关于手机取证中逻辑采集与系统备份的差异
文章目录
一、在手机取证中,逻辑采集和文件系统备份的主要差距如下:
1.数据范围
- 逻辑采集:主要提取文件系统中的逻辑数据,如联系人、通话记录、短信、应用数据等用户可见和可操作的数据。它侧重于获取当前存储在文件系统中的数据,不包括已删除数据或未分配空间中的数据。
- 文件系统备份:备份整个文件系统,包括文件内容、文件属性以及文件系统的结构信息等。它能够还原文件系统在备份时刻的状态,但通常不包括底层的未分配空间和残留数据。
2.数据完整性
- 逻辑采集:提取的数据较为有限,不包含文件系统底层的未分配空间和残留数据,因此无法获取已删除但未被覆盖的数据。
- 文件系统备份:能够较为完整地还原文件系统在备份时刻的状态,包括文件的组织结构和逻辑关系,但与物理采集相比,仍可能遗漏一些底层的、未分配或已删除但未被覆盖的数据。
3.提取方式
- 逻辑采集:通常通过设备制造商的应用编程接口或专业的取证工具来执行,这些工具可以直接与设备的文件系统交互,获取当前存储的数据。它不需要对设备进行复杂的操作,如root或越狱。
- 文件系统备份:可以通过手机自带的备份功能或专业的备份工具来完成。备份过程通常需要设备处于正常工作状态,并且需要用户授权。
4.应用场景
- 逻辑采集:适用于快速获取用户直接操作和存储的数据,常用于日常的电子数据调查、简单的数据恢复场景。例如,在需要快速获取特定应用数据或用户基本信息时,逻辑采集是一种高效的方法。
- 文件系统备份:主要用于数据的常规备份和恢复,以防止数据丢失、系统故障等情况。在手机取证中,它也适用于需要还原整个文件系统结构的场景。
5.速度和效率
- 逻辑采集:通常比文件系统备份更快,因为它只需要提取当前存储的数据。
- 文件系统备份:备份整个文件系统,包括文件的组织结构和逻辑关系,因此速度相对较慢。
6.数据篡改风险
- 逻辑采集:由于直接与设备的文件系统交互,逻辑采集过程中数据被篡改的风险较高。
- 文件系统备份:备份过程相对独立,数据被篡改的风险较低。
二、ADB备份和手机备份功能
1.ADB备份
- 属于逻辑采集 :ADB备份是通过ADB工具执行
backup命令实现的数据备份。它备份的是设备的文件系统中的逻辑数据,包括应用数据、系统设置等用户可见和可操作的数据。例如,使用adb backup -apk -shared -all -f backup.ab命令可以备份设备的全部数据。
- 数据范围:可以获取当前存储在文件系统中的数据,但无法获取底层的未分配空间或已删除但未被覆盖的数据。
- 优点:无需Root权限,获取数据较完整,也能基于SQLite文件进行数据恢复。
- 缺点:仅支持安卓4.0以上系统,且随着系统和APP的不断升级,可获取的数据可能会减少。
2.手机品牌备份功能
- 属于系统备份:手机品牌自带的备份功能通常是对整个文件系统进行备份,包括文件内容和文件系统的结构信息。例如,小米/红米手机可以通过设置中的小米账号进行云服务备份,备份相册、短信、通话记录等。
- 数据范围:备份整个文件系统,包括文件的组织结构和逻辑关系,但通常不包括底层的未分配空间和残留数据。
- 优点:深度整合系统功能,可备份应用布局、Wi-Fi密码等个性化设置。
- 缺点:备份过程相对独立,数据被篡改的风险较低,但备份的数据可能不如ADB备份灵活。
总结
- ADB备份适合快速获取用户可见的数据,适合初步调查和简单的数据恢复。
- 手机品牌自带备份功能则提供了更全面的数据备份,适合需要还原整个文件系统结构的场景。