物理提取大绝招”Advanced ADB”???

近来手机取证有个极为重大的突破，是由手机取证大厂Cellebrite所率先发表的”Advanced ADB” 物理提取方法，此功能已纳入其取证设备产品UFED 6.1之中。

这个所谓”Advanced ADB”的物理提取方法，可以对付的安卓手机范围之广，听了会令人咋舌。举凡Android 4.3~7.1，及安全性patch版本在2016年11月之前的安卓手机，皆在其取证范围之内，无一幸免，号称可以对付超过95%的安卓手机，这听起来实在是太神太强大了。

以下这是Cellebrite在官网对于”Advanced ADB”的相关说明，还有一个很炫的视频可以让你见识一下它的强大威力。

http://blog.cellebrite.com/blog/tag/advanced-adb/

简单为各位说明一下，”Advanced ADB”是透过UFED 取证设备将一个提取App(Extraction App)送进手机之后，运行该工具程序，便可进行镜像至External SD Card。那要是这手机不支持SD Card呢？只要断开UFED与手机的连接，再将准备好的U盘透过OTG线接上手机。运行该提取App，将手机内部存储镜像至U盘之中，便大功告成。

很厉害吧~只要能进行镜像，那就可以尽情使用各种分析工具去提取出各项迹证。至于存放镜像的U盘，据了解其文件系统必须是FAT32、vFAT、exFAT其中一种才行。

最后我们回归理性，来客观讨论这超过95%的狙杀率背后的真相，说说这”Advanced ADB”可能遭遇的问题，首先值得留意的是，它仍是带有”前提”的，如下图所示，各位看倌看出端倪没，是的，一方面要启用USB Debugging，取证设备才能对该手机搭桥建立管道，再则，也须在手机屏幕上点击操作。

好了，这不就是了嘛，还是老问题嘛，当面对一支未启用USB Debugging又带有屏幕锁的手机，还不是得先设法解除那些关卡才行的。

最后，依小弟的浅见，若是遇到默认已启用全机加密（FDE）的手机，在屏幕锁尚未解除的情况下，即便能顺利进行镜像，理论上应该也是数据遭到加密保护的情况才是，如此一来也等于是没辄的。当然了，若是能破解全机加密，那又是另外一个故事了。