李恒道 发表于 2023-10-10 00:52:41

关于华为mate60 快速取证现勘工具v1的实现方式探讨

在此首先声明,本人并非安卓开发程序员

以下内容仅代表个人观点,不保证事实正确性以及内容的一定准确性

可能与事实存在出入

目前比较火的图片如下

![图片.png](data/attachment/forum/202310/10/004638dv78lydthkgw75zk.png)


因为作者只针对华为,存在暗示华为Mate60可以直接读取数据,我就表示苹果也可以进行提取,希望大家在没有样本的情况下可以更客观一些看待Mate60到底可不可以读取,以及实现逻辑如何

!(https://pic1.zhimg.com/80/v2-32d1b7e896c916cc9f68cce5ad870f39_1440w.png?source=d16d100b)

!(https://picx.zhimg.com/80/v2-f723aa69e470caf44cba7d7470394460_1440w.png?source=d16d100b)

没想到直接激起了知乎大V 侃叔 的苹果主动应激,上来不讨论任何东西直接评论拉黑一套丝滑操作,我个人来说认为我的言辞是没有任何过激的,简直一脸懵逼...翻了下历史文章,侃叔真的老果粉+华为黑了....

这个月也是被第三个大V喜提拉黑了,于是决定认真研究一下这个问题到底是怎么回事,以下是我的个人研究,不代表事实。

首先关于三星,苹果到底能不能通过效率源提取,官方是表示可以的,支持未Root的苹果,华为,小米,OV,金立,锤子,1+等以及其他不知名型号手机

那接下来讨论的就是手段了

最近几年的新手机基本都是有分区加密的,在不解强制分区加密的情况下是无法读取到手机的敏感数据,印象里APP的数据存储在data/data的文件夹中,而data的数据是被加密的,例如小米,即使刷了TWRP又必须输入锁屏密码才可以正常读取数据,华为经过查询我也翻到过2018年有人讨论过TWRP解密分区加密的问题,说明华为应该也是具备分区加密的

当然我们也可以考虑手机品牌商将加密的密钥通过网络存储到服务器或是存储到本地,但是由于效率源官方支持的机型太多以及目前没有大佬(指开发系统移植以及Recovery Project的作者)锤出来这个问题,我们暂时可以排除这个观点

那从个人的角度我还是更倾向于使用了ADB授权调试,所以我们主要通过信息收集来分析

一开始我想通过效率源官方进行申请获取一份样本来进行尝试,结果发现由于舆论问题已经暂停试用了

索性效率源的子公司和文章比较多,通过文章辨别,基本确定是网传的型号应该是SPF9139

无惧手机迭代与系统升级,支持iPhone 14系列、ios 16正式版以及鸿蒙3.0系统的数据提取!

经验证,SPF9139支持对**iPhone 14系列**以及**ios 16正式版**的设备进行数据提取。

通过该公司的同公司公众号数据恢复大师可以找到OPPO旧型号需要安装软件进行Root之后获取镜像进行备份

或是通过安装软件进行信息提取备份

!(data/attachment/forum/202310/10/004705cirqrg18444gnpe4.jpeg)




![图片.png](data/attachment/forum/202310/10/005338u677zq9kaz0q9oqo.png)



苹果则很可能需要进行备份然后进行信息提取

!(data/attachment/forum/202310/10/004719kpsrcosryggwp5np.jpeg)


最后终于找到了一个比较清晰的华为Mate60使用界面
!(data/attachment/forum/202310/10/004728x272zbwdpzmhbw4d.png)
右侧体现了

1.提时请保持手机屏幕处于未解锁状态

2.小米手机提取过程中需要输入锁屏密码

在安卓7.0以上分为三种情况了,其中Downgrade Extraction几乎不用考虑,那么只用bootloader以及无锁屏的ADB模式,而根据2018年华为需要TWRP输入密码才能读取文件来说应该无法通过Recovery等进行读取
!(data/attachment/forum/202310/10/004812z66iixx4pkppxmmp.jpg)
!(data/attachment/forum/202310/10/005134dkth8ft7c8ddtrck.jpg)

同时也存在提醒自动点击备份最好更改USB连接模式,说明是需要开机并且解锁连接USB的
!(data/attachment/forum/202310/10/005230hlwpyzzlyej7sts2.jpg)


所以综上所述,极大可能并非是华为专门留有接口供效率源等进行信息提取

而是使用ADB调试功能获取数据

cocang 发表于 2023-10-10 09:10:22

本来就是ADB,mate60的测试玩机一样用ADB,这应该发到酷安,讨论的会多点

李恒道 发表于 2023-10-10 09:38:42

cocang 发表于 2023-10-10 09:10
本来就是ADB,mate60的测试玩机一样用ADB,这应该发到酷安,讨论的会多点
知乎一大堆人认为效率源是可以跑后门直接提取{:4_98:}
简直群众狂欢

王一之 发表于 2023-10-10 10:16:37

我现在玩这些社区,都是图个乐

因为我发现扯倒我懂的领域,他们真的就是瞎扯淡(绝大部分)

也许这就是知识娱乐性的后果吧

李恒道 发表于 2023-10-10 10:35:23

王一之 发表于 2023-10-10 10:16
我现在玩这些社区,都是图个乐

因为我发现扯倒我懂的领域,他们真的就是瞎扯淡(绝大部分)


主要连研究都懒得研究一下,就粗暴的下出来结论拒绝任何沟通真的让人很生气
大V搞饭圈这味太浓了,几乎没有尊重知识的感觉
页: [1]
查看完整版本: 关于华为mate60 快速取证现勘工具v1的实现方式探讨