我们在取证方向上，所研究使用的数据提取技术有一部分都是利用安卓系统本身的系统漏洞实现的，不过随着手机系统版本更新对漏洞进行修补，新的版本无法再利用那些漏洞进行我们的取证工作，如果现有系统版本能够进行“回滚”变成之前“拥有相关漏洞”的版本的话，那就又可以利用相关的漏洞进行工作了。今天我们聊一下，对系统进行“降级回滚”对于目前取证工作的意义。这里我们分享一个典型案例：一部涉案oppo R9S，嫌疑人在察觉自己的犯罪事实已经被执法机关察觉情况下，尝试通过删除手机数据毁灭犯罪证据，并且用过外力将涉案手机进行损毁。对涉案的R9S进行硬件修复后发现手机可以开机但是不能正常进入系统，因该机型用户区加密，所以常规的提取镜像方式(包括chip off)都不能有效的提取到有用数据，根据以往经验，办案人员尝试进入recovery模式成功(recovery模式下可以通过固件升级功能查看userdata目录是否完好)，经检测用户区完好，接下来就想办法对目前无法正常进入系统的手机进行进一步的数据提取。针对上述情况，官方recovery模式可以正常进入也能通过官方recovery查看到用户区的数据目录说明手机主要硬件部分并未受到极大的损坏，至于为什么会进不到系统里暂时无法判断具体原因。经过尝试，手机可以顺利进入到9008模式，通过9008分区文件管理获取手机boot分区，进行解包后获得当前手机的版本：安卓7.0/安全补丁版本2018年4月。(oppo R9S 2016年7月之前的版本拥有签名漏洞，可以在第三方recovery上进行虚拟签名使第三方recovery在没有解锁bootloader的手机上启动用于获取数据，2016年7月份 oppo就把上述漏洞进行的封堵，当时我们研究发现，此漏洞是因为bootloader导致，通过将原机的bootloader降级到2016年6月份的即可，签名漏洞就会再次显现。2016年11月份的更新版本的时候，oppo再次封堵了相关漏洞，仅仅通过降级bootloader不能再起作用。一直这部2018年4月份的版本)   利用签名漏洞依然是解决这部R9S的主要中心思想，如何让签名漏洞暴漏加以利用使第三方recovery启动来提取数据。安全起见，找一部同版本的R9S，进行测试，对二十多个分区逐一进行降级测试，最终总结如下经验：除了system和userdata之外全部降级，能够爆出签名漏洞。通过官方刷机工具进行降级系统(我们用的2016年10月份的版本固件进行降级，因为这个版本还需要降级bootoader，所以可以在刷入的同时将aboot替换成2016年6月份的版本aboot文件，将recovery替换成拥有ROOT权限的TWRPrecovery，这样只需要刷机一次即可)然后利用签名漏洞刷入TWRP recovery并且进入TWRP：此时就可以用任何的取证工具进行镜像和提取本以为针对这部R9S的提取工作已经结束，又接到办案单位反馈的实际情况：部分非常见app无法进行解析，需要再进一步尝试修复手机进入系统。没有找到2018年4月份以后的固件版本，仅找到了2018年3月的版本，通过固件升级的方式进行尝试(USERDATA剔除不刷，其他分区全部刷入2018年3月份的版本)，开机缓慢(将近3分钟才进入系统)，也算是达成目的(由于升级后便不再有签名漏洞，刷入的TWRPrecovery将会被还原成官方版本，之前在TWRPrecovery下发现有开机密码文件，已经通过屏蔽方式让开机密码失效。)因涉案数据保密性，此图为配图并非当时涉案手机当然，手机系统降级(组件降级)提取在实战当中有很多应用案例：坚果pro2降级bootloader获取签名漏洞提取数据华为P9 降级bootloader获取解锁码解锁bootoader小米MAX2 降级bootloader解锁bootloader三星G9200降级SYSTEM 获取ENG漏洞VIVO X9降级system 获取system权限漏洞案例不再一一细说，综合来说，降级的目的是要让当前系统通过降级暴漏出低版本当中存在的某些漏洞(系统漏洞/逻辑漏洞)，能够被用来进行数据提取/解锁等方向。转自：河北阮咸科技有限公司