Android智能手機數據恢復方法淺析

曾琪 羅慧瑜

摘要：根據數據丟失的原因，Android智能手機數據恢復方法分為兩大類：物理恢復和軟件恢復。物理恢復一般是由于手機進水、摔壞等無法開機情況下的芯片級恢復，而軟件恢復則大多因為邏輯損壞。該文針對Android智能手機數據在物理或者邏輯情況下造成的數據丟失問題，對現有數據恢復方法進行測試與比較分析，以便于用戶應該根據自身情況去選擇合適自己手機情況的恢復方法提供參考。

關鍵詞：Android;數據恢復;數據存儲

中圖分類號：TP311

文獻標識碼：A

文章編號：1009-3044（2020）03-0027-02

1 概述

隨著移動通信技術的高速發展，智能手機已成為人們生活中不可缺少的一部分。智能手機的普及刺激了用戶更多的需求，使得手機軟件發展日新月異，多樣化的應用程序實現了智能手機到掌上電腦的轉變。與此同時，智能手機中存儲著越來越多的個人數據，其中不乏重要的隱私數據。Android智能手機用戶在進行數據操作時，面臨更多不同重要隱私數據的丟失問題，對數據安全恢復有更多的需求。

國際上的數據恢復技術起步較早，成熟度較高。近年來，國內關于Android智能手機數據恢復研究取得了一定的研究成果。如文獻[1]以Android智能手機中的短信、通話記錄和通訊錄為研究對象，使用SQLite數據庫進行數據結構詳細分析，通過調試橋工具調用運營商信息在系統種類的方法，成功恢復出這些信息。文獻[2]從手機犯罪常見形式人手，通過早期手機取證工具分析手機SIM卡中數據提取犯罪證據。文獻[3]通過分析Android系統漏洞，繞過開機密碼等方面，對手機內存進行鏡像再恢復取證。文獻[4]研究了手機臨時Root權限，通過調用API來對SQLite數據庫中數據進行恢復，并提出一種細粒度數據完整性校驗方案。文獻[5]作者設計了基于FAT32和EXT4兩種文件系統的數據恢復及擦除軟件，申請了國家專利，對數據保護做出很大貢獻。文獻[6]通過研究不含外置存儲的且只有MTP模式的Android智能手機，通過不同模式的鏡像方法，恢復出丟失的圖片信息。

本文從數據丟失的原因出發，把Android智能手機數據恢復方法進行了總結和分類測試，以便于用戶應該根據自身情況去選擇合適自己手機情況的恢復方法提供參考。

2 Android手機數據恢復方法

2.1 芯片恢復方法

將存儲介質作為目標，不從文件系統對數據進行訪問，直接拆解芯片進行鏡像數據恢復[7]。拆解后取出存儲芯片，然后需要通過其他工具對芯片進行處理然后恢復數據。這種方法優點可以最大化的防止對丟失數據的影響，保護數據的完整性和原有狀態[8]。芯片恢復可以通過物理鏡像繞過口令保護，不僅可以恢復刪除數據，系統認為不需要而丟棄的數據也都可以一并找回。缺點在于這種方法對工具和動手能力要求較高，稍有不慎手機和芯片都有報廢風險。在沒有工具環境前提下普通用戶更是難以獨立完成這類操作。

2.2 手機軟件恢復方法

針對手機端的數據恢復軟件，目前市場上免費軟件和收費軟件數量都很多，效果和價格也大不相同，比如：數據恢復CTRL+Z、數據恢復大師、數據恢復DiskDigger Pro、壁虎照片恢復、壁虎系列、短信恢復工具、圖片恢復、圖片恢復工具等。通過對市場上免費手機數據恢復軟件進行了測試實驗，得出表1數據。

通過實驗發現，市場上免費數據恢復軟件恢復效果不能讓人滿意，幾乎沒有一款工具能夠恢復出手機內置存儲器中的圖片、視頻或者文檔等有價值的數據。大部分軟件無法正常使用，少部分通過掃描恢復出大量緩存無用數據。針對這一結果，不建議用戶通過直接使用免費軟件進行重要數據的恢復。一方面效果不是很好，更重要的方面是這樣的操作有可能對丟失數據造成二次覆蓋。

2.3 電腦軟件恢復方法

相對于不成熟的智能手機數據軟件，磁盤數據恢復軟件的研究相對成熟很多。而用戶可以將手機內置存儲通過鏡像到其他存儲介質，然后根據功能進行恢復的效果會相對較好。電腦端的數據恢復軟件現在比較成熟，可以完成不同程度的數據損壞。按功能分如表2所示。

用戶可以間接使用電腦恢復軟件，將手機內置存儲用一定的方法轉移到電腦磁盤中，這樣可以保證手機數據不再被破壞，并且能很好地利用現在成熟的恢復技術進行掃描恢復。但可能由于用戶對數據恢復軟件不夠熟悉，在提取鏡像后又做了一些畫蛇添足的處理，比如利用VhdTool.exe對鏡像進行各種后期處理，不僅增加了步驟的煩瑣程度，可能還會起到誤導作用。

3 結束語

本文針對如今常用的手機數據恢復方法進行了實驗分析，發現現有的數據恢復方法或是需要花費高額的成本，或是在恢復過程中造成手機內置存儲數據的覆蓋，影響數據完整性。Android智能手機通過物理級芯片恢復雖然能夠達到最好的恢復效果，但由于成本與技術等因素，普通用戶不會選擇該方式。通過手機軟件對比電腦軟件可以得出，將手機內置存儲鏡像到電腦磁盤中，比直接用手機軟件，對手機進行操作恢復成功效率高，并且對數據的保護程度也較高，不會更多的對手機中的數據做再次覆蓋。目前還沒有一款工具可對手機整個內存進行鏡像，然后在內存鏡像副本上進行操作，保證原始證物的完好無損。如何獲取手機內存整體鏡像，還需進一步投入大量的研究。

參考文獻：

[1]楊鬧春.Android手機取證系統研究[D].南京：南京郵電大學，2013： 70-71.

[2]陳德俊，丁紅軍，手機取證研究概述[J].中國公共安全：學術版，2012（3）：100-102。

[3]張輝極，薛艷英.基于Android系統的取證技術分析[J]信息網絡安全，2012（4）：58-60.

[4]陳明艷.手機信息取證系統的研究與設計[D].武漢：武漢理工大學，2014： 70-72.

[5]孫典.基于Android平臺的數據恢復與擦除軟件的設計與實現[D].北京：北京郵電大學，2014： 67-70.

[6]危蓉，麥永浩.MTP模式下智能手機數據的恢復與取證[J].警察技術，2015（2）：34-37.

[7]趙斌，何涇沙，萬雪姣，等，針對安卓移動終端設備的數據取證技術分析[J].警察技術，2014（3）：79-82.

[8] L.Aouad， Kechadi T.Android Forensics：A Physical Approach[C]. The 2012 International Conference on Security and Man-agement，2012：1-5.

[9]楊陽.Android手機數據恢復方法研究綜述[J].計算機時代，2017（4）：29-31.