Android手机已删除短信的恢复

开篇：润墨网以专业的文秘视角，为您筛选了一篇Android手机已删除短信的恢复范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要近些年来，随着移动信息网络的迅速发展和智能手机的普及，智能手机在给我们带来巨大的应用便利和经济利益的同时，也同时隐藏着巨大的安全隐患，给犯罪分子以可乘之机。在公安机关侦办的许多案件中，时常会遇到犯罪嫌疑人删除手机短信，给公安机关的侦办带来了一定的困扰，所以恢复被删除的手机短信是公安机关面临的新课题。本文从手机取证的几种方式入手，介绍了手机镜像备份的几种专用工具，最后对android手机中已删除短信的恢复进行了探讨和总结。

【关键词】手机 短信 恢复

近年来，随着移动信息网络的蓬勃发展，我国智能手机也越来越普及。智能手机在给我们带来巨大的应用便利和经济利益的同时，也同时隐藏着巨大的安全隐患，给犯罪分子以可乘之机。手机中往往成为案件侦查的重要证据，保存着关键的证据和信息。市场调研公司IDC的最新报告指出，2015年全球智能手机出货量将首现单位数增幅，即增长9.8%，总出货量为14.3亿部。其中Android份额将从2015年的81%缓慢增长至82%。Android手机的广泛应用使其成为目前备受关注的数字取证源。在公安机关侦办的许多案件中，时常遇到犯罪嫌疑人使用手机短信从事犯罪活动。犯罪嫌疑人在从事犯罪后，时常会删除手机短信，给公安机关的侦办带来了一定的困扰，因此恢复被删除的手机短信成为摆在公安机关面前的一个课题。

1 手机证据获取方式

获取证据的方式可分为五类：手工分析、逻辑分析、镜像备份（物理分析）、芯片分析（物理分析）和微读（物理分析）。

手工分析是指执法人员利用录像或拍照等方式记录自己的全部操作，使用手机系统原有的应用程序来获取数据。这种获取方式的优点是任何一个执法人员都能胜任，并且操作简单，获取容易。缺点是无法获取手机的全部数据，特别是隐藏和删除的数据。

逻辑分析是指执法人员使用取证专用设备，通过数据电缆连接到移动终端提取采集数据。逻辑分析的数据量往往取决于 Android 设备是否获得 ROOT 权限，通常获得 ROOT 权限后可以恢复出部分删除数据，但是在通常情况下，逻辑分析不能恢复在未分配空间中的数据。

芯片分析（物理分析）是将 Android 设备的存储芯片拆卸，利用芯片读取器直接读取存储芯片的数据。芯片分析比人工获取、逻辑分析、物理分析更具挑战。由于芯片分析具有芯片拆卸损坏的风险，因此对取证人员的操作手法要求比较高。

微读（物理分析）是指使用高倍电子显微镜检验存储器的电子电路以采集数据。微读目前仅在理论和试验阶段进行探讨，离实际应用还有一定距离。

2 手机取证工具

2.1 Cellebrite UFED

Cellebrite UFED 是一款重要的手机取证设备，它支持对手机的逻辑分析和镜像备份（物理分析）。在逻辑分析时，它使用手机文件系统或通讯协议（如AT命令或obex等）对存储在手机内存中的数据进行提取，接近于表现手机中的实时系统；在镜像备份（物理分析）时，它可以实现位对位的复制手机物理内存中的数据和文件，包括未分配空间的数据。Cellebrite UFED 可以提取手机中的 IMEI 信息、通话记录、短信、音频、视频、照片、电话本、聊天记录、位置信息等基础数据信息。

2.2 Oxygen Forensic Suite

Oxygen Forensic Suite是一款优秀的手机取证软件，支持对非智能手机、智能手机、平板的逻辑分析，也支持对这些设备的镜像备份（物理分析）。它使用先进的专有协议，比使用标准协议的取证工具获取的更多的数据。它通过内置的 Oxygen Forensic SQLite Viewer，允许直接访问SQLite文件，从而可以恢复一些被删除的数据。

3 Android手机短信

Android 是一个基于 Linux 核心的开放手机平台操作系统，系统提供开放的源代码开发平台，便于应用程序开发者方便、自由地开发。由于其是开源操作系统，所以其文件格式是公开的。Android手机系统使用SQLite数据库保存数据，其短信内容是储存在“/data/data/com.android.providers.telephony/databases”中的 mmssms. db 文件中。我们可以从mmssms. db 文件中获取到用户的短信信息和彩信信息，包括收件箱、发件箱、已发送短信和草稿箱等信息，包括发信人姓名、电话号码、发送时间、信息内容、读取状态以及是否被用户删除等。

4 手机取证实例

取证对象为Android智能手机一台，型号为Vivo Y11iw，从中提取已删除的短信。

首先对手机进行ROOT，使用常规方法进行逻辑分析。直接将手机连接至手机取证工具进行提取，分析完毕后发现只能提取到手机中已存在的数据，删除的目标短信内容并没有恢复。

接着尝试使用 Cellebrite UFED 对手机进行镜像备份（物理分析），在这里遇到了困难， Cellebrite UFED 中没有Vivo该型号的手机可以选择，而其他Vivo型号的手机并不支持物理镜像。经过多次尝试，最终用三星下的某型号提取成功，得到Vivo该型号手机的物理镜像文件。

成功提取到物理镜像后，使用取证专用软件（如SafeAnalyzer、Encase等）加载手机物理镜像，通过取证软件中的关键字搜索功能，设置涉案关键字搜索手机中的涉案数据，最后在“MMSSMS.DB”文件的未分配空间中恢复出已删除的部分涉案的短信内容。虽然只恢复出了部分内容，但已足以证明犯罪嫌疑人的犯罪行为。

5 结束语

Android智能手机的普及使它成为了侦查破案中重要的电子数据来源。本文只是对Android 手机中已删除短信的恢复进行了简单的探讨。当需要恢复手机中已删除的短信时，可先对手机进行ROOT，进行逻辑分析，但关键还是提取手机的物理镜像。物理镜像是手机存储最完整的体现。物理镜像提取完后，对于已删除的短信息，在分析过程中使用取证工具的关键字搜索功能，就有可能在未分配空间中恢复出需要的已删除数据。

参考文献

[1]刘浩阳.Android 设备取证研究[J].信息网络安全，2015（09）：29-32.

[2]GA/T 1170-2014移动终端取证检验方法[S].

作者单位

广西桂林市公安局网络安全保卫支队 广西壮族自治区桂林市 541213