Android智能手机数据恢复方法浅析

曾琪 罗慧瑜

摘要：根据数据丢失的原因，Android智能手机数据恢复方法分为两大类：物理恢复和软件恢复。物理恢复一般是由于手机进水、摔坏等无法开机情况下的芯片级恢复，而软件恢复则大多因为逻辑损坏。该文针对Android智能手机数据在物理或者逻辑情况下造成的数据丢失问题，对现有数据恢复方法进行测试与比较分析，以便于用户应该根据自身情况去选择合适自己手机情况的恢复方法提供参考。

关键词：Android;数据恢复;数据存储

中图分类号：TP311

文献标识码：A

文章编号：1009-3044（2020）03-0027-02

1 概述

随着移动通信技术的高速发展，智能手机已成为人们生活中不可缺少的一部分。智能手机的普及刺激了用户更多的需求，使得手机软件发展日新月异，多样化的应用程序实现了智能手机到掌上电脑的转变。与此同时，智能手机中存储着越来越多的个人数据，其中不乏重要的隐私数据。Android智能手机用户在进行数据操作时，面临更多不同重要隐私数据的丢失问题，对数据安全恢复有更多的需求。

国际上的数据恢复技术起步较早，成熟度较高。近年来，国内关于Android智能手机数据恢复研究取得了一定的研究成果。如文献[1]以Android智能手机中的短信、通话记录和通讯录为研究对象，使用SQLite数据库进行数据结构详细分析，通过调试桥工具调用运营商信息在系统种类的方法，成功恢复出这些信息。文献[2]从手机犯罪常见形式人手，通过早期手机取证工具分析手机SIM卡中数据提取犯罪证据。文献[3]通过分析Android系统漏洞，绕过开机密码等方面，对手机内存进行镜像再恢复取证。文献[4]研究了手机临时Root权限，通过调用API来对SQLite数据库中数据进行恢复，并提出一种细粒度数据完整性校验方案。文献[5]作者设计了基于FAT32和EXT4两种文件系统的数据恢复及擦除软件，申请了国家专利，对数据保护做出很大贡献。文献[6]通过研究不含外置存储的且只有MTP模式的Android智能手机，通过不同模式的镜像方法，恢复出丢失的图片信息。

本文从数据丢失的原因出发，把Android智能手机数据恢复方法进行了总结和分类测试，以便于用户应该根据自身情况去选择合适自己手机情况的恢复方法提供参考。

2 Android手机数据恢复方法

2.1 芯片恢复方法

将存储介质作为目标，不从文件系统对数据进行访问，直接拆解芯片进行镜像数据恢复[7]。拆解后取出存储芯片，然后需要通过其他工具对芯片进行处理然后恢复数据。这种方法优点可以最大化的防止对丢失数据的影响，保护数据的完整性和原有状态[8]。芯片恢复可以通过物理镜像绕过口令保护，不仅可以恢复删除数据，系统认为不需要而丢弃的数据也都可以一并找回。缺点在于这种方法对工具和动手能力要求较高，稍有不慎手机和芯片都有报废风险。在没有工具环境前提下普通用户更是难以独立完成这类操作。

2.2 手机软件恢复方法

针对手机端的数据恢复软件，目前市场上免费软件和收费软件数量都很多，效果和价格也大不相同，比如：数据恢复CTRL+Z、数据恢复大师、数据恢复DiskDigger Pro、壁虎照片恢复、壁虎系列、短信恢复工具、图片恢复、图片恢复工具等。通过对市场上免费手机数据恢复软件进行了测试实验，得出表1数据。

通过实验发现，市场上免费数据恢复软件恢复效果不能让人满意，几乎没有一款工具能够恢复出手机内置存储器中的图片、视频或者文档等有价值的数据。大部分软件无法正常使用，少部分通过扫描恢复出大量缓存无用数据。针对这一结果，不建议用户通过直接使用免费软件进行重要数据的恢复。一方面效果不是很好，更重要的方面是这样的操作有可能对丢失数据造成二次覆盖。

2.3 电脑软件恢复方法

相对于不成熟的智能手机数据软件，磁盘数据恢复软件的研究相对成熟很多。而用户可以将手机内置存储通过镜像到其他存储介质，然后根据功能进行恢复的效果会相对较好。电脑端的数据恢复软件现在比较成熟，可以完成不同程度的数据损坏。按功能分如表2所示。

用户可以间接使用电脑恢复软件，将手机内置存储用一定的方法转移到电脑磁盘中，这样可以保证手机数据不再被破坏，并且能很好地利用现在成熟的恢复技术进行扫描恢复。但可能由于用户对数据恢复软件不够熟悉，在提取镜像后又做了一些画蛇添足的处理，比如利用VhdTool.exe对镜像进行各种后期处理，不仅增加了步骤的烦琐程度，可能还会起到误导作用。

3 结束语

本文针对如今常用的手机数据恢复方法进行了实验分析，发现现有的数据恢复方法或是需要花费高额的成本，或是在恢复过程中造成手机内置存储数据的覆盖，影响数据完整性。Android智能手机通过物理级芯片恢复虽然能够达到最好的恢复效果，但由于成本与技术等因素，普通用户不会选择该方式。通过手机软件对比电脑软件可以得出，将手机内置存储镜像到电脑磁盘中，比直接用手机软件，对手机进行操作恢复成功效率高，并且对数据的保护程度也较高，不会更多的对手机中的数据做再次覆盖。目前还没有一款工具可对手机整个内存进行镜像，然后在内存镜像副本上进行操作，保证原始证物的完好无损。如何获取手机内存整体镜像，还需进一步投入大量的研究。

参考文献：

[1]杨闹春.Android手机取证系统研究[D].南京：南京邮电大学，2013： 70-71.

[2]陈德俊，丁红军，手机取证研究概述[J].中国公共安全：学术版，2012（3）：100-102。

[3]张辉极，薛艳英.基于Android系统的取证技术分析[J]信息网络安全，2012（4）：58-60.

[4]陈明艳.手机信息取证系统的研究与设计[D].武汉：武汉理工大学，2014： 70-72.

[5]孫典.基于Android平台的数据恢复与擦除软件的设计与实现[D].北京：北京邮电大学，2014： 67-70.

[6]危蓉，麦永浩.MTP模式下智能手机数据的恢复与取证[J].警察技术，2015（2）：34-37.

[7]赵斌，何泾沙，万雪姣，等，针对安卓移动终端设备的数据取证技术分析[J].警察技术，2014（3）：79-82.

[8] L.Aouad， Kechadi T.Android Forensics：A Physical Approach[C]. The 2012 International Conference on Security and Man-agement，2012：1-5.

[9]杨阳.Android手机数据恢复方法研究综述[J].计算机时代，2017（4）：29-31.