安卓系统是安装量最大的智能手机系统,根据平台广告发布的数据,安卓智能手机系统的份额已经接近70%。取证过程中遇到的智能手机也是如此, 手机的数量也惊人。然而,取证人员经常遇到的问题是,微信有7亿手机客户端用户,但是在取证时却发现手机中的微信App已经卸载了。目前,支持安卓微信卸载后数据恢复和取证的工具很少。接下来,我们来看看大斯科技的手机数据恢复软件是怎样的。
据大思科技的技术专家介绍,微信的数据库.db,以及UIN和IMEI被保存在手机中而不被清除的可能性。基于这一线索,戴思 DAS 寻求各种解决方案。这三个数据需要在手机的完整镜像中找到才能解密数据库。
手机的序列号和uin比较容易找到,它们只是一个小文件中的记录。但是,关键数据:.db在存储时可能会碎片化。我们如何恢复它?根据存储结构,我们在全镜像中搜索密钥值,判断数据库的0页,如果解密符合数据库结构,那么我们假设这个密钥值就是加密数据库的解密数据。剩下的就是用这个解密笔记解密整个镜像,并提取一致性表,这样就足以将安卓微信的全部内容还原为镜像了。
原理确立后,DATH工程师在程序中进行了多次测试,以验证整个过程的可行性。让我看一个真实世界的例子。
靠前步是获取卸载微信应用的安卓手机的完整磁盘映像,这在前面的章节中已经讲解过了,也可以查看DAS的其他技术文章。您还可以使用 DAS Data Pro 获取完整的磁盘映像。
第二步是加载完整的磁盘映像,获取序列号和uin,然后进行计算。请参阅图 1。
图 1:获取序列号和 uin
第三步是解密全盘镜像,提取微信聊天记录,极其复杂,需要大量的计算,需要有足够的耐心。我们测试的手机有一个 32GB 的内存镜像,曾经需要 30 个小时。我们正在努力优化算法以提高计算效率。
图 2:解密镜像操作正在进行中
第四步:获取微信聊天记录,验证后,卸载的微信聊天记录成功恢复。如图 3 所示。
图 3:卸载 微信后,聊天记录数据已成功恢复。
关于戴思 DAS 技术
戴思科技,标准高新技术企业,天津市保密局较早一家保密运营商数据恢复合作单位,数据恢复行业知名品牌,中国乃至亚洲领先的数据恢复技术
戴思科技中国数据恢复和取证专家!热线:
QQ客服