如何通过芯片提取获取有屏锁三星Galaxy S6数据

xlysoft

【文章来源：效率源科技（微信号）】微信号：xiaolvyuantech

      编者按：对于手机电子数据取证从业人员来说，手机屏幕锁往往是阻碍数据获取的一大难题，尤其是当手机有Bootloader锁的情况下。虽然可以各种办法来绕锁，但也受Android系统版本、手机设置、root权限等条件限制。本期，数据恢复四川省重点实验室科研人员将介绍如何通过芯片提取获取有屏锁三星Galaxy S6 手机数据，此种方法在国内属首创。

一、背景介绍

      三星手机作为最主要的智能手机品牌，其市场占有率长期排在市场首位。根据信息技术研究和顾问公司Gartner发布的2016年第三季度全球手机市场份额数据，三星手机仍然以19.2℅的市场占有率高居首位，如图1。

      在智能手机电子数据取证过中，经常会遇到三星手机有屏锁无法提取数据的情况。其中，由于三星Galaxy S6在存储芯片上采取了业内首款UFS 2.0标准闪存芯片，使其在数据提取上变得更为特殊和困难。为此，研究通过芯片提取三星Galaxy S6数据，对其他采用UFS闪存芯片的手机也有重要指导意义。

图1

      备注：UFS（Universal Flash Storage）是2011年电子设备工程联合委员会发布的第一代通用闪存存储标准。目前，包括三星Galaxy S6 、三星Galaxy S7 、 魅族Pro5、小米5 、小米5S、联想zuk z2 pro等多个品牌的多款智能手机均采用UFS协议存储芯片。

二、有屏锁三星Galaxy S6提取难点

      对于有屏锁的三星Galaxy S6，提取的难点在于很难进行直接解锁。因为想要解屏幕锁，就需要有root权限，以及打开USB调试模式（Android 4.2.2以上还需要在手机上点击“允许USB调试”），这样才能访问密码文件解开屏幕锁。在手机有屏幕锁的情况下，一般都很难满足以上条件。

      在不能对手机进行直接解锁的情况下，可以选择绕锁的办法来提取手机数据。对于三星Galaxy S6来说，绕锁又可以分为两种情况：

      1. 手机只有屏幕锁，没有Bootloader锁

      当手机只有屏幕锁，没有Bootloader锁时，我们可以将手机引导至自定义的recovery，这样可以绕开屏幕锁，直接对手机数据做镜像。这种方法与手机是否root，有没有打开USB调试模式都没有关系。目前，很多手机取证工具都支持该功能。

      2.手机既有屏幕锁，又有Bootloader锁

      当手机既有屏幕锁，又有Bootloader锁时，情况就变得相当复杂。因为有Bootloader锁的情况下，我们无法引导至自定义的recovery。而要解Bootloader锁，就需要在手机上安装三星手机解锁软件CROM Service。三星的CROM Service解锁目前不会清除数据，但在有屏幕锁的情况下无法进行借助CROM Service解锁这一步操作，这种情况下绝大多数取证工具都无法绕锁取得任何数据。

      备注：虽然市面上某些软件号称可以绕过Bootloader锁，但其实这与手机固件版本，手机系统版本等有很大关系，仅能支持一两款三星手机，97%以上的三星手机无法完成绕锁。

三、芯片提取三星Galaxy S6数据

      Chip-off（芯片提取）是很好的绕锁方法，通过芯片提取，可以绕开所有锁，也不会受到固件版本的限制。由于三星Galaxy S6采用的是UFS协议芯片，目前行业内还缺乏针对此类手机的有效提取方法。

      数据恢复四川省重点实验室科研人员研究发现，对于没有加密的三星Galaxy S6手机，可以通过芯片提取镜像出数据， 其具体步骤如下：

      1.利用效率源专业手机芯片拆卸工具，拆卸下三星Galaxy S6存储芯片，如图2。

图2：三星Galaxy S6存储芯片

      2.拆卸下手机芯片以后，接入效率源SCE9168系统中的手机芯片数据读取设备，通过技术服务获取手机芯片内容数据的镜像，并校验取得MD5值，如图3。

图3：三星Galaxy S6芯片信息

      3.对三星Galaxy S6芯片进行物理镜像以后，将物理镜像文件导入SPF9139系统中，读取出的Galaxy S6芯片镜像中的数据，如图4。

图:4：Galaxy S6数据

      在三星Galaxy S6手机无法绕锁，或者手机已损坏等情况下，都可以通过这种芯片提取方法获取手机里的数据。此方法也适用于其它采用UFS闪存芯片的智能手机。

      备注： 如果芯片被加密，即使读取到数据也难以解析。三星Galaxy S6的设置中有加密选项，但默认是关闭的，除非用户手动打开。在新的Android 6.0及以上设备中，默认开启全盘加密（FDE）被谷歌作为一项强制要求。目前，此种手机加密数据的解密方案，数据恢复四川省重点实验室科研人员正在加紧做技术攻关，有望在近期将其加入效率源SPF9139智能手机数据恢复取证系统中。

小结

      手机在无法绕锁或被损坏等情况下，通过芯片提取获取手机数据是一种有效的方法。本期，数据恢复四川省重点实验室介绍了如何通过芯片提取获取有屏锁三星Galaxy S6数据，此种方法也适用于三星Galaxy S7 、魅族Pro5、小米5 、小米5S、联想zuk z2 pro等其他采用UFS协议存储芯片的智能手机。