背景
自Android 6全盘加密后,对三方应用数据的取证一直都是业界备受关注的话题。从手机内置的备份与恢复、克隆,到使用官方工具来实现数据传输,我们一直在探索最优、最全、最快的取证之路。
今天大睿要介绍的,是睿海全新方案“一键Wifi方案”,介绍功能的同时,我们也剖析一些实际取证工作中,由于不同电脑、环境、网络状态等客观因素引起,可能遇到的问题。
一、早期提取方案
针对手机厂家的这次举措,国内的取证厂商们也纷纷给出了对此的数据提取方案,一般来说就是让取证软件模拟新手机,发送数据迁移指令到手机端,手机端接收数据迁移指令后,将手机端数据备份传送给电脑端的取证软件,取证软件进而对该手机备份数据做恢复解析。
该类提取方案有以下弊端:
弊端一:Wifi热点名称不符合要求
第三方Wifi软件默认开启的热点名称随机生成,不符合官方工具对于传输数据的要求,需要手动修改特定名称。
弊端二:需要手动设置Wifi热点IP
图1 编辑设置IP
该提取方案需要对Windows系统进行网络设置,必须将IP地址设为192.168.137.1,子网掩码设为255.255.255.0,方可正常连接提取数据。
弊端三:检材联网风险
图2 移动热点
由于Windows系统机制要求必须连接外网才可开启热点,在连接外网开启热点的情况下,取证电脑就相当于一个路由器,连接取证电脑Wifi热点的手机检材此时是联网状态,有被远程控制的风险。
弊端四:每次只能提取一台手机
传统方式生成的热点,每次只能提取一台手机,不能满足多路的需求。
二、一键Wifi方案
针对这类提取方案上的弊端,睿海科技以最快速度研发推出了一键Wifi方案,支持多台手机同时提取,多台手机同时连接自动生成的热点,最多可同时提取8台手机。有效解决了操作繁琐、连接受限和高风险的弊端;该方案无须人工,一键开启,隔绝外网,方便快捷。
图3 同时连接8部手机
图4 一键开启Wifi热点
左右滑动查看更多
实际取证工作中,由于电脑操作系统设置的原因,导致热点断连,怎么办?大睿总结了以下几点PC端设置方法,和大家一起分享。
(一)关闭防火墙
防火墙总是叫人又爱又恨,爱它兢兢业业,日夜守护,恨它在手机无线传输备份取证的过程中经常阻断数据传输导致取证工作失败。
(1)打开搜索页面,输入【控制面板】并打开,选择【大图标查看方式】,点击【Windows Defender 防火墙】。(如图5操作)
图 5
(2)点击【启用或关闭Windows Defender防火墙】。(如图6操作)
图6
(3)将【全部类型防火墙选择关闭】(操作路径:控制面板-->所有控制面板项-->Windows Defender防火墙-->自定义设置)。(如图7操作)
图 7
(二)还原防火墙
由于有些电脑的注册表被修改过,导致了防火墙异常,无法正常关闭防火墙,此时需要修改注册表并重启电脑,再重置关闭防火墙的设置。
(1)按Win+R键打开【运行】界面,输入“regedit”,点击【确定】按钮,调出注册表界面。(如图8操作)
图 8
(2)打开注册表后进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecurityHealthService路径,在右侧找到【Start】右键选择【修改】,将4修改为2或3(输入“2”不好用时,可以输入“3”,直到重置防火墙成功即可)保存,然后重启电脑。(如图9操作)
图 9
(3)重启电脑后,点击电脑左下角,输入“防火墙”,选择【防火墙和网络保护】并点击【还原设置选项】。(如图10操作)
图 10
(三)无线网卡供电不足,怎么办?
用户将USB设备插在电脑的前置面板上,虽然电脑支持、并且提供了这些接口,但是这些USB接口有时候会出现供电不足的现象,导致无线网卡工作不稳定,网络断开。
解决方法:USB无线网卡尽量插在机箱后面的USB接口,以免供电不足,网络不稳定。
(四)无线信号不稳定,怎么办?
实际工作中取证人员需要同时提取多部手机,如果无线传输备份取证的手机与热点距离过远,手机彼此间的信号会互相干扰,导致检材断联。
解决方法:可以尝试将无线传输备份取证的手机放置在取证电脑旁(靠近无线网卡)。