手机取证流言终结

1.USB 侦错模式一定要开启,才能进行root提权?

Ans: (X)

因为USB侦错仅牵涉到手机在正常模式运行下,能否透过计算机下达adb指令,因此,不必然一定要开启USB侦错,才能进行root.

由于fastboot模式是更底层的模式,并不需要开启USB侦错才能进行刷recovery rom的动作.

2. USB 侦错模式一定要开启,才能进行图形锁,密码/PIN等破解?

Ans: (X)

原理跟上面是一样的,既然root提权不需要USB侦错模式开启,而root提权后即无所不能,因此,各种锁的破解,自然亦与USB 侦错模式开启与否无关.

3.提权成功后,在adb shell却无法顺利su,所以这表示并未真正成功root?

Ans: (X)

如下图所示,在adb shell中进行su,会出现错误讯息,但仔细看,既能进入/data/system,且能浏览该路径下的文件,自然便能取出或删除,还需要在意su成功否吗?最好笑的,删除gesture.key后,手机画面依然有图形锁,有人就说,看吧,干掉gesture.key也没用,图形锁还在???其实,这个时候,图形锁已然失效,怎么滑都能进手机桌面了.

4.若证物为iPhone 4s以后的机型,则照片删除并无任何机会救回?

Ans: (X)

经研究,若是曾JB过的机种,即使后来iOS已升级至iOS 9以上,以Dr Wondershare等工具进行数据回复,仍可能得到被删除的照片.

5.JTAG或Chip-off是终极手段,可在不开机状态下进行,且天下无敌,无任何取证分析上的阻碍?

Ans: (X)

即便是以JTAG或Chip-off,可顺利制作全机镜像档,但别忘了,若是有启用全机加密(FDE),还是得设法解密,并非因为采用了JTAG或Chip-off,就可以视全机加密于无物.

6.使用商业取证工具,便可以不需要在iDevice上按"信任",直接bypass iDevice的屏幕锁进行撷取.

Ans: (X)

仍必须解锁,然后在桌面按下"信任",或是取得plist檔以bypass.

7.只要从犯嫌的PC/Latop/Mac中取得plist,便保证可以bypass信任关系顺利取证了

Ans: (X)

仍有例外之时,若犯嫌十分谨慎,常常去重置iDevice的隐私权,那在犯嫌进行重置后,所取得的plist便无任何作用了.

8.只要设法取得犯嫌的指纹,并进行套模制作,便可保证顺利解锁他/她的iDevice.

Ans: (X)

若是处于开机状态的iDevice,以套模制作的指纹可能可以骗过.但若是已关机的iDevice,将其开机后,如下图所示,此时指纹辨识是不work的,就算是犯嫌用自己的手指来解也没用,必须要输入密码才行.

时间: 2024-10-10 16:46:40

手机取证流言终结的相关文章

[手机取证] Jonathan Zdziarski公开的苹果iOS后门及POC视频

Jonathan Zdziarski 近日在其推特上公布了此“后门”的研究及POC视频,并表示全球媒体“夸大”了此事,自己“从未表示过认为此后门与NSA的监控行为有关”. 视频 http://pan.baidu.com/s/1dDGgYIl 早在去年底,Zdziarski就向“Digital Investigation”期刊投稿关于此“后门”的研究结果,该文章发表在该刊第11期(2014)3-19. © [手机取证] Jonathan Zdziarski公开的苹果iOS后门及POC视频,布布扣,

[手机取证] Apple正在行动起来封堵后门?

在被爆出“后门”事件后,苹果似乎已经开始了自己的行动,在最新发布的iOS 8 Beta5版本中,iOS取证专家Zdziarski提及的众多后台服务中的packet sniffer服务已经被禁用,体现出苹果公司在安全和用户隐私方面的重视. 我们甚至可以猜测,在今秋即将推出的iOS 8中,苹果很可能会封堵此次“后门”事件所涉及的诸如com.apple.mobile.file_relay等具备极高取证价值的服务. © [手机取证] Apple正在行动起来封堵后门?,布布扣,bubuko.com

转载:Cellebrite发布新版手机取证软件,增强调查能力

2012-5-24 7:57:51  文章来源:文传商讯  作者:文传商讯 UFED 1.1.9.7版本为移动取证数据提取.编码和分析提供了先进的技术突破 新闻事实: Cellebrite发布其旗舰产品Universal Forensic Extraction Device (UFED)的今年第四次更新 最新版包含UFED Physical Analyzer 3.0,让用户可以获得图像雕刻.时间线和观察名单等广泛的先进功能 最新版还提供了从所有取得和未取得root权限的安卓(Android)手机

[手机取证] 绕过屏幕锁定启用调试模式-For Android 4.4.2

Google在Android 4.x中引入了调试信任机制,类似于iOS,在设备有屏幕密码的情况下首次连接(或未记住计算机)的情况下, 需要首先打开屏幕锁定后才可进行调试启用操作. 在Android 4.2.2-4.4.2中,存在一个可绕过屏幕锁定打开调试模式的漏洞: 连接手机至计算机,adb确认设备处于unauthorized状态 在Terminal中执行adb kill-server,然后shell 此时设备屏幕锁定界面将显示调试许可,点击允许,即可启用调试模式 adb成功连接后,可以通过ad

高版本安卓手机的取证未来

近年来的安卓手机取证相较过往,可以施展的手法是愈来愈受限了,大体上可以安卓7.0做为一个分野,在安卓7.0以上的高版本明显有以下反取证的特性出现: 1. 降级(Downgrade)搭配ADB Backup的技法无法备份到App的数据,如此一来即便你知道嫌疑犯明明有用WeChat等IM,但却苦无方法可以提取聊天记录. 2.愈来愈多的手机有锁Bootloader,导致难以透过解BL锁以刷入第三方Recovery ROM的技法进行提权.因为一旦强行解BL锁便会付出整机重置的代价,数据也就不复存在了.换

锤子手机 开始Or结束?

锤子手机,目前在微博圈掀起了热议.背后的原因当然是这个新机子产能严重不足.虽然锤子手机官方进行了诚恳的道歉和做出了挽救粉丝的行为,但是仍避免不了遭受一顿被狂喷的羞辱.当然,这其中有真心对待锤子手机的;也有外围对手助波推澜的.活在当下,实属不易啊,情怀营销,让罗锤子着实招架不住客观者们的诋毁.究竟锤子手机未来是个开始还是现在是个结束呢? 锤子手机,No Zuo No Die!--传说中的品控标准非常严格原来是这样子的. 1.多人投诉锤子手机做工粗糙,材质低廉,边框缺损; 2.多人投诉手机背后摄像头

物理提取大绝招”Advanced ADB”???

近来手机取证有个极为重大的突破,是由手机取证大厂Cellebrite所率先发表的"Advanced ADB" 物理提取方法,此功能已纳入其取证设备产品UFED 6.1之中. 这个所谓"Advanced ADB"的物理提取方法,可以对付的安卓手机范围之广,听了会令人咋舌.举凡Android 4.3~7.1,及安全性patch版本在2016年11月之前的安卓手机,皆在其取证范围之内,无一幸免,号称可以对付超过95%的安卓手机,这听起来实在是太神太强大了. 以下这是Cel

CCFC2015技术峰会照片几张。

2015年笔者有幸参加了CCFC技术峰会,现在发布照片几张.大家看一下. 2015年10月14日,CCFC 2015电子数据取证技术峰会于四川成都举办,有200余名一线取证技术人员及国内外各行业专家参会.此次峰会由电子取证技术论坛大会及国内外技术培训暨展会两大部分组成.技术论坛主要围绕互联网+时代下大数据分析技术及手机取证技术应用等相关主题进行讨论,演讲专家阵容强大,除国外oxygen公司.belkasoft公司.nuix公司资深专家以外,还特别外请行业专家公安部第三研究所.成都信息工程大学信息

Android开发——Android 6.0权限管理机制详解

0.前言 最近在研究所实习,我负责维护Android手机取证项目的Android客户端,有客户反映我们的APP在Android6.0无响应,经过调试发现SD卡读写权限权限被拒绝.但明明是在AndroidManifest.xml文件中声明过的.查了很多资料才知道Android6.0的很多权限申请机制发生了改变,可以说是Android6.0在安全机制上更进了一步吧,因此写下这篇文章以记录. 注:在运行程序时,对于某些权限向用户询问申请(后面会详细地讲)时因为我们知道客户在我们APP中不会点"拒绝&q