DETAILS
手機數據獲取之ROOT權限


安卓手機ROOT大家都不陌生,是安卓系統的最高用戶權限(本文僅談手機),類似于Windows操作系統下的Administrator。所以在此權限下,便可以對幾乎所有的文件進行操作和獲取,通過鏡像甚至還可能夠分析出已刪除的數據。

 

ROOT權限類型

圖片 1.png

(圖1)

?  臨時ROOT/軟ROOT

允許通過Shell訪問

不是永久的,重啟便消失

同樣會留下痕跡

 

?  完全/永久ROOT

安裝SU到/bin、/sbin…

重啟系統依舊具有ROOT權限

手機會留下痕跡

 

Android設備有不同類型的ROOT方式。大多數商業取證工具都提供了一個臨時的ROOT,允許臨時的超級用戶訪問。這些臨時ROOT會在設備重啟后消失。同時,無論臨時ROOT還是完全的ROOT,多多少少都留下了一些痕跡,如果擔心留下痕跡,你不應該對設備進行ROOT操作。

 

如何ROOT

隨著安卓系統的不斷升級,不斷的修復漏洞。ROOT變得越來越困難。但是理論上絕大多數的設備仍可被ROOT。對于系統版本較低的設備,基本可以使用網絡上的ROOT軟件進行“一鍵ROOT”,甚至有些版本只要將default.prop中的ro.secure=0改為ro.secure=1即可獲取ROOT權限。但從安卓5.0開始,系統強化了SELinux安全子系統,這也使得安卓設備ROOT變得更困難。

圖片 1的副本.png

l  一鍵ROOT

“一鍵ROOT”對于系統版本5.0以后的設備幾乎沒有任何效果了。

l  刷第三方recovery

如果能獲取到可靠的recovery固件,對于一部分手機還是有一定的幫助。但受限于bootloader,關于bootloader后續再做交流。

l  固件修改

本文采用的是此方法,通過對設備固件的修改從而可以提權至ROOT。針對不同系統版本,修改的固件也略有不同,具體如下:

7.0及以下:boot.img

8.0:ramdisk.img(等同于boot.img)

9.0:recovery_ramdisk.img

 

真的需要ROOT嗎?

設備被ROOT后,具有了最高的權限,固然可以獲取到更多的數據,但ROOT就像雙刃劍,有利也有弊。上面有提到無論是做臨時ROOT還是永久ROOT,都會在設備上留下一些痕跡。另外通過修改固件再刷入手機提權,該過程必然會涉及到“刷機”,刷機又會涉及到解bootloader鎖(三星Crom鎖),無論是單純的“刷機”還是bootloader解鎖都會存在一些風險。比如華為手機在解鎖bootloader時會觸發恢復出廠。那么什么時候需要獲取ROOT權限呢?

 

n  嘗試恢復已刪除的數據(實際效果并不理想)

n  嘗試恢復數據庫中的數據(由于目前大多數APP的數據庫都采用的“回

縮”機制,有可能刪除的數據被排除在數據庫文件之外)

n  獲取到ROOT權限后,可對鎖屏密碼進行操作

 

通過上面的介紹,應該清楚了到底是否真的需要對設備進行ROOT。其實即使不對設備進行提權也依舊可以獲取到絕大部分數據,無論是通過備份方式、還是通過助手協議獲取應該都可以滿足工作的需求。

 

永久ROOT權限獲取

華為Android9.0。通過制作帶有ROOT權限自制固件的方式獲取ROOT權限。

2.png

(圖2)

RX-9000能夠實現針對三星、華為、OPPO、VIVO、小米、魅族、錘子、美圖、360、努比亞、金立、樂視、海信、朵唯等國內外300余個品牌、數千款機型的鎖屏密碼破解與鏡像獲取。針對安卓2.0至10.0均有專業的鎖屏密碼繞過,權限獲取(ROOT)方案、手機全盤加密及文件加密的密碼繞過方案。

使用RX-9000可以放心,所有的依規操作完全不會造成數據丟失或觸發恢復出廠。軟件有詳細的操作流程引導。如圖3所示。按照軟件的示意圖及提示進行操作即可。在數據獲取結束后,可將手機還原至初始狀態。

3.png

(圖3)

也可以一鍵制作“ADB+ROOT”固件,手機重啟后即可與電腦ADB“配對”,并具有ROOT權限,不受屏幕的限制。圖4所示

4.png

(圖4)

將做好的”ADB+ROOT”權限的自制固件通過刷機工具刷至設備,刷完之后對設備進行重啟操作。即完成了ROOT權限的刷入階段。圖5所示。

5.png

(圖5)

6.png

(圖6)

如圖6所示設備已獲取到了ROOT權限,如果設備采用的是FDE加密則此時可對全部數據進行導出。可以選擇導出用戶數據,圖7。導出用戶數據功能是對/data/data目錄下的用戶應用數據打包為tar傳到電腦中進行數據固定。

7.png

(圖7)

如果設備采用的是FBE(文件加密),那么即使取得了ROOT權限,但依舊無法直接獲取數據。如圖8所示。這是因為FBE加密需要鎖屏密碼的參與,即使設備具有了ROOT權限,但沒有正確輸入鎖屏密碼數據仍處于加密狀態。關于加密方式后面我們再做交流。

圖8.png

(圖8)

數據獲取完成后即可將數據導入“天鑒手機取證分析系統”進行相關的分析和報告的導出。圖9所示。

圖9.png

(圖9)


 

臨時ROOT權限獲取

OPPO R15安卓系統版本8.1。可通過其內核漏洞進行臨時ROOT權限的獲取。

圖10.png

(圖10)

 

?  首先確認設備已開啟USB調試

11.png

(圖11)

?  上傳root文件至/data/local/tmp(該目錄$權限即可寫入)

圖12.png

(圖12)

?  更改文件權限為可“讀、寫、執行”

圖13.png

(圖13)

?  執行root文件獲取權限

14.png

圖14)

至此獲取到了ROOT權限。此時就可以對設備進行鏡像的獲取了。對比華為手機在獲取權限的時候需要執行su,而這部OPPO手機并沒有執行su就具有了ROOT權限。這是因為兩種ROOT方式有這很大的區別,華為手機需要借助su進行提權。而這部OPPO的設備是通過內核漏洞直接獲取到了ROOT權限。

但此時只是獲取到了臨時的ROOT權限,手機退出后ROOT權限隨之消失。此時可以另外開啟一個ADB進程如圖15所示。

15.png

(圖15)

通過圖15可以看出,從新開啟一個ADB進程對設備進行訪問,并沒有ROOT權限,并且也無法通過su進行提權,對/data/data進行瀏覽也同樣提示沒有相應的權限。所以臨時ROOT只對本次有效。手機退出或者從新開啟ADB進程都將失去ROOT權限。

30779f83-4bd9-4709-9979-92adf988c6d0.jpg


下一篇:由ATA密碼淺談西部數據硬盤固件模塊

上一篇:RAID磁盤陣列您了解多少?

聯系我們
  •    北京
  • 電話:010-62983123
  • 地址:北京市海淀區信息路15號616
  •    天津
  • 電話:022-23737908
  • 地址:天津市華苑產業區開華道22號普天大廈東塔5層
Copyright ? 2002-2020 Timehost Technology Co.,Ltd 北京天鑒科技有限公司 | 北京天宇宏遠科技有限公司 京ICP備05073270號
竞彩足球胜平负玩法