曾琪 羅慧瑜

摘要：根據(jù)數(shù)據(jù)丟失的原因，Android智能手機數(shù)據(jù)恢復(fù)方法分為兩大類：物理恢復(fù)和軟件恢復(fù)。物理恢復(fù)一般是由于手機進水、摔壞等無法開機情況下的芯片級恢復(fù)，而軟件恢復(fù)則大多因為邏輯損壞。該文針對Android智能手機數(shù)據(jù)在物理或者邏輯情況下造成的數(shù)據(jù)丟失問題，對現(xiàn)有數(shù)據(jù)恢復(fù)方法進行測試與比較分析，以便于用戶應(yīng)該根據(jù)自身情況去選擇合適自己手機情況的恢復(fù)方法提供參考。

關(guān)鍵詞：Android;數(shù)據(jù)恢復(fù);數(shù)據(jù)存儲

中圖分類號：TP311

文獻標識碼：A

文章編號：1009-3044（2020）03-0027-02

1 概述

隨著移動通信技術(shù)的高速發(fā)展，智能手機已成為人們生活中不可缺少的一部分。智能手機的普及刺激了用戶更多的需求，使得手機軟件發(fā)展日新月異，多樣化的應(yīng)用程序?qū)崿F(xiàn)了智能手機到掌上電腦的轉(zhuǎn)變。與此同時，智能手機中存儲著越來越多的個人數(shù)據(jù)，其中不乏重要的隱私數(shù)據(jù)。Android智能手機用戶在進行數(shù)據(jù)操作時，面臨更多不同重要隱私數(shù)據(jù)的丟失問題，對數(shù)據(jù)安全恢復(fù)有更多的需求。

國際上的數(shù)據(jù)恢復(fù)技術(shù)起步較早，成熟度較高。近年來，國內(nèi)關(guān)于Android智能手機數(shù)據(jù)恢復(fù)研究取得了一定的研究成果。如文獻[1]以Android智能手機中的短信、通話記錄和通訊錄為研究對象，使用SQLite數(shù)據(jù)庫進行數(shù)據(jù)結(jié)構(gòu)詳細分析，通過調(diào)試橋工具調(diào)用運營商信息在系統(tǒng)種類的方法，成功恢復(fù)出這些信息。文獻[2]從手機犯罪常見形式人手，通過早期手機取證工具分析手機SIM卡中數(shù)據(jù)提取犯罪證據(jù)。文獻[3]通過分析Android系統(tǒng)漏洞，繞過開機密碼等方面，對手機內(nèi)存進行鏡像再恢復(fù)取證。文獻[4]研究了手機臨時Root權(quán)限，通過調(diào)用API來對SQLite數(shù)據(jù)庫中數(shù)據(jù)進行恢復(fù)，并提出一種細粒度數(shù)據(jù)完整性校驗方案。文獻[5]作者設(shè)計了基于FAT32和EXT4兩種文件系統(tǒng)的數(shù)據(jù)恢復(fù)及擦除軟件，申請了國家專利，對數(shù)據(jù)保護做出很大貢獻。文獻[6]通過研究不含外置存儲的且只有MTP模式的Android智能手機，通過不同模式的鏡像方法，恢復(fù)出丟失的圖片信息。

本文從數(shù)據(jù)丟失的原因出發(fā)，把Android智能手機數(shù)據(jù)恢復(fù)方法進行了總結(jié)和分類測試，以便于用戶應(yīng)該根據(jù)自身情況去選擇合適自己手機情況的恢復(fù)方法提供參考。

2 Android手機數(shù)據(jù)恢復(fù)方法

2.1 芯片恢復(fù)方法

將存儲介質(zhì)作為目標，不從文件系統(tǒng)對數(shù)據(jù)進行訪問，直接拆解芯片進行鏡像數(shù)據(jù)恢復(fù)[7]。拆解后取出存儲芯片，然后需要通過其他工具對芯片進行處理然后恢復(fù)數(shù)據(jù)。這種方法優(yōu)點可以最大化的防止對丟失數(shù)據(jù)的影響，保護數(shù)據(jù)的完整性和原有狀態(tài)[8]。芯片恢復(fù)可以通過物理鏡像繞過口令保護，不僅可以恢復(fù)刪除數(shù)據(jù)，系統(tǒng)認為不需要而丟棄的數(shù)據(jù)也都可以一并找回。缺點在于這種方法對工具和動手能力要求較高，稍有不慎手機和芯片都有報廢風(fēng)險。在沒有工具環(huán)境前提下普通用戶更是難以獨立完成這類操作。

2.2 手機軟件恢復(fù)方法

針對手機端的數(shù)據(jù)恢復(fù)軟件，目前市場上免費軟件和收費軟件數(shù)量都很多，效果和價格也大不相同，比如：數(shù)據(jù)恢復(fù)CTRL+Z、數(shù)據(jù)恢復(fù)大師、數(shù)據(jù)恢復(fù)DiskDigger Pro、壁虎照片恢復(fù)、壁虎系列、短信恢復(fù)工具、圖片恢復(fù)、圖片恢復(fù)工具等。通過對市場上免費手機數(shù)據(jù)恢復(fù)軟件進行了測試實驗，得出表1數(shù)據(jù)。

通過實驗發(fā)現(xiàn)，市場上免費數(shù)據(jù)恢復(fù)軟件恢復(fù)效果不能讓人滿意，幾乎沒有一款工具能夠恢復(fù)出手機內(nèi)置存儲器中的圖片、視頻或者文檔等有價值的數(shù)據(jù)。大部分軟件無法正常使用，少部分通過掃描恢復(fù)出大量緩存無用數(shù)據(jù)。針對這一結(jié)果，不建議用戶通過直接使用免費軟件進行重要數(shù)據(jù)的恢復(fù)。一方面效果不是很好，更重要的方面是這樣的操作有可能對丟失數(shù)據(jù)造成二次覆蓋。

2.3 電腦軟件恢復(fù)方法

相對于不成熟的智能手機數(shù)據(jù)軟件，磁盤數(shù)據(jù)恢復(fù)軟件的研究相對成熟很多。而用戶可以將手機內(nèi)置存儲通過鏡像到其他存儲介質(zhì)，然后根據(jù)功能進行恢復(fù)的效果會相對較好。電腦端的數(shù)據(jù)恢復(fù)軟件現(xiàn)在比較成熟，可以完成不同程度的數(shù)據(jù)損壞。按功能分如表2所示。

用戶可以間接使用電腦恢復(fù)軟件，將手機內(nèi)置存儲用一定的方法轉(zhuǎn)移到電腦磁盤中，這樣可以保證手機數(shù)據(jù)不再被破壞，并且能很好地利用現(xiàn)在成熟的恢復(fù)技術(shù)進行掃描恢復(fù)。但可能由于用戶對數(shù)據(jù)恢復(fù)軟件不夠熟悉，在提取鏡像后又做了一些畫蛇添足的處理，比如利用VhdTool.exe對鏡像進行各種后期處理，不僅增加了步驟的煩瑣程度，可能還會起到誤導(dǎo)作用。

3 結(jié)束語

本文針對如今常用的手機數(shù)據(jù)恢復(fù)方法進行了實驗分析，發(fā)現(xiàn)現(xiàn)有的數(shù)據(jù)恢復(fù)方法或是需要花費高額的成本，或是在恢復(fù)過程中造成手機內(nèi)置存儲數(shù)據(jù)的覆蓋，影響數(shù)據(jù)完整性。Android智能手機通過物理級芯片恢復(fù)雖然能夠達到最好的恢復(fù)效果，但由于成本與技術(shù)等因素，普通用戶不會選擇該方式。通過手機軟件對比電腦軟件可以得出，將手機內(nèi)置存儲鏡像到電腦磁盤中，比直接用手機軟件，對手機進行操作恢復(fù)成功效率高，并且對數(shù)據(jù)的保護程度也較高，不會更多的對手機中的數(shù)據(jù)做再次覆蓋。目前還沒有一款工具可對手機整個內(nèi)存進行鏡像，然后在內(nèi)存鏡像副本上進行操作，保證原始證物的完好無損。如何獲取手機內(nèi)存整體鏡像，還需進一步投入大量的研究。

參考文獻：

[1]楊鬧春.Android手機取證系統(tǒng)研究[D].南京：南京郵電大學(xué)，2013： 70-71.

[2]陳德俊，丁紅軍，手機取證研究概述[J].中國公共安全：學(xué)術(shù)版，2012（3）：100-102。

[3]張輝極，薛艷英.基于Android系統(tǒng)的取證技術(shù)分析[J]信息網(wǎng)絡(luò)安全，2012（4）：58-60.

[4]陳明艷.手機信息取證系統(tǒng)的研究與設(shè)計[D].武漢：武漢理工大學(xué)，2014： 70-72.

[5]孫典.基于Android平臺的數(shù)據(jù)恢復(fù)與擦除軟件的設(shè)計與實現(xiàn)[D].北京：北京郵電大學(xué)，2014： 67-70.

[6]危蓉，麥永浩.MTP模式下智能手機數(shù)據(jù)的恢復(fù)與取證[J].警察技術(shù)，2015（2）：34-37.

[7]趙斌，何涇沙，萬雪姣，等，針對安卓移動終端設(shè)備的數(shù)據(jù)取證技術(shù)分析[J].警察技術(shù)，2014（3）：79-82.

[8] L.Aouad， Kechadi T.Android Forensics：A Physical Approach[C]. The 2012 International Conference on Security and Man-agement，2012：1-5.

[9]楊陽.Android手機數(shù)據(jù)恢復(fù)方法研究綜述[J].計算機時代，2017（4）：29-31.