![【技术分享】手机小众社交App的数据获取方法]( "【技术分享】手机小众社交App的数据获取方法")
电子数据取证人员如何能够快速对手机里常见的小众社交APP进行数据提取和分析,一直是手机取证的难点之一。为此,本期小拓将和大家分享手机中小众社交App提取的几个常用方法。
直接利用手机取证软件进行部分小众社交APP的数据提取是每次取证首先尝试的方法,但这种方法只能对少部分小众社交APP进行获取,而且往往与手机系统版本、手机型号等因素有关。
以蝙蝠应用为例,取证人员可以直接使用M6000-响尾雀极速取证系统,通过有线连接手机的方式进行数据的提取解析。
![【技术分享】手机小众社交App的数据获取方法]( "【技术分享】手机小众社交App的数据获取方法")
云端数据获取是提取应用APP云服务器中数据的一种方法。对于一些小众社交APP,其数据存储在云端服务器中,可以尝试用这种方法获取,如Telegram、飞书、Twitter等。
以飞书应用为例,打开云端取证平台后,找到飞书应用,进行云端数据获取,待任务列表读取完毕,即可完成云端数据获取。
![【技术分享】手机小众社交App的数据获取方法]( "【技术分享】手机小众社交App的数据获取方法")
图 飞书云端数据提取界面
ROOT权限是系统权限的一种,获得ROOT权限之后就意味着已经获得了系统的最高权限,可以对系统中的任何文件(包括系统文件)执行所有增、删、改、查等操作。因此,如果能够获得手机的ROOT权限,那么就能对手机里的小众社交APP进行获取,这种方法常常受限于如何获取ROOT权限。
以Telegram衍生系列应用Telegram X为例,在手机提权的情况下,取证人员可以直接使用M6000-响尾雀极速取证系统,直接对数据进行提取解析。
图 响尾雀ROOT备份界面
部分小众社交APP具备聊天数据备份功能,这种情况下可以通过软件自带备份功能较为方便地提取数据。
以Signal为例,手机App自带备份功能,能够直接将数据包备份至本地,然后对备份的数据包进行解析、查看。
图 Signal软件设置界面
像Telegram、Potato等小众社交APP不但拥有手机端App,也有对应的主机端应用软件。主机端应用软件往往也具有数据备份功能,可以利用这一功能将数据备份后再解析和查看。
对于Potato软件,可以在其主机应用端,选择数据存储、导出Potato数据设置中将相关数据进行导出。这里还支持导出不同的文件格式,既可以是可读的HTML格式,也可以是数据转移中机器可读的JSON格式。
图 Potato软件数据导出界面
由于各种原因,小众社交APP受手机系统版本、手机型号、用户权限等因素影响,提取较为复杂,没有一套通用的方法,有时甚至同一款APP在不同手机上提取时选用的方法都有所不同,因此,本期小拓特意为读者介绍了针对小众社交APP的几种数据提取方法,在实际进行数据提取时要根据不同情况进行选择使用。
![【技术分享】手机小众社交App的数据获取方法]( "【技术分享】手机小众社交App的数据获取方法")
原文始发于微信公众号(网络安全与取证研究):【技术分享】手机小众社交App的数据获取方法
评论