素材课件课程1数据提取基础篇.pptxVIP

手机数据提取基础篇手机软硬件及提取方法功能机结构图智能机结构图手机上常用处理器手机存储芯片手机存储芯片的封装芯片类型管脚封装主要适用机型代表型号存储容量EEPROMTSOP8功能机W25Q64VC8MNOR FLASHBGA56功能机S71PL064J8MBGA88功能机M36L0R7050B16MBGA40塞班N643GT8MNAND FLASHTSOP48功能机K9F1G08U0M128MBGA137安卓KBY00U00VA512MEMMC FLASHBGA162安卓KMMLL000QM4GBGA169安卓SDIN4C2-8G8GBGA253安卓KMR8X0001M16G取证的两种手段逻辑取证优点：速度快、操作简便缺点：受限于屏幕锁、手机是否ROOT；手机是否正常开机；无法做深度的数据挖掘。物理取证优点：无论手机是否有锁；是否有ROOT权限；是否正常开机；只要手机的存储芯片未损坏，都可以进行取证。可以通过对镜像分析，进行深度数据挖掘。缺点：部分手机获取物理镜像需要一定的操作技术。手机取证流程图手 机开机？通过USB线连接手机至取证计算机，通过逻辑方式进行数据提取物理方式提取手机镜像文件并解析数据结果的分析和处理 取证完毕 是 否安卓ROOTROOT存在于Linux系统、UNIX系统（如AIX、BSD等）和类UNIX系统（如稳定到服务器都在用的Debian、适合长期作业成熟老道的Redhat、比较流行的Ubuntu和archlinux等版本的Linux系统以及Android系统）中，是系统中唯一的超级用户，相当于Windows系统中的SYSTEM用户。其具有系统中所有的权限，如启动或停止一个进程，删除或增加用户，增加或者禁用硬件等等。root用户是系统中唯一的超级管理员，它具有等同于操作系统的权限。一些需要root权限的应用，譬如广告阻挡，是需要root权限的。可问题在于root比windows的系统管理员的能力更大，足以把整个系统的大部分文件删掉，导致系统完全毁坏，不能再次使用。所以，用root进行不当的操作是相当危险的，轻微的可以死机，严重的甚至不能开机。常用的ROOT工具ROOT大师全球最高root成功率，支持电脑、手机端一键ROOT。ROOT精灵国内最早的安卓刷机研发团队开发，支持15000多款机型一键ROOT。一键Root大师由知名开发团队卓大师OPDA历时三年之作，完美支持上万款机型，ROOT成功率高达90%以上。Kingroot数千万用户的共同选择，分为手机、PC两个版本，可分别于手机和电脑端操作获取ROOT权限，支持超过9000款热门机型一键ROOT。百度一键Root百度公司推出的手机版root及系统管理工具。 它能帮您：安全、高效的获取手机最高权限，没有任何风险;卸载不必要的系统应用，释放手机空间;保护您的隐私，杜绝不良软件的恶意行为;管理开机启动项，向霸占手机内存、频繁推送广告的应用说NO!ROOT助手成功率最高的ROOT工具，安全、高效。腾讯应用宝-一键root由原腾讯手机管家升级而来，集成在手机助手内。金山手机助手-一键root金山开发一键root工具，集成在手机助手内。360一键ROOT360开发的ROOT工具。叮咚root一款新兴的手机版root。叮咚root轻松获取root权限，成功率非常高。逻辑取证逻辑取证是基于操作系统的一种取证方法。所使用的方法都是基于所提取手机操作系统的通讯协议和规范来完成的。安卓解除屏幕锁通过ADB协议（Android Debug Bridge）获取数据信息苹果基于IOS的iTunes套件来完成数据提取塞班基于塞班的PC套件来完成数据提取物理取证物理取证方法适用手机类型数据线底层读取镜像文件国产山寨机、部分安卓手机JTAG早期安卓机、部分CDMA功能机ISP部分采用EMMC FLASH的安卓机CHIP OFF（拆取芯片）适用所有手机（苹果、黑莓因镜像文件文件加密无法解析）物理取证的核心是通过技术手段获取手机存储芯片内的镜像文件，再通过计算机端的镜像分析工具从镜像中提取相应的数据内容。手机取证方案操作系统代表机型文件系统逻辑取证方案物理取证方案功能机国产山寨机FTA12 FAT16无数据线底层、CHIP OFF中兴华为CDMA无文件系统无JTAG、CHIP OFF塞班诺基亚塞班基于塞班套件CHIP OFF安卓三星、小米YAFFS EXT4ADB协议数据线底层、JTAG、ISP、CHIPOFFWINDOWSLUMIA920NTFS无CHIP OFFIOSIPHONE 6IOS 基于iTunes套件CHIP OFF(仅备份)黑莓黑莓7990BlackBerry基于黑莓套件CHIP OFF(仅备份)