手机恢复出厂你的照片还能恢复么?简单介绍下数据恢复

一起搞机网推荐使用浏览器为chrome

聊到手机数据恢复,对于小编来说这个词汇早在2016年年末的时候就已经被淡化了,而早在2012年-2015年这段时间,安卓手机的数据恢复,用行内的话来说那简直就是在捡钱呐,为什么这么说呢?大致要分如下几点:

一.机身内部容量大,手机用户存储有价值的数据多

早期安卓系统基本上都是安卓2.x和4.x ,由于安卓系统处在飞速发展时期,手机硬件配置在逐渐加强,摄像头分辨率在极速的增长,所以用手机拍摄的照片也越来越大,但是,安卓手机的机身内部存储容量已经能够大大满足人们对于日常手机存储的需求,大量个人数据被保存在手机内部而不会轻易的被整理和转存(要知道,在安卓系统发展初期和安卓系统出现之前,手机内部存储基本上都是512M以下的容量,根本存不下大量数据。)

二. 安卓app使用频率高,存储在机身的数据量大

QQ;微信等社交app随着手机性能的增强,其拓展功能又进一步加强,手机app易用性,方便程度要远远超过其他的通讯方式甚至超过了PC端的软件通讯方式。所以,一部手机就干掉了手表;电视;电话;短信;相机;摄像机;MP3;MP4;闹钟;记事本;游戏机;甚至家用电脑,大量的app产生的数据被存储在手机内部,由此大量的用户基础就会造就需求。

三. 产业链的形成导致研究安卓的团队和个人比较多

安卓系统产业链的高速形成,灰黑产和安卓高端玩家的介入,使得安卓手机获取ROOT权限极其的方便,有很多像kingroot,360ROOT,ROOT大师,刷机精灵等拥有对安卓系统一键ROOT功能的软件被大家所广泛利用。要知道能被root的安卓就能轻易获取到整个机身数据镜像,所有的用户数据包括删除痕迹也都存储在里面,这是数据能够被恢复的有利条件之一。

安卓手机数据恢复

四.用户数据的隐私并未引起高度重视

当时安卓手机的发展迅猛速度已经远远超过了人们的意识,当时人们还在追逐安卓系统的可操作性,运行速度,app兼容性,大容量存储等等,用户数据安全很少被重视,用户区数据并没有被广泛的加密(没有什么问题是通过chip off解决不了的,因为数据以明文存储,不加密,要知道现在被加密的用户区数据要想被搞出来是多么的困难)。

五.安卓系统并未引入清零机制

安卓引入的emmc存储在当时来说仅仅作为存储使用,因为其容量大,价格便宜,内置控制器方便手机电路设计,所以被广泛的使用,安卓系统也源于linux,但是linux却没有针移动存储做更详尽的优化。(我们知道emmc存储属于闪存存储,是利用电子表达数据,数据被写入物理地址是由电子的位置表达二进制0和1,如果当前电子位是00000000;那么当要写入数据11111111的时候,只需要将每一位进行一次改变,就达到了目的变成11111111,但是如果现有数据是01010101,想要写入11111111的话,就要先对01010101进行置零操作也就是先要把01010101变成00000000;然后再从00000000变成11111111,这个过程的产生是缘由闪存存储原理决定的,所以呢,安卓系统在对emmc存储的数据进行改变的时候,是要分两步进行的,第一步置0(先清除原有数据),然后第二步写入,如果有大量的数据进行读写操作的时候,就会降低emmc存储的读写效率。

现在新机器配合安卓5.0以后的系统版本在手机没大规模进行读写的空余时间里,会对已经删除的区域做填0操作,为的是在以后进行写操作前无需进行置0,这样系统读写速度就会加快。由三星主导的emmc规范协议里,就添加了erase指令,清零再也无需安卓系统进行干预,系统只要给emmc存储指令,规定让它对哪些地址块进行清零即可,emmc存储器会马上执行,对系统速度一点影响都没有,我们曾经做过一个实验:三星emmc 32G存满数据,放到景天UP编程器进行清零,点击清空功能后立马断电,整个过程不到1秒钟,然后再把这32G emmc通过只读设备进行镜像,32G的镜像查看底层全部为0,由此可见,硬件级别的清零速度是多么的恐怖,远远超过其IO接口的速度。这就是为啥现在新机器想要恢复照片视频那么困难的原因,删除就是没有了,不存在了。但是在这个机制没有启用前,删除数据是不会被清零的,也就是还存储于机身内部,小编深刻怀念小米2S那个时代,恢复出厂的机器的数据都能搞的出来。)

上面扯了半天,结论就是:以前能恢复,现在恢复不了!那下面回归正题,正如上面所说,这些条件被手机厂商逐一限制,达不到数据恢复的前提条件,那也只能尝试曲线救国了。

既然新款手机删除的照片无法恢复,那么在数据恢复及取证方面还有什么解决方法呢

我们以照片为例(注意是照片,也就是用手机相机拍摄并存储的照片),正常情况下被删除的手机照片在新款的安卓手机上已经清的一塌糊涂,是不可能能够恢复出来的,但是,有一个情况就是,往往拍摄完的照片都会被机主自恋的欣赏一下,大家有没有注意到两点:1.照片被打开的时候会有一个图像由模糊变清晰的一个过程,2.在相册里,没有被你打开的图片你也能够看到图像内容,只不过会很小。

这里就要简述一下一些图片展示功能的一些算法(小编阐述以方便理解为主,不涉及底层复杂的原理,因为小编也是二把刀):手机相机拍出来的照片分辨率较高,照片从加载到app,解析,展示会有一个过程,如果等完全解析完显示在屏幕上,那肯定会有一个短暂的时间形成卡顿(因为此时已经点击屏幕打开,但是照片还在解析中,尤其是CPU负荷比较大或者手机性能比较低的时候),为了避免上述情况,图片在第一次被正常打开后就会根据一定的算法生成一份分辨率相对比较低的缓存图片,再次打开这张图片的时候,app会首先加载这份分辨率相对比较低的图片填充屏幕,然后等原始图片被正常解析迅速替换已经显示的图片,给人以过度的感觉,而不是卡顿(微信接受的图片也是利用的这个算法,没有被手动下载查看的图片一定是原始图片的一个低分辨率缓存。)而且,最重要的是,安卓的照片缓存是不随着原始图片的清除而清除的,这也就是咱们今天讨论的核心问题。

而我们看到的相册里的四方格的图片也是一种缓存的显示:

安卓手机数据恢复

上图这样很小的缓存图片实际意义并不是很大,因为分辨率太低了,只有那些分辨率相对比较高的缓存才会有一定的意义,所以我们要在文件系统中寻找缓存文件:

 

安卓手机数据恢复

我们把imgcache.0提取出来,这个文件就是手机照片的缓存,只要在相册里查看过的照片都会在这个文件里留下痕迹,没有被一些垃圾清零app清理过的安卓手机,这个文件会一直变大,最大50M,如果超过50M那么就会生成新的缓存文件:imgcache.1并且随着缓存的越来越多,文件数量也会递增。用winhex查看

我们从winhex的显示结果当中看到了JFIF,典型的图片类型标识,然后根据图片的头文件标记FFD8开始向下搜索结束标记FFD9:

安卓手机数据恢复

将FFD8开头FFD9结尾这段提取出来保存成文件,继续查找下一组FFD8-FFD9;保存出来的文件可用图片查看器打开查看。当然,这里仅仅是安卓缓存数据的一部分,还有很多位置存储着各种场景下所产生的“缓存垃圾”,但是正是这些缓存,给我们的司法工作提供了一个又一个的关键线索。

当然如果您觉得一个一个提取太麻烦的话可以尝试用Rx-analyze3000进行一键提取,给您的工作增加效率:

手机司法取证数据恢复

本文简单介绍了司法取证方面手机数据恢复的可能性。我们得到的结论是,由于新款手机引入了清零机制。安卓5.0以上的新款手机照片删除以及数据恢复后基本不可能找回数据。老款机型,数据恢复的可能性非常大。新款手机如果想要彻底删除照片,最好进行手机的数据恢复操作,格式化手机内存。否则可能还是会有残留照片。

以上文章有河北阮咸公司撰写,需要了解司法取证及数据恢复方面的内容可以自行搜索相关公司,或者联系一起搞机网站长。一起搞机网转发。


一起搞机网部分手机维修教程为网络搜集整理,如果侵犯到您的权益,请qq:2782649243联系我们删除。