你被叔叔按头那一刻扔手机删APP有用吗?
很多人嘴巴硬的时候就说,我要是被按头了,绝对怎么怎么样,手机一扔,抗拒从严,回家过年,扛得住叔叔的一切手段。
有这个想法的,还是太天真了,时代已经变了,数据,比你自己还清楚你做了什么,更有很多粉丝咨询我因为被叔叔传唤,去的时候把聊天记录、app什么都删除了,我告诉你叔叔根本不屑对你使用大记忆恢复术就知道你干了什么!!!
我给各位的建议是:出了问题被按头,直接实话实说,毕竟检察院起诉书建议量刑的时候还能打一句:如实供述犯罪事实,系坦白,可以从轻处罚!!!
经常踩缝纫机的小伙伴们都知道,如今互联网技术那是突飞猛进,智能手机早就成了咱工作生活里离不了的工具,也正因如此,咱的手机里存了海量的数据,从生活习惯到兴趣爱好,甚至一天的行踪,分析分析手机数据,全都能给扒拉出来,在不少案子里,智能手机成了常见的检材,法务这块儿,对它的取证分析那可是重点关注。
经常踩缝纫机的小伙伴们都知道洛卡德物质交换原理,物质一接触就会有东西转移留下痕迹,这智能手机取证也是一个道理,就算流程看着再正常,也会留下操作的小尾巴 。
在智能手机的日志和配置文件中,存储着大量有价值的数据,你以为你删干净了。其实叔叔对这些数据进行分析,就能够了解检材的使用情况以及你所有的的相关信息。
Android 设备的 Dumpsys
dumpsys 是 Android 系统中的一个工具,主要功能是打印出当前系统的一些信息,比如 activity、package 等,它是分析设备问题、查看运行状态和使用情况的有效工具。可在 shell 下直接输入 dumpsys 指令,但返回数据量较大。因此在实际使用中,可将指令返回结果输入到一个文件中,以便于文件的传输与分析 。
当你被按头的时候,在叔叔摆弄手机的那些时间里,技术叔叔会发现一个挺有意思的玩意儿 ——dumpsys 指令,一开始,叔叔就会直接用了这个指令,好家伙,手机里正在跑着的所有服务信息,就跟开闸放水似的全打印出来了,密密麻麻的,看得你自己眼睛都花了。
后来你才知道,这玩意儿还能更精准地用, adb.exe shell dumpsys -l 这个指令,能把当前系统里运行的所有服务都给揪出来,清清楚楚地摆在你面前。这就好比你以前收币,一开始是一股脑地收,后来学会了分类筛选,只挑自己想要的,方便又实用。
如果你手机连过了WIFI,就可以直接用若要收集与 WiFi 相关的信息,可直接使用指令 “adb.exe shell dumpsys wifi” ,你连过所有的wifi信息都会被知道。
Android 设备的 Logcat
Logcat 是 Android 系统中的命令行工具,主要用于开发过程中对设备进行调试,借助它能够获取应用的日志信息。使用时,可直接输入指令 “adb.exe shell logcat” 。
这就是日志记录,可以使用不同的记录类进行保存,叔叔在查询日志时可以根据实际的需求选择不同的类进行查看。
Logcat 指令会打印出大量数据内容,这些内容依据类型不同,被存放在不同的缓冲区。在使用 Logcat 获取数据时,可以按照数据所在的缓冲区来单独获取。要是没有指定缓冲区,那么默认输出的是 system 和 main 缓冲区的内容。
各缓冲区具体输出内容如下:
Radio:输出通信系统的 log;
System:输出系统组件的 log;
Event:输出 event 模块 log;
Main:输出所有 java 层的 log,以及不属于上述三层的 log。
Android 设备的 Bugreport
Bugreport 是专门为系统开发和 App 开发设计的工具,它包含设备日志、诊断信息以及堆栈轨迹。这些内容能帮助开发者查找和修复应用中的错误。对于叔叔取证工作来说,Bugreport 也蕴含着大量有价值的信息 。
经常踩缝纫机的小伙伴就说了,我左手三星右手苹果,无敌之人。
多数三星设备支持 SysDump 模式,使用该模式需先解锁手机并进入桌面,在此模式下,叔叔无需完整文件系统权限,就能获取通常难以获取的日志文件。SysDump 是手机自带的应用程序,若手机有扩展卡,日志数据会复制到存储卡中;若没有,则复制到内部存储的根目录下名为 “log” 的文件夹。
所以,无论日志数据存储在哪,叔叔也可以在没有 Root 权限的情况下,也能用 MTP 或 ADB 指令获取日志文件。
获取日志的方法是在拨号界面输入 “*#9900#” 进入 SysDump 模式(如图 14 所示),接着点击 “Copy to sdcard(include CP Ramdump)”,数分钟内即可完成日志获取并收到提示。
iOS 设备的联机行为
在对 iOS 设备进行数据固定之前,需先用数据线连接手机和计算机,然后在手机上点击 “信任此电脑”,成功验证锁屏密码后,就能完成取证前的联机操作。
iOS 设备也支持接入 iFlash Device 外置存储设备,用户可借助它将数据存储到外置存储设备中。
别说那些敏感信息了,就像输入密码解锁屏幕、按锁屏键锁定屏幕等这些操作都会在手机上留下痕迹,从日志中能够看出,当前屏幕处于输入密码后解锁,并已进入系统桌面的状态 。
所以,你被按头的时候,立刻锁屏扔掉手机,都知道你做了什么操作。
点亮屏幕和息屏的操作在日志文件中也有记录,该日志文件位于 /data/log/lss_log 。其中 “unlockUser finished” 表示解锁完成,而且日志文件中带有时间戳信息,据此能够判断出具体在何时进行了解锁或息屏操作。
iOS 设备的解锁状态可从 Unified Logs 中获取,在控制台程序里搜索进程 “chronod”、信息 “Transition”,其中,“BioUnlock” 指的是通过面容 ID 或触控 ID 来解锁设备,这些东西叔叔都知道。
通过分析历史数据,能知晓你在某个时刻用手机进行的活动,打开了什么APP,使用历史详细记录了应用程序的使用情况,且这些历史数据按日、星期、月甚至年记录,因此,对这部分数据进行分析,有可能了解到手机在很长一段时间内的使用状况。
整理起来就是,你在什么时候打开了什么APP,屏幕使用时长这些综合数据都能知道。
Android 设备的最近任务快照功能会自动截屏当前屏幕,并将截图保存在设备的 /data/system_ce/ 目录下。访问该目录需先获得 Root 权限,从这个目录中能获取设备在一段时间内使用过的应用及其界面截图。
在任务快照里,每个任务都有对应的任务 ID,系统会为每个任务创建一张以任务 ID 命名的截图和一个同名的 XML 文件。截图文件存放在 /data/system_ce/0/snapshots/,记录的是当前操作界面。
很多人说用苹果啊,其实iOS 的应用程序快照功能适用于本地应用和第三方应用,当出现应用程序切换至后台、设备锁定、应用切换、应用中断等情况时,系统会自动截屏保存,但部分应用程序不允许被截屏,在 iOS 11 及之后的操作系统版本中,快照文件为.ktx 格式,可在 macOS 环境下查看;而在 iOS 10 及之前的操作系统版本中,截图文件则是.png 格式。
在 iOS 设备上,已安装应用程序的信息可从 applicationState.db 数据库文件中获取,该文件位于 /var/mobile/Library/FrontBoard/ 目录。数据库记录了应用程序的包名和 id 编号,例如 id 为 128 对应的包名是 com.tencent .xin。若要查看某个应用程序的安装信息,需先依据包名确定其对应的 id。
iOS 设备上的应用程序存储在以 UUID 命名的目录里。因此,在进行手工分析之前,需要先找到对应的应用数据存储目录,而这一信息可从相关数据库中获取。否则,就只能逐个查看每个目录下的
com .apple.mobile_container_manager.metadata.plist 文件,才能确定应用程序的包名。
Android手机上的应用商店或许会对应用程序的卸载情况进行跟踪,小米应用商店的数据库文件market_2.db,存于/data/data/com.xiaomi.market/databases/ 目录下,其中package_remove_histroy表记录了被卸载应用程序的包名和卸载时间。
iOS设备上应用程序的卸载行为相关信息,可以通过位于/private/var/installd/Library/Logs/MobileInstallation/ 目录下的mobile_installation.log.0|1安装日志进行分析得出。
所以不要抱有侥幸心理,洛卡德交换原理在电子数据领域依然适用,在智能手机取证方面体现得尤为明显,智能手机中的日志蕴含大量痕迹信息,对手机数据分析至关重要。然而,由于其格式复杂、种类繁多,难以被自动化分析工具处理,这就凸显了手工分析的重要性。
但是如果你真的被叔叔上了这种手段,那么先枪毙后判刑,都不带冤枉的。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
