我们在使用Android手机过程中,在任务切换时,可以看到系统保存了当前应用的快照(安卓的开发文档中称之为“最近使用的应用”屏幕),今天我们就来简单看下Android系统的应用快照。
目前Android系统数据分区都采用了不同的加密方式,包括FDE(Full Disk Encryption)和FBE(File Based Encryption)两种方式,这也影响到应用快照的存储路径。我们简单看下在已知锁屏密码的情况下,通过adb命令来辨别加密方式,当然目前主流的机型以FBE加密为主。(FDE和FBE的说明大家可以百度,这里不做赘述)
连接安卓设备后,使用adb命令:adb shell getprop ro.crypto.type,返回值为空则表示未采用加密,返回值file表示fbe 文件夹加密类型,返回值block表示fde 磁盘加密方式。如下图:
根据加密类型的不同,Android应用快照的存储路径如下:
FDE:/data/system/recent_images
FBE:/data/system_ce//recent_images
应用快照的命名规则:
任务ID是随机数,快照的扩展名为png。根据其存储路径,我们也能判断出没有权限的情况下,是无法访问/data/system路径的,所以对于Android应用快照的提取,相比iOS,难度要大很多。基于目前安卓的主流版本,想要获取权限,并不是一件易事。(而针对iOS全系列版本,均可通过盘古石的ios提权技术实现全盘文件系统的提取)
下面左侧图片我们可以看出任务ID是819,扩展名为png,_task_thumbnail固定不变。快照其实是一个png的图片,右侧是快照的预览图,是短信应用的快照。
细心的我们会发现在快照同级目录下,会有一个recent_tasks文件夹,该文件夹中存储的是xml文件,都是以为前缀,见下图:
显而易见,通过TASK_ID,我们就可以将应用的快照与具体应用关联起来,例如上面短信的那张快照任务ID是819,我们查看其xml文件,如下图:
通过xml文件我们可以看出,task_id:819代表的是短信(com.android.mms)应用的会话列表(ConversationList)的界面(ui)
通过Unix Milliseconds时间戳转换,也能得到该快照的相关事件属性
相比iOS的应用快照ktx文件,Android的是png文件,在windows下可直接预览,当然手机取证软件也支持展示,附上展示的截图:
“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队,由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先,洞鉴未来”为使命,以“思维”解决电子数据取证难题,以“数据驱动安全”为技术思想,以安全赋能取证,研发新一代电子数据取证产品,产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案,为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。
