0x01 描述

安卓手机常用应用目录往往是取证人员获得信息的重要路径，犯罪嫌疑人使用陌陌发送了一条语音，分析取证文件找到这条语音。

0x02 解题

解题主要是让我们溯源取，首先我们得了解一下安卓手机一般应用的存储位置。安卓手机其底层为Linux操作系统，所以常见的目录有bin、cache、data、mnt、root、android等，具体还得看手机型号和软件。另外对于取证题一定要仔细约定题的内容，关键词如下：

语音
发送
人（用户）

到这里关键词提取完毕，然后就是目录遍历，可以利用相关搜索软件，但大多数当我们不知道文件名还是手工较快，如下是利用工具文件很多不利于我们查找，更何况一般app对用户数据都采取了一定的加密

手工思路是我们得首先找到用户数据文件夹，引起我高度怀疑的是最高权限root用户以及data数据文件夹，root文件夹无果没有任何数据

而data文件夹同样没有任何文件，到这里千万不要放弃寻找，怀疑是文件丢失

经过目录遍历，找到了一个很可疑的文件夹的路径

手机取证\手机取证\mnt\shell\emulated\0

很明显这里是系统安装应用的根目录，好到这里我们找到了应用安装的根目录，那么之后就是去找momo这个软件的目录里去看用户数据，发现了如下两个文件夹有带momo的关键字，我们优先查看，看是否有我们需要的语言信息

cvmomo
immomo

这里cvmomo无果都是空文件夹，而immomo中我找到了users这个文件夹

到这里看到两个用户的id时，这道题我想应该是差不多了

当我查看到661453150这个用户的数据文件时，看到了audio2这个文件夹时我感觉目标文件应该就在这里，因为audio是声音的意思

验证得到确实是这个文件