^{<blockquote id="ylctm"></blockquote>}

數(shù)據(jù)恢復(fù)及取證技術(shù)文章

data recovery and forensics Technical Articles

數(shù)據(jù)恢復(fù)技術(shù)
電子取證技術(shù)
行業(yè)新聞

諾基亞8110香蕉機(jī)手機(jī)數(shù)據(jù)恢復(fù)與取證技術(shù)突破

發(fā)布時間：2018-09-13 閱讀數(shù)：

Nokia 8110香蕉機(jī)的數(shù)據(jù)恢復(fù)與取證難點(diǎn)

HMD公司成立于2016年5月，總部設(shè)在芬蘭，公司總裁和首席執(zhí)行官均為原諾基亞高管。HMD已經(jīng)獲得諾基亞手機(jī)和平板電腦品牌的十年授權(quán)。

然而第一個問題出現(xiàn)了：HMD并沒有公開Nokia 8110 4G的調(diào)試接口，設(shè)置里面也找不到開啟調(diào)試選項(xiàng)。難道開發(fā)者就只能放在手心把玩，不能插線深入了解么？

俄羅斯的技術(shù)人員通過組合件進(jìn)入了調(diào)試模式

來自俄羅斯的Luxferre打破了這層壁壘。他通過“導(dǎo)航上”+關(guān)機(jī)鍵組合按鈕進(jìn)入KaiOS Recovery。

QQ圖片20180913104500.png

此時他留意到，recovery日志中有一串字符串“MMB29M … 6.0.1 … test-keys”，于是大膽推測，整個系統(tǒng)的簽名密鑰來自公開的Android Open Source Project（AOSP） 6.0.1_r3源代碼分支。

QQ圖片20180913111344.png

有了簽名密鑰，下一步就是制作基于busybox + ash腳本的OTA升級包（update.zip）了。Luxferre首先通過自制OTA升級包，把system分區(qū)（/dev/block/bootdevice/by-name/system）dump到SD卡；分析dump出來的分區(qū)內(nèi)容后，再自制另一個OTA升級包（見文章最后網(wǎng)盤里面的smith.zip），修改“/system/b2g/defaults/settings.json”，把“developer.menu.enabled”和“debug.console.enabled”均設(shè)置為true。重啟后，Nokia 8110 4G的設(shè)置里面終于有了調(diào)試相關(guān)的選項(xiàng)。

QQ圖片20180913111514.png

過了一段時間后，Luxferre發(fā)現(xiàn)了一個更加簡潔的開啟adb調(diào)試模式，并且無需修改system分區(qū)設(shè)置文件：通過輸入手機(jī)指令“*#*#33284#*#* 即可。”

友情提示：*#*#debug#*#*，看看數(shù)字和字符的對應(yīng)關(guān)系，大家破解密碼的時候可以考慮。

友情提示：dump整個EMMC連續(xù)遭遇大坑

在看完Luxferre的文章后，筆者第一反映，竟然想起了山寨功能機(jī)橫行年代的時候，IMEI全為0的奇葩情況。畢竟現(xiàn)在一大批安卓山寨機(jī)也是test-keys橫行，裝個系統(tǒng)級別的惡意軟件簡直易如反掌。想不到現(xiàn)在Nokia也會這樣子…….

既然Luxferre可以dump system分區(qū)，而且還公開了OTA升級包簽名制作工具（見文章最后網(wǎng)盤里面的stockerize.zip），那按照他的思路，整個EMMC存儲也可以dump出來吧？結(jié)果筆者在這里跌了不少坑，歸納起來有：

（A）recovery中，fstab掛載配置文件寫死了SD卡只能以vfat格式（也就是FAT32格式）掛載，不能使用ext4格式。

（B）由于（A），單個文件不能超過4G（FAT32格式限制）。

（C）若在編譯階段busybox沒有指定支持大文件選項(xiàng)，則在某些情況下，busybox無法處理大于2GB的文件。

在多次嘗試失敗后，筆者終于通過分批dump的方式解決了相關(guān)問題，順利把整個EMMC存儲dump到sd卡；然后在電腦上，使用cat命令將幾個分塊文件合并成一個大文件 emmc_bak.file，合并后的文件可以用7-zip打開做進(jìn)一步的系統(tǒng)分析。

（文件合并命令如下：“cat emmc.0 emmc.1 emmc.2 > emmc_bak.file” ）

QQ圖片20180913111803.png

（測試dump emmc的時候所執(zhí)行的命令）

相關(guān)腳本，請參閱dump-emmc-full.sh和dump-only-system-part.sh，下載地址https://pan.baidu.com/s/1rdH3BagpPTfAk7cMthSzqg,密碼：3a4r。

QQ圖片20180913111927.png

（dump出來的整個EMMC存儲內(nèi)容，和system分區(qū)文件）

友情提醒：Nokia也算是手機(jī)界的鼻祖級企業(yè)了，依然犯了如此低級的錯誤：使用公開測試密鑰來簽名操作系統(tǒng)。這與華住集團(tuán)的軟件開發(fā)人員，把數(shù)據(jù)庫連接參數(shù)放到Github上何其相似？！

關(guān)于達(dá)思數(shù)據(jù)恢復(fù)與取證中心

達(dá)思科技，國家級高新技術(shù)企業(yè)，天津市國家保密局涉密載體數(shù)據(jù)恢復(fù)唯一協(xié)作單位，國家保密局常用辦公設(shè)備存儲部件敏感信息檢查系統(tǒng)項(xiàng)目課題承接單位，數(shù)據(jù)恢復(fù)與取證行業(yè)著名品牌，在國內(nèi)乃至全亞洲數(shù)據(jù)恢復(fù)技術(shù)領(lǐng)先！達(dá)思科技的全稱是達(dá)思凱瑞技術(shù)(北京)有限公司，成立于2007年8月，注冊資金1500萬元。達(dá)思科技是一家以數(shù)據(jù)恢復(fù)與取證技術(shù)研發(fā)為核心的國家級高新技術(shù)企業(yè)，公司擁有自主知識產(chǎn)權(quán)的數(shù)據(jù)恢復(fù)與取證軟件30多種。公司下設(shè)研發(fā)中心、數(shù)據(jù)恢復(fù)與取證服務(wù)部、服務(wù)器RAID數(shù)據(jù)恢復(fù)應(yīng)急中心等。

關(guān)注達(dá)思公司微信服務(wù)號或訂閱號，獲取更多信息：

圖片4.png