admin管理员组文章数量:1531666
2024年6月18日发(作者:)
龙源期刊网
基于MTP下的智能手机数据恢复及其取证
技术
作者:叶志刚
来源:《电子技术与软件工程》2018年第22期
摘要 本文对基于MTP模式下智能收集数据恢复及取证技术进行了分析,针对支持MTP
连接模式的安卓智能手机,提出了完整的数据恢复取证方法与流程,对仅支持MTP模式不支
持外插SD卡的手机恢复提取方法进行了验证。
【关键词】MTP模式 智能手机 数据恢复取证
智能手机是现代社会的重要通讯工具,移动互联网的崛起与智能移动终端广泛使用,使智
能手机应用程序进行隐私窃取及恶意攻击等犯罪活动不断增多。研究智能手机数据恢复取证技
术对遏制不法行为具有重要意义。手机运营商更加注重手机文件的安全性,大量的智能手机采
用MTP等新型连接模式,避免了直接读取文件的风险,但MTP模式下手机无法识别为盘符,
传统数据恢复软件无法恢复不能拔插SD卡的手机所删除信息。本文通过研究基于安卓智能手
机MTP模式的数据恢复方法。
1 MTP模式及其体系结构
MTP模式是一种新型的USB连接模式,该协议允许用户在移动设备上线性访问媒体文
件。MTP可支持数字音频播放器的音乐文件与媒体文件,及个人信息的传输。传统的USB模
式下,电脑操作内存设备粒度的设备块。智能手机通过USB将内存卡挂载到电脑,电脑拥有
对其绝对控制权。导致内存卡重新挂载到手机后不能被识别。智能手机通过MTP协议向电脑
构建了虚拟文件系统,电脑操作文件时通过MTP协议向智能手机发起请求,使文件更安全。
C++层包括Mtp Request负责从USB驱动读取数据,MTP data负责结构化手机要返回给
PC数据包,MTP Response负责结构化手机为返回的Response,MTP server负责解析PC命令
调用相应的接口函数处理。
Java层包括Usb Receiver等对象,Usbrecelver用来监视UDB事件,MTp servicer与加载存
储设备信息到数据库,Media Provide负责查询更新数据库,MTP Server负责启动停止MTp
Server,处理STorage添加删除。Mtpdatabase用于media provider与MTp server间数据转换数
据格式。
2 MTP模式恢复取证技术
龙源期刊网
vrrp模式提高了手机文件系统的安全性,但为取证带来了很大难题。当前很多手机厂商不
支持外插SD卡,此硬件结构使得取证无法取下手机存储卡单独专用设备恢复取证。专用取证
设备只能恢复短信等文本信息,对内置存储卡,传统取证方法在手机连接电脑后.识别出盘
符,用数据恢复软件直接恢复取证。对只支持MTP模式的智能手机连接电脑后,无法识别盘
符。传统的取证恢复方法无法使用。
MTP模式连接智能手机多媒体数据恢复取证有三种情况。手机支持外插,多媒体信息保
存在SD卡中,取下SD卡直接用读卡器读取信息。手机不支持外插SD卡,为保证数据完整
性,物理分析通过内存镜像进行数据恢复寻找删除文件。手机镜像的获取是成功恢复的首要条
件。逻辑分析利用文件系统分析,不同手机厂商对系统不同设置导致非所有手机都可成功制作
镜像文件。对于手机不支持外插SD卡,无法获取镜像时,可注入数据恢复APK程序进行手
机端数据恢复取证。
数据恢复功能是最核心的功能,本系统采用恢复技术包括基于YAFFS2文件系统的文档的
等相关数据信息的恢复,系统分别对特定数据库文件进行扫描,由用户分别决定具体恢复文件
数据。系统总体分为应用模块及Linux底层模块,应用层模式负责提供人机交互界面与用户操
作的处理控制。包括界面展示、进度呈现、结果显示与提示警告四个子模块。控制系统的流程
与逻輯处理。Linux底层模式包括SQLIte数据库文件提取与数据库恢复。根据应用层用户不同
操作执行不同模块。
ANdroid数据恢复系统是基于Android平台的工具类应用程序。数据恢复系统整体由应用
层模块与Linux底层模块两部分组成。Linux底层模块为核心功能模块。系统启动后,应用层
模块将显示出可供选择的文件恢复方法。用户根据自己需要选择一种恢复方法。执行相应数据
恢复操作中关注的数据根据选择恢复方法变化,执行结束后将扫描结果返回到应用层模块。
3 实验验证
MTP手机数据恢复取证的难点在于内置内储卡,手机仅支持MTP模式连接的情况,为保
证数据的完成有效性,先提取手机的镜像文件,使用分析软件分析镜像,获取手机的Root权
限,利用取证大师等专业软件对镜像文件进行挂载恢复。
可使用网络的免费软件获取手机镜像,手机平台多样化,对镜像无法直接获取情况下,可
进入手机的Recovery模式。通过组合键手机进入recovery模式,下达ADB命令中devices连
接手机,返回List of devices即连接成功。通过SU指令进入super use权限,找到user data的
mtd值。
使用mount lgrep获取dd镜像目标,若dd镜像不成功,可直接用cat方式输出镜像文件。
提取成功的img镜像文件可用encase等常用硬盘软件实现数据的恢复取证。镜像的成功获取使
龙源期刊网
手机数据恢复取证脱离手机系统环境限制。保证数据的完整有效性。手机厂家对底层操作系统
不同设置,利用上述方法可能无法获取有效镜像情况。
小米2型号手机不支持外插SD卡,可先打开USB调试,获取ROOT权限,安装APK恢
复程序,运行该恢复程序前,如手机在恢复中锁屏会停止数据恢复。应注意在恢复前调整休眠
模式再进行操作。
程序运行成功后,选择全部恢复,在恢复前用OTG连接U盘,设置数据恢复后存储目标
盘。保证手机原始信息不被恢复信息覆盖,
4 结语
本文研究实验手机恢复取证中,对不同恢复方式取证方法。基于MTP模式的智能手机在
数据恢复取证中,连接后不能直接识别盘符进行物理恢复。可用镜像提取分析法实现恢复提取
基于MTP模式的智能手机信息。成功提取出删除信息,克服了MTP模式的各种限制。
参考文献
[1]陈飞.智能移动终端应用数据取证技术研究[D].东南大学,2015.
[2]方冬蓉.基于Android手机的数据恢复方法研究及应用[D].兰州理工大学,2014.
版权声明:本文标题:基于MTP下的智能手机数据恢复及其取证技术 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/shuma/1718700812a713853.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论