1. 手机取证实战入门从ADB到蓝牙MAC地址追踪手机取证是电子数据取证中最常见的场景之一。去年我参与处理的一起案件中嫌疑人通过恶意APP窃取了受害者通讯录当时就是通过ADB连接记录锁定了关键证据。先说说ADB这个基础但极其重要的工具。ADBAndroid Debug Bridge是安卓系统调试桥取证时我们主要关注两个关键点一是查看设备是否开启过USB调试模式二是分析历史连接记录。实际操作中可以进入手机的/misc/adb/目录这里会保存所有配对设备的密钥文件。每个.adb_keys文件对应一个连接过的设备通过统计文件数量就能确定连接设备数。比如去年那个案子我们就是在/data/misc/adb/adb_keys里发现了两个密钥文件证明嫌疑人用这台手机连接过两台电脑。蓝牙MAC地址是另一个重要线索。每台设备的蓝牙模块都有全球唯一的48位MAC地址格式通常是XX:XX:XX:XX:XX:XX。取证时可以通过分析蓝牙配置文件获取这个信息。安卓系统一般会在/data/misc/bluedroid/bt_config.conf保存蓝牙配置用文本编辑器打开就能看到类似Address 48:87:59:76:21:0f的记录。这个地址不仅能用于设备识别还能与其他网络日志交叉验证嫌疑人的活动轨迹。2. 加密容器破解实战技巧现在越来越多的嫌疑人会使用加密容器隐藏关键证据。去年我遇到一个使用文件保险箱类APP的案例嫌疑人把敲诈记录都藏在加密容器里。这类工具通常会在手机存储中创建特定格式的加密文件比如.enc、.vault等扩展名。破解加密容器通常分三步走首先是定位容器文件可以通过文件特征如固定文件头或应用数据目录如/data/data/com.zs.filecompress/来寻找其次是分析加密算法很多国产加密工具会采用AES或变种的加密方式最后是获取密码密码可能保存在应用配置、内存dump或日志文件中。有个实用技巧是关注应用的临时文件。某次取证时我们发现目标应用com.zs.filecompress在/sdcard/Android/data/目录下留下了未加密的临时副本直接还原出了6份加密文件的内容。另外要注意查看SQLite数据库很多应用会把操作记录存在本地数据库中比如加密次数、最后修改时间等元数据。3. 恶意APP逆向分析全流程恶意APP分析是手机取证中最技术性的环节。以去年分析的相亲诈骗APP为例嫌疑人通过com.lxlxlx.luoliao这个应用窃取用户数据。这类分析通常需要用到逆向工程三件套apktool、jd-gui和frida。第一步是反编译APK获取Java代码apktool d malware.apk -o output_dir然后重点查看几个关键位置AndroidManifest.xml里的权限声明、res/values/strings.xml中的硬编码信息、smali代码中的网络请求逻辑。那个相亲APP就是在strings.xml里藏了邮箱地址1304567895gmail.com。动态分析时可以用frida hook关键函数。比如监控数据发送函数Interceptor.attach(Module.findExportByName(libnative-lib.so, sendData), { onEnter: function(args) { console.log(发送数据到: Memory.readCString(args[0])); } });这样就能捕获到恶意APP的真实收件邮箱。记得一定要在隔离环境中运行样本我吃过亏有次测试时不小心让样本连上了内网...4. 即时通讯取证与数据恢复即时通讯取证要关注三个层面应用本身、应用分身和多账号体系。先从基础开始查看/data/data/下的应用私有目录比如微信的com.tencent.mm、陌陌的com.immomo.momo等。重点看这几个数据库EnMicroMsg.db微信聊天记录mm.sqlite陌陌消息im.db其他IM应用的通用存储应用分身数据通常存放在/user/999这样的多用户目录下。去年有个案子嫌疑人用了某品牌手机的应用分身功能把诈骗用的微信账号放在分身空间。我们是通过对比/data/user/和/data/user/999/两个目录下的应用数据差异发现的。删除记录恢复也有技巧。SQLite数据库删除记录时不会立即擦除数据只是标记删除状态。用strings命令扫描数据库文件经常能找到已删除的内容strings mm.sqlite | grep -A 10 -B 10 勒索这个方法帮我们找回了一条关键的被删聊天记录成为定罪的关键证据。要注意的是不同厂商的即时通讯软件存储结构差异很大需要提前做好功课。