮。

MOBILedit Forensic 向导窗口

1. 数据将被提取，提取状态将在 MOBILedit Forensic 向导窗口中显示。

2. 当提取完成后，点击“下一步”按钮。之后，MOBILedit Forensic Wizard将显示以下窗口：

MOBILedit Forensic 向导窗口

1. 点击“新建案件”。在弹出的窗口中，填写标签、编号、姓名、电子邮件、电话号码和备注字段，然后点击“下一步”按钮。

MOBILedit Forensic 向导窗口

1. 在 MOBILedit Forensic 向导的下一个窗口中，选择生成报告的格式，并点击“完成”按钮。

MOBILedit Forensic 向导的最终窗口

一个关于数据提取的取证报告将以所选格式生成。

它是如何工作的...

MOBILedit Forensics 从安装在读卡器中的 SIM 卡中提取数据，并生成报告，所需步骤最少。如果有大量的移动设备或 SIM 卡需要调查，它有助于加快数据提取过程。

另见

• MOBILedit Forensics 网站位于 www.mobiledit.com。

• MOBILedit Forensics 下载页面位于 www.mobiledit.com/download-list/mobiledit-forensic。

使用 SIMCon 进行 SIM 卡获取与分析

SIMCon 是进行 SIM 卡取证分析的最佳工具之一。它价格低廉，政府组织、军队和警察可免费使用。除了令人印象深刻的功能外，SIMCon 还能够从某些 SIM 卡中提取由 PIN 码保护的数据。例如，电话簿。

尽管 SIMCon 项目几年前已经关闭，但该程序并没有消失。这个程序的新更新版本被称为 Sim Card Seizure。该程序的发行权归 Paraben 公司所有。此外，SIMCon 的功能已经在 Paraben 的另一个产品 E3: Electronic Evidence Examiner 中实现。

准备就绪

SIMCon 项目目前在互联网上没有自己的地址。不过，您可以通过搜索引擎找到安装软件。您还可以从 Paraben 的网站下载 Sim Card Seizure 的试用版。Sim Card Seizure 试用版的限制是只能显示电话簿、通话记录和短信的前 20 条记录。

如何操作...

1. 双击程序图标，并将读卡器与 SIM 卡连接。程序将打开如下截图所示的输入 PIN 码信息窗口：

1. 在这种情况下，无需输入 PIN 码。点击确认按钮开始数据提取过程。提取过程的状态将显示在 "读取 SIM..." 窗口中：

1. 如果数据提取成功，您将被要求在获取备注窗口中填写调查员、日期/时间、案件、证据编号和备注字段。填写完毕后，点击确认按钮：

1. 与 TULP2G 和 MOBILedit Forensic 不同，SIMCon 不仅允许您提取数据并生成报告，还能查看提取的数据。以下截图显示了 SIMCon 窗口的一个片段，我们可以看到从 SIM 卡中提取的短信，包括已删除的短信：

获取注释窗口

在 SIMCon 主窗口的底部，有一个区域显示有关选定记录的详细信息：

SIMCon 主窗口的一个区域，显示关于选定记录的详细信息

SIMCon 程序允许查看每个文件的内容。以下截图显示了基础文件（EF_ICCID）的内容：

它是如何工作的...

SIMCon 从连接到专家计算机的卡片读取器中提取已安装的 SIM 卡数据。提取后，您可以从该程序的主窗口生成取证报告或分析提取的数据。

另见

• Sim Card Seizure 程序的网站：www.paraben-sticks.com/sim-card-seizure.html

• E3：电子证据检查员程序的网站：www.paraben.com/products/e3-universal

使用 Oxygen Forensic 进行 SIM 卡获取和分析

Oxygen Forensic 是最好的移动取证程序之一。除了其他功能外，该程序还具有 SIM 卡分析功能。该程序为商业软件，但提供 30 天试用完整版，您可以根据需要申请获取。当请求被接受后，您将收到一封电子邮件，其中包含注册密钥和下载安装软件的说明。

准备工作

下载 Oxygen Forensic（www.oxygen-forensic.com/en/）。根据提示安装它。按照菜单路径：服务|输入密钥。在打开的许可证窗口中，输入许可证密钥并点击保存按钮。重启程序。

如何操作...

为了检查 SIM 卡，您需要将其从移动设备中取出，并安装到 SIM 卡读取器中，该读取器必须连接到专家的计算机。如前所述，Microsoft PC/SC 驱动程序已预安装在 Windows 操作系统中，这意味着无需安装其他任何东西。

现在让我们来看一下如何使用 Oxygen Forensic：

1. 在 Oxygen Forensic 程序中，点击位于工具栏中的连接设备按钮。它将启动 Oxygen Forensic Extractor：

Oxygen Forensic Extractor 的主窗口

1. 在 Oxygen Forensic Extractor 的主菜单中，点击 UICC 获取选项。接下来的窗口会提示您选择连接的卡片读取器，或者显示错误消息：

卡片读取器连接错误消息

1. 如果 SIM 卡的数据访问受到 PIN 码或 PUK 码的限制，您将被提示输入相应的代码。程序中会显示可输入 PIN 码和 PUK 码的尝试次数。如果尚未尝试解锁 SIM 卡，那么应该有 3 次输入 PIN 码的机会，以及 10 次输入 PUK 码的机会。在输入 PUK 码失败 10 次后，SIM 卡将被永久锁定。PUK 码可以通过授权人员从通信服务提供商处获取。

SIM 卡数据提取窗口

SIM 卡数据提取窗口显示以下内容：

• 关于卡片阅读器的信息

• 关于 SIM 卡的信息

• 输入 PIN 码和 PUK 码的字段

输入 SIM 卡解锁代码并点击“下一步”按钮。

1. 在下一个窗口中，您可以指定有关提取的附加信息，这些信息将存储在案件中。此外，在此窗口中，您可以选择保存从设备中提取的数据的选项：

存储的提取物理备份转储选项…会保存 SIM 卡的主要文件。

完整 UICC 映像选项会保存 SIM 卡上的所有文件。如果选择此选项，SIM 卡文件的提取过程可能需要超过 12 小时。

输入案件附加信息的窗口

1. 点击“下一步”按钮。SIM 卡数据提取过程将开始。

可以从 SIM 卡中提取以下数据，包括已删除的数据：

• 关于 SIM 卡的一般信息

• 联系人

• 通话

• 消息

• 其他信息

数据导入完成后，Oxygen Forensic Extractor 的最终窗口将显示有关导入的总结信息。点击“完成”按钮以结束数据提取。

提取的数据将可供查看和分析。

1. 在提取结束时，创建的案件可以在 Oxygen Forensic 程序中打开。

提取总结信息

1. 现在点击“消息”类别。可以在与案件相关的适当部分中查看提取的数据。

查看消息部分

1. 返回到 Oxygen Forensic 的主屏幕。点击文件浏览器类别。在文件浏览器部分，可以查看从 SIM 卡中提取的文件。这些文件内容可以手动分析。

查看 2FE2 文件内容

工作原理...

Oxygen Forensic 从安装在与专家电脑连接的卡片阅读器中的 SIM 卡提取数据。之后，您可以从该程序的主窗口生成法医报告或分析提取的数据。

更多内容...

Oxygen Forensic 显示文件名时采用十六进制，这对于专家来说可能不太方便。下表显示了标准文件名在十六进制视图中的对应关系及其内容：

文件名	描述	文件名	描述
3F00	MF	6F05	EF (LP)
7F10	DF (TELECOM)	6F31	EF (HPLMN)
7F20	DF (GSM)	6F41	EF (PUCT)
7F21	DF (DCS1800)	6F78	EF (ACC)
2FE2	EF (ICCID)	6FAE	EF (PHASE)
6F3A	EF (AND)	6F07	EF (IMSI)
6F3C	EF (SMS)	6F37	EF (ACMmax)
6F40	EF (MSISDN)	6F45	EF (CBM)
6F43	EF (SMSS)	6F7B	EF (FPLMN)
6F4A	EF (EXT1)	6F52	EF (KcGPRS)
6F3B	EF (FDN)	6F20	EF (Kc)
6F3D	EF (CCP)	6F38	EF (SST)
6F42	EF (SIMSP)	6F46	EF (SPN)
6F44	EF (LND)	6F7E	EF (LOCI)
6F4B	EF (EXT2)	6F53	EF(LOCIGPRS)
6F74	EF (BCCH)	6F30	EF (PLMNcel)
6FAD	EF (AD)	6F54	EF (SUME)

另请参见

• Oxygen Forensic 程序的官方网站：www.oxygen-forensic.com/en/。

第二章：Android 设备获取

在本章中，我们将介绍以下内容：

• 准备工作

• 使用 Oxygen Forensic 获取 Android 设备

• 使用 MOBILedit Forensic 进行 Android 设备获取

• 使用 Belkasoft 证据中心进行 Android 设备获取

• 使用 Magnet Aсquire 获取 Android 设备

• 在 Android 设备上进行无需 root 的物理转储

• 解锁已锁定的 Android 设备

• 通过 Wi-Fi 获取 Android 设备

• 使用 Smart Switch 获取三星 Android 设备

简介

运行 Android 操作系统的移动设备占移动设备市场的 80%以上。操作系统版本和使用的硬件平台的多样性为数据提取提供了广泛的方法。没有为以下移动设备组的任何移动设备提供这样的数据提取方法：iOS 设备、Windows Phone 设备和 BlackBerry 设备。

Android 设备数据提取的最常见方法如下：

• 逻辑提取：这种方法允许提取特定类型的逻辑数据，如电话簿、通话记录、短信（SMS/MMS）等。通常，逻辑提取需要安装一个代理程序，该程序帮助移动取证软件从设备中提取数据。必须根据内存结构的硬件特性和移动设备的安全策略在设备上安装该程序。

• 备份：这种方法允许仅从设备中提取逻辑数据，如电话簿、通话记录、短信（SMS/MMS）、视频文件、图像、音频文件等。来自应用程序的信息（例如来自即时通讯应用的信息）完整或部分地转移到创建的备份中。是否将应用程序数据转移到备份中取决于操作系统的版本和移动设备的安全设置。经常出现的情况是，只有安装应用程序的帐户信息被转移到创建的备份中，使专家认为他使用的取证软件不支持从该应用程序中提取数据，但如果专家从设备的文件系统或物理转储中提取而不是创建备份，则他的取证软件将提取应用程序数据（例如聊天记录）。

• 文件系统提取：这种方法意味着从设备中提取文件系统。使用此方法时，会提取用户分区中的所有文件（通常称为 userdata 分区）。

• 物理转储：这种方法意味着创建设备存储器的完整副本，其中包含设备的所有分区，包括服务数据、应用程序和用户数据。可以从物理转储中恢复删除的文件。

• 联合测试行动小组（JTAG）：我们将在第十一章中重点介绍此方法，JTAG 和芯片摘除技术。JTAG——此方法以行业标准命名。JTAG 是一种用于测试系统板的标准。

• 芯片摘除：我们将在第十一章中重点介绍此方法，JTAG 和芯片摘除技术。芯片摘除是一种破坏性方法，基于从系统板上移除存储芯片。

尽管备份和文件系统提取方法仅允许我们提取逻辑数据和文件，但专家仍然可以从 SQLite 数据库中恢复删除的记录（如通讯录记录、通话记录、短信消息和移动应用程序的数据库记录）。

在本章中，我们将介绍从 Android 设备中提取数据的主要方法。

准备工作

在从 Android 设备执行数据提取之前，您需要执行一系列准备步骤。

准备移动设备

在将设备连接到计算机之前，您需要在设备上启用 USB 调试模式。此模式启用设备上的 ADB 服务器。

USB 调试通过以下方式启用：

对于 Android 2.0-2.3.x：

1. 进入设备菜单。

2. 选择“设置”。

3. 在“设置”部分，选择“应用程序”。

4. 在“应用程序”部分，选择开发。

5. 在“开发”部分，选择 USB 调试。

对于 Android 3.0 到 4.1.x：

1. 进入设备菜单。

2. 选择“设置”。

3. 在“设置”部分，选择“开发者选项”。

4. 在“开发者选项”部分，选择 USB 调试。

5. 点击“确定”以确认启用 USB 调试模式。

对于 Android 4.2.x 及更高版本：

1. 进入设备菜单。

2. 选择“设置”。

3. 在“设置”部分，选择“关于设备”。

4. 在“关于手机”部分，点击“版本号”字段七次。然后，您将看到此消息：您现在是开发者！

5. 返回“设置”。

6. 选择“开发者选项”。

7. 在“开发者选项”部分选择 USB 调试。

对于 Android 5.0 及更高版本：

1. 进入设备菜单；

2. 选择“设置”。

3. 在“设置”部分，选择“关于设备”。

4. 在“关于手机”部分，点击“版本号”字段七次。然后，您将看到此消息：您现在是开发者！

5. 点击“返回”以返回到“设置”。

6. 选择“开发者选项”。

7. 在“开发者选项”部分，选择 USB 调试。

8. 点击“确定”以确认启用 USB 调试模式。

当您将设备连接到计算机时，您还必须在设备上选择正确的 USB 模式：无、仅充电、MTP、PTP 等。每个制造商以不同的方式命名此模式。绝不要在媒体模式下连接设备。如果 Android 设备处于媒体模式，您将无法为该设备创建 Android 备份。

为了成功连接设备，您需要确保设备中有一张至少有 1MB 可用空间的存储卡。在逻辑提取过程中，代理程序会使用存储卡来存储临时文件，读取完成后，这些文件会被删除。连接之前存储在存储卡上的文件不会被更改或删除。然而，建议您使用自己的存储卡，而不是被检查设备中原有的存储卡。

准备工作站

在取证中，一个重要的步骤是确保证据没有被篡改，并且如果出于某种原因需要对证据进行更改，例如解锁，必须仔细记录这些更改。还应强调采取其他预防措施，例如使用无菌且专用的取证工作站。

在将设备连接到工作站之前，您必须先安装设备的驱动程序。设备的驱动程序可以在互联网上找到。安装驱动程序后，您应重启计算机。

在第一次将设备连接到计算机之前，请解锁设备（如果设备已锁定）并连接它。您将在设备屏幕上看到允许 USB 调试的请求。勾选“始终允许来自此计算机的连接”并点击“允许”。

您需要确保驱动程序已正确安装。在计算机上，从菜单中导航到开始|控制面板|系统|设备管理器。您需要在其中找到已连接设备的名称，记录为 ADB 接口。如果找不到此记录，说明设备驱动程序安装不正确。

运行 Android 操作系统的已连接三星设备

Android 调试桥（Android Debug Bridge） 是一个命令行工具，是 Android SDK 平台的一部分。您可以通过这个工具对 Android 设备进行连接诊断和其他操作。当安装了 Android SDK 平台程序时，在 Windows 命令提示符中输入adb devices命令。如果有任何 Android 设备连接到计算机，设备列表将显示在屏幕上。

已连接的安卓设备列表

如果设备未被计算机检测到，请按照以下步骤操作：

1. 将设备连接模式从仅充电切换到 MTP 或 PTP。

2. 在被检查设备的开发者选项中勾选模拟位置。

3. 在被检查设备的安全部分勾选未知来源。

4. 禁用被检查设备上的杀毒软件。

5. 更换数据线。

手动组装 ADB 驱动程序

一些安卓设备没有驱动程序。对于此类设备，可以通过诸如 Oxygen Forensic 或 Magnet Acquire 等程序自动创建驱动程序，也可以手动组装驱动程序。请按照以下步骤操作：

1. 连接需要创建驱动程序的设备。

2. 上传 Google USB 驱动程序并解压上传的档案。

3. 在解压后的档案中，找到 android_winusb.inf 文件，并用记事本打开，记事本需要以管理员身份运行。您将在文件中找到以下文本片段：

;Google Nexus One
%SingleAdbInterface%        = USB_Install, USB\VID_18D1&PID_0D02
%CompositeAdbInterface%     = USB_Install, USB\VID_18D1&PID_0D02&MI_01
%SingleAdbInterface%        = USB_Install, USB\VID_18D1&PID_4E11
%CompositeAdbInterface%     = USB_Install, USB\VID_18D1&PID_4E12&MI_01

1. 运行设备管理器并找到设备（Android 或 Android Composite ADB Interface）。

2. 右键点击鼠标。

3. 在打开的菜单中，选择“属性”，然后在弹出的窗口中选择“详细信息”。

4. 在下拉的属性菜单中，选择“硬件 ID”。

Android 设备的硬件 ID 列表

1. 将 “Google Nexus One” 替换为您设备的名称。将找到的文本片段替换为如下：

;Your device name
%SingleAdbInterface%        = USB_Install, USB\VID_04E8&PID_6860
%CompositeAdbInterface%     = USB_Install, USB\VID_04E8&PID_6860&MI_01
%SingleAdbInterface%        = USB_Install, USB\VID_04E8&PID_6860
%CompositeAdbInterface%     = USB_Install, USB\VID_04E8&PID_6860&MI_01

1. 保存编辑后的文件。

2. 在设备管理器中，选择 Android 设备。

3. 右键点击鼠标。在弹出的窗口中，选择“更新驱动程序软件”。

4. 在接下来的窗口中，选择“浏览我的计算机以查找驱动程序软件”，并指定包含编辑后文件 android_winusb.inf 的文件夹路径。

5. 在安装驱动程序期间，您可能会收到驱动程序不兼容且不建议安装的消息。继续安装驱动程序。安装完成后，重新启动计算机。

另见

• Android 调试桥页面 developer.android.com/studio/command-line/adb.html。

• 请在 developer.android.com/studio/run/win-usb.html 下载 Google USB 驱动程序。

使用 Oxygen Forensic 获取 Android 设备

Oxygen Forensic 程序在第一章中已有介绍。在本章中，将展示如何通过 Oxygen Forensic 进行设备的物理转储。要进行物理转储，您需要超级用户权限。您需要获取设备的 root 权限才能获得超级用户权限。获取 Android 设备 root 权限的方法有很多，这些方法的描述超出了本书的范围。Oxygen Forensic 的一个特点是，在进行物理转储之前，程序会通过持续使用不同类型的漏洞自动尝试获得 root 权限。此功能不会对设备造成任何损害。一方面，这个功能是一个很大的优点，但另一方面，它只能用于有限范围的设备。互联网上有许多方法可以为大量设备获取 root 权限，但也有可能在数据提取之前应用这些方法会导致设备无法恢复的损坏。

如何操作……

1. 在 Oxygen Forensic 程序中，点击工具栏上的“连接设备”按钮。这将启动 Oxygen Forensic Extractor。

Oxygen Forensic Extractor 的主窗口

1. 点击“设备获取”。程序将自动搜索连接的设备。如果程序检测到设备，它的属性将显示在程序窗口中。如果设备未被检测到，你可以使用“手动设备连接”和“自动连接设置”选项尝试手动连接设备。

显示连接设备信息的 Oxygen Forensic Extractor 窗口。

1. 点击“下一步”按钮。在下一个窗口中，你需要填写案件的详细信息，如设备别名、案件编号、证据编号、地点、事件编号、检查员、设备所有者、所有者邮箱等。

2. 请勿勾选“解析应用程序数据库并收集分析部分数据...”和“搜索并恢复删除数据...”选项，因为这些操作会占用额外的时间。

显示案件信息和提取选项的 Oxygen Forensic Extractor 窗口。

1. 点击“下一步”按钮。在下一个窗口中，系统会提示你选择数据提取模式。

2. 在默认模式下，程序将尝试按顺序执行以下操作：

   1. 获取设备的 Root 权限。如果 Root 访问成功，程序将进入第 2 步。否则，程序将进入第 3 步。

   2. 进行物理转储。如果此步骤成功完成，程序将结束工作。否则，程序将进入第 3 步。

   3. 创建备份。如果此步骤成功完成，程序将结束工作。否则，程序将进入第 4 步。

   4. 从设备进行逻辑提取。第 4 步仅适用于运行 Android 4.0 或更高版本的设备。

显示 Android 设备数据提取模式选项的 Oxygen Forensic Extractor 窗口。

1. 在高级模式下，程序会提示你选择数据提取方法。勾选选定的方法并点击“下一步”按钮。在这里，我们勾选“物理转储”和“允许 Root 访问”，然后点击“下一步”按钮。

1. 程序会通过在窗口中显示已输入的数据来提示你再次检查数据。如果所有数据正确，点击“提取”按钮。物理转储的创建过程将开始。

2. 提取完成后，创建的案件可以在 Oxygen Forensic 程序中打开。

3. 如果你在通过 Oxygen Forensic 打开的情况下点击“设备信息”部分，你将能够在打开窗口的“设备扩展信息”部分找到关于已创建物理转储的信息。mmcblk0文件是 Android 设备的物理转储文件。mmcblk1文件是安装在此 Android 设备上的内存卡镜像文件。

设备信息窗口部分的片段。

1. 如果你双击一个文件名（mmcblk0 或 mmcblk1），资源管理器将打开包含该文件的文件夹。

工作原理……

Oxygen Forensic 从连接的 Android 设备中提取数据。在此过程中，依据提取设置，你可以创建：物理转储、备份或提取逻辑数据。提取的数据可以立即或稍后进行分析。

还有更多……

物理转储可以通过命令dd if = / dev / block / partition's name of = / sdcard / NAME_partition.img来创建。设备分区的名称可以通过 adb 工具查看。数据和用户文件存储在userdata分区。

另见

• 你可以在以下网站找到有关不同安卓设备刷机方法的文章：forum.xda-developers.com

使用 MOBILedit Forensic 获取 Android 设备数据

最好的移动取证软件，如：UFED（Cellebrite）、Oxygen Forensic、XRY（Micro Systemation）、Secure View（Susteen）、MOBILedit Forensic，可以通过在设备上安装代理程序从 Android 设备中提取数据。它允许从设备中进行逻辑数据提取。

我们将使用 MOBILedit Forensic 程序演示这种数据提取方法。该程序已在第一章中描述，SIM 卡获取与分析。

如何操作……

现在让我们探索使用 MOBILedit Forensic 获取 Android 设备的数据：

1. 当你启动 MOBILedit 程序时，程序的主窗口会显示关于已连接设备的信息。

显示 Android 设备信息的主窗口片段

1. 点击“报告向导”。它将打开 MOBILedit Forensic 向导，提取 SIM 卡中的数据并生成报告。

2. 填写字段：设备标签、设备名称、设备证据编号、所有者电话号码、所有者姓名和电话备注。点击“下一步”按钮。

MOBILedit Forensic 向导窗口

1. 数据将被提取。提取状态将在 MOBILedit Forensic 向导窗口中显示。当提取完成时，点击“下一步”按钮。

2. 然后，MOBILedit Forensic 向导将显示以下窗口：

MOBILedit Forensic 向导窗口

1. 点击<新建案件>。在弹出的窗口中，填写字段标签、编号、姓名、电子邮件、电话号码和备注。点击“下一步”按钮。

MOBILedit Forensic 向导窗口

1. 在 MOBILedit Forensic 向导的下一个窗口中，选择报告将生成的格式并点击“完成”按钮。

MOBILedit Forensic 向导的最终窗口

关于提取的法医报告将以选定的格式生成。

工作原理……

MOBILedit Forensic 会扫描已连接的设备。如果检测到 Android 设备，MOBILedit Forensic 会上传一个代理程序 Forensic Connector，通过这个代理程序，它从设备中提取数据。当提取完成后，程序将提示生成一份取证报告，报告将包含从设备中提取的所有信息。

还有更多内容…

程序 MOBILedit Forensic 允许读取安装在移动设备中的 SIM 卡数据。然而，由于无法恢复已删除的记录，建议不要使用此功能。正确的方法是将 SIM 卡从移动设备中取出，并单独进行检查。

如果需要分析移动应用数据，您需要使用的不是 MOBILedit Forensic，而是同一开发者提供的 MOBILedit Forensic Express 程序。

另请参见

• MobilEdit Forensic 网站：www.mobiledit.com

• MobilEdit Forensic 下载页面：www.mobiledit.com/download-list/mobiledit-forensic

使用 Belkasoft Acquisition Tool 获取 Android 设备数据

Belkasoft Acquisition Tool 是一个通用工具，允许您创建硬盘和移动设备的取证副本，并从云存储中提取数据。您可以通过在开发者网站上填写简短表格来获取该程序。填写后，您将收到一封包含下载链接的电子邮件。

准备就绪

下载归档并解压程序。将待检查的设备连接到计算机。点击 BAT 图标。

如何操作…

1. 在程序的主窗口中，点击移动设备图标。

Belkasoft Acquisition Tool 程序的主窗口

1. 在下一个窗口中，点击 Android 图标。

2. 在下一个窗口中，您可以查看已连接设备的信息。指定保存从移动设备提取的数据的路径。勾选“复制系统应用数据”、“复制 SD 卡内容”和“复制 .apk 文件（应用程序二进制文件）”以指定需要提取的数据类型。

提取选项选择窗口。

1. 点击“下一步”按钮。数据将从移动设备中提取。如果设备提示创建备份，点击“备份我的数据”。

等待确认以开始备份。

1. 当提取完成后，提取的总结信息将显示出来。点击“打开目标文件夹”以进入包含提取数据的文件夹，或点击“退出”以关闭程序。

提取的总结信息

工作原理…

Belkasoft Acquisition Tool 扫描连接的设备。如果发现 Android 设备，程序会创建备份并提取其他数据。这个备份可以通过 Belkasoft Evidence Center 或其他取证软件进行分析。

另见

• Belkasoft 网站：belkasoft.com/

• 程序请求表单网页：belkasoft.com/get

使用 Magnet Acquire 获取 Android 设备数据

Magnet Acquire 是一款免费的工具，旨在创建硬盘、内存卡、手机和平板电脑的取证镜像。它可以从 Magnet Forensics 网站的客户门户下载。同时，它与 AXIOM 和 Internet Evidence Finder 一起提供。

准备就绪

下载并安装程序。点击程序图标启动它。

如何操作…

1. 一旦启动，Magnet Acquire 会寻找连接的设备，并在窗口中显示其列表。

在 Magnet Acquire 中显示的设备列表

1. 点击“下一步”按钮。接下来的窗口会提示你选择提取类型。如果连接的 Android 设备已经获得 root 权限，则选择“完全提取”。否则，选择“快速提取”。

选择提取类型

1. 点击“下一步”按钮。如果需要，填写证据文件夹名称、文件夹目标位置、镜像名称、检查员和证据编号等字段。

创建证据文件夹窗口

1. 点击“ACQUIRE”按钮。数据提取过程将开始。

数据提取过程。

1. 当数据从设备中提取完成后，点击“退出”按钮关闭程序。如果你想查看提取的数据文件夹，请点击“打开文件夹”。

程序的最终窗口

它是如何工作的…

一旦启动，程序会扫描连接到计算机的设备，并在窗口中显示其列表。使用 Magnet Acquire 提取数据有两种方式：

• 如果设备已经获得 root 权限，你可以创建物理转储。

• 如果设备没有获得 root 权限，则会创建设备的备份，并提取设备内存卡中的所有文件。

Magnet Acquire 安装 ACQUIRE 代理程序以提取内存卡中的文件。

还有更多…

如果你希望在数据提取完成后自动删除代理程序，请点击“选项”。在下拉框中选择“首选项”选项。在打开的“首选项”窗口中，勾选“在 Magnet ACQUIRE 完成后从设备中删除代理应用程序”。

另见

• Magnet Forensics 网站：www.magnetforensics.com/

在不获得 root 权限的情况下制作 Android 设备的物理转储。

这可能看起来不太寻常，但实际上可以在不进行 root 的情况下对 Android 设备进行物理转储，而且不需要 JTAG 或 Chip-off 方法。使用 LG 和 Samsung 生产的设备，以及配备 MediaTek 和 Spreadtrum 处理器的设备，都可以做到这一点。作为示例，我们将考虑使用 Oxygen Forensic 对一款 LG 生产的 Android 设备进行物理转储的过程。Oxygen Forensic 程序之前已经在第一章中进行了描述，SIM 卡获取与分析。

准备工作

请先将设备电池充满电并关闭。下载并安装 Oxygen Forensic 程序。该程序已在第一章，SIM 卡获取与分析中进行了描述，并在本章的使用 Oxygen Forensic 获取 Android 设备数据一节中提到。

如何操作……

1. 在 Oxygen Forensic 中，点击工具栏上位于“连接设备”按钮。它将启动 Oxygen Forensic Extractor。

Oxygen Forensic Extractor 主窗口的一个片段

1. 在物理数据采集窗口中，点击“LG Android 转储”。按照在 Oxygen Forensic Extractor 窗口中显示的说明操作。

说明将显示在 Oxygen Forensic Extractor 窗口中

1. 当步骤 5 完成后，设备屏幕上将显示以下画面：

设备屏幕上的固件更新信息

1. 然后，勾选“是的，我已遵循说明……”并点击“下一步”按钮。

2. 接下来，程序将寻找已连接的设备。如果检测到设备，设备的信息将显示在 Oxygen Forensic Extractor 窗口中。

显示已连接设备信息的窗口

1. 点击“下一步”按钮。

从设备中提取数据的所有后续步骤类似于本章中使用 Oxygen Forensic 获取 Android 设备数据一节中描述的步骤。

工作原理……

物理转储是通过命令在固件更新模式下根据 LG 高级闪存（LAF）协议进行的。最初，LAF 技术是为 LG 服务中心开发的。它使得恢复那些无法开机并且对开机尝试没有反应的 LG 移动设备成为可能（当用户试图在操作系统中获得更多权限或在更新系统软件时出现错误时，移动设备会进入此状态）。然而，许多非专业服务中心也在使用利用这项技术的工具，这些工具用于刷写 LG 移动设备的定制恢复模式和修改过的固件。

还有更多……

如果 LG 设备未能进入固件更新模式，连接电缆时双击上键。这是将 LG 设备切换到固件更新模式的另一种方法。

解锁锁定的 Android 设备

解锁锁定的 Android 设备有不同的方法。某些方法通过某种手段删除包含设备锁密码的文件。在本章中，你将学习如何通过刷写修改过的固件来删除该文件，操作设备为三星 GT-I9300 智能手机。

要成功刷写修改过的固件，设备的引导加载程序必须解锁。如果引导加载程序被锁定，可以通过硬件设备——闪存器进行解锁。通常，不同厂商生产的手机使用不同型号的闪存器。

准备工作

给设备充电。下载并安装 Odin 程序。下载并解压修改后的固件。

如何操作…

1. 关闭智能手机。

2. 通过同时按下音量减和主页按钮，再按电源按钮启动设备的下载模式。

3. 你将看到免责声明；按音量加键继续。

4. 插入设备并启动 Odin。

5. 点击“AP”按钮并选择带有自定义恢复的 tar 文件。

Odin 程序窗口

1. 点击“开始”按钮。等待固件刷写完成的成功消息。当刷写完成后，智能手机将自动重启。

如何工作…

在刷写过程中，系统分区的内容会被替换。因此，包含锁密码的文件被删除。

参见

• 修改过的固件网页：www.x-mobiles.net/engine/go.php?url=aHR0cHM6Ly95YWRpLnNrL2Qvc2hNbS1xb1BuTVhraA%3D%3D

• Odin 程序的网页：forum.xda-developers.com/galaxy-s3/themes-apps/27-08-2013-odin-3-09-odin-1-85-versions-t2189539

通过 Wi-Fi 获取 Android 设备

该方法允许在 mini-USB 端口损坏且无法通过电缆将设备连接到计算机时提取 Android 移动设备中的数据。

准备工作

下载并安装 MOBILedit Forensic。该程序在第一章和本章的Android 设备获取与 MOBILedit Forensic部分中已做过介绍。

如何操作…

1. 启动 MOBILedit Forensic。

2. 在程序的主窗口中，点击“连接”。在打开的 MOBILedit Forensic Wizard 窗口中，选择 Android 设备，然后点击“下一步”。

3. 在下一个窗口中，选择设备与计算机的连接方式：Wi-Fi。

4. 接下来，将显示一个带有下载 Forensic Connector 移动应用程序说明的窗口。

5. 从 Google Play 下载 Forensic Connector 到被检查的设备，或使用二维码。

下载 Forensic Connector 移动应用程序的说明

1. 在设备上启动 Forensic Connector。

Forensic Connector 主窗口

1. 选择设备与计算机连接的方式：Wi-Fi。

2. 在 MOBILedit Forensic Wizard 的相应字段中输入设备屏幕上显示的 IP 地址。按照“下载 Forensic Connector 移动应用程序”图像中的说明，输入手机的 IP 地址：

显示 IP 地址的 Forensic Connector 窗口

1. 之后，授权确认代码将同时显示在 MOBILedit Forensic 和 Forensic Connector 中。如果程序中的代码值一致，请点击“允许”。

授权确认代码

1. 当移动设备与计算机连接时，设备数据提取的过程类似于本章中使用 MOBILedit Forensic 进行 Android 设备获取的步骤。

2. 提取过程将在移动设备的屏幕上显示。

数据提取过程

它是如何工作的…

数据从 Android 设备的提取是通过 Wi-Fi，使用安装在设备中的 Forensic Connector 程序进行的。

参见

• 通过 ADB 网页传输数据的描述：developer.android.com/studio/command-line/adb.html

• Android ADB 网页：totalcmd.net/plugring/android_adb.html

使用 Smart Switch 进行三星 Android 设备获取

Smart Switch是三星公司为现代三星设备创建备份的一个常用工具。Smart Switch 取代了 Kies，后者目前用于为较旧的三星设备创建备份。Smart Switch 的一个特别功能是，即使设备没有启用 USB 调试功能，也可以用来从三星设备提取数据。通常，在没有其他方法提取数据的情况下，会使用 Smart Switch。

准备就绪

访问该程序的网站（www.samsung.com/us/smart-switch/）。在这里，你可以找到适用于 PC 和 MAC 的程序版本，供下载使用。选择所需版本并点击下载。当程序下载完成后，双击下载的文件，程序安装将开始。

如何操作…

1. 如果三星设备没有连接或设备驱动程序没有安装，启动程序后，屏幕上会显示一个动画提示，建议连接设备。

1. 如果设备驱动程序已正确安装并且设备已连接，你将在一个窗口中看到设备型号。该窗口会提示你进行 Smart Switch 备份或将 Smart Switch 备份恢复到连接的设备中。

显示连接设备型号的程序窗口

1. 点击“备份”按钮。Smart Switch 备份创建过程将开始。创建过程将在窗口底部显示。

Smart Switch 备份创建过程

1. 在创建 Smart Switch 备份后，程序的窗口将显示传输到备份中的数据的数量和类型。

显示从设备传输到 Smart Switch 备份的数量和类型数据的程序窗口

它是如何工作的…

Smart Switch 从三星设备中提取数据并将其保存到计算机中。之后，这些数据可以恢复到另一台三星设备上，并通过移动取证软件（如 MOBILedit Forensic、Oxygen Forensic 等）从中提取数据。

还有更多…

1. 如果 Smart Switch 无法在 MTP 模式下检测到设备，请将其切换到 PTP 模式。

2. 安装 Smart Switch 或设备驱动程序后，请重新启动计算机。

3. 创建的 Smart Switch 备份将保存到路径：C: \ Users \% User name% \ Documents \ Samsung \ SmartSwitch。

4. 在“检查加密设置”部分，你可以指定从设备到备份中将传输哪些类型的数据。

不幸的是，目前没有取证程序支持从 Smart Switch 备份中提取数据。此外，这些备份中的部分信息是加密的。因此，你无法手动查看提取的数据。为了从这些备份中提取数据，你需要将数据上传到转移手机中。转移手机是经过硬重置的已 root 的三星手机。将数据从 Smart Switch 备份上传到手机后，可以通过任何取证程序和本章中描述的任何方法提取数据。

另见

• Smart Switch 下载页面：www.samsung.com/us/smart-switch/。

• 三星手机的 USB 驱动程序：developer.samsung.com/search/searchList.do?searchTop=usb+driver。

第三章：获取 Apple 设备数据

本章将涵盖以下内容：

• 使用 Oxygen Forensics 获取 Apple 设备数据

• 使用 libmobiledevice 获取 Apple 设备数据

• 使用 Elcomsoft iOS 工具包获取 Apple 设备数据

• 使用 iTunes 获取 Apple 设备数据

• 解锁被锁定的 Apple 设备

引言

苹果公司生产的移动设备，如 iPhone 和 iPad，占据了大约 15% 的移动设备市场。正因如此，它们常常成为法医分析的对象。

苹果公司生产的移动设备是法医分析中最复杂的对象。这些设备对用户数据的访问限制使得无法完全提取数据。加密技术使得所有已知的文件恢复算法变得无效。即使你设法以某种方式恢复了文件，它的内容仍然无法访问，因为它会保持加密状态。

如果你越狱了 Apple 设备，就可以对设备进行全面检查。你可以从这种设备中提取文件系统，通过对文件系统的分析，能够提取最多的用户数据。然而，并非所有类型的设备都可以执行此操作。

对于 iPhone 4 及以下版本的移动设备，可以进行物理转储。这不仅允许你从设备中完全提取用户数据，还可以恢复屏幕锁密码。你可以使用法医程序如 UFED Physical Analyzer（Cellebrite）、Elcomsoft iOS Forensic Toolkit（Elcomsoft）或 XRY（Micro Systemation）对 Apple 移动设备进行物理转储。

解锁被锁定的 Apple 设备可能会成为问题，因为无法从锁定的设备中提取用户数据。除了上面提到的旧款 Apple 设备的屏幕锁密码恢复方法之外，还有针对新设备的密码恢复方法。这些功能在一些软件产品中得以实现，例如：UFED Physical Analyzer（Cellebrite）、Advanced Physical Extractor（Susteen），以及名为 IP-BOX 的硬件解决方案。由于 iOS 操作系统新版本中出现的额外安全功能，这些方法的使用也受到了限制。

一种不需要购买昂贵法医程序或法医硬件解决方案的解锁 Apple 设备的方法是使用锁定文件。本章将描述这种方法。

存储在苹果移动设备上的另一类信息来源是备份，这些备份可以在设备拥有者的电脑、笔记本电脑以及他们的 iCloud 账户中找到。通常，移动设备的拥有者并没有意识到，当设备连接到计算机时，设备的备份会自动创建。由于这一事实，设备的拥有者并未采取措施删除这些备份。

使用 Oxygen Forensics 获取 Apple 设备数据

Oxygen Forensics 程序已在第一章中介绍，SIM 卡获取与分析，该章节中涉及了配方使用 Oxygen Forensics 获取和分析 SIM 卡。本章将展示通过 Oxygen Forensics 程序制作 Apple 移动设备数据的逻辑副本的过程。

准备就绪

若要从 Apple 设备中提取数据，您需要安装 iTunes 程序，安装方法将在本章节中详细说明，属于配方Apple 设备通过 iTunes 获取的一部分。没有 iTunes，您无法创建设备的备份。唯一能用的功能是从设备中复制媒体文件。

如何操作…

1. 在 Oxygen Forensics 程序中，点击工具栏上的“连接设备”按钮，它将启动 Oxygen Forensic Extractor：

Oxygen Forensic Extractor 的主窗口

1. 点击“设备获取”。程序会自动搜索连接的设备。如果程序识别到设备，它会显示设备的属性。如果未找到设备，您可以通过使用“手动设备连接”和“自动连接设置”选项，尝试手动连接所检查的设备。

显示已连接设备信息的 Oxygen Forensic Extractor 窗口

1. 点击“下一步”按钮。在接下来的窗口中，您需要填写案件的详细信息，例如设备别名、案件编号、证据编号、地点、事件编号、检查员、设备所有者、所有者电子邮件等。请不要勾选“解析应用程序数据库并收集分析部分的数据...”以及“搜索并恢复已删除的数据...”，因为这些操作会占用额外的时间。

显示案件信息和提取选项的 Oxygen Forensic Extractor 窗口

1. 点击“下一步”按钮。在接下来的窗口中，您将被要求选择数据提取方式。可以通过两种方式从 Apple 移动设备中提取数据：

   • 高级逻辑方法：该方法意味着使用扩展的逻辑协议，而不是常规的 iTunes 备份创建程序。对于从没有越狱的 Apple 设备中提取数据，并且 iTunes 备份受密码保护的情况（不需要 iTunes 密码），推荐使用这种方法。若要提取事件日志和密码数据，请使用经典方法。

   • 经典方法：该方法意味着使用标准的 iTunes 备份创建程序，从未越狱的 Apple 设备提取数据，并直接从越狱设备中提取数据。

选择数据提取方式的 Oxygen Forensic Extractor 窗口

1. 选择所需的方法并点击“下一步”按钮。

2. 程序将提示你再次检查输入的数据，并在窗口中显示。如果所有数据正确，点击提取按钮，备份创建过程将开始。

3. 备份创建完成后，提取数据分析的过程将自动开始，之后可以在 Oxygen Forensic 程序中查看数据。

Oxygen Forensic Extractor 显示备份分析进度的窗口

提取结束后，可以在 Oxygen Forensic 程序中打开已创建的案件。

Oxygen Forensic Extractor 创建的加密备份的默认密码是 'oxygen'（不带引号）。

使用 libmobiledevice 获取苹果设备数据

Libmobiledevice 是一款跨平台的软件包，可以用来从苹果移动设备中提取逻辑数据。该软件有适用于 Windows、macOS 和 Linux 的版本。

准备中

下载并解压 libmobiledevice 存档。

如何操作…

1. 解锁设备并将其连接到计算机。

2. 点击“信任”以响应出现在移动设备屏幕上的请求。

3. 输入命令：device_id.exe -l。-l标志用于获取计算机上连接的所有苹果移动设备的信息。响应请求时，收到的设备 UDID 为：1f836c8471c4e60ce771e2fdcf14d7e1b31e8b15：

命令 device_id.exe -l 的执行结果

1. 设备的 UDID 可以用来获取更多关于连接设备的信息。输入命令：ideviceinfo.exe -u 1f836c8471c4e60ce771e2fdcf14d7e1b31e8b15。执行该命令的结果将返回大量设备信息：

命令执行结果： ideviceinfo.exe -u 1f836c8471c4e60ce771e2fdcf14d7e1b31e8b15

1. 要创建移动设备的备份，请输入以下命令：idevicebackup2.exe backup D: \ MobileCases \ iPhone_logical。

2. 输入命令后，开始从移动设备提取文件。提取进度将显示在命令窗口中，如下所示：

命令 idevicebackup2.exe backup D: \ MobileCases \ iPhone_logical 的进度

使用 Elcomsoft iOS Toolkit 获取苹果设备数据

Elcomsoft iOS Forensic Toolkit 是一套商业化的工具集，允许你从苹果移动设备中进行各种数据提取。通过 Elcomsoft iOS Forensic Toolkit，可以执行以下操作：

1. 恢复已锁定的苹果移动设备的密码（包括 iPhone 4）。

2. 创建苹果移动设备的物理转储（包括已锁定的设备，支持至 iPhone 4）。

3. 提取苹果移动设备的文件系统（仅限越狱设备）。

4. 创建苹果移动设备备份。

5. 还有更多内容。

Elcomsoft iOS Forensic Toolkit 支持从 32 位和 64 位 Apple 移动设备提取数据。

本章将展示通过 Elcomsoft iOS Forensic Toolkit 从 iPhone 4 创建物理转储的示例。

准备中

使用许可证中指定的链接下载程序并解压。将 Elcomsoft iOS Forensic Toolkit 的硬件密钥连接到计算机。

如何操作…

1. 转到程序文件夹并双击 Toolkit.cmd 文件：

Elcomsoft iOS Forensic Toolkit 主窗口

1. 将 Apple 设备置于 DFU 模式是创建物理转储的准备步骤。第 1 步中的脚本将帮助你完成此操作。按下 1 按钮。在出现的确认请求中，按 Y。完成此步骤后，屏幕上将显示如何将 Apple 移动设备置于 DFU 模式的说明。请仔细阅读。当准备好时，按 Enter。

2. 脚本将在计算机屏幕上依次显示指示，帮助你将 Apple 设备置于 DFU 模式：

脚本消息

1. 处于 DFU 模式的 Apple 设备看起来像是关闭的。其屏幕上不应显示任何信息。之后，你可以继续创建设备的物理转储。如果设备在关闭前屏幕已锁定，你需要使用 Elcomsoft iOS Forensic Toolkit 主窗口中的 3 选项来恢复密码，然后才能创建设备的物理转储。

2. 要创建设备的物理转储，请在 Elcomsoft iOS Forensic Toolkit 主窗口中点击 6。之后，系统将上传并启动自定义恢复镜像。Elcomsoft 标志应出现在设备屏幕上。如果没有，检查设备可能没有进入 DFU 模式；请重试：

自定义恢复镜像上传到设备的过程

1. 之后，系统将要求你选择应该从设备复制的分区。用户数据位于用户分区：

设备分区复制选择窗口

1. 按 2。这将开始从分区复制数据。提取进度将在窗口的左下角显示。提取结束后，程序窗口中将显示提取的总结信息：

关于提取的总结信息

它是如何工作的…

当你创建物理转储时，一个自定义恢复镜像会被上传到设备的内存中。借助此自定义恢复镜像，将创建一个物理转储，可能包含系统分区或用户分区（或同时包含两个分区）。

自定义恢复镜像位于设备的存储中，它不会更改系统分区或用户分区的数据。若要删除自定义恢复镜像，只需关闭设备。

参见

• Elcomsoft iOS Forensic Toolkit 首页：www.elcomsoft.com/eift.html

使用 iTunes 获取 Apple 设备

iTunes 是 Apple 提供的一款免费的工具，用于管理公司移动设备之间的数据传输。使用它，您可以同步或传输媒体文件、创建移动设备的备份，并转移购买的内容。

准备就绪

现在让我们下载 iTunes。在 iTunes 下载页面，取消勾选“通过电子邮件接收 iTunes 新内容和特别优惠”以及“接收 Apple 新闻、软件更新和产品与服务的最新信息”。点击“立即下载”按钮，文件下载过程将开始。下载完成后，双击文件，程序的安装过程将开始。

如何操作……

1. 双击 iTunes 图标。当您第一次启动 iTunes 时，系统会提示您接受许可协议，协议的内容会显示在程序的主窗口中。请仔细阅读，然后点击“同意”按钮。

2. 在下一个窗口中，点击“同意”按钮。

3. 在程序菜单中点击“编辑”。在打开的菜单中选择“偏好设置...”。在打开的窗口中，转到“设备偏好设置”部分。勾选“防止 iPod、iPhone 和 iPad 自动同步”和“当此计算机上的数据将更改 5% 时警告”。在第二个选项中，使用下拉菜单将 5% 的值更改为任意数字。点击“确定”按钮：

偏好设置窗口

1. 解锁设备并将其连接到计算机。点击移动设备屏幕上出现的请求中的“信任”。

2. 如果由于某种原因，您没有允许 iTunes 管理移动设备，计算机将显示以下框，提示您忘记了操作：

请求允许计算机管理移动设备的窗口

1. 如果计算机正确识别设备，您将在 iTunes 的左上角看到一个智能手机图标。点击它。无需额外的软件即可与设备进行操作：

显示设备正确连接的图标的窗口

1. iTunes 程序的主窗口将打开，其中将显示设备所有者的信息、设备状态等内容：

显示设备信息的主 iTunes 窗口

1. 在备份部分，勾选“此计算机”和“加密 iPhone 备份”。在打开的附加窗口中，输入两次将用于加密备份的密码。点击“设置密码”按钮：

输入密码的窗口

1. 在备份部分，点击“立即备份”按钮。点击后，连接设备的备份创建过程将开始。如果创建的是加密备份，它的创建进度会在一个单独的窗口中显示。如果创建的是未加密备份，创建进度会显示在主 iTunes 窗口的顶部。

备份创建的进度

1. 当备份创建完成后，备份部分的时间会发生变化，显示备份创建的时间，如下图所示：

最新备份创建部分的信息

1. 创建的备份可以通过以下路径找到：

   • Mac OS X - C:\Users\%username%\Library\Application Support\MobileSync\Backup\（或 ~/Library/Application Support/MobileSync/Backup/）

   • Windows XP - C:\Documents and Setting\%username%\Application Data\Apple Computer\MobileSync\Backup

   • Windows Vista、7、8 和 10 - C:\Users\%username%\AppData\Roaming\Apple Computer\MobileSync\Backup\

2. iTunes 备份的外观可以根据所安装的 iOS 操作系统版本而有所不同：

接收到来自 iOS 10 版本及以上的设备的 iTunes 备份的外观

接收到来自 iOS 版本低于 10 的设备的 iTunes 备份的外观

它是如何工作的…

当你将解锁后的 Apple 设备连接到电脑时，它会将设备内存中的数据同步到你的硬盘或 iCloud。根据所选的设置，备份可以是加密的，也可以不是。

还有更多内容…

如果在备份创建过程中提示你转移购买内容，请点击“不转移”按钮：

转移购买请求

在创建备份时输入的备份加密密码存储在移动设备的内存中。设备的所有后续备份都会自动使用该密码创建。

另见

• iTunes 下载页面：www.apple.com/lae/itunes/download/

解锁被锁定的 Apple 设备

如前所述，使用锁定文件是解锁任何 Apple 移动设备的最简单方法。如果专家不知道解锁设备的密码，他可以使用此方法。此方法的缺点是，专家必须拥有设备所有者的计算机或笔记本电脑，并且设备之前曾连接到该电脑。

如何操作…

现在让我们学习如何解锁被锁定的 Apple 设备：

1. Lockdown 文件是 iTunes 在连接苹果移动设备到计算机时创建的 - 例如，在同步音频文件时。如果专家拥有从同一人手中夺取的移动设备和计算机（或笔记本电脑），他可以通过以下方式找到 lockdown 文件：

   • Mac OS X – \private\var\db\lockdown

   • Windows 2000 和 XP – C:\Documents and Settings\All Users\Application Data\Apple\Lockdown

   • Windows Vista、7、8 和 10 – C:\ProgramData\Apple\Lockdown

Lockdown 文件

1. 专家必须将这些文件从检查的计算机复制到他自己的计算机（相同的文件夹）以成功提取数据。

2. 现在，可以通过法医工具从移动设备中提取数据，包括本章中描述的工具。

工作原理如下…

当 lockdown 文件复制到专家的计算机时，移动设备将专家的计算机标识为设备之前连接的计算机，因此允许将用户数据传输到该计算机。

还有更多内容…

如果检查的设备安装了 iOS 版本 9 或更高版本，并且在屏幕锁定后重新启动（或关闭），则无法通过此方法解锁。

第四章：Windows Phone 与 BlackBerry 设备的采集

在本章中，我们将介绍以下几个操作步骤：

• 使用 Oxygen Forensic 进行 BlackBerry 设备的采集

• 使用 BlackBerry 桌面软件进行 BlackBerry 设备的采集

• 使用 Oxygen Forensic 进行 Windows Phone 设备的数据采集

• 使用 UFED 4PC 进行 Windows Phone 设备的采集

介绍

运行 Windows Phone OS 和 BlackBerry OS 的移动设备，已经越来越少作为法医分析对象。这类设备的流行高峰期已经过去。然而，专家仍然需要了解从这些设备提取数据的方法。相关方法将在本章中介绍。

运行 Windows Phone OS 的设备是微软试图通过自有操作系统进入移动设备市场的一种尝试。Windows Phone OS 设备于 2010 年上市。大部分这些设备由诺基亚（现为微软所有）生产。然而，也有由 HTC、LG、联想和三星等公司生产的型号。为了避免混淆，应该记住，早期版本（7 和 8）被称为 Windows Phone。该系列操作系统的最新版本是 Windows 10 Mobile。

BlackBerry 曾是安全手机生产的领先者之一。该公司主要使用自己的操作系统——BlackBerry OS，运行在 BlackBerry 移动设备上。为了从此类设备中提取数据，专家需要知道用户名和账户密码（BlackBerry ID）。这些信息是解密所需的，它存储在手机的内存或备份中。

BlackBerry 于 2015 年停止了运行 BlackBerry OS 的移动设备的生产。现在，BlackBerry 的新型号采用了 Android 操作系统。

2016 年 9 月，BlackBerry 宣布停止智能手机的生产。

使用 Oxygen Forensic 进行 BlackBerry 设备的采集

在第一章《SIM 卡采集与分析》中已介绍 Oxygen Forensic 程序。在本章中，将解释如何通过 Oxygen Forensic 对 BlackBerry 移动设备进行逻辑复制。逻辑复制仅包含某些类型的逻辑数据，如通讯录、通话记录、短信（SMS、MMS）、图片和视频。

准备工作

为了从 BlackBerry 设备中提取数据，你需要安装 BlackBerry 桌面软件（该程序将在后文介绍）。

如何操作…

1. 在 Oxygen Forensic 程序中，点击工具栏上的“连接设备”按钮。它将启动 Oxygen Forensic Extractor。

2. 点击“设备采集”。程序将自动搜索已连接的设备。如果程序识别到该设备，其属性将显示在程序窗口中。如果未找到设备，则可以使用“手动设备连接”和“自动连接”设置选项，尝试手动连接设备：

显示已连接设备信息的 Oxygen Forensic Extractor 窗口

1. 点击“下一步”按钮。在下一个窗口中，程序将要求输入设备所有者帐户的登录名和密码。此信息对于解密设备内存中的数据是必需的。请确保您的工作站已连接到互联网，并且可以访问us.blackberry.com/bbid网站：

设备所有者用户帐户的登录窗口。

1. 点击“应用密码”。如果正确输入了用户的身份信息，并且程序没有显示错误消息，则点击“下一步”按钮。

2. 在下一个窗口中，您需要填写案件的详细信息，如设备别名、案件编号、证据编号、地点、事件编号、检查员、设备所有者和所有者电子邮件。不要勾选“解析应用程序数据库并收集分析部分数据...”或“搜索并恢复已删除的数据...”选项，因为这些操作会额外消耗时间。

3. 点击“下一步”按钮。在下一个窗口中，系统将要求您选择数据类型（通讯录、通话记录、短信、彩信、媒体文件等）。勾选您希望从设备中提取的数据类型。点击“下一步”按钮。

4. 程序会提示您再次检查输入的数据，并在窗口中显示。如果所有数据都正确，请点击“提取”按钮。数据提取过程将开始。

5. 当提取完成后，提取数据分析的程序将自动开始，然后可以在 Oxygen Forensic 程序中查看数据：

从 BlackBerry 设备提取的数据显示分析结果。

还有更多…

尽管 BlackBerry 操作系统已经过时，BlackBerry 在使用加密进行数据存储方面的方法仍然给专家们带来了许多问题。

即使进行逻辑数据提取或从备份中提取数据，专家也需要密码来解锁和解密设备上的数据。在某些情况下，根据 BlackBerry OS 的版本，可能需要 BlackBerry ID 帐户的用户名和密码来解密用户数据。

设备上加密的数据会通过一个额外的图标显示在设备的显示屏上。

在运行 BlackBerry OS 10 以下的设备上，可以在安装在设备上的内存卡中找到info.mkf文件（位于/BlackBerry/system/目录下）。该文件包含密码，用于创建备份。如果设备已锁定且其内存卡上的数据使用锁定密码或数据加密密码加密，则会创建info.mkf文件。该文件中的密码可以通过第三方工具提取。

有时，待检查的设备可能与BlackBerry 企业服务器（BES）账户相关联。BES 是一个程序，允许 BlackBerry 设备访问企业邮件和协作软件，如 Microsoft Exchange、Lotus Domino 和 Novell GroupWise。如果设备所有者忘记了设备的锁屏密码（或设备的加密数据），这些密码可以由 BES 管理员重置。需要注意的是，用户数据不会被删除。

使用 BlackBerry 桌面软件获取 BlackBerry 设备

Blackberry 桌面软件是一个替代工具，可以用来创建 BlackBerry 设备上数据的备份。随后，第三方取证工具可以提取这些备份中的数据。需要记住的是，备份中的数据是加密的。要解密数据，您需要拥有设备所有者账户的登录名和密码。

正在准备中

1. 从us.blackberry.com/software/desktop下载 BlackBerry 桌面软件。双击下载的文件，程序安装过程将开始。将安装以下组件：

   • BlackBerry 移动设备的驱动程序。

   • BlackBerry Blend是用于在设备上查看数据（如日历和联系人）的工具。BlackBerry Blend 还可以用来在设备和计算机之间传输文件。

   • BlackBerry Link用于创建设备的备份，并将所有者的数据转移到新设备上。同时，BlackBerry Link 还可以用于更新 BlackBerry 移动设备的固件。也可以通过 BlackBerry Link 重置设备。

2. 阅读并接受在 Blackberry 桌面软件窗口中显示的许可协议，点击“接受”按钮。按照 Blackberry 桌面软件窗口中的安装说明操作。

3. 安装过程结束时，点击关闭按钮。然后重启计算机。

如何操作…

1. 解锁待检查的设备并将其连接到计算机。您可以通过启动 BlackBerry 设备管理器检查设备是否已连接。连接的 BlackBerry 设备将显示在设备管理器的窗口中。有关与计算机连接的信息也可以在设备的设置部分找到。

2. 双击 BlackBerry Link 图标。首次启动时，程序会提示您进行设置。

这些设置没有难度。请记下并记住备份保存的路径。您将能够在程序设置过程的第三步看到有关连接的 BlackBerry 设备的信息。

1. 设置完成后，您将看到包含连接设备详细信息的主程序窗口：

显示连接设备信息的 BlackBerry Link 窗口

1. 双击已连接的设备。BlackBerry Link 将显示主窗口，您可以通过该窗口管理设备：

BlackBerry Link 窗口，提供设备管理选项

1. 选择要创建的备份类型并点击“备份设备”按钮。此时将开始创建所连接设备的新备份。备份完成后，您应该使用第十章的工具提取备份数据，Windows 手机和 BlackBerry 取证。

还有更多内容……

运行 BlackBerry OS 的移动设备可以通过数据线连接到专家的电脑。根据设备型号，使用的是迷你 USB 或微型 USB 数据线。

连接设备时，请确保设备已解密并解锁。如果设备被锁定，电脑操作系统将无法识别该设备。

如果设备已加密，则在解锁时，可以请求用于解密数据的第二个密码。设备的解锁密码和数据解密密码可能不同。

在检查运行 BlackBerry OS 的移动设备时，请记住，这家公司是第一个宣布具有远程擦除用户数据功能的公司。因此，在处理这些设备之前，专家应采取措施防止设备的远程控制。

专家在此步骤中常犯的典型错误是驱动程序安装不正确。让我们仔细看看如何将不同版本操作系统的 BlackBerry 设备连接到专家的电脑。

连接运行 BlackBerry OS 5 或 6 的设备

连接运行 BlackBerry OS 5 或 6 的设备时，需要遵循以下步骤：

1. 在电脑上安装 BlackBerry 桌面软件程序(blackberry.com/software/desktop.html)。此程序包含最新的驱动程序版本和相关 BlackBerry 设备所需的证书。

2. 如果设备被密码锁定，请解锁设备。

3. 连接设备到电脑时，系统将提示选择不同的连接模式。请勿选择任何模式。

4. 如果无法连接，请尝试手动在任务管理器中停止BbDevMgr.exe进程。

连接运行 BlackBerry OS 10 的设备

连接运行 BlackBerry OS 10 的设备时，需要遵循以下步骤：

1. 在电脑上安装 BlackBerry Link 程序(blackberry.com/software/desktop/blackberry-link.html)。此程序包含最新的驱动程序版本和相关设备所需的证书。

2. 如果设备被密码锁定，请解锁设备。

3. 将电脑连接到互联网。这是必需的，因为加密密钥只能从 BlackBerry 服务器获取。

4. 在 Oxygen Forensic Extractor 中输入与设备相关联的 BlackBerry ID 帐户用户名和密码。

另请参阅

• Blackberry Desktop Software 主页：us.blackberry.com/software/desktop

• BlackBerry ID 主页：us.blackberry.com/bbid

Windows Phone 被 Oxygen Forensic 收购

Oxygen Forensic 已在第一章中进行了详细描述，SIM 卡提取与分析。本文介绍了使用 Oxygen Forensic 创建 Windows Phone 移动设备数据逻辑副本的过程。

准备工作

为了从 Windows Phone 设备提取数据，您应该通过 USB 和蓝牙接口连接设备（通过蓝牙接口连接并不是通常提取数据的强制要求。仅在提取联系人时才需要）。这将为您提供从设备完全提取用户数据的机会。

如何操作…

1. 在 Oxygen Forensic 中，单击工具栏上的“连接设备”按钮。它将启动 Oxygen Forensic Extractor。

2. 单击“设备收购”。程序将自动搜索连接的设备。如果程序识别设备，则设备属性将显示在程序窗口中。如果未找到设备，则可以尝试使用“手动设备连接”和“自动连接设置”选项手动连接受检查的设备：

Oxygen Forensic Extractor 窗口显示连接设备的信息

1. 单击“下一步”按钮。在接下来的窗口中，您需要填写案件的详细信息，例如“设备别名”、“案件编号”、“证据编号”、“地点”、“事件编号”、“检查员”、“设备所有者”和“所有者电子邮件”。不要勾选“解析应用程序数据库并收集数据用于分析部分…”或“搜索和恢复已删除的数据…”，因为这些操作将需要额外时间。

2. 单击“下一步”按钮。在接下来的窗口中，您将被提示选择数据类型（电话簿、通话记录、短信、彩信、媒体文件等）。选中要从设备中提取的数据类型。单击“下一步”按钮。

3. 在接下来的窗口中，您将被要求选择连接类型：

   • 通过 USB 线和蓝牙提取 - 该方法通过蓝牙提取联系人和通话。仅通过 USB 线提取闪存卡中的文件和设备的一般信息。

   • 通过 USB 线提取 - 只能通过 USB 线提取闪存卡中的文件和设备的一般信息。

4. 使用第一个选项提取联系人和通话记录：

Oxygen Forensic Extractor 窗口显示从 Windows Phone 设备提取数据的选项

1. 程序会提示你再次检查输入的数据，并将其显示在窗口中。如果所有数据都正确，请点击提取按钮。数据提取过程将开始。

2. 当提取完成后，提取的数据分析过程将自动开始，之后数据可以在 Oxygen Forensic 中查看。

还有更多...

存储在外部存储介质（如内存卡）和内部存储中的数据都可以在运行 Windows Phone 操作系统的设备上加密。

此类设备的加密是基于 BitLocker 技术实现的，采用 高级加密标准（AES，128 位加密）加密算法。加密密钥存储在一个单独的芯片上，这使得提取密钥变得困难。对设备内存和外部存储介质的数据访问可以通过硬件级别的密码进一步进行屏蔽。综合以上所有因素，使得从设备中提取数据变得非常困难。

这些设备上使用的安全策略不允许用户禁用加密或将加密算法更改为更简单的算法。相反，系统可以加入额外的选项，例如在检测到密码破解尝试时允许删除用户数据。

大多数运行 Windows Phone 操作系统的设备都有一个存储卡槽。在 Windows Phone 8 版本中，出现了可以将应用程序安装到内存卡而不仅仅是内部存储的选项。所有存储卡中的应用程序和数据都会自动加密，但需要注意的是，媒体内容（如图片和视频）不会被加密。这使得设备所有者可以方便地与其他用户交换这些类型的文件。

你可能需要锁屏密码才能访问运行 Windows Phone 操作系统的设备。用户，尤其是企业用户，通常会按照主数据管理（MDM）或微软 Exchange ActiveSync（EAS）管理员设置的规则使用密码。

运行 Windows Phone 操作系统的设备还支持以下管理方法：

• 远程擦除：公司的技术人员可以通过 MDM 或 Exchange 服务器管理控制台发起远程设备擦除。用户也可以通过微软 Outlook Web Access（OWA）服务发起远程设备擦除。

• 部分数据删除：如果设备与 MDM 关联，系统管理员可以对设备进行部分擦除。在这种情况下，企业数据和企业账户的设置将被删除，但设备所有者的个人数据将被保留。

• 远程锁定：公司的技术人员可以远程锁定设备，之后设备可以解锁。

• 远程重置锁屏密码：公司的技术人员可以远程重置屏幕锁密码，例如用户忘记密码时。用户的企业和个人数据会被保留。

使用 UFED 4PC 获取 Windows Phone 数据

Cellebrite 公司产品，如 UFED 4PC、UFED Touch 和 UFED Physical Analyzer，是移动取证领域中的佼佼者。在本流程中，将展示如何使用 UFED 4PC 从 Windows Phone 设备中提取数据。

准备就绪

UFED 4 PC 的试用许可证可以通过向 Cellebrite 分销商申请获得。收到申请后，您将收到一封包含分发链接的电子邮件。

1. 下载 UFED 4 PC。

2. 双击安装文件图标。

3. 按照说明安装 UFED 4 PC。安装完成后，点击 UFED 4 PC 图标。

启动后，程序将显示一个窗口，指示程序尚未激活：

提供选择许可证类型的 UFED 4 PC 窗口

1. 点击“软件”。在新窗口中，将显示需要发送给分销商的计算机 ID：

带有计算机 ID 的 UFED 4 PC 窗口

1. 对计算机 ID 的响应将收到一条包含许可证文件链接的消息。

要激活您的应用程序许可证，请按照以下步骤操作：

1. 将许可证保存到您的 PC。

2. 启动相关应用程序。

3. 应用程序将打开，并显示一个 Cellebrite 产品许可证窗口。

在 Cellebrite 产品许可证窗口中：软件 | 加载许可证文件。

1. 选择 License 文件并点击“打开”。

   Cellebrite 产品许可证窗口将显示以下信息：您的软件许可证已成功更新。

2. 点击“关闭”。

应用程序现在已激活！

如何操作……

1. 双击程序图标启动 UFED 4 PC。

   移动设备可以在连接时由 UFED 4 PC 自动识别，也可以手动识别。

2. 若要手动选择被检查的设备，请点击“移动设备”图标。在新窗口中，选择 Nokia GSM 图标。

3. 在下一个窗口中，您将被提示选择保存从 Windows Phone 提取的数据的路径。如果您想选择其他位置保存数据，请点击“更改目标路径”。输入新的路径后，点击“确定”按钮。

4. 在下一个窗口中，选择提取类型：

提取类型选择

1. 点击“文件系统提取”。在下一个窗口中，您将看到设备连接说明。按照说明连接设备。点击“继续”按钮：

Windows Phone 设备连接说明

设备数据提取过程将开始。提取结束时，将显示最终窗口，您将被提示选择以下选项之一：

• 在 UFED Physical Analyzer 中打开提取的数据。

• 打开包含提取数据的文件夹。

• 从同一设备添加另一个提取，但使用不同的方法。

• 点击“完成”按钮以完成操作。

另请参见

Cellebrite 公司的主页：www.cellebrite.com.

第五章：云服务是替代的数据来源

本章将介绍以下内容：

• 使用 Cloud Extractor 从云端提取 Android 设备的数据

• 使用 Electronic Evidence Examiner 从 Facebook 账户中提取数据

• 使用 Elcomsoft Phone Breaker 从 iCloud 提取数据

• 使用 Belkasoft Evidence Center 从 iCloud 提取数据

简介

如今，我们可以看到新型信息来源的出现，这些信息存储或曾经存储在移动设备的内存中。最著名的有以下几种：

• 存储 Android 操作系统设备信息的 Google 服务

• 苹果云存储 iCloud，用于存储 Apple 设备的数据

• 存储 Windows Phone 操作系统设备信息的 Microsoft 服务

这些服务有哪些特点？苹果设备的所有者在管理保存在 iCloud 中的数据时有一定的限制。因此，如果设备所有者从设备中删除了不需要的信息，这些数据可以从保存在 iCloud 中的 iTunes 备份中恢复。同样，从设备中永久删除的图片文件和视频文件，也可以从 iTunes 和 Android 备份中恢复。

Microsoft 服务用于同步所有者在不同 Windows 设备间的数据。因此，这些云服务中可能包含来自所有者其他设备的信息和文档。换句话说，如果专家可以访问这个云服务，他们几乎就可以访问该账户所有者所有设备上的数据。

由于大量机密数据存储在云服务中，云服务的所有公司（服务提供商）不断提升数据安全机制。几乎所有地方都使用了双重身份验证，这有效阻止了对数据的访问。因此，特别重要的是，你使用的数字取证工具必须支持云服务中所有用户身份验证机制。

UFED Cloud Analyzer，由 Cellebrite 生产，是一款非常好的用于从云服务中提取数据的程序。作者测试了这款程序，并对其功能和从各种云服务中提取数据的能力感到非常满意。然而，这款程序价格非常昂贵，在写作时，只有军队和政府组织才能负担得起。你可以从当地的 Cellebrite 经销商那里获取该程序的试用版。

另一个有趣的云服务工具是 Micro Systemation 的 XRY Cloud（www.msab.com）。然而，本书的作者未能获得该程序的试用版或完整版，因此我无法告诉你关于这个产品的更多信息。

在使用用于从云服务提取数据的程序时，应该注意哪些事项？通常，这些程序不仅能通过账户所有者的登录和密码提取数据，还可以通过令牌提取。使用令牌从云服务中提取数据有以下优点：

• 不需要知道登录和密码就能访问云存储

• 它允许你绕过双因素认证

• 一个令牌的有效期可以从几个小时到几个月不等

因此，移动设备越早送达法医实验室，从设备上使用的云账户中成功提取数据的机会就越高。

使用 Cloud Extractor 从安卓设备中提取云端数据

Oxygen Forensic 在第一章中有描述，SIM 卡获取与分析。该程序包含 Cloud Extractor 模块，可用于从云服务中提取数据。一定程度上，Oxygen Cloud Extractor 的界面和功能与 UFED Cloud Analyzer 类似。然而，Oxygen Cloud Extractor 比 UFED Cloud Analyzer 便宜，而且更容易购买。在本章中，将描述如何使用 Cloud Extractor 从 Google 服务中提取数据。

如何操作…

1. 首先，你需要从被检查的设备中提取所有登录名、密码和令牌。如果你提取了文件系统或做了设备的物理转储，成功提取必要数据的可能性会更高。记住，用户的登录名和密码也可以在其他云服务账户中使用。你所需要做的就是测试一下。

2. 从移动设备提取数据后，关于提取数据的信息会显示在设备的桌面上，可以用来访问云服务，显示在 Oxygen Forensic 中：

设备桌面的片段，显示从设备中提取了四个云账户

1. 如果点击“云账户”，该部分的桌面将打开，你可以看到可以用来访问存储在云端的数据的用户名、密码和令牌：

提取的用户名、密码和令牌信息

1. 点击工具栏上的“提取数据”按钮，从云服务中提取数据。填写案件的详细信息：所有者姓名、所有者邮箱、所有者电话号码、证据编号、事件编号、提取别名、检查员、案件、地点等。

2. 在下一个窗口中，程序将显示可供提取的服务。如果你有其他云服务的凭证（或令牌），点击“添加凭证”并添加它们。点击“下一步”：

可供提取的云服务

1. 程序将自动开始验证输入的凭证和令牌。验证进度将在程序窗口中显示：

访问云存储所需的验证过程

1. 如果任何云服务要求两步验证，程序将打开附加窗口并提示您输入此数据。

2. 在下一个窗口中，选择您需要的日期范围。点击下一步。

3. 从云服务提取数据的过程将开始。数据提取进度将在程序窗口中显示：

从云服务提取的数据结果

1. 在下一个窗口中，将显示有关提取的汇总信息。点击下一步按钮。然后，程序的最终窗口将显示，提示您选择以下操作之一：

   • 在 Oxygen Software Detective 中打开提取的数据

   • 显示 OCB 备份（包含从云存储提取的数据和文件的备份）

   • 新的提取

2. 如果您不想执行任何这些操作，请点击关闭按钮：

从云存储提取过程的最终窗口

提取的数据将可以进行查看和分析：

数据提取结果

使用电子证据检查器提取 Facebook 账户数据

可能没有哪个专家没听说过 Paraben 产品。然而，并非所有专家都了解其功能。在法医学论坛上，Facebook 账户数据获取的问题时常被提及。在这篇教程中，我们将描述如何使用电子证据检查器来完成此操作。

准备中

从您的个人账户下载电子证据检查器（E3: Universal）并使用电子许可证激活，或者将您的 Paraben 硬件密钥连接到计算机。以下是 E3 Universal 的网页链接：

• E3: Universal 网页：www.paraben.com/products/e3-universal

• E3: Universal 试用版网页：www.paraben.com/forms/request-trial

如何操作……

1. 双击 E3: Universal 图标。当程序启动时，创建一个新案件。点击工具栏上的 Cloud Import 图标：

E3: Universal 工具栏

1. 使用此工具，您可以从以下云服务提取数据：Facebook、Google Locations、Google Mail、Google Drive 和 Twitter。在 Cloud Data Import Wizard 窗口中，选择“Data Source”下的 Facebook 复选框，并在相应的窗口中输入帐户的登录名和密码：

Cloud Data Import Wizard 窗口

1. 点击“认证”按钮。程序将检查帐户数据是否正确，并向您通报：

帐户数据验证结果

1. 选择要提取数据的日期范围，并选中数据类型。点击“导入数据”按钮：

提取选项选择窗口

1. 数据提取过程即将开始。进度将显示在 Cloud Data Import Wizard 窗口中。提取完成后，点击“完成”按钮。任务状态通知窗口将显示。该窗口包含数据存放路径的信息。点击“确定”。然后你可以在 E3: Universal 中查看和处理提取的数据：

在 E3: Universal 窗口中显示的提取数据

使用 Elcomsoft Phone Breaker 从 iCloud 提取数据

Elcomsoft Phone Breaker 是从云服务提取数据的理想工具。尽管界面简洁，但功能强大，可以提取最大量的数据。Elcomsoft Phone Breaker 的特殊之处在于，专家需要从同一公司获取额外的软件来查看提取的数据（Elcomsoft Phone Viewer），与本章描述的其他程序不同。Elcomsoft Phone Breaker 是我们探索的所有云服务数据提取程序中最便宜的一个。在本篇中，我们将介绍使用 Elcomsoft Phone Breaker 提取保存在 iCloud 中的 iTunes 备份的方法。

准备工作

从以下链接下载程序，并通过将通过电子邮件发送给您的代码进行激活：

• Elcomsoft Phone Breaker 页面位于 www.elcomsoft.com/eppb.html

• Elcomsoft Phone Viewer 页面位于 www.elcomsoft.com/epv.html

如何操作…

1. 双击程序图标以启动它：

Elcomsoft Phone Breaker 主窗口

1. 点击“从 iCloud 下载备份”选项。在下一个窗口中，您将被提示选择身份验证方法，可以选择登录和密码或者令牌：

选择身份验证方法

1. 对于提取，检查员应该具有帐户的凭据。有很多方法可以获取它们。例如，检查员可以向帐户所有者请求它们。输入凭据并点击“登录”按钮。在用户识别过程中，如果 iCloud 帐户启用了双因素身份验证，则程序将显示额外窗口，提示您输入发送到受信设备的代码。

2. 然后，位于 iCloud 服务中的 iTunes 备份将显示在程序窗口中：

保存在 iCloud 中的备份

1. 勾选所需的 iTunes 备份，并点击“下载”按钮。在提取结束时，提取结果的最终窗口将显示。您可以点击“完成”以结束提取过程，或者点击“在 EPV 中打开”查看从 iCloud 提取的数据：

显示有关从 iCloud 提取的数据的信息的窗口

还有更多……

使用 Elcomsoft Phone Breaker，您可以从 Microsoft 云服务中提取数据。更多信息，请阅读 Oleg Afonin 的文章 从 Microsoft 帐户获取通话记录、浏览历史和位置信息：blog.elcomsoft.com/2017/06/fetching-call-logs-browsing-history-and-location-data-from-microsoft-accounts/.

使用 Belkasoft Evidence Center 从 iCloud 提取数据

Belkasoft Evidence Center 已在 第二章 Android 设备获取 中进行了介绍。现在该程序具有从云存储提取数据的功能。在本教程中，我们将描述如何使用 Belkasoft Evidence Center 从 iCloud 提取数据。

如何操作……

1. 双击 Belkasoft Evidence Center 图标。程序启动后，点击“新建案件”按钮。在窗口中输入新案件的信息并点击“创建并打开”。在“添加数据源”窗口中，指定提取数据保存的路径，并点击“云”按钮：

添加数据源窗口

1. 在下一个窗口中，点击“iCloud”图标，然后点击“下一步”按钮：

选择云服务

1. 在下一个窗口中，选择身份验证方法：使用登录和密码，或使用 icloud.com 的 cookies。选择使用登录和密码进行身份验证。输入凭据。点击“下一步”按钮。在下一个窗口中，选择您需要从 iCloud 提取的数据类型。点击“下一步”按钮：

选择保存在 iCloud 中的数据类型

1. 数据提取过程将开始，提取进度将在程序窗口中显示。提取完成后，将显示有关提取的汇总信息。点击“完成”以结束提取器的工作。

第六章：SQLite 取证

在本章中，我们将介绍以下操作方法：

• 使用 Belkasoft Evidence Center 解析 SQLite 数据库

• 使用 DB Browser for SQLite 解析 SQLite 数据库

• 使用 Oxygen Forensic SQLite Viewer 解析 SQLite 数据库

• 使用 SQLite Wizard 解析 SQLite 数据库

引言

SQLite 数据库在移动设备和 PC 上广泛用于各种应用程序的数据存储。因此，对这些数据库的分析具有重要意义。根据我们的经验，深入分析 SQLite 数据库可以帮助我们提取最多 50% 的附加数据。以下几点对此进行了解释：

• 有数百万个应用程序将数据存储在 SQLite 数据库中。没有任何移动取证软件开发商能够提供对如此大量应用程序的分析支持。

• 如果数据库名称或存储路径在应用程序版本更改过程中发生了变化，移动取证工具将无法正确识别并分析该数据库。

• 并非所有取证工具都提供 SQLite 数据库的自动分析选项。例如，一些工具能够提取 Skype Freelists 数据，而一些则不能。对数据库的手动深入分析可以更全面地提取其数据。

有成千上万种 SQLite 查看器。那么，应该选择哪个工具进行分析呢？根据我们的经验，最有效的移动应用程序 SQLite 数据库分析工具是由移动取证软件开发者生产的工具。

许多初学者专家担心在手动 SQLite 数据库分析过程中需要编写 SQL 命令。然而，所有先进的 SQLite 查看器都采用了模板和 SQL 命令的可视化方式，使得数据库分析变得更加简便。

SQLite 数据库通常存储在 Android 设备的 userdata 分区中。

使用 Belkasoft Evidence Center 解析 SQLite 数据库

Belkasoft Evidence Center 程序已经在第二章中描述过，Android 设备数据获取。该程序具有对移动设备和 PC 上的 SQLite 数据库进行分析的功能。在本章中，我们将描述如何使用 Belkasoft Evidence Center 分析 SQLite 数据库。

如何操作……

在本案例中，我们将描述一个有趣的案例。问题如下：在一部被检查的 iPhone 5 屏幕上，有与两个人的 Skype 聊天记录，但在分析结果中，并未显示出提取的数据，这些数据是通过取证工具展示的。在我被请求提供帮助之前，我的同事们已经徒劳地尝试了他们所有的移动取证工具。那些工具无法访问聊天记录。

通过 Belkasoft Evidence Center 分析了此设备的 iTunes 备份（该过程将在第九章，iOS 取证，使用 Belkasoft Evidence Center 解析 iOS 备份部分中描述），我们得到了以下结果：

iTunes 备份分析结果总结

从结果可以看出，在检查的 iTunes 备份中有两个 Skype SQLite 数据库，但未找到消息。

这些数据库位于以下路径：

• 配置文件路径：image:\1\vol_0\HomeDomain\Library\com.apple.internal.ck\main.db

• 配置文件路径：image:\1\vol_0\AppDomain-com.skype.skype\Library\Application Support\Skype4LifeSlimCore\serhioshep\main.db

作为 SQLite 数据库分析的示例，我们将处理位于serhioshep文件夹中的main.db文件：

main.db 文件

双击文件系统选项卡并转到该文件：

main.db 文件

从下图可以看出，main.db文件的大小为 266 KB，这意味着它可能包含我们正在寻找的通信记录。

双击main.db文件并选择下窗口中的 Sqlite 选项卡。在此窗口中，将显示所检查数据库中包含的数据类别。例如，在账户类别中，我们可以看到serhioshep记录。它是一个 Skype 账户名：

main.db 文件的类别。

然而，在消息类别中没有信息。如果点击此窗口的十六进制选项卡，可以看到该部分数据库中没有数据：

main.db 文件中的数据（十六进制模式）

当我们检查第二个main.db文件时，得到了类似的结果。

发生了什么？有两种解释：

• 解释一：尽管这些文件是 SQLite 数据库，但它们不包含有关消息的信息。也许这是因为设备的安全设置不允许此信息传输到 iTunes 备份。

• 解释二：这些文件确实不包含通信记录，设备显示的是保存在 WAL 文件中的通信记录，而这些记录并未传输到 iTunes 备份中。

解决方案是我们需要越狱设备。越狱可以让我们完全访问设备的文件系统，从而提取更多的数据。main.db文件将以未更改的形式提供供分析，如果设备内存中存在 WAL 文件，它们也将可用。这种方法将帮助我们提取 Skype 通信记录。

使用 DB Browser for SQLite 解析 SQLite 数据库

SQLite 数据库浏览器是一个免费的工具，可用于 SQLite 数据库分析。它拥有强大的数据分析功能。

准备工作

打开 SQLite 数据库浏览器程序官网，在浏览器中选择适合您操作系统的程序版本并下载。双击下载文件的图标，并按照提示完成安装。

如何操作…

双击 SQLite 数据库浏览器程序的图标，程序将启动。您可以创建自己的 SQLite 数据库或分析已有的数据库。在本章中，我们将描述如何分析 mmssms.db 文件的内容。

点击“打开数据库”。选择要分析的文件。点击“确定”：

SQLite 数据库浏览器工具栏

要分析的文件将被上传到程序中。程序的主窗口有四个标签页：

1. 数据库结构：显示数据库的结构。

2. 浏览数据：显示数据库中包含的数据。

3. EditPramas：数据库分析的参数。

4. 执行 SQL：图形界面，可以提供 SQL 命令。

程序主窗口的标签页

在数据库结构标签页中，展示了上传的数据库结构。在本例中，分析的数据库包含两个表，android_metadata 和 sms：

被分析的数据库结构

转到“浏览数据”标签页，从下拉菜单中选择 sms 表。在程序的主窗口中，将显示一个表格，显示记录的序号、短信文本、电话号码、类型（收到的短信或发出的短信）、日期、发送日期、状态（短信是否已读）等信息：

sms 表中的数据

如图所示，无法明确判断 date 和 date_sent 列中的值所采用的格式。解释这些值可能对经验不足的专家造成困难。同时，请记住该表中的记录数量（2,798），因为在我们描述 Oxygen Forensic SQLite Viewer 时，这个数字对我们来说很重要。

还有更多…

除了 SQLite 数据库，数据还可能包含在 WAL 文件中。WAL 文件是预写日志，它们包含 SQLite 数据库中的一些页面。如果想从移动设备中提取最大数据，您也应该分析可用的 WAL 文件。

参见

• SQLite 数据库浏览器官网：sqlitebrowser.org/

• 另一个免费的 SQLite 数据库分析工具 Sqliteman 的官网：sourceforge.net/projects/sqliteman/

• WAL 文件分析程序 Walitean: github.com/n0fate/walitean

使用 Oxygen Forensic SQLite Viewer 解析 SQLite 数据库

Oxygen Forensic 程序在第一章中已有描述，SIM 卡的获取与分析。该程序有一个 Oxygen Forensic SQLite Viewer 模块，可用于 SQLite 数据库的查看与分析。

准备工作

Oxygen Forensic SQLite Viewer 可以通过完成三个步骤启动：

1. 双击位于以下路径的OxySQLiteViewer64.exe文件：‘C:\Program Files (x86)\Oxygen Software\Oxygen Forensic Detective’。

2. 双击 Oxygen Forensic 程序图标。在程序的工具栏中，选择工具，然后选择 SQLite 数据库查看器：

工具菜单

1. 在主案例窗口中，点击文件浏览器部分。在打开的窗口中，选择数据库文件标签。在此窗口中，所有的数据库（包括已删除的）都会显示出来。选择您要查看的数据库，左键点击它。在下拉窗口中选择在 SQLite Viewer 中打开。

如何操作…

双击位于C:\Program Files (x86)\Oxygen Software\Oxygen Forensic Detective路径中的OxySQLiteViewer64.exe程序文件。在程序的工具栏中，选择文件，然后选择打开。选择您要查看的文件并点击确定。为了对比不同程序的功能，我们将描述对相同mmssms.db文件的分析。

程序窗口分为三个区域：

• 区域 1：表格栏 - 在此栏中，显示上传到程序中的 SQLite 数据库文件的结构。

mmssms.db 文件的结构

如截图所示，除了数据库包含的 2,798 条记录外，程序还成功恢复了 13 条记录。

• 区域 2：程序的主要工作区域，其中显示数据：

Oxygen Forensic SQLite Viewer 程序主工作窗口的视图

如截图所示，表格中出现了新的附加记录，点击包含已删除数据的块标签，您将看到这些块包含文本，这些文本可能是从程序未能恢复的短信中转移过来的：

包含在“包含已删除数据的块”标签中的短信内容片段

程序的主窗口还包含以下标签：

表格结构：显示分析的 SQLite 数据库的结构

SQL 编辑器和可视化查询构建器：允许您指定 SQL 命令来分析类似的数据库

• 区域 3：位于右侧的栏，自动使用多个算法转换单元格的值。对于转换被检查数据库单元格的值非常方便：

左侧面板的外观

如图所示，所检查数据库中date单元格的值以 Unix 纪元时间（毫秒）格式存储。所检查单元格中的值是01.10.2016 2:25:23。

还有更多…

总结之前所说的，我们可以说，通过使用专业的 SQLite 数据库编辑器，专家不仅通过恢复删除的记录提取更多的数据，还可以恢复来自数据库其他区域的片段，这些片段可能对他们有兴趣。使用 SQL 编辑器和可视化查询构建器，您可以编写脚本，自动化对这些数据库的深入分析。

使用 SQLite 向导解析 SQLite 数据库

UFED 程序在第四章中已经描述过，Windows Phone 和 BlackBerry 数据提取。该程序包含 SQLite 向导模块，可用于从 SQLite 数据库中提取数据。

准备工作

不幸的是，SQLite 向导模块无法单独启动，使用前，专家必须通过 UFED Physical Analyzer 分析从移动设备提取的数据。分析完成后，点击类别：

数据库类别

在程序的主窗口中，将显示包含从所检查移动设备提取的 SQLite 数据库信息的标签。窗口还将显示数据库是否通过 UFED Physical Analyzer 进行了分析：

在 UFED Physical Analyzer 主窗口中显示的数据库信息

查看这个窗口时，专家会面临一个不愉快的发现。原来，大多数提取的 SQLite 数据库无法进行分析，这意味着一些数据，有时是非常重要的数据，可能会丢失。

如何操作…

作为一个例子，我们将描述对contacts2.db_backup数据库的分析。在 UFED Physical Analyzer 程序的主窗口中，右键点击该文件。在下拉菜单中，选择 SQLite 向导。打开的窗口会提示你填写应用程序和名称字段。填写完毕后，点击下一步。

在下一个窗口中，将打开查询构建器标签，其中将显示所检查文件中包含的表结构。通过双击它们，将它们添加到程序的桌面。在桌面上，您可以指定表之间应该如何关联。由于所检查的数据库结构是已知的，因此无需进行额外的操作。点击下一步按钮。

SQLite 向导包含大量模板，可以大大简化专家的工作。点击下拉菜单，选择Contacts模板：

SQLite 向导 R17 模板

在窗口的上部，将会有一些矩形框，显示联系人数据库的类别；包含数值的表格将会呈现在下方。将类别的矩形框拖动到相应的列中。如果有些类别矩形框没有使用也是可以的。点击“下一步”按钮。

在新窗口中，你可以指定设置：是否为此次分析使用新生成的 SQLite 数据库分析方案，或者是否将该分析方案用于所有后续的移动设备检查。

你可以通过点击“关闭”按钮关闭 SQLite 向导，或者通过点击“运行”按钮使用新的contacts2.db_backup数据库分析算法进行分析。分析结束后，提取的数据将被添加到之前接收到的数据中。

另见

• 移动取证：UFED 与 Magnet Acquire，www.digitalforensics.com/blog/mobile-forensics-ufed-vs-magnet-acquire/

第七章：理解 Plist 法医分析

在本章中，我们将介绍以下几个方案：

• 使用 Apple Plist Viewer 解析 plist

• 使用 Belkasoft Evidence Center 解析 plist

• 使用 plist Editor Pro 解析 plist

• 使用 Plist Explorer 解析 plist

引言

属性列表（plist）是 iOS 和 macOS 操作系统中用于不同类型数据存储的系统文件。它们可以被这两种操作系统以及应用程序使用。Plist 非常适合存储数组、字典和字符串。

Plist 是 XML 文件，但也有一些不同之处。例如，文件中标签的顺序是由一些规则决定的：它们是键值对，但 key 类型标签和 value 类型标签处于同一层级。例如：

<key>Device Name</key>
<string>iPhone Olja</string>
<key>GUID</key>
<string>D526CA3328B0A964372B4E93C12D5C74</string>
<key>ICCID</key>
<string>897010220192766690f</string>
<key>IMEI</key>
<string>013429003240443</string>

为了加速读写过程，plist 通常通过转换成 二进制 plist (bplist) 格式来实现。专家需要使用特殊工具解码这种文件，以提取其中的数据。

通常，专家会检查从各种移动设备（如 iPod、iPad 和 iPhone）接收到的 iOS 备份。这些备份包含大量的 plist 文件。

你可以在 Heather Mahalik 和 Rohit Tamma 编写的《Practical Mobile Forensics, Second Edition》一书中，了解一些在 iTunes 备份中常见的 plist 文件。

每个 iOS 备份，连同备份数据文件，包含四个元文件：Info.plist、Manifest.plist、Status.plist 和 Manifest.mbdb。

让我们看看这些元文件中的每一个：

• Info.plist：这是一个配置文件，包含关于设备的信息，如产品类型、产品版本、IMEI、电话号码、上次备份日期、序列号、同步设置、设备上安装的应用程序列表等。

• Manifest.plist：这是一个配置文件，包含关于第三方应用程序的附加信息、备份密钥包、密码保护标志（WasPasscodeSet）、备份加密标志（IsEncrypted）等。

• Status.plist：这是一个配置文件，包含关于备份的信息：备份状态、完整备份标志（IsFullBackup）、备份日期和备份版本。

• Manifest.mbdb：这是一个二进制文件，包含关于备份中所有其他文件的信息，包括文件大小和文件系统结构信息。

iTunes 备份元文件

使用 Apple Plist Viewer 解析 plist

Oxygen Forensic 程序已在第一章中描述过，SIM 卡获取与分析。该程序包含 Apple Plist Viewer 模块，可用于查看和分析 plist 文件的内容。

如何操作...

1. 双击 Oxygen Forensic 图标以启动程序。在程序菜单中选择工具，然后选择 Apple Plist Viewer：

启动 Apple Plist Viewer

1. 会弹出 Windows 窗口，您需要选择要分析的 plist 文件。在本例中，分析的是History.plist文件。选择文件后，点击“打开”。

2. 然后，Apple Plist Viewer 的主窗口将打开，在其中显示所选 plist 文件的结果：

在经典模式下显示 plist 文件的分析结果

结果查看可以在两种模式下进行，经典模式和简单模式：

在简单模式下显示 plist 文件的分析结果

1. 可以通过点击程序工具栏上的“查看模式”按钮，在不同模式之间切换。

2. 程序右侧有一个次级窗口。如果在显示分析结果的窗口中，所选值是时间值，则次级窗口中会以不同格式显示时间的解码结果：

解码时间值的结果，以不同格式显示

使用 Belkasoft Evidence Center 解析 plist 文件

Belkasoft Evidence Center 程序在第二章中已做过描述，Android 设备获取。该程序具备分析移动设备 plist 文件的功能。在本章中，我们将介绍如何通过 Belkasoft Evidence Center 分析 plist 文件。

如何操作…

1. 双击 Belkasoft Evidence Center 图标，程序启动后，点击“新建案件”。在弹出的窗口中，输入新案件的数据，指定案件文件保存路径，然后点击“创建并打开”按钮。

2. 由于在 Belkasoft Evidence Center 程序中没有单独选择文件进行分析的选项，您必须指定包含一个或多个 plist 文件的文件夹作为数据源。

3. 在新的添加数据源窗口中，指定您要分析的 plist 文件路径，然后点击“下一步”按钮：

添加数据源窗口

1. 在下一个窗口中，选择与 iOS 操作系统相关的证据类别。点击“完成”按钮：

iOS 证据选择

1. 在处理包含 plist 文件的文件夹后，初步分析结果可以在概览标签中查看。如果程序已知所检查的文件，则其数据将以便捷的形式显示：

Belkasoft Evidence Center 的概览标签

1. 如果您想查看特定 plist 文件的内容，可以转到文件系统标签，指定您需要的文件。在显示文件内容的窗口中，选择工具栏上的“Plist”。在该窗口中，您可以手动查看所检查的文件内容：

com.apple.wifi.plist 文件的内容

使用 Plist Editor Pro 解析 plist 文件

Plist Editor Pro 是一个用于 plist 文件分析的工具，推荐者为Heather Mahalik和Rohit Tamma，他们是《实用移动取证（第二版）》一书的作者。使用此工具，可以分析具有 XML 格式的 plist 文件和二进制文件。

准备就绪

将工具下载到计算机并安装，按照安装程序中的说明进行操作。

Plist Editor Pro 的网页可以在www.icopybot.com/plist-editor.htm.找到。

如何操作…

1. 双击图标启动程序：

Plist Editor Pro 图标

1. 启动程序时，选择菜单中的视图，然后选择只读模式。这将保护被检查的文件内容不被意外更改：

视图菜单中的只读模式标志

1. 为了打开 plist 文件，在下拉的文件菜单中选择打开：

XML 视图模式

在打开的窗口中，选择文件并点击打开。打开的文件可以在两种模式下查看，XML 视图和列表视图：

列表视图模式

使用 Plist Explorer 解析 plist 文件

Plist Explorer 是由 Dec Software 公司开发的免费工具。

准备就绪

下载程序并解压缩文件。该程序无需安装在您的计算机上。

如何操作…

1. 双击程序图标：

Plist Explorer 图标

1. Plist Explorer 程序的主窗口被分为三个部分。使用第一部分，您可以指定存放待检查 plist 文件的分区和文件夹。使用第二部分，您可以指定待检查的文件。

2. 在第二部分，当您指定要检查的文件时，其内容将在第三部分显示。被检查文件的内容将在第三部分底部以十六进制表示：

被检查的 plist 文件内容

还有更多…

程序下载页面位于www.ithmbconverter.com/plist/plistexplorer.zip.

程序的讨论可以在以下页面找到：www.forensicfocus.com/Forums/viewtopic/t=8635/.

第八章：分析 Android 设备的物理转储和备份

本章我们将介绍以下内容：

• 使用 Autopsy 解析 Android 物理转储和备份

• 使用 Oxygen Forensics 解析 Android TOT 容器

• 使用 Belkasoft Evidence Center 解析 Android 备份

• 使用 AXIOM 解析 Android 物理转储和备份

• 使用 Encase Forensic 解析 Android 物理转储

• 使用 ThumbnailExpert 进行缩略图分析

介绍

有很多工具可以分析运行 Android 操作系统的移动设备的物理转储和备份。这些工具包括所有最优秀的移动取证工具，如 UFED Physical Analyzer（Cellebrite）、Oxygen Forensics（Oxygen Forensics, Inc）、.XRY（MSAB）、MOBILedit Forensic Express（COMPELSON Labs）和 Secure View（Susteen）。

计算机取证软件开发者也试图将提取和分析移动设备的功能加入到他们的产品中。这些工具包括：Encase Forensic（OpenText Corp.）、MPE+（AccessData）、Belkasoft Evidence Center（Belkasoft）、AXIOM（Magnet Forensics）、E3: UNIVERSAL（Paraben Corporation）等。

令人惊讶的是，一些移动取证专家并不知道可以通过免费工具 Autopsy 或通过一款功能强大的廉价工具 Andriller 来分析物理转储和备份。

像 Rusolut Sp. 和 ACE Lab 这样的移动设备分析硬件解决方案制造商，也在其产品（如 Rusolut Sp. 的 Visual NAND Reconstructor 和 ACE Lab 的 PC-3000 MOBILE）中，加入了删除数据恢复和 SQLite 数据库分析的功能。

不幸的是，本章的篇幅有限，无法涵盖所有这些优秀的程序。本章我们只介绍其中的一些。

使用 Autopsy 解析 Android 物理转储和备份

Autopsy 相比其他移动取证工具的无可否认的优势在于它是免费的，这意味着任何想分析自己移动设备的人都可以使用它。运行 Android 操作系统的移动设备的物理转储可以通过 Autopsy 进行分析。

准备工作

访问程序的官网。在网站菜单中选择 Autopsy | 下载，并点击“立即下载”。在下载页面，选择与您的操作系统对应的版本，点击“下载 64 位”或“下载 32 位”。当安装文件下载完成后，进入计算机中保存下载文件的目录，双击下载文件的图标。根据安装过程中的指示进行安装。

如何操作……

1. 双击程序图标。在欢迎窗口中，点击“创建新案件”图标；它将打开“新案件信息”窗口。输入案件名称，并通过点击“浏览”按钮输入基本目录。点击“下一步”按钮。

2. 在下一个窗口中，填写案件编号和检查员字段。点击“完成”按钮。

3. 在新的添加数据源窗口中，点击磁盘镜像或虚拟机文件按钮，然后点击下一步。

添加数据源窗口的外观

1. 在下一个窗口中，选择之前创建的移动设备物理转储（例如，按照第二章中描述的Android 设备获取指南创建的）。指定时区。点击下一步。

2. 在下一个窗口中，勾选您在分析过程中需要使用的程序模块。选择的模块越多，物理转储分析所需的时间就越长。对于移动设备的物理转储分析，无需使用 E01 验证器和虚拟机提取器模块。选择完模块后，点击下一步按钮，最后点击完成。

程序模块的选择

1. 选定物理转储分析的过程将开始。分析进度将显示在程序窗口右下角的进度条中。在分析过程中，从检查的物理转储中提取的数据将显示在程序的左侧部分。这些数据可以立即查看，甚至在分析过程中也能查看。当新的数据被提取时，它将被添加到相关类别中。

在物理转储分析过程中提取的数据类别

从前面的截图中可以看出，在物理转储分析过程中提取了大量不同的数据。这些数据可以在程序的工作区查看。此外，可以通过 Autopsy 生成关于提取数据的报告。

另见

• Autopsy 下载页面：www.sleuthkit.org/autopsy/download.php

使用 Oxygen Forensics 解析 Android TOT 容器

Oxygen Forensic 程序已在第一章中介绍，SIM 卡获取与分析。Oxygen Forensic 程序具有一个专门的 Oxygen Forensic Extractor 模块，可用于对运行 Android 操作系统的移动设备进行逻辑提取、备份和物理转储。Oxygen Forensic 程序能够导入并分析通过其他硬件和软件提取的移动设备数据。该程序可以导入和分析以下类型的 Android 设备镜像和数据：

• Android 备份

• Android 物理镜像

• Android YAFSS 物理镜像

• JTAG 镜像

• 文件系统 tarball 或 ZIP 归档

• 文件系统镜像文件夹

• Nandroid 备份 Nandroid（CWM）

• Nandroid Nandroid（TWRM）

• Android TOT 容器

以 Android TOT 容器的数据导入为例进行说明。这些容器可以通过某些类型的闪存工具在读取 Android 设备内存时创建。

如何操作…

1. 点击工具栏上位于“导入文件”按钮右侧的箭头，以从容器导入数据。在下拉菜单中，选择“导入 Android 备份/镜像”，然后选择“导入 Android TOT 容器...”，如以下屏幕截图所示：

选择数据导入类型

1. 在打开的窗口中，指定 TOT 文件的路径。选择它并点击“打开”按钮。

2. 在新窗口中，填写案件的详细信息，如：设备别名、案件编号、证据编号、地点、事件编号、检查员、设备所有者、所有者电子邮件等。如有必要，请在“搜索并恢复已删除数据”部分选择要恢复的数据。数据恢复过程将需要额外的时间。点击“下一步”按钮。

Oxygen Forensic Extractor 的窗口，显示案件信息和提取选项

1. 程序将提示你通过在窗口中显示已输入的数据来进行双重检查。如果所有数据正确，点击“提取”按钮。导入过程将开始。

2. 当数据导入完成后，Oxygen Forensic Extractor 的最终窗口将显示关于导入的摘要信息。点击“完成”以结束数据提取。

3. 提取的数据将可供查看和分析。

程序主窗口中的提取数据信息

使用 Belkasoft Evidence Center 解析 Android 备份

Belkasoft Evidence Center 程序已经在第二章中描述，Android 设备获取。该程序具有从 Android 移动设备的物理转储和备份中导入数据的功能。

本章将介绍如何通过 Belkasoft Evidence Center 分析 Android 移动设备的备份。

如何操作…

1. 双击程序图标。当程序启动后，创建一个新案件。点击“新案件”按钮。

2. 填写以下字段：案件名称、根文件夹、案件文件夹、调查员和时区。如果需要，你可以在描述窗口中添加更详细的案件描述。

3. 之后，点击此窗口底部的“创建并打开”按钮。在下一个窗口中，你可以在下拉菜单中选择将要显示的文件类别。

4. 选择 Android 备份文件（* .ab）类别，选择 Android 设备的备份文件，然后点击“下一步”按钮。

在程序窗口中选择将要显示的文件类别

1. 之后，窗口将被打开。系统将提示你选择需要搜索的文物类型。除了与 Android 移动设备直接相关的文物外，你还可以搜索文档、图形文件和视频文件。

选择需要搜索的证据类型

1. 当选择了需要搜索的证据类型后，点击“完成”按钮。Android 移动设备备份分析过程将开始。分析完成后，您可以在 Case Explorer 和 Overview 标签页中查看提取的信息和文件：

在 Overview 标签中显示的提取数据的相关信息

更多内容...

文章从运行 Android 操作系统的移动设备转储中提取数据可以在以下链接找到：articles.forensicfocus.com/2014/10/28/extracting-data-from-dump-of-mobile-devices-running-android-operating-system/

使用 AXIOM 解析 Android 物理转储和备份

AXIOM 程序由 Magnet Forensics 公司开发，是一款广泛应用于计算机取证和移动取证的工具。它有三个组成部分：

• Magnet Acquire 是一款用于从硬盘、移动设备及其他存储介质获取数据的工具（本工具在第二章Android 设备数据采集中有介绍）

• AXIOM Process 是一款用于分析设备图像、文件和文件夹的工具。

• AXIOM Examine 是一个用于展示分析结果的工具

AXIOM 程序能够从 Android 移动设备中提取数据，并分析通过 Magnet Acquire 或其他工具提前创建的设备备份和物理转储。

在本章中，我们将介绍通过 AXIOM 分析 Android 移动设备的过程。

准备工作

在开发者的网站上，您可以申请试用版本的 AXIOM，试用期为 30 天，提供完整的产品功能。您将在注册时提供的电子邮件地址收到一封电子邮件，邮件中包含安装文件链接和许可证激活码。

点击链接并下载安装文件。安装文件也可以在注册后从账户中下载。点击安装文件的图标并按照说明安装程序。程序安装后，桌面上将出现两个图标，分别是 AXIOM Process 和 AXIOM Examine。双击图标启动 AXIOM Process 程序。当程序第一次运行时，会显示一个信息窗口，告知您未检测到程序的许可证。要激活许可证，请在许可证密钥字段中输入通过电子邮件发送给您的代码。点击确认按钮，重新启动程序。

如何操作...

1. 双击 AXIOM Process 图标。在程序窗口中，点击“CREATE NEW CASE”按钮。在下一个窗口中，填写案件信息字段，例如：案件编号、文件夹名称、文件路径和“Scanned by”。然后点击“GO TO EVIDENCE SOURCES”按钮。在下一个窗口中，在“SELECT EVIDENCE SOURCE”部分，点击“MOBILE”图标。在下一个窗口中，点击“ANDROID”图标。

选择证据来源（MOBILE）部分

1. 在下一个窗口中，点击“LOAD EVIDENCE”图标。在下一个窗口中，点击“IMAGE”图标。在打开的额外选择图像窗口中，选择你想要检查的 Android 设备备份文件，然后点击“Open”按钮。文件的分析将需要一些时间，完成后，你将看到该备份的结构。点击“NEXT”按钮。

AXIOM Process 程序窗口中备份.ad 文件的结构

1. 点击“GO TO PROCESSING DETAILS”按钮。

2. 在下一个窗口中，系统会提示你指定处理待分析文件的附加标准，例如：添加关键字，是否计算检测到的哈希文件，设置检测到的图像分离标准等等。当你设置好需要的参数后，点击“GO TO ARTIFACT DETAILS”按钮。在下一个窗口中，系统会提示你选择需要在备份中查找的证据类别。

3. 由于移动设备的物理转储和备份文件较小，因此即使在该窗口中设置了程序搜索所有可能证据的参数，搜索它们的时间也不会很长。

4. 当在分析过程中需要查找的证据被指定后，点击“GO TO ANALYZE EVIDENCE”按钮，然后点击“ANALYZE EVIDENCE”按钮。它将开始分析过程，分析进度将在 AXION Process 窗口中显示，分析过程中找到的证据将显示在 AXIOM Examine 窗口中。AXIOM Examine 窗口将在备份分析开始时自动打开。当分析完成后，可以关闭 AXIOM Process 窗口。

提取数据的信息

在 AXIOM Examine 窗口中查看和进行初步分析数据非常方便。同时，你可以通过 AXIOM Examine 为所有提取的数据或某个选定类别生成取证报告。

参见

• Magnet Forensics 公司的网站：www.magnetforensics.com/

使用 Encase Forensic 解析 Android 物理转储

如前所述，经典的计算机取证工具在移动设备检查中也增加了它们的功能。这是因为每年提交到取证实验室进行检查的移动设备数量都在增加。这意味着专家们需要用于分析的软件。Encase Forensic 正在跟随这一趋势。如果我们查看 Encase Forensic 的用户手册，会发现其中三分之一的内容专门介绍了移动设备的数据提取与分析、其物理转储和备份。Encase Forensic 可以从 Android 移动设备提取数据，并分析它们的备份和物理转储。

在本章中，我们将描述通过 Encase Forensic 分析 Android 移动设备备份的过程。

准备工作

不幸的是，这个程序没有公开的试用版本。可以从公司经销商和合作伙伴那里获得程序许可证，并在一定期限内使用。在该程序的 7 和 8 版本中，已经可以激活数字许可证，这使得程序安装变得更加简单。通过双击安装文件的图标来安装程序。按照安装说明进行操作。将硬件密钥插入计算机，并根据相应说明激活数字许可证。

如何操作...

1. 双击程序图标。程序启动时请注意程序窗口的标题。如果程序窗口的标题显示为 Encase Forensic，则程序以全功能模式运行。如果窗口的标题显示为 Encase Acquire，则表示程序未找到许可证。

2. 首先，您需要创建一个新案件。在程序工具栏中，选择 Case | New Case .... 在打开的选项窗口中，填写名称字段并点击 OK 按钮。接下来，在工具栏中选择 Add Evidence | Acquire Smartphone ...，如以下截图所示：

下拉菜单“添加证据”的外观

1. 在打开的 Acquire Smartphone 窗口中，选择 Evidence 类型为 Android Backup，指定 Android 移动设备备份的路径，以及提取数据的 Encase 程序文件保存的路径和文件名。点击 Finish 按钮。

Acquire Smartphone 窗口的外观

1. 当分析完成后，结果将以任何使用 Encase Forensic 程序的专家所熟悉的形式呈现。

从 Android 移动设备备份中提取数据的结果

另见

• Encase Forensic 程序的网站：www.guidancesoftware.com/

使用 ThumbnailExpert 进行缩略图分析

任何专家都明白分析设备上图形文件和视频文件的缩略图数据库的重要性。与计算机一样，类似的数据库也可以在 Android 移动设备上找到。其检查的复杂性在于这些数据库有不同的名称并保存在不同的路径下（取决于 Android 版本）。即使在移动取证工具出现此类数据库分析选项之前，我们的取证实验室也已使用 ThumbnailExpert 来检测和分析此类数据库。

ThumbnailExpert 旨在搜索由各种计算机程序创建的图形文件的非凡缩略图数据库，但除了提取和分析已知程序的缩略图数据库外，您还可以搜索新的缩略图数据库。为了在 Android 移动设备上搜索这些数据库，您应该将移动设备的 "user" 分区文件系统复制到计算机或例如 USB 闪存驱动器中。此程序必须在分析之前完成。

准备就绪

不幸的是，目前该项目没有自己的官方网站。您可以通过联系作者获取试用版或购买它。下载并解压缩档案。双击程序的文件。通过勾选 “我接受协议” 接受许可协议，然后点击 “OK” 按钮。

如何操作…

1. 双击程序图标。当程序启动时，点击程序工具栏上的 “打开” 选项，在下拉菜单中勾选 “在未知格式的文件中搜索图像” 和 “跳过标准图像”：

设置搜索参数

1. 在同一菜单中，您需要指定位置，即程序将搜索缩略图数据库文件的地方。为此，使用 “在驱动器中搜索” 或 “在位置中搜索” 选项。当指定了搜索文件的地方后，搜索将开始。搜索进度将显示在窗口下方的进度条中。

2. 当分析完成时，在程序主窗口的左侧部分，将显示包含图形文件的文件。文件中包含的图形缩略图数量会在括号中注明：

分析结果

1. 在程序的主窗口中，将显示检测到的缩略图。它们可以查看。您可以生成所有检测到的缩略图的报告，或者仅生成专家标记的缩略图报告。此外，如果缩略图有标题，并且类似的标题存在于 JPG 格式的图形文件中，程序还可以提取元数据，这些元数据也将在报告中展示。

检测到的缩略图

还有更多…

• 文章不要错过 Android 操作系统中的新缩略图数据库可以在以下网址找到：www.digitalforensics.com/blog/do-not-miss-new-thumbnail-databases-in-android-os/

另见

• ThumbnailExpert 程序的试用版本：web.archive.org/web/20110717053520/http://www.thumbnailexpert.com/binary/ThumbnailExpertEn.zip

• 程序作者的网站：www.ithmbconverter.com/

第九章：iOS 取证

本章将介绍以下几种解析方法：

• 使用 iPhone Backup Extractor 解析 iOS 备份

• 使用 UFED Physical Analyzer 解析 iOS 备份

• 使用 BlackLight 解析 iOS 备份

• 使用 Oxygen Forensic 进行 iOS 物理转储和备份解析

• 使用 Belkasoft Evidence Center 解析 iOS 备份

• 使用 AXIOM 解析 iOS 备份

• 使用 Encase Forensic 解析 iOS 备份

• 使用 Elcomsoft Phone Viewer 解析 iOS 备份

• 使用 iThmb Converter 进行缩略图分析

介绍

从 Apple 移动设备提取的主要数据来源有：

• 物理转储

• 文件系统

• 备份

物理转储和文件系统是所有送往法医实验室进行分析的对象中的最基本部分。这是由于 Apple 移动设备所采用的安全机制。绝大多数对象都是备份。iTunes 是苹果公司的一款工具，用于在 Apple 移动设备上创建备份。法医工具通常都以显性或隐性的方式，从专家的角度来说，基本上是间接从 Apple 移动设备中提取数据：首先创建一个 iTunes 备份，然后从中提取数据。

备份可以在以下路径找到：

• mac OS X: C:\Users\<User Name>\Library\Application Support \ MobileSync\Backup\

• Windows XP: C:\Documents and Setting\<User Name>\ Application Data\Apple Computer\MobileSync\Backup\

• Windows Vista、7、8 和 10: C:\Users\<User Name>\AppData\ Roaming\Apple Computer\MobileSync\Backup\

iTunes 备份可能有不同的格式，具体取决于被检查设备中安装的 iOS 操作系统版本。

带有 iOS 10 版本或更高操作系统设备的 iTunes 备份的外观

有时你可能会遇到检查的 iTunes 备份被加密的情况。这通常发生在设备所有者在创建备份时启用了加密选项。

带有 iOS 10 以下版本操作系统设备的 iTunes 备份的外观

如果你无法从设备的所有者那里获取密码，你可以使用 Elcomsoft Phone Breaker 或 Passware Kit Forensic 程序来恢复密码。如果你有访问该设备所有者的 Mac、Macbook 或 Mac Air 的权限，可以从这些计算机和笔记本的钥匙串中提取备份密码。

使用 iPhone Backup Extractor 解析 iOS 备份

iPhone Backup Extractor是一款共享软件工具。你可以通过此工具从 iTunes 备份中提取数据，包括加密的备份。

准备工作

从开发者网站下载工具。双击下载的文件图标，按照指示安装程序：

1. 双击已安装的 iPhone 备份提取程序的图标。程序启动后，你需要创建一个账户。点击 ACTIVATE；该按钮位于程序窗口的右上角：

iPhone Backup Extractor 窗口的一部分外观

1. 在弹出的额外窗口中，点击创建免费账户。在下一个窗口中，填写以下字段：您的电子邮件地址、密码和重复密码。点击创建账户按钮：

新账户创建窗口的外观

1. 您将收到一封发送到注册时指定的电子邮件地址的邮件，用于确认该电子邮件地址。点击验证地址按钮以创建账户：

从 Reincubate Ltd 收到的电子邮件片段

恭喜，您的账户已创建。

1. 在 iPhone 备份提取器程序的窗口中再次点击激活。在弹出的额外窗口中，输入电子邮件和密码。点击箭头图标。程序窗口顶部的未注册字样应更改为在账户注册过程中指定的电子邮件地址。

如何操作……

1. 为了将 iTunes 备份上传到程序中，点击位于程序桌面上的 + 图标：

• 图标

1. 在打开的偏好设置窗口中，如果 iTunes 备份是通过 iTunes 程序使用默认设置创建的，您将看到备份存储的路径。

2. 如果您点击位于程序左下角的 + 图标，您可以指定存储在计算机硬盘上其他位置的 iTunes 备份路径：

偏好设置窗口片段

1. 当您指定 iTunes 备份的路径时，iPhone 备份提取器将开始备份分析。分析结果将在程序的主窗口中显示。通过点击偏好设置窗口右上角的 x 图标关闭窗口：

显示 iPhone 备份提取器的 iTunes 备份分析结果窗口

您可以通过点击类别图标查看所检查的 iTunes 备份中包含的数据。

iPhone 备份提取器可以从 iCloud 中提取 iTunes 备份。如果 iTunes 备份被加密，程序会提示您输入密码。程序将使用提供的密码解密备份。

另见

• iPhone 备份提取器程序的网站：www.iphonebackupextractor.com

使用 UFED Physical Analyzer 解析 iOS 备份

UFED Physical Analyzer 是一款与 Cellebrite 产品（如 UFED 4PC、UFED Touch、UFED Touch 2、UFED UME-36 等）一起提供的工具。使用此工具，您可以分析以下提取的数据：物理转储、备份和移动设备的文件系统，还可以从 Apple 移动设备和 GPS/大容量存储设备中提取数据。 UFED Physical Analyzer 包括我们在第七章中描述的 SQLite 向导，理解 Plist 法医分析。

准备中

你可以向 Cellebrite 分销商申请 UFED 物理分析仪的试用许可证。收到请求后，你将会收到一封包含分发包链接的邮件。下载 UFED 物理分析仪。双击程序安装文件的图标。按照说明安装 UFED 物理分析仪。安装完成后，点击 UFED 物理分析仪图标。

当程序启动时，会显示一个窗口，指示程序尚未激活。

点击“软件”。在新窗口中，你会找到计算机的 ID，需要将其发送给分销商。

收到你发送计算机 ID 的邮件后，你将会收到一封包含许可证文件和激活说明链接的新邮件。

按照指示激活 UFED 物理分析仪。

如何操作…

1. 双击 UFED 物理分析仪的图标。在工具栏中点击“文件”|“打开（高级）”。在“打开（高级）”窗口中，点击“选择设备”按钮：

选择提取类型

1. 选择 Apple iOS iTunes（备份）。点击“下一步”按钮，再次点击“下一步”。在下一个窗口中，点击“文件夹”按钮，指定 iTunes 备份的路径。点击“打开”按钮。点击“完成”。分析过程将开始。当分析过程完成后，结果将显示在程序窗口中：

从 iTunes 备份中提取的数据分析结果

UFED Cloud Analyzer 可以从 iCloud 提取 iTunes 备份。如果 iTunes 备份被加密，你将被提示输入密码。程序将使用提供的密码解密备份。

使用 BlackLight 解析 iOS 备份

BlackLight 是 BlackBag Technologies, Inc. 出品的工具。BlackLight 可用于分析运行 Windows 或 macOS 操作系统的计算机或笔记本的硬盘。使用 BlackLight，你可以获取并分析 Android 和 Apple 移动设备。

准备就绪

请求该程序的演示版。收到请求后，你将会收到一个链接，下载程序的试用版以及激活码。下载安装文件，双击打开。按照指示安装程序。双击 BlackLight 图标。在弹出的“需要加密狗”窗口中，点击“输入演示密钥…”。填写“姓名”和“许可证”字段，点击“确定”按钮。重新启动程序。

如何操作…

1. 在 BlackLight 案件管理器窗口中，点击“新建…”按钮并输入新案件的名称。点击“保存”按钮。填写“检查员信息”和“案件信息”部分的字段。在程序工具栏中，选择“文件”。在下拉菜单中，选择“添加证据…”

BlackLight 主窗口片段

1. 点击位于“文件/文件夹/磁盘映像”标识旁边的“添加”图标。

添加证据窗口的片段。

1. 在弹出的附加窗口中，点击“添加文件夹...”。选择存储 iTunes 备份的文件夹并点击“打开”按钮。所选备份的相关信息将显示在“添加证据”窗口中：

添加证据窗口的片段

1. 通过勾选“添加证据”窗口中的相应框来选择导入选项。点击“开始”按钮。

2. 选定的 iTunes 备份的分析将开始。分析进度将在主 BlackLight 窗口的下方显示。

3. 当分析过程完成后，您可以通过点击 BlackLight 工具栏上的图标或点击主 BlackLight 窗口中 Artefacts 部分的分类来查看结果：

BlackLight 工具栏上的图标

Artefacts 部分的外观

如果 iTunes 备份是加密的，系统会提示您输入密码。程序将使用提供的密码解密备份。

另见

• BlackLight 公司的网站：www.blackbagtech.com/software-products.html

使用 Oxygen Forensic 对 iOS 物理转储和备份进行解析

Oxygen Forensic 程序已经在第一章《SIM 卡获取与分析》中描述过。在本教程中，我们将展示如何通过 Oxygen Forensic 分析 iTunes 备份。

如何操作……

1. 若要从 iTunes 备份中导入数据，请点击 Oxygen Forensic 工具栏上“导入文件”按钮右侧的箭头。在下拉菜单中，选择“导入 Apple 备份/镜像”，然后选择“导入 iTunes 备份...”。

选择数据导入类型

1. 在打开的窗口中，指定备份副本的路径。选择 Manifest.plist 文件并点击“打开文件”。

2. 在新窗口中，填写案件的详细信息，如案件编号、证据编号、地点、事件编号、备份密码（可选）、检查员、设备所有者、所有者电子邮件等。如果需要恢复已删除的数据，勾选“从应用程序中搜索并恢复已删除的数据”。数据恢复过程将需要额外的时间。点击“下一步”按钮：

显示有关案件和提取选项的 Oxygen Forensic Extractor 窗口

1. 程序将提示您通过在窗口中显示输入的数据来仔细检查。如果所有数据正确，请点击“提取”按钮。导入过程将开始：

数据导入过程

1. 当数据导入完成后，Oxygen Forensic Extractor 的最后一个窗口会显示有关导入的汇总信息：

总结信息窗口

1. 点击“完成”以结束数据提取。你将能够在 Oxygen Forensic 程序的主窗口中查看在分析过程中找到的提取数据的信息：

分析结果

Oxygen Forensic 可以从 iCloud 提取 iTunes 备份。Oxygen Forensic 还可以提取受密码保护的 iTunes 备份数据。用于恢复 iTunes 备份密码的工具是 Passware 公司提供的，该工具包含在 Oxygen Forensic 的安装包中。

使用 Belkasoft Evidence Center 解析 iOS 备份

Belkasoft Evidence Center 程序已在第六章《SQLite 取证》中进行过描述。在本教程中，我们将描述如何通过 Belkasoft Evidence Center 分析 iTunes 备份。

如何操作……

1. 启动 Belkasoft Evidence Center 程序。点击“新建案例”按钮。指定新案例的信息，如案例名称、路径（数据存储的位置）、调查员姓名、案例描述以及时区。点击“创建并打开”按钮：

新案例设置窗口

1. 在下一个窗口中，指定之前提取的 iTunes 备份路径。选择 Manifest.plist 文件。点击“打开”按钮，然后点击“下一步”按钮：

数据源选择窗口

1. 指定需要提取的数据类型（聊天记录、电子邮件消息、图片、视频、通话记录、短信等）。点击“完成”按钮。指定的数据类型越多，分析过程所需的时间就会越长。通常，分析时间对移动设备备份的分析并不重要。以所使用的设备为例，分析过程花费了 12 分钟：

数据类型选择窗口

1. 分析过程完成后，检测到的数据类型将会显示出来：

从所检查的苹果移动设备备份中提取的数据类型

尽管创建的备份副本只包含设备上显式存储的数据，但在分析过程中，以下类型的数据会被恢复：从电话簿中删除的记录、通话记录、聊天记录、已删除的短信和笔记。通过分析图形和视频文件的缩略图，可以了解在所检查设备上存储了哪些图片和视频。提取和恢复的数据可以在 Belkasoft Evidence Center 程序中查看和分析。此外，还可以生成报告，作为证据提交给法院。

使用 AXIOM 解析 iOS 备份

AXIOM 程序已在第八章，分析 Android 设备的物理转储和备份中进行了描述。在本教程中，我们将介绍如何通过 AXIOM 分析 iTunes 备份。

操作步骤…

1. 双击 AXIOM Process 图标。在程序窗口中，点击 CREATE NEW CASE 按钮。在接下来的窗口中，填写案件信息字段，例如案件编号、文件夹名称、文件路径以及扫描人员，然后点击 GO TO EVIDENCE SOURCES 按钮。在下一个窗口的 SELECT EVIDENCE SOURCE 部分，点击 MOBILE 图标。在下一个窗口中，点击 IOS 图标：

SELECT EVIDENCE SOURCE (MOBILE)部分

1. 在下一个窗口中，点击 LOAD EVIDENCE 图标。在下一个窗口中，点击 FILES & FOLDERS 图标。在打开的额外 EVIDENCE SOURCES 窗口中，点击 WINDOWS FOLDER BROWSER 按钮。指定要检查的 iTunes 备份的路径，并点击 Select Folder 按钮。

2. 点击 GO TO PROCESSING DETAILS 按钮。在接下来的窗口中，你将被提示设置额外的处理标准，如关键词、是否计算检测到的文件的哈希值、检测到的图像分离标准等。当你设置好所有需要的参数后，点击 GO TO ARTIFACT DETAILS。在下一个窗口中，你将被提示选择在检查的备份中要找到的工件类别。点击 CUSTOMIZE ARTIFACTS 按钮，选择你需要在 iTunes 备份中查找的工件类型：

选择工件类型

1. 选择工件后，点击 GO TO ANALYZE EVIDENCE 按钮，然后点击 ANALYZE EVIDENCE 按钮。分析过程将开始，其进度将在 AXIOM Process 窗口中显示。备份分析过程中找到的工件将显示在 AXIOM Examine 窗口中。由于 iTunes 备份文件较小，其检查过程不会花费太多时间。

当分析过程开始时，AXIOM Examine 会自动打开。分析过程完成后，可以关闭 AXIOM Process 的窗口。分析结果可以在 AXIOM Examine 的主窗口中查看：

iTunes 备份分析的结果

使用 AXIOM Examine 查看和进行初步分析提取的数据非常方便。同时，使用 AXIOM Examine，你可以生成针对所有提取数据或特定选定类别的法医报告。

如果 iTunes 备份被加密，系统会提示你输入密码。程序将使用提供的密码解密备份。

iOS 备份解析与 Encase Forensic

Encase Forensic 程序已在第八章中详细描述，分析 Android 设备的物理转储和备份。在本教程中，我们将描述如何通过 Encase Forensic 分析 iTunes 备份。

如何操作…

1. 双击程序图标。启动时注意程序窗口的标题。如果程序窗口的标题显示为 Encase Forensic，那么程序以完整功能模式运行。如果窗口标题显示为 Encase Acquire，则表示程序没有找到许可证。

2. 要开始，您需要创建一个新案件。在程序的工具栏中，选择案例 | 新建案件….在打开的选项窗口中，填写名称字段并点击确定按钮。然后，在工具栏中选择添加证据 | 获取移动设备 | 从文件获取….

添加证据下拉菜单的外观

1. 在打开的输出文件设置中，填写以下字段：备注、证据编号和检查员姓名。指定存储 Encase 程序与提取数据的文件夹路径，然后点击确定按钮。

2. 在导入向导窗口中，勾选 iPhone 备份。点击下一步按钮：

导入向导窗口的片段

1. 点击浏览…按钮，并指定存储 iTunes 备份文件夹的路径。选择Manifest.plist文件并点击打开按钮，然后点击完成：

导入向导窗口的片段

1. 从被检查的备份中提取数据的过程将开始。该过程的进度将在导入向导窗口中显示：

从 iTunes 备份提取数据的进度

1. 当提取过程完成时，导入向导窗口中将显示关于从备份成功导入到 Encase Forensic 的消息。点击完成按钮：

关于 iTunes 备份成功导入的消息

1. 导入的数据将添加到该程序中打开的案件中。数据导入进度将在 Encase Forensic 主窗口的右下角显示。

2. 当分析完成后，其结果将以任何使用 Encase Forensic 程序的专家都能熟悉的形式呈现：

从 iTunes 备份提取的数据结果

使用 Elcomsoft Phone Viewer 解析 iOS 备份

Elcomsoft Phone Viewer是来自 Elcomsof Co.Ltd.的工具。使用此工具，您可以从 iCloud 和 iTunes，以及 BlackBerry 备份中提取数据。该程序价格低廉。在本教程中，我们将描述如何通过 Elcomsoft Phone Viewer 分析 iTunes 备份。

可供导入到 Elcomsoft Phone Viewer 的数据类型

准备中

从发送给你的链接下载工具，并双击安装文件图标。按照提示安装程序。在安装过程中，你会被要求输入注册代码。输入发送给你的注册代码并点击“下一步”按钮。完成程序的安装。

如何操作…

1. 双击 Elcomsoft Phone Viewer 的图标。在程序的主窗口中，点击带有“iTunes 备份”字样的图标。

2. 在打开的“选择 iOS 备份进行查看”窗口中，指定存储 iTunes 备份的文件夹路径。选择Manifest.plist文件并点击“打开”按钮。

3. 程序将显示一个额外的窗口，询问是否希望查找所有媒体文件，包括那些第三方应用程序中的文件。如果你希望，点击“是”，如果不希望，点击“否”：

请求确认的窗口

1. iTunes 备份分析的过程将开始，进度将在程序的主窗口中显示：

数据提取过程的进度

1. 当提取过程完成后，结果将在程序的主窗口中显示。你可以通过点击类别图标查看所检查备份中包含的数据：

iTunes 备份分析结果

另请参见

• Elcomsoft Phone Viewer 的官方网站：www.elcomsoft.com/epv.html

使用 iThmb Converter 进行缩略图分析

如果苹果移动设备用户使用 iTunes 同步了数据，那么在该设备中你可以找到具有 ITHMB 扩展名的文件。这些文件用于创建缩略图画廊，从而加速图像浏览过程。ITHMB 文件中包含的图形文件缩略图也包含 EXIF 信息，这使得它们的识别更加容易。它还可以帮助专家找到包含这些图形文件的其他设备。

iThmb Converter 允许从 ITHMB 文件中提取图形文件的缩略图及其 EXIF 信息。

准备中

程序提供两种版本供下载：安装文件和便携版。访问程序的网站并下载。双击下载的文件。按照提示安装程序。安装完成后，将显示许可协议。阅读协议。如果你同意条款，勾选“我接受协议”并点击“确定”。首次启动时，程序将显示一个信息窗口，告知你该程序未注册并正在以演示模式运行。点击“确定”按钮。

如果您有注册码，请在程序的工具栏中选择“帮助 | 注册”选项。在附加的“请输入注册码”窗口中输入代码。点击“确定”。重新启动程序。

如何操作…

1. 程序的主窗口分为三个部分：

2. 第一部分（位于左侧）具有树状结构，类似于 Windows 资源管理器。通过此部分，您可以浏览本地驱动器和文件夹：

第一部分的外观

1. 第二部分（位于中间）显示了所选文件夹中所有具有 ITHMB 扩展名的文件名：

第二部分的外观

1. 第三部分（位于右侧）显示所选 ITHMB 文件中包含的文件缩略图：

第三部分的外观

1. 在第一部分中选择包含 ITHMB 文件的文件夹。 在第二部分中选择需要的 ITHMB 文件。在第三部分中查看文件中包含的缩略图。

另见

• iThmb Converter 程序的官方网站：www.ithmbconverter.com/

第十章：Windows Phone 和 BlackBerry 取证

在本章中，我们将涵盖以下内容：

• 使用 Elcomsoft Blackberry Backup Explorer Pro 解析 BlackBerry 备份

• 使用 Oxygen Forensic 解析 BlackBerry 备份

• 使用 Oxygen Forensic 解析 Windows Phone 物理转储和备份

• 使用 UFED Physical Analyzer 解析 Windows Phone 物理转储

简介

创建备份副本是从运行 BlackBerry OS 的移动设备提取数据的主要方法。在运行 Windows 操作系统的计算机上，运行 BlackBerry OS 的移动设备的备份通过 BlackBerry 桌面软件或 BlackBerry Link 创建。备份副本具有.bbb扩展名（在 MacOS 上，备份副本具有.ipd扩展名）。

备份副本保存在以下路径：

• Windows XP：C:\Documents and Settings\<UserName>\My Documents\

• Windows Vista、Windows 7、Windows 8、Windows 10：C:\Users\<UserName>\Documents\

备份文件的命名如下：

• 使用 BlackBerry 桌面软件中的备份和恢复选项手动创建的备份：Backup-（yyyy-mm-dd）.bbb" *

• 通过 BlackBerry 桌面软件的应用程序加载向导创建的备份：LoaderBackup-（yyyy-mm-dd）.bbb» *

• 自动创建的备份：AutoBackup-（yyyy-mm-dd）.bbb*

• yyyy-mm-dd 是年-月-日。

BlackBerry OS 10 的备份是加密的。为了从中提取数据，您需要移动设备所有者的 BlackBerry ID 和密码。

要创建运行 Windows Phone 操作系统的移动设备的完整备份，建议使用以下方法：

• 使用特殊设备管理程序在 DFU 模式下创建移动设备内存的副本。DFU（设备固件升级）模式允许所有设备从任何状态恢复。此方法适用于 2014 年之前发布的移动设备。

• 通过调试接口 JTAG（联合测试行动组）从集成内存芯片中提取数据。

• 使用系统内编程（ISP）方法从集成内存芯片中提取数据。

• 从内存芯片中提取数据（Chip-off）。

需要提到的是：

• 对于 Windows Phone 设备，从 x30 系列开始，无法通过调试接口（JTAG）进行数据提取，因为它们的系统板上已移除测试点。另一方面，系统内编程方法逐渐流行，这使我们可以直接将导线焊接到移动设备系统板上的内存芯片上，并且比通过调试接口（JTAG）提取数据的速度快得多。

• 从集成内存芯片提取数据（Chip-off）是一种只有在其他方法未能提供预期结果时才会使用的方法。由于在运行 Windows Phone 操作系统的移动设备中，用户分区的加密或安装在内存芯片上的锁定代码，提取数据是很困难的。如果您不知道安装在内存芯片上的锁定代码，就无法访问存储在集成内存芯片中的数据。

使用 Elcomsoft Blackberry Backup Explorer Pro 解析黑莓备份

Elcomsoft Blackberry Backup Explorer Pro 是一款用于从运行黑莓 OS 的黑莓手机设备中提取数据的工具。该工具不支持从由运行黑莓 OS 10 的设备创建的加密备份中提取数据。该程序价格低廉，任何人都可以购买。

准备工作

从您收到的链接下载工具，并双击安装程序图标。按照提示安装程序。在安装过程中，系统会提示您输入许可证码。请输入收到的许可证码并点击“下一步”按钮：

许可证码输入框

如何操作…

双击 Elcomsoft Blackberry Backup Explorer Pro 程序图标。在工具栏菜单中，点击“文件”，然后在弹出的菜单中点击“打开 IPB 或 BBB”，或者您也可以点击程序左下角的“打开 IPB 或 BBB”：

Elcomsoft Blackberry Backup Explorer Pro 主窗口的片段

在打开的窗口中，选择黑莓备份文件（具有 IPB 或 BBB 扩展名）并点击“打开”按钮。当文件内容上传到程序后，将可供查看：

从黑莓备份中提取的数据类别，在 Elcomsoft Blackberry Backup Explorer Pro 中显示

您可以为选定类别的提取数据生成报告，报告可以采用以下格式之一：

Elcomsoft Blackberry Backup Explorer Pro 主窗口的工具栏，您可以在此指定报告生成的文件扩展名

此报告包含可自定义字段，您可以通过点击“导出字段”按钮来设置：

报告中将展示的字段选择窗口

您可以使用 Elcomsoft Phone Password Breaker (www.elcomsoft.com/eppb.html) 来解密加密的黑莓备份（包括黑莓 OS 10 的备份）。

另请参见

• Elcomsoft Blackberry Backup Explorer Pro 程序的官方网站：www.elcomsoft.com/ebbe.html

使用 Oxygen Forensic 解析黑莓备份

Oxygen Forensic 程序已经在第一章《SIM 卡采集与分析》中进行了描述。在本节中，我们将介绍如何通过 Oxygen Forensic 从 BlackBerry 备份中提取数据。

如何操作…

1. 要从备份中导入数据，请点击位于 Oxygen Forensic 工具栏上“Import file”按钮右侧的箭头。在下拉菜单中，选择“Import Blackberry backup”，然后选择“Import IPD backup ...”。如果你有其他类型的备份，请从此菜单中选择其他选项：

选择数据导入的类型

1. 在打开的窗口中，指定备份的路径。选择备份并点击“Open”按钮。

2. 在新窗口中，填写案件的详细信息，例如设备别名、案件编号、证据编号、地点、事件编号、检查员、设备所有者和所有者电子邮件。点击“Next”按钮：

Oxygen Forensic Extractor 程序的窗口，显示案件和提取选项的信息

1. 程序会提示你通过在窗口中显示已输入的数据来再次检查。如果所有数据正确，点击“Extract”按钮，导入过程将开始。

2. 当数据导入完成后，Oxygen Forensic Extractor 的最终窗口将显示有关导入的摘要信息。点击“Finish”按钮以完成提取。

3. 提取的数据将可供查看和分析：

程序主窗口中关于提取数据的信息

如果你上传到 Oxygen Forensic 的 BlackBerry 备份是加密的，将会显示 Oxygen Forensic Extractor 程序的附加窗口，在此窗口中，你需要输入被调查设备所有者的 BlackBerry ID 和密码。

使用 Oxygen Forensic 解析 Windows Phone 物理转储和备份

Oxygen Forensic 程序已经在第一章《SIM 卡采集与分析》中进行了描述。在本节中，我们将介绍如何通过 Oxygen Forensic 从 Windows Phone 的物理转储中提取数据。

如何操作…

1. Oxygen Forensic 具有一项功能，允许你从 Windows Phone 设备的物理转储中恢复屏幕锁密码。物理转储可以通过 JTAG 或 chip-off 方法获得。

2. 要从 Windows Phone 物理转储中导入数据，请点击位于 Oxygen Forensic 工具栏上“Import File”按钮右侧的箭头。在下拉菜单中，选择“Import Windows Phone JTAG image ...”。

选择数据导入的类型

1. 在打开的窗口中，指定物理转储的路径。点击“Open”按钮。

2. 在新窗口中，填写案件的详细信息，如设备别名、案件编号、证据编号、地点、事件编号、检查员、设备所有者和所有者电子邮件。点击“下一步”按钮。如有必要，请在“搜索并恢复已删除的数据”部分选择您要恢复的数据。数据恢复过程将需要额外的时间。点击“下一步”按钮。

3. 程序将提示您通过在窗口中显示输入的数据来进行二次检查。如果所有数据正确，请点击“提取”按钮。导入过程将开始：

物理转储分析过程

1. 如果在物理转储分析过程中找到包含加密屏幕锁密码的文件，将使用暴力破解攻击进行破解：

强力破解 PIN 码

1. 数据导入完成后，将显示包含导入摘要信息的 Oxygen Forensic Extractor 最终窗口。

2. 点击“打开设备”：

从 Windows Phone 物理转储中提取的信息

1. 在打开的窗口中，点击“设备信息”部分。在此部分中，将显示解密后的屏幕锁密码。在前面的示例中，此密码的值为 123456。

设备信息部分窗口的片段

使用 UFED Physical Analyzer 解析 Windows Phone 物理转储

UFED Physical Analyzer 程序已在第四章中进行了描述，Windows Phone 和 BlackBerry 获取。在本章中，我们将描述如何通过 UFED Physical Analyzer 从 Windows Phone 物理转储中提取数据。

准备就绪

正如前几章所描述的，Windows Phone 的物理转储可以通过多种方法获取。例如，可以通过 UFED 4PC、JTAG 或芯片脱焊方法获得：

使用 UFED 4PC 创建 Windows Phone 物理转储的说明

在本教程中，我们将描述使用芯片脱焊方法分析 Windows Phone 物理转储。

如何操作…

1. 双击 UFED Physical Analyzer 程序的图标。为了从 Windows Phone 物理转储导入数据，请点击程序工具栏上的“文件”并选择“打开（高级）”。

2. 在打开的“打开高级”窗口中，点击“选择设备”窗口。在下一个窗口中，选择与提取物理转储的移动设备对应的设备型号：

在程序中选择移动设备型号

1. 点击“下一步”按钮。确保所选设备具有物理转储分析算法。点击“下一步”按钮：

程序支持的选定移动设备型号的分析算法

1. 在下一个窗口中，点击“Image”按钮并指定 Windows Phone 物理转储的路径。选择文件并点击“Open”按钮：

打开（高级）窗口，在其中指定了 Windows Phone 物理转储的路径

1. 点击“Finish”按钮。提取过程将在程序左上角的进度条中显示。当提取完成后，提取的数据类别将显示在 UFED Physical Analyzer 程序的主窗口中：

UFED Physical Analyzer 程序的主窗口片段，显示了提取数据的类别

第十一章：JTAG 和 Chip-off 技术

在本章中，我们将介绍以下几种方法：

• 一个示例 Android 设备的 JTAG

• 一个示例 Android 设备的芯片拆卸（chip-off）

• 一个示例 Windows Phone 设备的 JTAG

• 一个示例 iPhone 设备的芯片拆卸（chip-off）

介绍

在本章中，我们将描述从移动设备提取数据的方法，这些方法仅在其他方法无法得到预期结果时使用。例如，您可以使用（芯片拆卸）方法从物理损坏或水损坏的设备中提取数据。此方法还在移动设备未被商业移动取证工具支持，或需要检查损坏的移动设备甚至其内存芯片碎片时使用。

这些方法包括：

• JTAG – 该方法以行业标准的名称命名。联合测试行动小组（JTAG）是用于测试系统板的标准。系统板上有一个接触垫。通过 JTAG 接口，您不仅可以测试系统板，还可以对内存芯片进行物理转储。该方法不会破坏设备。如果您想使用此方法，所检查的移动设备必须处于正常工作状态。

• Chip-off 是一种破坏性方法，基于将内存芯片从系统板上拆除。然后，可以通过编程器单元或专用适配器提取内存芯片中的数据。使用此方法，您可以直接从内存芯片读取信息，从而检查严重损坏的移动设备或移动设备的部分组件。编程器或适配器的使用取决于内存芯片的类型。尽管内存芯片的尺寸是标准化的，但存在多种不同的外形规格，因此专家需要拥有许多不同且昂贵的适配器来执行此方法。拆除内存芯片后，无法再使用该移动设备。

• ISP 是芯片拆卸方法的温和版本。该方法不涉及从移动设备的系统板上拆除内存芯片；而是使用外部导线连接到内存芯片，通过这些导线可以复制内存芯片中的数据。

此方法的复杂性如下：

• 并非总是能够访问安装在移动设备系统板上的内存芯片的接触点。

• 并非总是能提供外部导线与内存芯片接触垫的高质量接触。

通常，使用 JTAG、芯片拆卸（chip-off）和 ISP 方法可能需要购买额外的昂贵设备和高度专业化的专家。

一个示例 Android 设备的 JTAG

当使用 JTAG 方法进行移动设备的物理数据转储时，需要使用闪存器。闪存器是用于给移动设备刷机的设备。不幸的是，没有任何闪存器可以对任何移动设备进行物理数据转储。通常，一个闪存器只支持某个厂商（如三星、LG、摩托罗拉等）的设备，或者仅支持同一厂商的几款型号。因此，您必须准备购买或租赁闪存器，以便对被检查的移动设备进行物理数据转储。

有些闪存器有适配器，用于将闪存器连接到移动设备的系统板。建议购买这些适配器，因为它们能减少将闪存器连接到移动设备所花费的时间。而且，在现代移动设备中，JTAG 接口的密度非常高，除了通过适配器将闪存器连接到系统板外，别无选择。

闪存器可以将提取的数据保存为它们自己的格式。您可能需要额外的软件将提取的数据转换为另一种格式，以便通过移动法医工具进行分析。

移动法医学中最著名的闪存器有：RIFF BOX、Medusa BOX 和 Z3X EasyJTAG BOX。

除了数据提取，闪存器还可以帮助解锁某些安卓移动设备的引导加载程序。引导加载程序是一种每次硬件设备开机时执行的软件。引导加载程序可能是锁定的，无法更改；也可能是解锁的，可以被更改。锁定的引导加载程序是超级用户权限的障碍。当您拥有超级用户权限时，可以轻松通过前面章节描述的工具对移动设备进行物理数据转储。

有些移动设备的系统板上没有 JTAG 接触点，这意味着无法通过 JTAG 方法从这些设备中提取数据。

由于闪存器不是法医设备，使用时必须非常注意和小心。否则，您可能会损坏或销毁移动设备上的数据。

由于现代移动设备中更常使用用户数据分区的加密，这种数据提取方法在某些设备上不再适用。在本实例中，我们将描述如何通过 Z3X EasyJTAG BOX 从三星 GT-I9192 智能手机提取数据。

如何操作...

1. 在数据提取之前，先拆卸智能手机并提取系统板。

2. 双击 Z3X EasyJTAG BOX 控制程序的图标——Z3X EasyJtag BOX JTAG Classic Suite。在程序打开的窗口中，选择移动设备型号——三星 GT-I9192。在主窗口中，将显示智能手机和闪存器的接口电路：

Z3X EasyJTAG BOX 与三星 GT-I9192 的接口电路

1. 使用短铜线将 Z3X EasyJTAG BOX 连接到三星 GT-I9192。

Z3X EasyJTAG BOX 与三星 GT-I9192 的连接

1. 打开闪存工具。之后，连接设备的信息将显示在 Z3X EasyJtag BOX JTAG Classic Suite 程序窗口中：

连接设备的信息

1. 验证设备的内存大小是否正确显示（8 GB），并且内存的起始地址是否显示为 Start（HEX），内存片段的大小 Length（HEX）是否正确设置。如有必要，指定将数据读取到的文件名。点击读取 eMMC 卡按钮。

2. 当提取完成后，您将收到一个以 .bin 扩展名结尾的文件，该文件包含移动设备内存的副本。

3. 此文件的结构对应于通过移动取证工具从类似设备获得的物理转储结构。要验证移动设备的内存转储是否正确，请使用免费的 AccessData FTK Imager 工具。从开发者的网站下载该工具并双击安装文件。按照指示安装程序。安装完成后，双击其图标启动程序。在程序启动后，在工具栏中选择 文件 | 添加证据项…。在打开的选择源窗口中，勾选镜像文件并点击下一步按钮。在下一个窗口中，点击浏览…并选择创建的闪存器 bin 文件。点击完成按钮。

4. 之后，您将能够查看移动设备内存中包含的分区、文件夹和文件：

三星 GT-I9192 移动设备的分区

用户的数据位于 userdata 分区。

另请参见

• Z3X EasyJTAG BOX 生产商的网站：easy-jtag.com/

• FTK Imager 程序的网站：accessdata.com/

一个 Android 设备的芯片提取示例

对于我们的部分同事来说，从火灾或水灾损坏的设备中提取数据，甚至从系统板的一块中提取数据，似乎是一个奇迹。然而，对我们来说，这只是日常工作。

大多数移动设备中使用的内存芯片都是 eMMC（嵌入式 MMC）类型。这些芯片在内存芯片被焊接到设备的系统板时使用。这些内存芯片与 SD 卡具有相同的接口。因此，您可以通过将内存卡的引脚与读卡器的引脚焊接，读取这种类型内存卡的信息。然而，使用专用适配器来操作会更方便。由于内存芯片有不同的尺寸，专门从事 eMMC 芯片数据提取设备分销的公司会出售这些适配器的套件。例如，您可以购买 Rusolut 公司提供的 SMARTPHONE KIT 适配器套件，使用它几乎可以保证从任何内存芯片中读取信息。此外，ACE Lab 公司在其 PC-3000 MOBILE 套件中也包含了类似的适配器套件。您可以单独购买适配器或从 Allsocket 公司购买适配器套件。

在 Aliexpress 或 eBay 上，您可以单独购买适配器或其他制造商的 eMMC 读取适配器套件。

在流行的智能手机型号中，越来越多地使用用于数据存储的 UFS 芯片。UP828 编程器与适配器一起用于从这些芯片中提取数据。

准备工作

拆开手机并取下系统板。通常，系统板上的芯片都被金属外壳覆盖，您需要将其移除。移除金属外壳后，使用芯片上的标记来识别哪个是内存芯片。内存芯片通常位于微处理器旁边：

移动设备系统板上覆盖金属外壳的内存芯片

如何操作……

您需要从系统板上取下内存芯片。芯片必须按照特定的顺序加热，避免过热。加热温度应足以融化将芯片焊接到系统板上的焊料。如果焊料没有融化，在取下芯片的过程中可能会损坏芯片。如果过热，芯片上的数据会丢失。您需要使用带有宽喷嘴和温度传感器的烙铁站，将其放置在芯片上以控制温度。您可以在网上找到特定芯片的加热模式。

如果你无法找到适合你芯片的加热模式，建议按照以下步骤操作：先在 100 摄氏度下加热芯片 2 分钟。然后在 230 摄氏度下加热芯片 5 分钟。尽量将烙铁喷嘴靠近芯片。这一点非常重要，因为当喷嘴与芯片的距离增大时，热空气的温度会迅速下降。务必要抓住系统板上与内存芯片相邻的小组件开始移动的时刻。这表明内存芯片下方的焊锡已经熔化。然而，你暂时还不能移除芯片，因为芯片不仅仅是焊接的，还用环氧树脂粘在系统板上。当你看到焊锡已经熔化时，将一把小刀的背面抵在芯片的任一侧，并用力按压，将刀片插入系统板和芯片之间。如果按压过重，可能会导致芯片的机械损坏，从而无法进行后续的检查。

从系统板上移除的内存芯片

当内存芯片从系统板上移除后，需要清除芯片上的环氧树脂残留物，并用焊锡覆盖芯片的接触点。接触点覆盖新一层焊锡一般不会有问题，但清除环氧树脂可能会有些困难。清除环氧树脂的主要方法有两种：

• 方法 1：化学法： 使用特定的混合物来去除环氧树脂。

• 方法 2：机械法： 使用烙铁喷枪对芯片进行加热。环氧树脂变软后，可以通过机械方式刮除。这个过程会产生强烈的气味，因此你需要在通风良好的地方或排风罩下进行操作。

当内存芯片准备好进行检查时，将其放置在适配器上，并连接到计算机：

用于从内存芯片读取数据的适配器

由于这种适配器并非专用的取证设备，其使用并不排除对连接的内存芯片上信息的记录。因此，你必须使用软件写保护器（例如，SAFE Block）或硬件写保护器（例如，Tableau UltraBlock USB3 (T8u)）。

要创建内存芯片的取证镜像，你可以使用任何具备此功能的取证软件。例如，前面已经提到过的 AccessData FTK Imager。双击程序图标启动程序后，进入工具栏并点击“文件 | 创建磁盘镜像...”。在接下来的窗口中，选择与内存芯片对应的驱动器。点击“完成”按钮。

在创建图像窗口中，点击添加按钮。在选择图像类型窗口中，勾选 Raw (dd)框，并点击下一步按钮。在证据项目信息窗口中，您可以添加案件描述。点击下一步按钮。在选择图像保存位置窗口中，点击浏览按钮并指定保存数据的路径。在图像文件名（不包括扩展名）字段中，指定文件名。在图像碎片大小（MB）字段中，将值设置为零。所有从内存芯片提取的数据将写入一个文件：

选择图像保存位置窗口的外观

点击完成按钮。点击开始按钮。数据创建取证副本的过程将开始。

在这个过程结束时，图像可以通过移动取证软件进行分析。双击 Autopsy 图标，并按照第八章《分析 Android 设备的物理转储和备份》中描述的步骤进行 Android 移动设备的物理转储分析。下一张图显示了分析的结果：

内存芯片转储分析的结果

还有更多…

• 文章，从损坏的移动设备中提取数据：articles.forensicfocus.com/2013/08/21/extracting-data-from-damaged-mobile-devices/

• 文章，移动取证中的芯片取出技术：www.digitalforensics.com/blog/chip-off-technique-in-mobile-forensics/

另见

• Rusolut 公司的官网：rusolut.com/

• PC-3000 MOBILE：独特的一体化解决方案，用于从移动设备恢复数据：www.acelaboratory.com/news/newsitem.php?itemid=206

• Allsocket 公司的官网：allsocket.com/

• UP828 编程器的网站：www.vipprogrammer.com/

• SAFE Block 的网站：www.forensicsoft.com/

一个 Windows Phone 设备的 JTAG 示例

使用 JTAG 和芯片取出方法，实际上是从 Windows Phone 移动设备获取物理转储的唯一方式。此外，这些方法还用于从屏幕锁定的移动设备提取数据。在本配方中，我们将描述使用 JTAG 方法从诺基亚 Lumia 925（RM-892）提取数据的示例。

如何进行...

1. 在数据提取之前，拆解智能手机并访问其系统板：

诺基亚 Lumia 925 的系统板

1. 双击 Z3X EasyJTAG BOX 控制程序图标 - Z3X EasyJtag BOX JTAG Classic Suite。在弹出的窗口中，选择移动设备的型号 - Nokia Lumia 925。设备与闪存器的接口电路将在程序的主窗口中显示：

Z3X EasyJTAG BOX 与 Nokia Lumia 925 的接口电路

1. 使用短铜线，将 Z3X EasyJTAG BOX 与 Nokia Lumia 925 连接：

Z3X EasyJTAG BOX 与 Nokia Lumia 925 的连接

1. 打开闪存器。在 Z3X EasyJtag BOX JTAG Classic Suite 的主窗口中，将显示关于连接设备的信息：

关于连接设备的信息

1. 验证设备的内存大小是否正确显示（8 GB），内存的起始地址是否显示为 Start（HEX），以及内存片段的大小 Length（HEX）是否正确设置。如果需要，指定数据将读取到的文件名。点击读取 eMMC 卡按钮。

2. 当提取完成时，您将获得一个扩展名为 .bin 的文件，该文件包含移动设备内存的副本。

3. 为了处理提取的数据，我们使用 Oxygen Forensic。双击程序图标。

4. 要从此 JTAG 图像导入数据，请点击 Oxygen Forensic 工具栏上导入文件按钮右侧的箭头。在下拉菜单中，选择导入 Android 备份 / 图像，然后选择导入 Windows Phone JTAG 图像：

数据导入类型的选择

1. 在弹出的窗口中，指定 JTAG 图像的路径。选择并点击打开。

2. 在新窗口中，填写案件的详细信息，例如：设备别名、案件编号、证据编号、地点、事件编号、检查员、设备所有者、所有者邮箱等。如果需要，选择要恢复的数据，位于搜索并恢复删除数据部分。数据恢复将需要额外的时间。点击下一步按钮。程序将提示您通过在窗口中显示已输入的数据来进行双重检查。如果所有数据正确，点击提取按钮。导入过程将开始。

3. 当数据导入过程完成时，包含导入摘要信息的 Oxygen Forensic Extractor 最终窗口将显示。点击完成按钮以完成数据提取。提取的数据将可以进行查看和分析：

从 Windows Phone JTAG 内存转储提取的信息

一个示例 iPhone 设备芯片拆解

我们都知道移动设备物理转储的重要性。只有物理转储才能让专家从被检查的设备中提取最大的数据。当我们需要检查一台被屏幕锁定或损坏的设备时，物理转储的提取变得尤为迫切。遗憾的是，从 Apple 移动设备提取物理转储是一个巨大的问题。在同行之间的会议上，有传言称有人通过芯片拆卸技术成功从 iPhone 中提取了数据。这既是事实，又是谎言。因为从 iPhone 3GS 开始，Apple 的移动设备都进行了加密，这意味着使用芯片拆卸方法没有任何意义。一些专家建议使用暴力破解方法来解密 Apple 设备的物理转储。然而，如果你熟悉 Apple 的 iOS 安全文档，你会明白使用暴力破解方法解密这些转储是毫无意义的。芯片拆卸方法仅适用于早期的 Apple 移动设备，这些设备没有加密。

在本教程中，我们将描述从 iPhone 3G 提取数据的方法。此设备没有用户数据加密。

准备工作

从设备中取出系统板。这类设备中只有一个 DIP 封装的存储芯片，很容易找到。

如何操作…

1. 使用烙铁站，将芯片加热 2 分钟，温度设置为 100 摄氏度。然后，将温度设置为 230 摄氏度，继续加热芯片 5 分钟。烙铁头要尽量靠近芯片；这是很重要的，因为如果烙铁头和芯片之间的距离过远，热空气的温度会迅速下降。如果操作正确，芯片应该能轻松地从系统板上取下：

从 iPhone 3G 系统板上取下的存储芯片

1. 由于芯片采用标准 DIP 封装，可以使用任何与此类芯片兼容的编程器设备来创建其镜像。将芯片放置在编程器设备的插座上，并通过编程工具的控制程序将芯片中的数据读取到文件中。

2. 下一个重要步骤是对提取的数据进行初步处理，并将其转换为可以被移动设备取证工具处理的状态。

3. 难点在于，除了数据扇区外，芯片中还提取了技术头信息，这些信息包含附加的内容。这些头信息会干扰通过移动设备取证工具对转储数据的分析。此外，芯片的整个存储区域被划分为多个段，这些段通过 RAID 连接。然而，这并不是一个大问题。ACE 实验室公司有一个解决方案库，里面详细描述了如何正确配置提取的数据，以便进行进一步分析：

来自 ACE 实验室知识库的解决方案片段

1. 使用程序员 PC 3000 FLASH 的控制程序和他们知识库中的解决方案，这将允许你以正确的方式配置从芯片提取的数据。如果你做得正确，那么在程序中你将看到关于移动设备文件系统的信息：

提取的数据配置结果

1. 将结果保存在新文件中。现在该文件可以通过移动取证工具进行分析。

2. 双击 UFED Physical Analyzer 图标。在工具栏中，点击 文件 | 打开（高级）。在打开（高级）窗口中，点击选择设备按钮：

提取类型的选择

1. 选择设备 Apple iPhone（物理）。点击下一步按钮。再次点击下一步按钮。在下一个窗口中，点击图像按钮并指定文件的位置。点击打开按钮。点击完成按钮。iPhone 提取数据的分析过程将开始。分析结束时，结果将在程序窗口中显示：

从 iPhone 3G 中提取的数据分析结果

请参阅文章，通过芯片移除技术提取损坏 iPhone 数据：www.digitalforensics.com/blog/extracting-data-from-a-damaged-iphone-via-chip-off-technique/。 请参阅文章，通过芯片移除技术提取损坏 iPhone 数据 第二部分：www.digitalforensics.com/blog/extracting-data-from-a-damaged-iphone-via-chip-off-technique-part-2/ Ace Lab 解决方案中心：www.pc-3000flash.com/solbase/task.php?group_id=321&lang=eng

另请参阅

• iOS 安全性：www.apple.com/business/docs/iOS_Security_Guide.pdf

• PC 3000 Flash：www.acelaboratory.com/pc3000flash.php

• 从死逻辑板恢复 iPhone 6 数据：www.youtube.com/watch?v=58-7cg9cYNY