Android手机与计算机间的”信任关系”

在iDevices(如iPhone、iPad等等)的取证方面，那个代表”信任关系”的plist无疑是最为关键的迹证，只要有了它，哪怕是最新机型的iDevice及最新版的iOS，且有着指纹保护或passcode保护，取证人员都能利用这plist在取证工作站上建立与犯嫌的iDevices间的”信任关系”，接着便可顺利进行iDevice的提取了。

那在Android手机上有无上述iPhone取证上如此关键的迹证可供利用呢？我们来看看一支Android手机在以USB线连入计算机时会产生何种迹证。在Android 4.2之后加入了一个新的安全特性，亦即下图左上角所示，在手机屏幕上会弹出一个要求”允许USB侦错”的窗口，此时会随机生成手机与计算机间的认证token，若未进行确认，即使你有在计算机上装妥该手机的驱动程序，也无法对该手机下达任何ADB指令，这是因为它们之间的”信任关系”尚未建立之故。当然了，若在屏幕有图形锁或密码保护的情况下，你也是无法顺利进到手机桌面去点击”允许USB侦错”的窗口。

我们先简化情境，先撇开图形锁或密码保护不论，在手机桌面点击确认允许USB侦错后，看看计算机上有无任何线索，如下图右上角所示，在个人profile的文件夹中产生了一个.android的文件夹，里头出现了一组认证时所生成的public key及private key。同样的，我们连入手机查找有无相关的key存在，如下图下方所示，在/data/misc/adb路径下有个名为adb_keys的档案，检视内容即可看到认证的key储存在此。

那要如何对付有着图形锁或是密码保护的Android手机呢？也许有人会说那就把从犯嫌计算机上找到的那组key搬到取证工作站上，就可以顺利建立与该手机的”信任关系”以进行提取，可惜不然，因为当你把该手机接入取证工作站时，该手机会再随机生成一组认证token，而非使用先前用过的，因此即使你把曾经已进行确认过允许USB侦错的计算机上的key拿来利用，仍无法骗过该手机以绕过信任关系验证。

那在Android设备的取证上是否即因此而无法顺利进行了呢？其实不然，我们还有其它方式可绕过此验证要求。而另一方面，在iOS上目前仍未改变信任关系plist的机制，取证人员在面对一支有个指纹或passcode保护的iDevice时，可留意嫌犯使用的工作站或Mac，也许能找到信任关系的plist，再利用此plist进行取证。