數(shù)據(jù)恢復(fù)及取證技術(shù)文章

data recovery and forensics Technical Articles

數(shù)據(jù)恢復(fù)技術(shù)
電子取證技術(shù)
行業(yè)新聞

諾基亞8110香蕉機(jī)手機(jī)數(shù)據(jù)恢復(fù)與取證技術(shù)突破

發(fā)布時(shí)間：2018-09-13 閱讀數(shù)：

Nokia 8110香蕉機(jī)的數(shù)據(jù)恢復(fù)與取證難點(diǎn)

HMD公司成立于2016年5月，總部設(shè)在芬蘭，公司總裁和首席執(zhí)行官均為原諾基亞高管。HMD已經(jīng)獲得諾基亞手機(jī)和平板電腦品牌的十年授權(quán)。

然而第一個(gè)問(wèn)題出現(xiàn)了：HMD并沒(méi)有公開(kāi)Nokia 8110 4G的調(diào)試接口，設(shè)置里面也找不到開(kāi)啟調(diào)試選項(xiàng)。難道開(kāi)發(fā)者就只能放在手心把玩，不能插線深入了解么？

俄羅斯的技術(shù)人員通過(guò)組合件進(jìn)入了調(diào)試模式

來(lái)自俄羅斯的Luxferre打破了這層壁壘。他通過(guò)“導(dǎo)航上”+關(guān)機(jī)鍵組合按鈕進(jìn)入KaiOS Recovery。

QQ圖片20180913104500.png

此時(shí)他留意到，recovery日志中有一串字符串“MMB29M … 6.0.1 … test-keys”，于是大膽推測(cè)，整個(gè)系統(tǒng)的簽名密鑰來(lái)自公開(kāi)的Android Open Source Project（AOSP） 6.0.1_r3源代碼分支。

QQ圖片20180913111344.png

有了簽名密鑰，下一步就是制作基于busybox + ash腳本的OTA升級(jí)包（update.zip）了。Luxferre首先通過(guò)自制OTA升級(jí)包，把system分區(qū)（/dev/block/bootdevice/by-name/system）dump到SD卡；分析dump出來(lái)的分區(qū)內(nèi)容后，再自制另一個(gè)OTA升級(jí)包（見(jiàn)文章最后網(wǎng)盤(pán)里面的smith.zip），修改“/system/b2g/defaults/settings.json”，把“developer.menu.enabled”和“debug.console.enabled”均設(shè)置為true。重啟后，Nokia 8110 4G的設(shè)置里面終于有了調(diào)試相關(guān)的選項(xiàng)。

QQ圖片20180913111514.png

過(guò)了一段時(shí)間后，Luxferre發(fā)現(xiàn)了一個(gè)更加簡(jiǎn)潔的開(kāi)啟adb調(diào)試模式，并且無(wú)需修改system分區(qū)設(shè)置文件：通過(guò)輸入手機(jī)指令“*#*#33284#*#* 即可?！?/span>

友情提示：*#*#debug#*#*，看看數(shù)字和字符的對(duì)應(yīng)關(guān)系，大家破解密碼的時(shí)候可以考慮。

友情提示：dump整個(gè)EMMC連續(xù)遭遇大坑

在看完Luxferre的文章后，筆者第一反映，竟然想起了山寨功能機(jī)橫行年代的時(shí)候，IMEI全為0的奇葩情況。畢竟現(xiàn)在一大批安卓山寨機(jī)也是test-keys橫行，裝個(gè)系統(tǒng)級(jí)別的惡意軟件簡(jiǎn)直易如反掌。想不到現(xiàn)在Nokia也會(huì)這樣子…….

既然Luxferre可以dump system分區(qū)，而且還公開(kāi)了OTA升級(jí)包簽名制作工具（見(jiàn)文章最后網(wǎng)盤(pán)里面的stockerize.zip），那按照他的思路，整個(gè)EMMC存儲(chǔ)也可以dump出來(lái)吧？結(jié)果筆者在這里跌了不少坑，歸納起來(lái)有：

（A）recovery中，fstab掛載配置文件寫(xiě)死了SD卡只能以vfat格式（也就是FAT32格式）掛載，不能使用ext4格式。

（B）由于（A），單個(gè)文件不能超過(guò)4G（FAT32格式限制）。

（C）若在編譯階段busybox沒(méi)有指定支持大文件選項(xiàng)，則在某些情況下，busybox無(wú)法處理大于2GB的文件。

在多次嘗試失敗后，筆者終于通過(guò)分批dump的方式解決了相關(guān)問(wèn)題，順利把整個(gè)EMMC存儲(chǔ)dump到sd卡；然后在電腦上，使用cat命令將幾個(gè)分塊文件合并成一個(gè)大文件 emmc_bak.file，合并后的文件可以用7-zip打開(kāi)做進(jìn)一步的系統(tǒng)分析。

（文件合并命令如下：“cat emmc.0 emmc.1 emmc.2 > emmc_bak.file” ）

QQ圖片20180913111803.png

（測(cè)試dump emmc的時(shí)候所執(zhí)行的命令）

相關(guān)腳本，請(qǐng)參閱dump-emmc-full.sh和dump-only-system-part.sh，下載地址https://pan.baidu.com/s/1rdH3BagpPTfAk7cMthSzqg,密碼：3a4r。

QQ圖片20180913111927.png

（dump出來(lái)的整個(gè)EMMC存儲(chǔ)內(nèi)容，和system分區(qū)文件）

友情提醒：Nokia也算是手機(jī)界的鼻祖級(jí)企業(yè)了，依然犯了如此低級(jí)的錯(cuò)誤：使用公開(kāi)測(cè)試密鑰來(lái)簽名操作系統(tǒng)。這與華住集團(tuán)的軟件開(kāi)發(fā)人員，把數(shù)據(jù)庫(kù)連接參數(shù)放到Github上何其相似？！

關(guān)于達(dá)思數(shù)據(jù)恢復(fù)與取證中心

達(dá)思科技，國(guó)家級(jí)高新技術(shù)企業(yè)，天津市國(guó)家保密局涉密載體數(shù)據(jù)恢復(fù)唯一協(xié)作單位，國(guó)家保密局常用辦公設(shè)備存儲(chǔ)部件敏感信息檢查系統(tǒng)項(xiàng)目課題承接單位，數(shù)據(jù)恢復(fù)與取證行業(yè)著名品牌，在國(guó)內(nèi)乃至全亞洲數(shù)據(jù)恢復(fù)技術(shù)領(lǐng)先！達(dá)思科技的全稱是達(dá)思凱瑞技術(shù)(北京)有限公司，成立于2007年8月，注冊(cè)資金1500萬(wàn)元。達(dá)思科技是一家以數(shù)據(jù)恢復(fù)與取證技術(shù)研發(fā)為核心的國(guó)家級(jí)高新技術(shù)企業(yè)，公司擁有自主知識(shí)產(chǎn)權(quán)的數(shù)據(jù)恢復(fù)與取證軟件30多種。公司下設(shè)研發(fā)中心、數(shù)據(jù)恢復(fù)與取證服務(wù)部、服務(wù)器RAID數(shù)據(jù)恢復(fù)應(yīng)急中心等。

關(guān)注達(dá)思公司微信服務(wù)號(hào)或訂閱號(hào)，獲取更多信息：

圖片4.png