夜雨聆风智能门锁、摄像头、音箱、空调、灯光、扫地机器人……这些设备越来越多地进入家庭,也越来越多地出现在案件现场。
问题是,真正有价值的数据,往往不在设备本身。
一个智能音箱可能只保存很少的本地记录;一个智能摄像头的历史数据可能在云端;一个智能家居 App 里看得到设备列表、房间布局、自动化规则、操作记录,但这些内容很多并不是完整存放在手机里,而是手机 App 登录后,从厂商服务器拉取回来显示的。
这就给电子数据取证带来一个很现实的难题:
手机在手,App 也在,但不知道账号密码,怎么办?
最近,中国的三位学者赵露、刘思棋、杜彦辉发表的论文,给出了一条很有意思的路线:不去破解账号,不直接操作原手机,而是利用安卓手机厂商的高权限备份数据,在电脑模拟器里重建一个“仍然登录着”的智能家居 App。
简单说,就是把 App 的运行现场搬到模拟器里。
传统办法为什么不够用
智能家居取证看起来有几个入口:查设备、查手机、查网络、查云端。
但实际做起来,每条路都有坑。
直接查智能设备,常常遇到接口封闭、协议私有、数据加密、本地存储有限等问题。很多设备本身并不保存完整操作日志,拆机或硬件级取证的成本也高。
查手机 App,虽然更接近用户使用痕迹,但传统离线提取往往只能拿到账户名、配置文件、少量缓存。真正的设备列表、场景规则、历史记录,可能要 App 登录后才能从云端加载。
如果让原手机联网打开 App,又会引入新的风险:后台同步、令牌刷新、推送消息、远程配置更新,都可能改变原始状态。
如果另找一台手机安装 App 再登录,则需要账号、密码、短信验证码。案件中未必能获得这些信息,也未必适合这么做。
这篇论文的出发点,就在这里:有没有办法既不让原手机继续联网,又不需要明文账号密码,还能尽量恢复 App 的登录状态和业务界面?
关键入口:手机厂商的“高权限备份”
论文观察到,很多国产安卓手机都有系统级备份、换机、迁移功能,比如小米、vivo、OPPO、华为、荣耀等。
这些功能并不是普通 App 自己做的备份,而是由系统应用或厂商高权限组件完成。它们在换机时可以迁移第三方 App 的数据,包括登录状态、数据库、配置文件、部分缓存等。
也就是说,在一定条件下,这类备份接近于把某个 App 的 /data/data/包名/ 沙箱目录打包导出。
这正是论文方法的核心入口。
研究团队把不同厂商的备份格式拆开分析:华为/荣耀备份经过解密后可以得到类似 tar 的结构;vivo 备份带有 Android Backup 头部;小米备份还多了 MIUI BACKUP 头部;OPPO/realme 则更像是多个 ZIP 分片。格式不一样,但目标一致:把里面真正的 App 数据还原出来。
还原之后,再把这些数据统一整理成 Android App 沙箱熟悉的结构,例如:
sp/ 对应 shared_prefs/,db/ 对应 databases/,f/ 对应 files/。
这一步做完,备份数据就从“厂商各说各话的备份包”,变成了模拟器可以识别和使用的 App 数据目录。
论文方法怎么跑起来
整个流程可以理解成三步。
第一步,在原手机上离线生成备份。
手机需要是合法取得、能够解锁的状态,并且目标智能家居 App 原本已经登录。备份时尽量让手机断网,避免云端同步改变数据状态。
第二步,在取证电脑上解析备份。
不同厂商备份格式不同,需要去头、解密、解包、合并、目录映射,最后得到一个尽量接近真实 App 沙箱的目录。
第三步,把数据迁移进 Android 模拟器。
研究人员先在模拟器里安装同版本或兼容版本的目标 App,运行一次,让系统创建空白沙箱。然后清理默认数据,把解析出来的备份数据写入模拟器中对应的 /data/data/包名/ 目录,再修复权限。
这时再打开 App,如果关键数据完整,模拟器里的 App 就可能直接进入登录后的状态。
论文还开发了一个原型工具 SHARF,用来自动完成备份解析、目录转换、数据迁移、模拟器运行、截图录屏等工作。换句话说,它不是单纯写了一个理论流程,而是做成了面向取证操作的工具雏形。
真正决定能不能“复活登录态”的是什么
论文里最值得关注的一点,是它没有只停留在“把数据搬过去看看能不能用”,而是进一步做了分组实验,分析哪些目录真正关键。
结果比较清楚:
shared_prefs/ 很关键。很多 App 会把访问令牌、刷新令牌、Session ID、Cookie、设备标识等登录态相关数据放在这里。它更像是在回答一个问题:云端认为你是谁?
databases/ 也很关键。设备列表、房间关系、场景规则、用户与设备的关联,很多结构化信息放在 SQLite 数据库里。它回答的是另一个问题:这个账号下面有什么设备、房间和场景?
如果只迁移 files/,App 通常能打开,但登录态丢失。
如果只迁移 shared_prefs/,可能能显示账号已登录,但进入具体业务页面时容易崩溃或异常,因为缺少设备和场景上下文。
如果只迁移 databases/,业务数据在,但没有有效认证信息,还是会回到未登录状态。
效果最好的,是同时迁移 shared_prefs/、databases/ 和主要文件目录。这样模拟器里的 App 不仅能保持登录态,还能显示与原手机高度一致的设备列表、房间布局、场景规则和历史记录。
这也解释了为什么厂商高权限备份有价值:它不是只备份几个配置项,而是把维持 App 运行状态的关键沙箱数据一起带了出来。
实验效果:不只是界面像,网络请求也像
论文用“小度音箱”App 做了典型验证。
研究人员把原手机上的 App 与模拟器里的 App 进行对比,观察登录状态、账号信息、设备数量、设备名称和顺序、在线离线状态、房间名称、房间与设备的归属关系、场景规则、历史记录等。
结果显示,模拟器里的 App 可以直接进入登录后的主页,不需要重新输入账号、密码或验证码;设备数量、房间信息、场景规则、历史记录等与原手机保持高度一致。
更进一步,研究人员还比较了网络请求。
在“获取设备列表”这类关键操作中,模拟器发出的请求和原手机请求在目标域名、HTTP 方法、协议版本、Authorization 字段、Cookie、用户 ID、返回状态码、JSON 结构等方面高度一致。也就是说,云端服务器把模拟器里的 App 当成了一个延续原登录状态的客户端。
这比“界面看起来差不多”更重要。因为它说明模拟器并不是简单显示本地缓存,而是在延续原有会话的基础上继续与云端交互。
论文还在多个 App 和多款手机上做了验证,涉及小度音箱、小米 WiFi、海尔智家、萤石云视频、华为智慧生活等应用,以及小米、vivo、OPPO、华为、荣耀等多个品牌机型。实验覆盖 Android 9 到 Android 16 的多个版本,整体结果表明,只要设备支持可解析的第三方 App 数据备份,这套“备份解析—目录映射—权限修复—模拟器重建”的流程就有较强的可复用性。
这个方法的实战价值在哪里
这篇论文的价值,不在于提出“模拟器取证”这个概念本身,而在于把一个常见但容易被忽视的入口用起来了:手机厂商的换机和备份机制。
对智能家居取证来说,它至少带来三点启发。
第一,取证对象不一定非要是硬件设备本身。很多智能家居设备的数据密度很低,真正的控制关系和上下文反而在手机 App 与云端之间。
第二,手机 App 的“登录态”本身就是重要取证资源。只要合法取得并妥善保护,它可能比明文账号密码更适合作为取证入口。
第三,备份不是终点,而是可以被重建的运行环境。传统思路里,备份数据多用于离线解析;这篇论文把备份数据迁移进模拟器,让 App 自己在受控环境里“继续运行”,从而拿到更多界面、请求和业务上下文。
这对智能家居、物联网 App、云端联动类应用的取证都有参考意义。
但边界也必须讲清楚
论文没有回避局限,这一点很重要。
首先,它不是所有安卓手机都适用。三星 Smart Switch 主要迁移联系人、短信、通话记录、媒体文件、应用列表等,不提供完整的第三方 App 数据目录。因此在不突破安全机制的前提下,很难用这套方法直接复现三星设备上的 App 沙箱。
摩托罗拉等品牌也存在类似问题:如果厂商没有提供可导出的完整第三方 App 数据备份,就缺少这个方法的入口。
iOS 也不适用。iOS 的权限模型、沙箱机制、备份加密验证方式,以及缺乏可自由控制的高权限 iOS 模拟环境,都使这套 Android 路线无法直接迁移。
其次,它对强安全设备有限制。
论文特别提到,像智能门锁这类高安全级别功能,即便同一个 App 的普通设备控制可以复现,门锁的开锁、授权管理、敏感日志查看等功能也往往不能完整复现。
原因很简单:这类功能可能绑定硬件安全模块、TEE、Keystore、设备指纹、二次验证、短信验证、生物识别或原设备本地解锁状态。即使把 /data/data/包名/ 搬到模拟器里,也搬不走原手机的硬件根信任。
所以,这套方法更适合“弱设备绑定”的场景,比如账号登录态、普通设备控制、设备列表、房间结构、场景规则、一般历史记录等;对智能门锁、支付、金融、强风控模块,不能期待完整复现。
最后,还有法律和伦理边界。
离线解析已经导出的备份数据,通常属于对本地数据的检查。但一旦让模拟器联网,并继续访问厂商云服务,就可能变成对远程系统的持续访问。不同法域、不同案件授权范围下,这件事的性质可能不同。
因此,论文强调:如果授权只覆盖手机本地数据,就应停留在离线解析和本地证据分析;只有在明确授权云端访问或远程服务交互的情况下,才应进行模拟器联网重放,并且全过程要记录,保证可解释、可复核、可追溯。
写在最后
这篇论文给智能家居取证提供了一种很实用的思路:不要只盯着设备,也不要一上来就想着破解账号,而是利用手机厂商已经存在的高权限备份能力,把 App 的运行状态搬到一个可控环境里。
它解决的不是“如何绕过安全机制”,而是“如何在合法取得设备和备份的前提下,尽量减少对原始手机的操作,同时恢复 App 的业务上下文”。
从方法上看,它把三个环节串了起来:厂商备份机制、App 沙箱结构、模拟器运行环境。
从取证价值看,它让智能家居 App 从一个静态数据源,变成了一个可以被复现、观察和记录的动态场景。
当然,它不是万能钥匙。设备品牌、备份能力、App 安全策略、云端访问授权,都会决定它能走多远。但对于智能家居和物联网 App 取证来说,这已经是一条值得关注的新路径。
参考文献
Lu Zhao, Siqi Liu, Yanhui Du, Enhancing smart home forensics: An emulation-based approach utilizing vendor privileged android backup data,
Forensic Science International: Digital Investigation, Volume 57, 2026
https://doi.org/10.1016/j.fsidi.2026.302106.
