【技术分享】手机小众社交App的数据获取方法
2023-2-7 09:13:18 Author: 网络安全与取证研究(查看原文) 阅读量:25 收藏

电子数据取证人员如何能够快速对手机里常见的小众社交APP进行数据提取和分析,一直是手机取证的难点之一。为此,本期小拓将和大家分享手机中小众社交App提取的几个常用方法。

01
利用取证软件进行数据提取
直接利用手机取证软件进行部分小众社交APP的数据提取是每次取证首先尝试的方法,但这种方法只能对少部分小众社交APP进行获取,而且往往与手机系统版本、手机型号等因素有关
案例1:蝙蝠
以蝙蝠应用为例,取证人员可以直接使用M6000-响尾雀极速取证系统,通过有线连接手机的方式进行数据的提取解析。

图  M6000-响尾雀极速取证系统使用界面
02
利用云取平台进行数据提取
云端数据获取是提取应用APP云服务器中数据的一种方法。对于一些小众社交APP,其数据存储在云端服务器中,可以尝试用这种方法获取,如Telegram、飞书、Twitter等
案例2:飞书
以飞书应用为例,打开云端取证平台后,找到飞书应用,进行云端数据获取,待任务列表读取完毕,即可完成云端数据获取。

图  云端数据取证平台使用界面

图  飞书云端数据提取界面

03
利用提权进行数据提取
ROOT权限是系统权限的一种,获得ROOT权限之后就意味着已经获得了系统的最高权限,可以对系统中的任何文件(包括系统文件)执行所有增、删、改、查等操作。因此,如果能够获得手机的ROOT权限,那么就能对手机里的小众社交APP进行获取,这种方法常常受限于如何获取ROOT权限。
案例3:Telegram X
以Telegram衍生系列应用Telegram X为例,在手机提权的情况下,取证人员可以直接使用M6000-响尾雀极速取证系统,直接对数据进行提取解析。

图  响尾雀ROOT备份界面

04
利用APP自带备份提取

部分小众社交APP具备聊天数据备份功能,这种情况下可以通过软件自带备份功能较为方便地提取数据。

案例4:Signal

以Signal为例,手机App自带备份功能,能够直接将数据包备份至本地,然后对备份的数据包进行解析、查看。

图  Signal软件设置界面

图  Signal解析查看界面
055
利用PC客户端进行数据提取
像Telegram、Potato等小众社交APP不但拥有手机端App,也有对应的主机端应用软件。主机端应用软件往往也具有数据备份功能,可以利用这一功能将数据备份后再解析和查看
案例5:Potato

对于Potato软件,可以在其主机应用端,选择数据存储、导出Potato数据设置中将相关数据进行导出。这里还支持导出不同的文件格式,既可以是可读的HTML格式,也可以是数据转移中机器可读的JSON格式。

图  Potato软件数据导出界面

  结 语  

由于各种原因,小众社交APP受手机系统版本、手机型号、用户权限等因素影响,提取较为复杂,没有一套通用的方法,有时甚至同一款APP在不同手机上提取时选用的方法都有所不同,因此,本期小拓特意为读者介绍了针对小众社交APP的几种数据提取方法,在实际进行数据提取时要根据不同情况进行选择使用。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247485613&idx=1&sn=9f1ed2b72cb632d84e4b4eecc7958245&chksm=cf3e289df849a18bffad285639729756e44f2394563f4dbeb263de2c8313978e39355bc13de4#rd
如有侵权请联系:admin#unsafe.sh