夜雨聆风本期内容来自 Jacob Heasley 在普渡大学的硕士研究,由 Magnet Forensics 发布
在手机取证中,很多人习惯把难点归结为系统加密、锁屏密码、应用沙箱或云端同步。
这些当然重要。
但还有一类风险更容易被低估:用户主动安装的反取证应用。
它们可能伪装成隐私相册、加密空间、临时号码工具,甚至是“一键销毁”程序。表面上看,这些应用只是普通隐私工具;放到案件场景中,它们会改变证据的保存方式、删除方式和恢复窗口。
有的应用只是把数据藏起来。有的应用会把数据放进加密容器。有的应用会混淆通信痕迹。还有的应用会在检测到取证行为时直接触发擦除。
这篇文章围绕四类典型应用展开:
• Snapchat 的 My Eyes Only; • Samsung Secure Folder; • SpoofCard; • Wasted; • 以及它们对证据恢复、现场处置和报告解释的影响。
一、先理解:什么是手机端反取证
反取证并不一定是黑客工具。
在手机上,它经常以很日常的方式出现:
• 隐私相册; • 加密文件夹; • 应用锁; • 临时号码; • 匿名短信; • 通话录音隐藏; • 自动擦除工具; • 防 USB 连接工具; • 检测到异常状态后自动锁定或重置设备的工具。
从用户角度看,这些功能可能是“保护隐私”。从取证角度看,它们会制造三个问题:
1. 数据在哪里证据可能不在系统默认相册、短信或通话记录中,而是在应用私有目录、加密容器或第二用户空间里。 2. 数据是否还能解密数据即使存在,也可能需要 PIN、密钥、系统授权或设备级提取条件。 3. 数据是否已经被销毁某些工具一旦触发擦除,后续恢复机会会迅速下降。
所以,手机反取证的重点不是“有没有这个 App”,而是:
它改变了证据存储位置、访问条件和恢复时机。
二、研究怎么做:安装、填充、镜像、删除、再镜像
这项研究没有只停留在功能介绍,而是采用了受控实验方式。
研究人员在 Android 和 iOS 测试设备上安装目标应用,并填充接近真实使用场景的数据,例如:
• 照片; • 视频; • 通话记录; • 消息; • 录音; • 应用配置; • 缓存文件。
随后进行两轮对比:
1. 应用仍然存在时,对设备进行镜像和分析; 2. 删除应用或触发相关机制后,再次镜像和分析。
这样做的意义很大。
因为很多手机证据在“应用存在时”和“应用删除后”的表现完全不同。如果只分析一个时间点,很容易误判应用的实际反取证效果。
三、Snapchat My Eyes Only:隐私相册不一定牢不可破
Snapchat 的 My Eyes Only,简称 MEO,是一个私密媒体功能。用户可以把照片、视频等内容放入一个由 4 位 PIN 保护的私密区域。
从用户体验上看,它像是一个“私密保险箱”。但在 Android 取证中,研究发现它留下了可分析的数据库痕迹。
1. 关键数据库
在 Android 文件系统中,可以关注 Snapchat 应用目录下的数据库文件:
/data/data/com.snapchat.android/databases/
其中与 MEO 相关的文件包括:
• memories.db • memories_meo_confidential
这些数据库中可能记录普通 Memories 和 My Eyes Only 中的媒体条目。其中某些字段可以标识媒体是否属于私密区域。
2. PIN 哈希是关键
研究发现,MEO 的 PIN 会以哈希形式保存在相关数据库中。如果取证人员获取到该哈希,就可以尝试离线破解。
由于用户设置的是 4 位 PIN,组合空间非常小。研究中,使用常见开源密码破解工具即可在很短时间内恢复原始 PIN。
恢复 PIN 后,加密媒体文件便可能被解密访问。
3. 删除应用后的情况
问题在于:Snapchat 被卸载后,情况明显变化。
研究显示,应用删除后,与 MEO 相关的加密数据和密钥材料基本被移除,残留痕迹很少。换句话说,如果设备已经卸载 Snapchat,再想恢复完整私密媒体,难度会大幅上升。
取证启示
MEO 这类功能的风险点在于:
• 应用存在时,数据库和 PIN 哈希可能提供突破口; • 4 位 PIN 容易被暴力破解; • 应用删除后,关键数据可能不再保留; • 现场处置越晚,证据恢复机会越低。
因此,遇到 Snapchat 时,不要只看系统相册。应用私有数据库、媒体缓存和 PIN 哈希才是重点。
四、Samsung Secure Folder:删除前可分析,删除后很难恢复
Samsung Secure Folder 是三星设备上的安全文件夹功能。它依赖 Knox 机制,为用户创建一个隔离的加密空间。
用户可以在其中保存:
• 照片; • 文件; • 应用; • 聊天记录; • 账号数据; • 独立应用缓存。
从取证角度看,Secure Folder 的特点是“隔离”。
它不像普通相册那样直接暴露在主用户空间中,而是会创建独立用户目录和配置文件。
1. 关键路径和配置
研究中,在 Secure Folder 处于活动状态时,可以发现类似独立用户空间的数据目录。例如:
/data/user/10/
其中可能包含独立的配置文件,例如:
user.xml
这些文件可以帮助确认安全文件夹是否存在、是否启用,以及其中可能运行过哪些应用或保存过哪些类型的数据。
2. 活动状态下的恢复
在 Secure Folder 仍然存在、设备处于可授权访问状态时,文件夹内的数据具有恢复可能性。通过设备级提取和授权访问,部分文件、缓存和应用数据可以被分析。
3. 删除后的恢复难度
Secure Folder 一旦被删除,其加密目录会被安全清除。后续镜像中可能只剩下少量元数据痕迹,用来提示它曾经存在过。
真正的文件内容和密钥材料,通常很难再恢复。
取证启示
Secure Folder 的关键不是“能不能发现”,而是“发现时它是否还在”。
如果 Secure Folder 仍处于活动状态,应尽快固定:
• 独立用户目录; • 配置文件; • 应用列表; • 缓存文件; • 媒体文件; • 时间戳; • 与主用户空间之间的关联痕迹。
如果它已经被删除,报告中要谨慎表达:
可以说明设备曾经存在安全文件夹相关痕迹,但不能据此推断其中具体保存过哪些文件内容。
五、SpoofCard:实时隐藏身份,设备端仍可能留痕
SpoofCard 是一种临时号码和主叫号码伪装工具。它可以用于匿名通话、短信和录音,在冒充身份、骚扰、诈骗等案件中可能被滥用。
这类应用的特点是:它隐藏的是通信过程中的显示身份,但不一定能清除设备端痕迹。
1. Android 端数据库
在 Android 上,SpoofCard 相关数据可能位于应用数据库目录:
/data/data/com.spoofcard/databases/
研究中关注到的数据库包括:
• call_history • recorded_calls • spoof_text
这些数据库可能记录:
• 拨打时间; • 目标号码; • 使用的伪装号码; • 短信内容或元数据; • 录音文件索引; • 录音缓存路径。
2. iOS 端系统数据库
在 iOS 上,SpoofCard 相关痕迹可能不只存在于应用目录,也可能出现在系统级通话和短信数据库中。例如:
• CallHistory.storedata • sms.db
这意味着,即使应用本身看似没有保留完整内容,系统层面的通信记录仍可能提供时间、联系人、号码和方向等线索。
3. 删除应用后的残留
研究显示,SpoofCard 被删除后,部分系统级日志、缓存媒体和元数据可能短时间保留。Android 上恢复录音文件和消息元数据的机会更高;iOS 端需要更深入分析,但仍可能发现联系人历史和时间戳。
取证启示
SpoofCard 的反取证重点是“身份混淆”,不是彻底销毁本地证据。
分析时应同时关注:
• 应用私有数据库; • 系统通话记录; • 短信数据库; • 录音缓存; • 临时文件; • 时间戳; • 与运营商记录或平台记录的交叉印证。
报告中应避免直接写:
用户用某号码拨打了电话。
更稳妥的写法是:
在 SpoofCard 应用数据或系统通话记录中发现与某号码相关的通信痕迹;相关号码显示关系可能受主叫号码伪装功能影响,需结合平台记录、运营商记录和设备端日志综合判断。
六、Wasted:最危险的是自动擦除
前面几类应用更多是在“隐藏”“隔离”或“混淆”。
Wasted 的威胁更直接:它是一类 Android 端 panic-wipe 应用,可以在特定触发条件下自动锁定或擦除设备。
触发条件可能包括:
• 检测到 USB 连接; • 多次登录失败; • 特定操作被触发; • 用户主动执行销毁命令。
在取证场景中,最危险的情况是:取证人员一连接设备,应用检测到 USB 事件,随即触发恢复出厂设置或数据擦除。
1. 研究观察
研究中,当 Wasted 在取证采集过程中被触发时,设备会立即进入恢复出厂设置流程,导致存储数据被覆盖或清除。一旦擦除完成,后续恢复机会极低。
这类工具的破坏力远高于普通加密相册。
加密相册至少可能留下密文、哈希或配置。自动擦除工具一旦执行,证据可能直接消失。
2. 测试过的应对方式
研究中测试了两类思路。
第一类是安全模式。在某些情况下,安全模式可以阻止第三方服务加载,从而争取有限提取窗口。
第二类是无线 ADB。它可以在物理连接触发擦除之前建立数据通道,但提取能力有限,并不适合所有场景。
这两类方法都不是万能方案。它们说明的是:面对 panic-wipe 类应用,现场处置顺序比后端工具更关键。
取证启示
如果怀疑设备安装了自动擦除工具,应避免盲目连接 USB。
优先考虑:
• 记录设备当前状态; • 隔离网络; • 保持供电; • 避免重启; • 避免触发未知传感器或连接事件; • 评估安全模式是否可行; • 在条件允许时优先进行物理镜像或更低层级获取; • 对连接行为进行风险评估并记录理由。
面对 Wasted 这类工具,“先插上看看”可能是最糟糕的选择。
七、四类应用的取证价值对比
这张表可以简化理解:
• 隐私保险箱:可能被打开,关键看 PIN、哈希和密钥; • 加密容器:存在时有机会,删除后很难; • 号码伪装:隐藏显示身份,但常留下元数据; • 自动擦除:一旦触发,恢复空间最小。
八、手机反取证给现场处置带来的变化
手机设备取证过去常说“先保全、再分析”。面对反取证应用,这句话要更加具体。
1. 先看有没有高危应用
现场或实验室接收时,应尽快记录设备上是否存在明显反取证应用,例如:
• 隐私相册; • 加密文件夹; • 应用锁; • 清理工具; • 自动擦除工具; • 临时号码工具; • 匿名通信工具。
即使无法立即解锁,也应通过外观、通知、已知图标、连接记录、备份或主机同步痕迹寻找线索。
2. 避免触发擦除条件
对 Android 设备尤其要谨慎。某些应用会把 USB 连接、失败解锁、SIM 卡变化、网络变化作为触发条件。
现场操作前应思考:
• 插 USB 是否会触发动作; • 断网是否会触发动作; • 重启是否会改变加密状态; • 多次尝试密码是否会触发锁定; • 进入恢复模式是否会影响数据; • 是否存在安全模式窗口。
3. 活动状态优先
如果设备已经解锁、应用仍在、Secure Folder 仍处于活动状态、相关 App 尚未删除,应优先考虑快速固定关键数据。
这包括:
• 屏幕状态拍照; • 应用列表记录; • 运行状态记录; • 关键目录镜像; • 数据库复制; • 缓存目录固定; • 时间戳记录; • 系统日志保存。
对于很多反取证应用,删除前和删除后就是两种完全不同的世界。
九、实验室分析:不要只依赖工具自动分类
商业工具能识别很多应用伪迹,但反取证类应用变化很快。同一个应用在不同版本、不同系统、不同权限状态下,数据位置和字段结构都可能变化。
因此,实验室分析应尽量做到三层验证。
第一层:工具解析结果
使用取证工具提取和解析应用数据,快速获得消息、媒体、通话、缓存和时间线。
第二层:文件系统复核
回到原始文件系统,查看:
• 应用私有目录; • 数据库文件; • WAL 文件; • Shared Preferences; • 配置 XML; • 缓存目录; • 媒体目录; • 删除残留; • 系统级数据库。
第三层:行为解释
结合应用功能判断证据含义。
例如:
• 看到 SpoofCard 通话记录,不等于系统主叫号码就是真实号码; • 看到 Secure Folder 配置,不等于知道其中具体内容; • 看到 MEO 哈希,不等于已经获得媒体明文; • 没有恢复到 Wasted 擦除前数据,不等于设备从未保存过相关数据。
十、报告写作:重点写清“能恢复什么”和“不能恢复什么”
手机反取证案件中,报告最容易出现两个问题:
一是过度承诺恢复能力。二是把残留痕迹解释成完整行为。
建议从以下几个方面控制表达。
1. 写清应用状态
检验时,设备中发现 Snapchat 应用及其相关数据库文件。相关数据库中存在 My Eyes Only 私密媒体条目的记录,并发现对应 PIN 哈希数据。
或:
检验时,设备中未发现 Samsung Secure Folder 的活动数据目录,仅发现少量配置或元数据痕迹,提示该功能可能曾经启用。
2. 写清恢复条件
在取得 PIN 哈希并完成离线验证后,对部分加密媒体文件进行了访问和解析。该结果依赖于数据库文件、哈希数据和媒体密文仍然存在。
3. 写清删除后的局限
应用删除后,未发现可用于恢复完整内容的密钥材料。现有残留仅能支持应用曾经存在或曾经产生相关元数据的判断,不能还原具体内容。
4. 写清触发风险
设备疑似安装具备自动擦除能力的应用。为避免触发数据销毁机制,本次检验在连接、解锁和模式切换前进行了风险评估,并记录相应操作顺序。
5. 写清证据来源差异
本次发现的通信痕迹分别来源于应用私有数据库、系统通话记录和缓存文件。不同来源的记录范围、时间精度和证明力存在差异,需结合其他证据综合判断。
十一、给取证人员的操作建议
面对手机反取证应用,可以把重点放在五件事上。
1. 尽早识别应用存在
反取证应用越早被识别,越容易避免错误操作。如果等到数据被擦除后才发现 Wasted,很多工作已经来不及。
2. 尽量保留活体状态
设备已解锁时,不要轻易重启。应用仍存在时,不要急于卸载。加密容器仍活动时,优先固定数据。
3. 谨慎连接 USB
USB 连接不只是数据通道,也可能是触发条件。对可疑 Android 设备,应在连接前评估是否存在自动擦除风险。
4. 关注元数据价值
即使内容无法恢复,元数据仍然有价值。目录、配置、时间戳、缓存、日志、系统数据库,都可能证明应用存在、使用时间和行为模式。
5. 保持工具和知识更新
手机系统和应用版本变化很快。反取证应用的存储路径、加密方式和删除策略也会变化。实验室应建立样本库和验证流程,而不是完全依赖工具默认解析。
结语:反取证应用改变的是“恢复窗口”
手机反取证应用并不都同样有效。
有的只是把数据藏起来。有的可以被 PIN 哈希和数据库结构突破。有的删除后只留下少量元数据。有的在触发后几乎让恢复机会归零。
对取证人员来说,真正重要的不是把这些应用都称为“反取证工具”,而是判断它们分别影响了哪一个环节:
• 是隐藏了位置; • 是加密了内容; • 是混淆了身份; • 是缩短了恢复窗口; • 还是直接销毁了数据。
手机取证越来越像一场时间竞赛。
证据可能还在,但窗口很短。操作顺序正确,缓存、哈希、配置和元数据都可能变成线索。顺序一错,连接一次 USB、重启一次设备、删除一次应用,就可能让证据恢复空间急剧缩小。
手机反取证的核心影响,可以概括成一句话:
它不一定让证据彻底消失,但会让证据更分散、更短命,也更依赖取证人员的第一步操作。
