數(shù)據(jù)恢復及取證技術文章

data recovery and forensics Technical Articles

數(shù)據(jù)恢復技術
電子取證技術
行業(yè)新聞

諾基亞8110香蕉機手機數(shù)據(jù)恢復與取證技術突破

發(fā)布時間：2018-09-13 閱讀數(shù)：

Nokia 8110香蕉機的數(shù)據(jù)恢復與取證難點

HMD公司成立于2016年5月，總部設在芬蘭，公司總裁和首席執(zhí)行官均為原諾基亞高管。HMD已經獲得諾基亞手機和平板電腦品牌的十年授權。

然而第一個問題出現(xiàn)了：HMD并沒有公開Nokia 8110 4G的調試接口，設置里面也找不到開啟調試選項。難道開發(fā)者就只能放在手心把玩，不能插線深入了解么？

俄羅斯的技術人員通過組合件進入了調試模式

來自俄羅斯的Luxferre打破了這層壁壘。他通過“導航上”+關機鍵組合按鈕進入KaiOS Recovery。

QQ圖片20180913104500.png

此時他留意到，recovery日志中有一串字符串“MMB29M … 6.0.1 … test-keys”，于是大膽推測，整個系統(tǒng)的簽名密鑰來自公開的Android Open Source Project（AOSP） 6.0.1_r3源代碼分支。

QQ圖片20180913111344.png

有了簽名密鑰，下一步就是制作基于busybox + ash腳本的OTA升級包（update.zip）了。Luxferre首先通過自制OTA升級包，把system分區(qū)（/dev/block/bootdevice/by-name/system）dump到SD卡；分析dump出來的分區(qū)內容后，再自制另一個OTA升級包（見文章最后網盤里面的smith.zip），修改“/system/b2g/defaults/settings.json”，把“developer.menu.enabled”和“debug.console.enabled”均設置為true。重啟后，Nokia 8110 4G的設置里面終于有了調試相關的選項。

QQ圖片20180913111514.png

過了一段時間后，Luxferre發(fā)現(xiàn)了一個更加簡潔的開啟adb調試模式，并且無需修改system分區(qū)設置文件：通過輸入手機指令“*#*#33284#*#* 即可?！?/span>

友情提示：*#*#debug#*#*，看看數(shù)字和字符的對應關系，大家破解密碼的時候可以考慮。

友情提示：dump整個EMMC連續(xù)遭遇大坑

在看完Luxferre的文章后，筆者第一反映，竟然想起了山寨功能機橫行年代的時候，IMEI全為0的奇葩情況。畢竟現(xiàn)在一大批安卓山寨機也是test-keys橫行，裝個系統(tǒng)級別的惡意軟件簡直易如反掌。想不到現(xiàn)在Nokia也會這樣子…….

既然Luxferre可以dump system分區(qū)，而且還公開了OTA升級包簽名制作工具（見文章最后網盤里面的stockerize.zip），那按照他的思路，整個EMMC存儲也可以dump出來吧？結果筆者在這里跌了不少坑，歸納起來有：

（A）recovery中，fstab掛載配置文件寫死了SD卡只能以vfat格式（也就是FAT32格式）掛載，不能使用ext4格式。

（B）由于（A），單個文件不能超過4G（FAT32格式限制）。

（C）若在編譯階段busybox沒有指定支持大文件選項，則在某些情況下，busybox無法處理大于2GB的文件。

在多次嘗試失敗后，筆者終于通過分批dump的方式解決了相關問題，順利把整個EMMC存儲dump到sd卡；然后在電腦上，使用cat命令將幾個分塊文件合并成一個大文件 emmc_bak.file，合并后的文件可以用7-zip打開做進一步的系統(tǒng)分析。

（文件合并命令如下：“cat emmc.0 emmc.1 emmc.2 > emmc_bak.file” ）

QQ圖片20180913111803.png

（測試dump emmc的時候所執(zhí)行的命令）

相關腳本，請參閱dump-emmc-full.sh和dump-only-system-part.sh，下載地址https://pan.baidu.com/s/1rdH3BagpPTfAk7cMthSzqg,密碼：3a4r。

QQ圖片20180913111927.png

（dump出來的整個EMMC存儲內容，和system分區(qū)文件）

友情提醒：Nokia也算是手機界的鼻祖級企業(yè)了，依然犯了如此低級的錯誤：使用公開測試密鑰來簽名操作系統(tǒng)。這與華住集團的軟件開發(fā)人員，把數(shù)據(jù)庫連接參數(shù)放到Github上何其相似？！

關于達思數(shù)據(jù)恢復與取證中心

達思科技，國家級高新技術企業(yè)，天津市國家保密局涉密載體數(shù)據(jù)恢復唯一協(xié)作單位，國家保密局常用辦公設備存儲部件敏感信息檢查系統(tǒng)項目課題承接單位，數(shù)據(jù)恢復與取證行業(yè)著名品牌，在國內乃至全亞洲數(shù)據(jù)恢復技術領先！達思科技的全稱是達思凱瑞技術(北京)有限公司，成立于2007年8月，注冊資金1500萬元。達思科技是一家以數(shù)據(jù)恢復與取證技術研發(fā)為核心的國家級高新技術企業(yè)，公司擁有自主知識產權的數(shù)據(jù)恢復與取證軟件30多種。公司下設研發(fā)中心、數(shù)據(jù)恢復與取證服務部、服務器RAID數(shù)據(jù)恢復應急中心等。

關注達思公司微信服務號或訂閱號，獲取更多信息：

圖片4.png