收藏本站

取证中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1443|回复: 5
收起左侧

安卓7.0降级备份第三方应用

[复制链接]
发表于 2018-1-22 15:49:58 | 显示全部楼层 |阅读模式
本帖最后由 330wang 于 2018-1-22 15:56 编辑

手工取证方法存在误操作风险,真实案例请谨慎操作!!!

0x00 问题引入

对于某些不能ROOT的手机,如果要提取第三方应用的数据(比方说微信,QQ等)一般采用安卓自带的备份命令adb backup
随着第三方应用的版本的提高及各个应用开发商对自己应用的加固,采用这种备份成功率越来越低。比方说新版本的微信,现在用adb backup命令什么也备份不出来。
然而某些手机厂商,比方说华为,OPPO,小米等手机自带应用数据备份的功能,碰到这些手机可以用手机内置的备份功能把微信等第三方应用的数据备份出来。
但是对于新的VIVO手机,它不提供这种备份功能且采用了全盘加密,导致取证的时候解析不到微信等第三方应用的数据。
对于安卓6.0,网上有相关的降级备份教程,大家可以搜索一下。但是6.0降级备份的方法已经不适用于安卓7.0了。在安卓7.0下如果强制安装降级应用的话,会报错。
今天就给大家分享一下使用命令降级备份提取安卓7.0VIVO手机第三方应用的方法(以微信为例),希望对大家的取证工作有所帮助。

0x01 风险提示

如手机有安装非官方版本微信及QQ等第三方应用,使用此方法会造成数据丢失!!!
其他品牌手机及版本未经严格测试,请大家区别对待。
备份过程会占用部分手机内存储,会造成覆盖部分删除数据!!如果手机支持OTG或外置SD卡,建议设置在OTG设备或外置SD卡上进行数据复制操作。
此方法存在误操作风险,请输入命令时务必检查命令输入正确!建议命令可以通过复制的方式拷贝到相应的界面,以免导致数据丢失!
以上风险提示请务必知悉!!!

0x02操作原理

安卓7.0应用降级备份操作原理和安卓6.0的降级操作原理相同。其原理是,低版本的应用没有在AndroidManifest.xml文件设置allowBackup属性值,其默认值为”true”,则应用可通过adb命令进行备份整个应用的数据(参考http://jaq.alibaba.com/blog.htm?id=57)。
因此,应用降级备份的关键步骤是替换手机上的应用。
注意,不同的应用不能相互替代,比方说用老版本的微信替换后只能备份微信的数据不能备份QQ,微博等的数据。

0x03操作步骤

1手机开启USB调试并启用屏幕常亮
2打开ADB工具
1.png
1 打开ADB工具
2.png
图2 选自己执行adb命令
3查看手机中微信安装包的位置,输入下面的命令adb shell pm path com.tencent.mm
3.png
图3 获取微信安装包路径
    得到本手机上微信的安装路径为/data/app/com.tencent.mm-2/base.apk。不同的手机获取到的路径可能不同,以命令得到的路径为准。
4备份手机上原微信安装包,方便获取数据后还原手机上的应用,输入下面的命令:adb pull /data/app/com.tencent.mm-2/base.apk weixin.apk
adb pull后面的路径是上一步获得的微信安装路径,手机上原微信的安装包以文件名weixin.apk下载到当前目录下。
4.png
图4 保存手机上微信的安装应用到电脑上

5保数据卸载手机上的微信 输入下面的命令adb shell pm uninstall -k com.tencent.mm

注意:命令行中一定不能少了-k,否则微信数据就真的删除了…

5.png
5 保数据卸载微信应用
6安卓7.0关键的一步,重启手机,否则手机会提示降级失败。输入下面的命令
adb reboot
6.png
图6 重启手机
7手机重启后,如果手机有屏幕锁,解开屏幕锁,并开启USB调试
8安装降级微信应用 输入下面的命令
adb install "C:\Program Files (x86)\达思3.0\Release\tools\apks\com.tencent.mm.apk"
7.png
图7 安装降级微信apk,出现Success说明替换成功
注意:此时屏幕上出现安装提示,需要在一定时间内点OK,否则会出现安装失败的提示。
8.png
图8 微信安装提示,点OK

9备份微信数据 输入以下的命令 adb backup com.tencent.mm -f weixin.ab
同时在手机上确认备份数据。
微信的数据以文件名weixin.ab备份在当前目录下。
a.png
图9 备份微信数据
9.png
图10 手机上确认备份数据
b.png
图11 备份结果
11解包微信数据,输入下列命令
java -jar ..\tools\abe-all.jar unpack weixin.ab weixin.tar
在当前目录下生成weixin.tar文件,可以用7zip直接打开并提取其中的数据。
c.png
图12 解析备份的微信数据

d.png
图13 解析后的结果
    12还原微信应用
降级备份完微信数据后,需要还原原手机上的微信应用,这样原手机上的微信才能使用。
输入命令 adb install -r weixin.apk

同图8,需要在手机上确认安装。这样原手机上的微信不用重新登陆,还能正常打开。

0x04 关键步骤总结

1:备份原手机上的微信应用
2:保数据卸载微信应用
3:重启
4:安装降级微信应用
5adb备份数据
6:还原微信应用

回复

使用道具 举报

发表于 2018-2-13 17:54:29 | 显示全部楼层
这种情况下对于系统自带的分身是否有影响,或者能提取出来吗?
回复 支持 反对

使用道具 举报

发表于 2018-2-24 16:20:30 | 显示全部楼层
gaotaoxp 发表于 2018-2-13 17:54
这种情况下对于系统自带的分身是否有影响,或者能提取出来吗?

之前试过一个带有分身版的微信提取,可以提取出来两个微信数据,但是提取过后微信图标只有一个了,另一个分身微信图标删除了,最后直接再次分身,然后点开分身版,发现还能和降级备份提取之前一样,可以登陆进去,所以对于分身的提取没有问题,对于数据也没有影响。不过只遇到过一次,希望能给你提供帮助,建议还是谨慎操作为好。
回复 支持 反对

使用道具 举报

发表于 2018-3-20 21:47:12 | 显示全部楼层
double_to_sun 发表于 2018-2-24 16:20
之前试过一个带有分身版的微信提取,可以提取出来两个微信数据,但是提取过后微信图标只有一个了,另一个 ...

嗯,你这个情况我也遇到过,就是分身图标丢失,数据还在的情况,但是那个好像是6.0之前的版本,7.0的没有试过,你试过7.0的分身吗?
回复 支持 反对

使用道具 举报

发表于 2018-4-2 08:54:07 | 显示全部楼层
gaotaoxp 发表于 2018-3-20 21:47
嗯,你这个情况我也遇到过,就是分身图标丢失,数据还在的情况,但是那个好像是6.0之前的版本,7.0的没有 ...

是的,7.0图标不会消失。
回复 支持 反对

使用道具 举报

发表于 2018-4-8 09:51:30 | 显示全部楼层
double_to_sun 发表于 2018-4-2 08:54
是的,7.0图标不会消失。

ok,有机会试试
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|    

GMT+8, 2018-8-22 15:47

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表