編者按：手機(jī)數(shù)據(jù)提取通常有三種方式：一是先ROOT∕越獄，再通過USB提取數(shù)據(jù)；二是先獲取手機(jī)物理鏡像∕刷包成功后獲取手機(jī)物理鏡像，再分析鏡像數(shù)據(jù)；三是通過電腦端∕手機(jī)端進(jìn)行手機(jī)數(shù)據(jù)備份，再解析備份。其中，利用手機(jī)端自身的備份功能進(jìn)行備份，再將備份文件拷貝到電腦中進(jìn)行數(shù)據(jù)提取，具有方便快捷、無需ROOT∕越獄等優(yōu)勢(shì)。本期，數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室科研人員將介紹如何利用手機(jī)端對(duì)小米手機(jī)進(jìn)行備份？以及如何對(duì)備份文件進(jìn)行數(shù)據(jù)提取？

一、背景介紹

隨著智能手機(jī)的不斷普及，人們手機(jī)內(nèi)的各種數(shù)據(jù)，包括通訊錄、短信、通話記錄、應(yīng)用軟件、游戲等越來越重要。為了防止誤刪除、刷機(jī)、恢復(fù)出廠設(shè)置等造成重要丟失數(shù)據(jù)，人們?cè)絹碓蕉嗍褂檬謾C(jī)備份軟件對(duì)手機(jī)里的重要數(shù)據(jù)進(jìn)行備份，而這也為手機(jī)數(shù)據(jù)提取提供了新的思路。

小米手機(jī)作為當(dāng)前最流行的智能手機(jī)品牌之一，在中國(guó)市場(chǎng)占有率超過10℅。為了增強(qiáng)數(shù)據(jù)的安全性，小米針對(duì)自己系統(tǒng)開發(fā)出備份功能以保護(hù)用戶數(shù)據(jù)。其中，手機(jī)里的聯(lián)系人、通話記錄、短信等重要信息一般都存儲(chǔ)在內(nèi)存卡或者SIM卡，如果用戶利用小米備份工具備份了這些數(shù)據(jù)，我們就可以對(duì)備份文件進(jìn)行數(shù)據(jù)提取，找到手機(jī)這些關(guān)鍵信息。

二、小米手機(jī)如何進(jìn)行備份

目前，小米2及以上版本均支持備份功能，可以備份出手機(jī)中任意應(yīng)用的用戶數(shù)據(jù)。但小米2的備份與小米3及以上版本都不同，下面將分別介紹它們?nèi)绾芜M(jìn)行備份。

1.小米2備份

①點(diǎn)擊需要“備份”的app，如圖1。

圖1

②點(diǎn)擊新建備份按鈕。

③選擇對(duì)應(yīng)的備份內(nèi)容，點(diǎn)擊開始備份，如圖2。

圖2

④、備份完成后返回，會(huì)看到一個(gè)新增的數(shù)據(jù)文件，這就是剛備份的數(shù)據(jù)。

2.小米3及以上版本備份

小米3及以上的版本與小米2備份方法有所不同，主要采取以下步驟：

①打開手機(jī)設(shè)置，找到“備份與重置”進(jìn)入，如圖3。

圖3

②點(diǎn)擊“本地備份”，備份時(shí)請(qǐng)勿關(guān)閉手機(jī)或重啟，以免造成數(shù)據(jù)損壞，如圖4。

圖4

③備份完成后，會(huì)看到一個(gè)新增的數(shù)據(jù)文件，這就是剛才備份的數(shù)據(jù)。

三、如何從小米備份文件中提取數(shù)據(jù)

1.小米2備份文件提取數(shù)據(jù)

在小米2的備份文件中，每個(gè)數(shù)據(jù)均采用標(biāo)記值+長(zhǎng)度值的方式來記錄數(shù)據(jù)，但時(shí)間和狀態(tài)沒有長(zhǎng)度值。

① 通訊錄提取

使用7-Zip解壓通訊錄.bak，得到addressbook.store和descript.xml。用winhex打開addressbook.store，記錄數(shù)據(jù)中不同的標(biāo)記代表不同的含義，如圖5。

圖5

其中

0x12為記錄開始標(biāo)記

0x32標(biāo)記為序號(hào)

0x18是狀態(tài)標(biāo)記（0x01是接收，0x02是發(fā)送）

0x0A是姓名標(biāo)記

0x22為姓的標(biāo)記

0x12為名標(biāo)記

第二個(gè)0x0A是電話號(hào)碼的標(biāo)記

這樣可以依次分別解析出通訊錄中的每個(gè)數(shù)據(jù)。

②通話記錄提取

使用7-Zip工具（可直接百度搜索）解壓通話記錄.bak，得到calllog.store和descript.xml。用winhex打開calllog.store，依次按照下面標(biāo)記代表的含義做解析即可得到通話記錄，如圖6。

圖6

其中

0x12為記錄開始標(biāo)記

0x1A為撥打或接聽號(hào)碼標(biāo)記

0x20為撥打或接聽時(shí)間的標(biāo)記，默認(rèn)長(zhǎng)度為6 bytes

0x28為時(shí)長(zhǎng)標(biāo)記，通常長(zhǎng)度為1 bytes或者2 bytes

0x30為狀態(tài)標(biāo)記（0x01是接聽，0x02是撥打）

0x38之后為其它標(biāo)記

③短信提取

使用7-Zip工具（可直接百度搜索）解壓短信.bak，得到sms.store和descript.xml。用winhex打開sms.store，依次按照下面標(biāo)記代表的含義做解析即可得到短信數(shù)據(jù)，如圖7。

圖7

其中

0x0A是表示一條短信開始標(biāo)記

0x00是表示一條短信結(jié)束標(biāo)記，通常緊接著就是0A標(biāo)記。

0x12為序號(hào)標(biāo)記

0x32為短信內(nèi)容標(biāo)記

0x22為號(hào)碼標(biāo)記

0x18是狀態(tài)標(biāo)記（0x01是接收，0x02是發(fā)送）

0x38是時(shí)間標(biāo)記，默認(rèn)長(zhǎng)度為6 bytes

剩下為其它標(biāo)記

備注：0A,12,32,22標(biāo)記是標(biāo)記值+長(zhǎng)度值的結(jié)構(gòu)，其他的均為標(biāo)記值+實(shí)際值（此處的實(shí)際值多為1byte，部分會(huì)出現(xiàn)2bytes）。

2.小米3及以上版本備份文件數(shù)據(jù)提取

小米3及以上版本與小米2在備份數(shù)據(jù)提取方法上有所不同，解壓前需要做如下的處理：如圖8所示，圖中選中部分為小米自己添加的頭，解壓前需要先去掉，使它變成Android backup文件，之后再使用7-Zip進(jìn)行解壓。解壓后，在目錄中找到“_tmp_meta”文件，其它提取過程同小米2提取過程一樣。

圖8

小結(jié)

利用手機(jī)里的備份文件進(jìn)行數(shù)據(jù)提取，相比其他數(shù)據(jù)提取方式，可以更加快速地提取到關(guān)鍵信息，而手機(jī)本身也不用通過ROOT∕越獄獲取最高權(quán)限。但是備份文件存儲(chǔ)的信息通常是有限的，所以只能提取到部分信息。目前，該方法已成功應(yīng)用于效率源SPF9139智能手機(jī)數(shù)據(jù)恢復(fù)取證系統(tǒng)中，在對(duì)未ROOT∕未越獄，或者無法ROOT∕無法越獄的手機(jī)數(shù)據(jù)提取中發(fā)揮了重要作用。