取证相关-安卓手机F2FS文件系统介绍及镜像快速解析技巧

一起搞机网推荐使用浏览器为chrome

F2FS文件系统是什么

F2FS文件系统相比传统的EXT4文件系统更适合移动设备存储,EXT4文件系统是从linux系统延申应用至安卓系统当中的,当然了,你可以理解安卓系统其实就是linux系统的一个变种,很多linux系统机制乃至内核漏洞都会在安卓系统中体现,EXT4文件系统最初并不是为安卓存储而设计,当时并没有考虑到安卓系统这样大规模的碎片化存储,导致安卓系统从设计之初到现在一直成为“诟病”的碎片化问题,表现就是安卓系统的智能设备,越用越慢,最终无可忍受

F2FS文件系统镜像快速解析技巧

 

这种碎片化问题一直未得到有效的改善,直至一种新的针对安卓移动设备所设计的文件系统--F2FS的诞生才有所改善。

2016年底,华为公司发布了它自己设计的移动设备CPU--海思麒麟960,同时上市一款基于安卓系统的智能手机--华为Mate9,广告宣称该型号使用18个月不卡顿!正所谓一剑诛心。真正让mate9使用18个月不卡顿的,主要功勋就是F2FS文件系统(F2FS对于提升系统速度和效率有着很大帮助,但是并不是说仅仅因为F2FS,华为对安卓系统的优化贡献是除了google之外是最多的,现有的安卓源码里有相当大一部分都是华为贡献的,华为和google有着大量的交叉互换专利协议,华为有着大量的系统设计修改经验,所以,华为的强大不仅仅是说说而已。)

安卓手机 F2FS文件系统镜像快速解析技巧

专业取证时,F2FS系统数据如何镜像

F2FS是一种动态的文件系统,怎么理解呢,采用F2FS文件系统的手机用户分区,只要在正常的开机状态,该分区永远都是在不停的变化的。文件系统嘛就像是一本书,有目录有内容,但是F2FS的目录和内容无时不刻的在变化,所以就会有一个问题,做镜像的时候要不要在文件系统工作的时候做呢?也就是开机状态下做呢?答案很明显嘛,目录部分已经镜像出来了,后面在镜像内容的时候(实际镜像的时候是根据存储地址进行先后拷贝的,但是可以这样理解,因为目录表一般都会在前,而数据内容都在后),手机上即使没有新的文件写入,而前面的文件目录这时候却已经发生了变化,已经拷贝的镜像里可是不能随便改变的。

这样使得镜像变得毫无意义(EXT4文件系统在没有产生新的存储文件的时候,目录是不会发生改变的,即使有新的文件产生,其改变也仅在于当前写入的文件的目录结构地址和文件存储地址而已)。所以,镜像F2FS文件系统的时候,尽可能的使其发生最小的改变量,不建议在手机系统正常工作的条件下对其镜像,采用FDE加密的F2FS分区,建议在第三方recovery下进行镜像(这样提取的镜像依然会有部分数据发生错乱会导致最终解析出错),未加密的F2FS分区建议采用关机端口镜像(一定要正常关机,非正常关机会导致镜像里部分数据错乱)。

正是由于F2FS文件系统如上的一些问题,目前没有开源的镜像解析方案,关于F2FS文件系统镜像的解析方法呢,早在2017年我们就写过类似的文章,当时是利用虚拟机安装ubuntu系统,在虚拟机里挂载F2FS镜像文件,虽然可以解析到文件系统,但是提取分析数据相当的繁琐,很多取证软件不能很好的配合和利用。今天呢我们继续探讨一下,F2FS文件系统镜像内数据的快速提取和解析,也算是针对之前方法的一个补充利用。

F2FS系统数据如何镜像实例

一个典型机型:锤子的PRO2S,遇到这个机器,很多人心里都在骂娘,这破机器你镜像个锤子啊!

安卓手机 F2FS文件系统镜像快速解析技巧

 

首先我们通过9008端口对其用户分区进行镜像,感谢苍天,这机器不加密啊老铁。怎么判断的不加密呢,我们只镜像userdata分区的前500M(当前,如果像小编这样有强迫症的可以把105G全部镜像完),然后winhex打开:0X0开始一片00000000那么就可以判定userdata并未采用FDE全盘加密(未采用FDE全盘加密不代表就不加密哦,小编以后再给大家讲解另一种加密方式:FBE)。

专业取证行业

 

接下来,我们镜像出完整的userdata,大概2个小时左右,比较难熬。105G的用户区镜像再通过winhex克隆到一张128G TF卡上(当然,如果您比小编有钱的话,可以买256G或者更大容量的卡,只要比当前镜像容量大即可),然后我们找到一部17年以后生产销售的,已经解锁过bootloader锁的,并且刷好第三方recovery的华为手机(一定要华为,不要问为什么,就是爱国!)

专业取证行业

 

把克隆过镜像的TF卡安装到手机上,手机连接电脑,因为第三方recovery本身默认开启了adb无需配对,直接上调试台:

专业取证行业 F2FS文件系统镜像快速解析

 

我们可以从上图看到 /external_sd就是TF卡,这里注意,如果默认data不挂载就进行下一步,如果data有挂载,那么还需要用命令对data进行卸载:

命令:umount /data

这时候我们可以进入到TF卡里看一下,发现已经被正常解析了,如果发现能进到卡根目录下,二级目录无法查看的情况,请更换第三方recovery,说明该第三方recovery的内核版本太低:

专业取证行业 F2FS文件系统镜像快速解析

 

解析就是这么简单,如果要利用取证软件进行快速提取数据的话,我们还需要几个小命令:

专业取证行业 F2FS文件系统镜像快速解析

 

上述操作,我们仅仅是把TF卡挂载到 /data,然后就可以利用取证软件进行提取数据了:

 

专业取证行业 F2FS文件系统镜像快速解析

 

专业取证行业 F2FS文件系统镜像快速解析

完美交差!总结来说,F2FS在没有合适的解析工具的前提下,利用安卓手机内核本身对F2FS文件系统良好的支持进行解析,是这一方法的中心思想。

文章由河北阮咸公司撰写,本教程为专业及数据提取及取证文章,如果您想涉及,欢迎自行搜索相关公司。


一起搞机网部分手机维修教程为网络搜集整理,如果侵犯到您的权益,请qq:2782649243联系我们删除。