其他

突破毒贩的山寨手机,靠的都是运气吗?

2017-06-25 高峰、时不我待 信息时代的犯罪侦查
案例故事知识随笔其他

正如石墨烯的发现一样,在技术攻关的临界点上,往往一个偶然事件出现,起到打开整个局面的作用。其实,这些貌似偶然的背后皆存在着必然性。一如本案,正是由于技术人员扎实的实践和理论功底,才能在偶然现象出现后,做出正确的判断,直至突破全部障碍。



案情摘要

2014年7月,李某某、赵某、魏某、张某涉嫌贩卖运输毒品罪被公安机关抓获。10月,该案移送至辽宁省阜新市人民检察院审查起诉。随案移送两部涉案手机,但没有相应的鉴定报告。


审查证据的过程中,公诉部门将涉案手机委托该院检察技术部门,希望能够对涉案手机数据进行提取固定,为本案发掘固定相应犯罪证据和突破嫌疑人心理防线。

猜密码也是办案手段

对魏某的一款型号为UTIME-1的山寨智能手机进行取证中发现,该设备送检时处于开机状态并采用四位数字密码屏幕锁,手机取证系统未能正确识别型号,也未能发现该款的ABD连接驱动。通过直接联系该品牌厂家,该厂家客服人员回复该款手机已停产,无该型号手机相关驱动。



经办案人员介绍,该嫌疑人的口供尚未突破,对其证据的搜集和固定显得尤为重要。电子取证技术人员,充分发挥了主观能动性,利用办案人员搜集的与该嫌疑人所有相关连的数字信息进行有效筛查与组合,经过两天连续不断的努力成功破译出该手机四位数字密码为“2587”,完成了一个看似不可能完成的任务。


至此,幸运女神第一次眷顾了我们!



碰到难啃的硬骨头



随着取证工作的逐步深入,通过从各项提取出的数据分析可以得出犯罪嫌疑人赵某是该贩卖运输毒品案件的主要负责人,对其通讯工具取证工作的重要性是不言而喻的。于是,我们把主要精力放在了第二部手机上。


该手机型号为sm-n9008,操作系统为Andord4.3,手机处于开机状态并设置了九宫格屏幕锁。在不改变手机状态和破坏手机数据完整性的前提下进行手机取证,无论是利用何种取证工具,都必须首先获得手机的操作权限,而其关键之处便是破解或绕过屏幕锁。



按照正常的操作规范,并尝试了多款手机取证系统,均提示:手机处于离线状态于是,又尝试使用Android一键ROOT工具,设备检测结果状态依然为离线,获取ROOT失败。最后,使用工具箱中的“三星USB调试清除屏幕锁”工具,向手机中写入清除指令,却依然失败。刷机操作虽然可以清除掉屏幕锁,但此操作存在着较高的风险性。即使刷机成功,手机中的相应数据也很可能被覆盖掉,取证工作一时陷入了僵局。



幸运女神第二次眷顾



面对困难,我们从来不会轻易放弃认输。技术人员查询了大量有关智能手机系统的相关资料,一个类似“寻根问祖”的思维展开了……


A.Android系统是基于linux开发的一款自由及开放源代码的多任务移动终端操作系统。

B.从架构上看,Android分为四个层,从高到低分别为应用程序层、应用程序框架层、系统运行库层和Linux内核层。

C. Android的原生应用程序其开发语言都为Java,系统运行库层包含了大量C/C++库,Android运行于Linux kernel之上。

D.在Windows操作系统或Linux系统上编程的相关基础概念和原理在Android手机系统上也是同样适用的

……


幸运女神第二次眷顾


于是,再次面对看了无数次、甚至让人感觉到愤怒的九宫格屏幕锁时,基于这种情绪,手指在屏幕上无意识的随意滑动,无意间触碰到了“紧急呼叫”按钮。此时,一个既陌生又熟悉的紧急呼叫界面映入了技术人员的眼帘。


正是这次无意识的滑动使我们大胆猜测,屏幕锁界面与紧急呼叫界面应该属于同级结构,并无继承或父子关系。而手机与电脑的连接消息触发,与手机处于何种应用程序、何种界面下无关。



于是抱着试一试的心态,在“紧急呼叫”界面中进行了手机与电脑的连接。几秒钟后,紧急呼叫界面中竟然弹出了“允许USB调试吗?”的窗口,这个发现让我们先是眼前一亮,紧接着是激动不已。它意味着让我们困扰已久的手机屏幕锁被成功绕过。允许操作后,通过手机“一键ROOT”和“屏幕锁破解或者清除工具”,对该送检手机成功清除了屏幕锁密码并获得了管理权限。至此,该手机取证工作所有障碍宣告解除。


似乎有道理,应用处在哪一层,确实关乎连接能否成功。


该案手机取证突破以后,技术人员是非常兴奋的。但冷静之后,他们果断意识到,这很可能是Android手机系统的一个共性屏幕锁漏洞。在接下来的时间里,分别用红米NOTE与红米1s手机进行了此种连接尝试,均通过紧急呼叫漏洞绕过图形或密码等各种形式的屏幕锁,成功获得了手机管理权限。


2015年3月,“紧急呼叫”漏洞才被国外发现并由三星公司所证实,不久后各家手机公司也成功修复该漏洞。针对此次小米公司的漏洞修复,我们进行了破坏性测试。在“紧急呼叫”界面下,依然能短暂看到“允许USB调试吗?”窗口,只是处于一种不可用的状态并被放在“紧急呼叫”窗口之下。


在Android手机系统上,是否能像WINDOWS系统一样获取各类窗口的句柄?针对各种获取到的句柄是否可以改变其相应属性从而实现默认“允许USB调试”?基于Android的安全机制,此种注入操作还有什么困难?这样一个个的问题不断浮现于技术人员的脑海,希望能在今后的工作中得以证实。




请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号,了解犯罪手段、侦查技术、办案心得,做到自我提升、自我救赎!


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存