来源:盘石软件PANSAFE(ID:Pansafe)
原创:母东升
TWRP(TeamWin Recovery Project)是国外Android爱好者开发的一款Recovery工具,该工具功能强大,不但支持触屏操作、安装、备份、恢复和清空数据等功能,还能在刷机失败手机变砖的情况下刷回官方系统。TWRP兼容各个手机品牌及最新的Android 8.0系统(支持部分手机型号),参考网站:https://twrp.me/,如图1:
图1
通常我们在刷TWRP前,部分手机需要先解锁(BL锁),部分手机刷Recovery包时会增加root权限。三星常用的刷机工具为Odin,通过Odin即可刷入Recovery包,具体如何操作本文不做赘述。三星不同型号所对应的刷机包也不同,如图2:
图2
利用第三方工具刷机后,部分手机可能出现无法正常进入系统,刷入TWRP后可在该界面下对手机数据进行备份,此时我们需要插入空白存储卡(部分手机不支持外置存储卡,数据无法导出),如图3:
图3
三星手机在TWRP模式下备份数据具体路径描述,如图4;
图4
备份数据时,TWRP模式下默认对该手机数据进行分片,如图5:
图5
备份数据导出后,我们需要对“data.ext4.win000、data.ext4.win001、data.ext4.win0002”三个分片文件进行合并。首先将备份保存至本地磁盘中, 如C:\Users\Administrator\Desktop\TWRP\BACKUPS\1115fb9d0b893e03\2017-11-12--22-07-39_G928PZCU2BPL2.AURORA.MMB29K,打开CMD命令行窗口,定位到该备份所在目录,如图6:
图6
然后进行数据合并,在CMD窗口中输入合并命令:
type data.ext4.win000data.ext4.win001 data.ext4.win002 > data.ext4.win,如图7:
图7
合并后生成data.ect4.win文件,总容量为4.08GB,如图8:
图8
不同手机备份的扩展名不一样(如.backup,.tar等),小编手上这部三星S6 Edge备份出来的.win文件先后使用各种解压缩软件都无法解压,如图9:
图9
在各种解压失败后,小编尝试使用FTK imager加载data.ext4.win文件,突然惊喜的发现不仅能直观的看到里面的data数据目录,还能对该目录文件进行导出,如图10:
图10
最后,使用盘石手机取证黄蜂对导出的data目录进行应用分析,提取到相关数据,如图11:
图11
TWRP工具解决了部分高版本安卓手机不具备自备份功能、镜像又加密、无法提取数据的问题,同时加强了自带root功能,关闭了boot校验(修改system后关闭boot verify,否则会无法进入系统)。通过TWRP备份将手机各分区数据备份成文件形式导出到外置存储卡,这些数据不但可以用于数据还原,而且还能在特定案件的手机取证中能发挥作用。
Copyright © 三星三星手机价格联盟@2017