一般来说,无论是芯片读取还是利用取证软件所获取到的安卓镜像,都是一个常规的.bin文件。由于提取方式、检材自身或者镜像文件不完整等原因,往往会导致某些.bin文件无法识别到分区的情况。此时,我们可以尝试将安卓镜像转换成磁盘的格式进行分析,面对磁盘格式文件,如何去定位到用户区并把它准确的提取出来呢?下面就让大睿为各位看官逐步详解。
当我们拿到一份镜像文件的时候,首先要将镜像文件由页的形式转换为磁盘扇区的形式,以便于进行接下来的分析。在Winhex工具中点击【专业工具】下拉菜单,选择【将镜像文件转换为磁盘】。
通常情况下,经过转换后的每个分区会被展示出来,但有时由于一些不确定的因素,也会导致转换完成后没有任何分区显示,如下图就是一次成功转换后未展示分区的情况。
遇到这种情况,首先我们要从镜像的0扇区开始向下查看并找到有“userdata”的位置。这项工作需要一定的经验,涉及到文件结构、分区引导及GPT结构等等相关知识,由于篇幅有限,我们以后再向大家详细介绍。不过大家也无需苦恼,即使不具备相关经验,经过耐心查找,一样可以在右侧找到明显的【userdata】明文显示。
左右滑动可查看多张图片
找到这个位置,我们就可以定位到用户区的一些信息了,比如字节所代表的含义,就包含了用户区所在的起始位置和结束位置,通过对起始和结束位置的数据大小进行计算,我们可以轻易得到用户区数据量。
左右滑动可查看多张图片
找到了起始扇区和结束扇区的具体数值,接下来我们进行对应扇区位置的跳转,在跳转中输入起始位置数值“5844032”跳转到起始位置并将其选择为文件的开始(右键并点击【选块起始位置】):
左右滑动可查看多张图片
开始部分确定后,接下来我们继续跳转到结束位置,在跳转中输入结束位置的数值“61079518”跳转到结束位置并将其选择为文件的结尾(右键并点击【选块尾部】):
左右滑动可查看多张图片
此时我们复制并将之前选择截取的部分进行保存:
至此,我们已经将用户区以手动的方式保存了出来,常规方法已然无法解析它,我们还是要将其转换并以磁盘的方式打开,刚刚提取的文件就会被展示出来。
下面我们用视频向大家直观的展示一下操作流程
查找并保存用户区数据
用户区中会存在一个空余空间,有的时候空余空间也会存有一些数据,此案例我们以删除的图片作为示例,我们可以通过文件类型的方式进行分析并恢复文件。(在【工具】下拉菜单的【磁盘工具】中选择【通过文件类型恢复】):
左右滑动可查看多张图片
下面我们用视频向大家直观的展示一下操作流程
数据分析与恢复方法
至此,利用WinHex对进行安卓镜像数据恢复的完整流程就像大家介绍完了。通过查找用户区的起始和结束位置,提取出完整的用户区数据文件,再利用按文件类型恢复的方式对其空余空间中可能存在的删除文件进行恢复,能够帮助我们在遇到安卓镜像文件无法顺利分区解析的情况下解决数据恢复难题。这个办法不仅适用于手机镜像,对于大部分常见的硬盘和闪存镜像,我们都可以通过这种方式对其进行恢复尝试。
来源:网络安全与取证研究