手机取证流言终结

Posted on 2016-05-31 17:13  Pieces0310  阅读(736)  评论(2编辑  收藏  举报

1.USB 侦错模式一定要开启,才能进行root提权?

 Ans: (X)

因为USB侦错仅牵涉到手机在正常模式运行下,能否透过计算机下达adb指令,因此,不必然一定要开启USB侦错,才能进行root.

由于fastboot模式是更底层的模式,并不需要开启USB侦错才能进行刷recovery rom的动作.

 

2. USB 侦错模式一定要开启,才能进行图形锁,密码/PIN等破解?

Ans: (X)

原理跟上面是一样的,既然root提权不需要USB侦错模式开启,而root提权后即无所不能,因此,各种锁的破解,自然亦与USB 侦错模式开启与否无关.

 

3.提权成功后,在adb shell却无法顺利su,所以这表示并未真正成功root?

Ans: (X)

如下图所示,在adb shell中进行su,会出现错误讯息,但仔细看,既能进入/data/system,且能浏览该路径下的文件,自然便能取出或删除,还需要在意su成功否吗?最好笑的,删除gesture.key后,手机画面依然有图形锁,有人就说,看吧,干掉gesture.key也没用,图形锁还在???其实,这个时候,图形锁已然失效,怎么滑都能进手机桌面了.

 

 

4.若证物为iPhone 4s以后的机型,则照片删除并无任何机会救回?

Ans: (X)

经研究,若是曾JB过的机种,即使后来iOS已升级至iOS 9以上,以Wondershare Dr.Fone等工具进行数据回复,仍可能得到被删除的照片.

 

 

5.JTAG或Chip-off是终极手段,可在不开机状态下进行,且天下无敌,无任何取证分析上的阻碍?

Ans: (X)

即便是以JTAG或Chip-off,可顺利制作全机镜像档,但别忘了,若是有启用全机加密(FDE),还是得设法解密,并非因为采用了JTAG或Chip-off,就可以视全机加密于无物.

 

6.使用商业取证工具,便可以不需要在iDevice上按"信任",直接bypass iDevice的屏幕锁进行撷取.

Ans: (X)

仍必须解锁,然后在桌面按下"信任",或是取得plist檔以bypass.

 

 

7.只要从犯嫌的PC/Latop/Mac中取得plist,便保证可以bypass信任关系顺利取证了

Ans: (X)

仍有例外之时,若犯嫌十分谨慎,常常去重置iDevice的隐私权,那在犯嫌进行重置后,所取得的plist便无任何作用了.

 

 

8.只要设法取得犯嫌的指纹,并进行套模制作,便可保证顺利解锁他/她的iDevice.

Ans: (X)

若是处于开机状态的iDevice,以套模制作的指纹可能可以骗过.但若是已关机的iDevice,将其开机后,如下图所示,此时指纹辨识是不work的,就算是犯嫌用自己的手指来解也没用,必须要输入密码才行.

Copyright © 2024 Pieces0310
Powered by .NET 9.0 on Kubernetes