前言
随着智能手机更新迭代越来越快,手机厂家对手机系统安全性要求也越来越严格。系统安全性提高对公民的隐私是一件好事,但是对于取证行业确实一个大难题,手机系统安全性的提高意味着我们能对犯罪嫌疑人手机的提取数据和恢复数据越来越少,本期小编将跟大家操作一下不加密芯片的手机的镜像方式原理与解析
- 该方法只适用于高通CPU手机
高通9008模式全称「Qualcomm HS-USB QDLoader 9008」,是一种download模式,是最底层的联机模式。它相对于recovery、fastboot和Android系统是独立的。
- 准备工作
手机对应的原厂线刷包
安装QPST工具
以小米5X手机为例
- 解压原厂线刷包,找到firehose协议文件,该文件为QPST支持的下载协议
注意:一定是得线刷包,卡刷包是没有这个引导文件的。以小米为例,进小米MIUI官网
随便找到一款机型,例如小米5X(不加密芯片),这里下载的包是卡刷包,是不带引导系统的
然后需要找到线刷教程,里面可以下载对应机型的线刷包
将线刷包下载下来解压,打开压缩包就能找到小米5X的引导文件啦!
- 手机进入9008模式,不同手机进入9008模式操作方法不同,大致有以下几种方法:
- 手机关机,按住特定组合按键
- 手机拆机,短接特定触点(小米手机)
- 使用特制数据线连接电脑进入9008模式
- 未锁定BL的手机,可以在开机状态下,使用adb reboot edl命令进入
小米5X手机可以使用adb reboot edl 进入9008模式,进入成功后,在PC设备管理中,可以看到9008端口,手机显示为黑屏
- 打开QFIL
点击Partion Manager 后会弹出确认框,点击OK后,显示手机分区情况,下拉到最后选择userdata分区,右击usredata分区
由于镜像存储默认路劲在C盘,如果C盘空间不足,可以使用MKLINK /D 将保存目录链接到其他盘
最后将镜像文件挂载在龙信LX-A200软件进行取证恢复,这个时候我们就能发现镜像出来的数据恢复会比直连提取的恢复效果要好很多哦
如果智能手机开启了全盘加密,这种方法获取的数据也是加密的。不过可以通过QPST工具刷入第三方具有挂载和解密userdata分区的recovery,然后进行数据提取。