安卓设备取证

以手机为代表的移动智能终端设备的数据取证，我们往往都在谈及一些数据提取技巧；剖析技术以及详细的分析方法，然而这些数据追本逐末而于无形，承载这些数据自己的究竟是存储，现在主流的存储器分为闪存储和磁存储，磁存储主要应用于硬盘和磁带，因为其速度和密度相对来说没有太大的潜力，而其未便携性也受到应用场景的限制，技术局限性高，应用规模逐渐变窄，可是单元价钱低，适用于低速大容量的存储场景，而闪存有着优势的生长潜能：速度快，密度高，重量轻，耗能小等等。我们所用的智能设备的存储器都是以闪存为主，尤其是手机，手机在近几年一直都是科技应用的最前沿。

手机存储器履历了数代的生长

一. NorFlash存储器

容量从4M--32M，擦写速度至今看来已经让人无可忍受，其时应用在功效机/老人机/山寨机，现在智能手机已经很少用这种存储了，可是这种存储也有着寿命长，耐高温等特点，被使用在一些对存储容量和速度不太敏感的一些设备当中，好比较低端的家用路由。

二.NandFlsh存储器

容量从64M--1G，是早期智能手机所接纳的存储器（部门安卓1.X-2.X机械接纳，安卓4.X由于系统的逐渐庞大，已经满足不了系统的存储需求，就很少有厂商接纳此种存储器了）。小容量的NandFlash因其存储单元可擦写次数要远远凌驾其他类型的存储设备，可靠性更强，往往被应用于一些对容量和速度要求不是很高的工业设备当中。

三. emmc存储器

容量从4G-256G，是现在主流的安卓智能手机所接纳的存储器，从其封装角度分为EMMC和EMCP（emcp其实就是emmc存储模块和ddr运存模块封装到一起，外寓目来就是一个芯片模块）

安卓手机大致的硬件结构包罗了：CPU；DDR；存储器；电源；屏幕；无线。其中电源包罗了电池和供电转换芯片等，无线包罗了wifi，蓝牙，GPS，2G/3G/4G/5G信号（大多数cpu集成基带这里仅仅是信号功放），NFC等等。每一个部件作为一个集成模块都要在手机主板上设计出对应的布线和接口，所以只有越少的手机部件对于手机生产商来说越能够降低手机设计开举事度，以及降级生产成本。

这时候接纳DDR和emmc封装到一个模块里的emcp成为了降低手机制造成本和难度的一大利器，许多手机生产商的中低端手机都市优先接纳emcp存储。手机DDR也像CPU一样一代一代的生长，LPDDR2;LPDDR3;LPDDR4;每一代的性能较前一代都有很大提升，而每一代ddr的接口差别也就造成了差别代的DDR和差别代的emmc封装到一起的话就会接纳差别的接口，凭据接口脚位差别又分为EMCP 162; EMCP 221; EMCP254; EMCP529；其中EMCP162已经被淘汰使用，EMCP529现在仅在三星note4这类机型中有使用；主流的emcp集中在221脚和254脚（没有集成ddr的emmc封装一般是153脚，另有一种emmc100脚的封装，应用于工业设备和智能汽车。另有 一种BGA136 应用于智能手表）

EMCP221

EMCP254

EMMC153

EMCP529

emmc存储凭据协议又分为如下几种：

eMMC 4.4--读取速度最高104MB/s

eMMC 4.5--读取速度最高200MB/s

eMMC 5.0--读取速度最高400MB/s

eMMC 5.1--读取速度最高600MB/s（现在最新，速度最快的emmc）

三.UFS存储

速度再快的emmc也比不外速度更快的UFS存储,UFS存储是最新一代的存储类型，最早应用UFS存储的手机是三星的S6系列，接纳BGA95脚封装，容量32G-128G，最新的UFS容量128G-512G。

由于现在UFS的成本价钱和EMMC相差无几，只要CPU支持UFS存储，那么手机制造商更倾向于使用UFS存储器，因为同等成本下，UFS会使得手机速度更快，华为从海思960平台开始使用UFS存储器，海思970平台；海思980平台，海思810平台险些全线使用UFS存储，oppo R17,FIND X开始使用UFS存储，中端主力千元机型A9 A9X A11普遍使用UFS存储，VIVO xplay6开始使用UFS存储，X23,X27主力机型接纳UFS存储，中端主力千元机型S1接纳UFS存储。UFS存储很快将成为主流。

四.针对EMMC/UFS主流存储器给取证带来什么难题和契机

1.emmc/UFS都属于通用型存储器，存储器芯片自己自带控制器，emmc可以明白为E-mmc，是隶属于MMC协议，而MMC协议又是SD协议的一个子协议，所以emmc其实可以认为就是SD的一个子协议，通过SD卡协议即可举行联机通讯读写:

通过寻找主板毗连emmc存储器的界说点毗连读卡器举行读写

通过转接板将emmc转成SD卡接口用读卡器举行读写

2.现在智能手机的硬件质量都比力好，厂商的品控做的都比力到位，为了进一步降低故障率，厂商对生产的手机举行了防水设计和处置惩罚，其中一种措施就是对主要部件举行固胶防水，什么是固胶防水呢？其实就是在芯片和主板中间注入一种绝缘防水的固体胶，这种胶在一段时间后会举行自我硬化，彻底把BGA的锡球和空气隔离，纵然主板有水汽进入也不会对BGA锡球发生腐蚀和氧化，这样厂商对因侵液导致损坏的主板，只要更换成本低廉的小部件即可修复，成本昂贵的CPU，存储器，电源芯片，基带芯片等都被固胶很好的掩护着。

正是由于上述原因，在取证历程中，如果要用到chip off（摘取存储芯片）技术手段的时候，固胶将成为一浩劫题。

在对芯片加热举行chip off的同时，固胶不会融化，导致芯片锡球到达熔点已经融化可是依然无法正常摘取芯片（固胶的黏着力强于融化的锡）。经由多次实验，发现固胶的一些特性：

白色胶多用于三星品牌机型，白色固胶在150度的温度下开始变软，250度左右开始变黏着，典型机型：三星S6，note5。

玄色胶多用于华为，oppo，vivo，酷派等品牌，玄色胶在150度-200度左右的温度下开始变脆，250度以上开始变软，典型机型：华为mate10；OPPO R17。

蜡黄色胶多用于华为和vivo，质地硬，结构不会随温度变化而变化，典型机型：华为mate20 保时捷；VIVO X27。

芯片锡球的熔点一般为260-280度，可是由于主板的热传导作用，外部温度往往要高于熔点温度才气让芯片和主板的毗连锡球融化。大容量的EMMC/UFS是由多层封装而来，芯片内部硅晶圆层数多达十几层以致几十层，生产同时还要保证芯片厚度不会凌驾尺度，那么封装质料在晶圆上笼罩的厚度就会很薄，导致的效果就是芯片不耐热，温度一高就会挂掉（各层晶圆之间的毗连也是需要焊接的，封装薄会导致芯片内部热传导加速，内部焊接质料被高温融化是导致芯片损坏主要原因之一，老的芯片之所以比力耐热是因为老芯片的内部一般为一层晶圆，外部封装比力厚，加热历程中的热传导较慢，芯片外貌温度在300度左右的时候，内部晶圆温度可能还达不到250度，而新的大容量存储芯片外貌温度在300度左右的时候内部晶圆温度可能已经靠近300度）

针对上述情况，公司团队经由了大量的实物机实验，获得的方法就是，温度控制在能锡球处在融化点上，然后通过杠杆作用将芯片强力翘下，既要保证锡球到达熔点又要保证外部温度不至于过高导致芯片的损坏，因此我们做了许多实验和工具用来解决细节问题。现在一部门机型的解锁都需要举行chip off,我们会继续扩大研究规模和深度，而且已经把UFS/emmc的chip off应用添加进了Rx-unlcoker9000软件当中。