基于MTP下的智能手机数据恢复及其取证技术

龙源期刊网

基于MTP下的智能手机数据恢复及其取证

技术

作者：叶志刚

来源：《电子技术与软件工程》2018年第22期

摘要 本文对基于MTP模式下智能收集数据恢复及取证技术进行了分析，针对支持MTP

连接模式的安卓智能手机，提出了完整的数据恢复取证方法与流程，对仅支持MTP模式不支

持外插SD卡的手机恢复提取方法进行了验证。

【关键词】MTP模式 智能手机 数据恢复取证

智能手机是现代社会的重要通讯工具，移动互联网的崛起与智能移动终端广泛使用，使智

能手机应用程序进行隐私窃取及恶意攻击等犯罪活动不断增多。研究智能手机数据恢复取证技

术对遏制不法行为具有重要意义。手机运营商更加注重手机文件的安全性，大量的智能手机采

用MTP等新型连接模式，避免了直接读取文件的风险，但MTP模式下手机无法识别为盘符，

传统数据恢复软件无法恢复不能拔插SD卡的手机所删除信息。本文通过研究基于安卓智能手

机MTP模式的数据恢复方法。

1 MTP模式及其体系结构

MTP模式是一种新型的USB连接模式，该协议允许用户在移动设备上线性访问媒体文

件。MTP可支持数字音频播放器的音乐文件与媒体文件，及个人信息的传输。传统的USB模

式下，电脑操作内存设备粒度的设备块。智能手机通过USB将内存卡挂载到电脑，电脑拥有

对其绝对控制权。导致内存卡重新挂载到手机后不能被识别。智能手机通过MTP协议向电脑

构建了虚拟文件系统，电脑操作文件时通过MTP协议向智能手机发起请求，使文件更安全。

C++层包括Mtp Request负责从USB驱动读取数据，MTP data负责结构化手机要返回给

PC数据包，MTP Response负责结构化手机为返回的Response，MTP server负责解析PC命令

调用相应的接口函数处理。

Java层包括Usb Receiver等对象，Usbrecelver用来监视UDB事件，MTp servicer与加载存

储设备信息到数据库，Media Provide负责查询更新数据库，MTP Server负责启动停止MTp

Server，处理STorage添加删除。Mtpdatabase用于media provider与MTp server间数据转换数

据格式。

2 MTP模式恢复取证技术

龙源期刊网

vrrp模式提高了手机文件系统的安全性，但为取证带来了很大难题。当前很多手机厂商不

支持外插SD卡，此硬件结构使得取证无法取下手机存储卡单独专用设备恢复取证。专用取证

设备只能恢复短信等文本信息，对内置存储卡，传统取证方法在手机连接电脑后.识别出盘

符，用数据恢复软件直接恢复取证。对只支持MTP模式的智能手机连接电脑后，无法识别盘

符。传统的取证恢复方法无法使用。

MTP模式连接智能手机多媒体数据恢复取证有三种情况。手机支持外插，多媒体信息保

存在SD卡中，取下SD卡直接用读卡器读取信息。手机不支持外插SD卡，为保证数据完整

性，物理分析通过内存镜像进行数据恢复寻找删除文件。手机镜像的获取是成功恢复的首要条

件。逻辑分析利用文件系统分析，不同手机厂商对系统不同设置导致非所有手机都可成功制作

镜像文件。对于手机不支持外插SD卡，无法获取镜像时，可注入数据恢复APK程序进行手

机端数据恢复取证。

数据恢复功能是最核心的功能，本系统采用恢复技术包括基于YAFFS2文件系统的文档的

等相关数据信息的恢复，系统分别对特定数据库文件进行扫描，由用户分别决定具体恢复文件

数据。系统总体分为应用模块及Linux底层模块，应用层模式负责提供人机交互界面与用户操

作的处理控制。包括界面展示、进度呈现、结果显示与提示警告四个子模块。控制系统的流程

与逻輯处理。Linux底层模式包括SQLIte数据库文件提取与数据库恢复。根据应用层用户不同

操作执行不同模块。

ANdroid数据恢复系统是基于Android平台的工具类应用程序。数据恢复系统整体由应用

层模块与Linux底层模块两部分组成。Linux底层模块为核心功能模块。系统启动后，应用层

模块将显示出可供选择的文件恢复方法。用户根据自己需要选择一种恢复方法。执行相应数据

恢复操作中关注的数据根据选择恢复方法变化，执行结束后将扫描结果返回到应用层模块。

3 实验验证

MTP手机数据恢复取证的难点在于内置内储卡，手机仅支持MTP模式连接的情况，为保

证数据的完成有效性，先提取手机的镜像文件，使用分析软件分析镜像，获取手机的Root权

限，利用取证大师等专业软件对镜像文件进行挂载恢复。

可使用网络的免费软件获取手机镜像，手机平台多样化，对镜像无法直接获取情况下，可

进入手机的Recovery模式。通过组合键手机进入recovery模式，下达ADB命令中devices连

接手机，返回List of devices即连接成功。通过SU指令进入super use权限，找到user data的

mtd值。

使用mount lgrep获取dd镜像目标，若dd镜像不成功，可直接用cat方式输出镜像文件。

提取成功的img镜像文件可用encase等常用硬盘软件实现数据的恢复取证。镜像的成功获取使

龙源期刊网

手机数据恢复取证脱离手机系统环境限制。保证数据的完整有效性。手机厂家对底层操作系统

不同设置，利用上述方法可能无法获取有效镜像情况。

小米2型号手机不支持外插SD卡，可先打开USB调试，获取ROOT权限，安装APK恢

复程序，运行该恢复程序前，如手机在恢复中锁屏会停止数据恢复。应注意在恢复前调整休眠

模式再进行操作。

程序运行成功后，选择全部恢复，在恢复前用OTG连接U盘，设置数据恢复后存储目标

盘。保证手机原始信息不被恢复信息覆盖，

4 结语

本文研究实验手机恢复取证中，对不同恢复方式取证方法。基于MTP模式的智能手机在

数据恢复取证中，连接后不能直接识别盘符进行物理恢复。可用镜像提取分析法实现恢复提取

基于MTP模式的智能手机信息。成功提取出删除信息，克服了MTP模式的各种限制。

参考文献

[1]陈飞.智能移动终端应用数据取证技术研究[D].东南大学，2015.

[2]方冬蓉.基于Android手机的数据恢复方法研究及应用[D].兰州理工大学，2014.