手机取证——手机解锁不清除数据研究

　　编者按：在手机解锁过程中，某些手机会清除手机中的数据，这给手机取证带来难题。因此，研究手机解锁不清除数据方法，对手机取证有重要意义。本期，数据恢复四川省重点实验室科研人员将以三星note5和华为P7为例，讲解手机解锁不清除数据的方法。

　　一、手机加锁是为保持手机系统稳定

　　经常玩手机的“机油”都知道，安卓手机root之后可以做很多事，因此手机买来后往往都会先root，然后进行系统精简或修改。对于手机取证来讲，手机root同样重要，因为root之后一般才能提取到更完整的数据。目前，不少手机出厂后带有手机锁，这会影响后续root以及刷机。从某种意义上说，手机解锁与手机ROOT两者是一脉相承的。那么什么是手机加锁？加锁目的又是什么？

　　手机加锁是指手机在出厂时，厂商已经安装好了操作系统和预置应用，这些东西都装在手机ROM中，厂商通过对ROM进行加锁，使用户不能对系统文件做任何动作。手机加锁的目的是为了防止意外情况，如不慎删除系统重要应用，导致系统不稳定甚至直接崩溃。

　　二、手机解锁会导致某些手机数据丢失

　　手机加锁可以保持手机系统稳定，但加锁之后手机不能root，也限制了用户的自由，使很多操作无法完成，犹如被关牢笼一般。对于手机取证来讲，不能进行root，就有可能提取不到想要提取的手机数据。因此，想要让手机完全掌控在自己手中，首先就必须解除厂商设置的手机锁。

　　在手机解锁过程中，有的手机厂商为了保护用户数据安全，会清除手机中的数据。这对手机取证而言，无疑是非常不利的。因此，研究数据解锁不清除手机数据的方法，对于手机取证而言，有着重要意义。数据恢复四川省重点实验室科研人员通过对主流手机解锁与清除数据关系进行研究，发现了一些手机在解锁后不会清除数据的方法。

　　三、几种手机解锁不丢失数据研究

　　（一）三星note5手机解锁

　　1.三星最新手机基本都有手机锁，也就是CROM SERVICE锁。如果需要对手机进行root或者刷recovery进行数据提取与恢复，就需要先进行手机解锁。三星note5解锁比较简单，通过下载安装三星自行研发的CROM工具（如图1），根据软件提示可以一步步完成解锁（如图2）。

图1：下载安装CROM工具

图2：依据提示完成解锁

　　2.为了验证解锁是否成功，我们需要进入Downloading式（俗称ODIN模式，在关机状态下同时按住【音量下】+【home键】+【电源键】进入），如果出现Unlock字样，证明解锁已经成功（如图3）。

图3：Unlock代表解锁成功

　　 从目前的研究结果看，依靠此种办法进行解锁的成功率高，暂未发现失败现象。通过此方法解锁后的数据未被清除，可以进行下一步数据提取等工作。

　　（二）华为P7手机解锁

　　华为不少手机都加了bootloader锁，要对手机进行root或者刷recovery进行数据提取与恢复，也需要先进行手机解锁。下面，以华为P7为例，介绍华为手机解锁方法。

　　1.准备工作

　　① 在PC上正确安装手机驱动程序，驱动请在华为终端官网上下载。

　　② 下载Google提供的ADB工具包并在PC上安装，如安装到D:\adb_tools-2.0目录，确认目录中带有fastboot.exe文件。

　　③ 在华为官网（http://www.emui.com/）申请手机解锁码（如图4）。

图4：在华为官网申请手机解锁码

　　2.解锁操作

　　① 手机进入fastboot模式

　　先将手机关机（注意需要先在设置菜单中，关闭“快速启动”功能，或者关机后拔下电池，超过2秒后再重新插入），然后同时按下音量下键以及开机键（平板请同时按下音量上键及开机键），并保持10秒钟以上时间，就可以进入fastboot模式（如图5）。

　　如果上述操作无法进入fastboot模式，请尝试使用如下步骤：

　　先将手机关机（注意需要首先在设置菜单中，关闭“快速启动”功能，或者关机后拔下电池，超过2秒后再重新插入），然后插入USB线，紧接着同时按下音量下键和开机键，保持10秒钟以上时间，就可以进入fastboot模式。

图5：Fastboot模式下发现是手机有锁的

　　② 连接手机和PC机

　　使用USB数据线连接手机和PC机，打开PC机命令行窗口，进入ADB安装目录（如图6），确认手机与PC连接正常（确认方法为在命令行窗口输入fastboot devices，可以看到正常连接的信息，如：28cc48bc fastboot）。

图6：确认手机与PC机连接正常

　　③ 执行解锁命令

　　在PC机命令行窗口中输入fastboot oem unlock ****************，其中*号为16位解锁密码（在华为官网申请），例如：fastboot oem unlock xxxxxxxxxxxxxxxx（如图7）。

图7：执行解锁命令

　　④ 等待手机完成解锁

图8：手机解锁完成

　　手机解锁完成后，发现其中的相关应用程序及数据无变化，证明手机数据并未被清除,可以进行下一步的数据提取或恢复等工作。?

图9：手机解锁前后对比

　　结语：在手机取证取证过程中，常常需要对手机进行root或者刷机，但是如果手机进行了加锁，就需要先对手机进行解锁。进行手机解锁，常常会导致手机数据被清除，而数据恢复四川省重点科研人员介绍的手机解锁不清除数据方法，很好地解决了这一问题。手机解锁之后，取证人员便可以利用效率源SPF9139智能手机数据恢复取证系统、MTF手机可视化行踪取证系统、APE安卓手机数据物理提取系统等产品进行后续的数据恢复、数据提取、取证分析、司法鉴定等工作。