本期想揭露一個自稱“安卓數據恢復專家”的APP——它的恢復手段毫無作用,順便給大家科普一下安卓上數據恢復的真正原理。
這個 App 有多個換皮版本,在不同網站上以中文和英文軟植入的形式進行推廣。
刪除的短信、聯繫人、通話記錄恢復
在安卓系統中,這部分數據並非真正被刪除,而只是被標記爲“已刪除”。
如果你的手機已經 Root,可以嘗試在刪除短信後,在以下路徑中找到相關記錄:
短信數據庫
/data/data/com.android.providers.telephony/databases/mmssms.db
數據庫main -> sms表,deleted=1就是全部刪除的短信
已刪除短信位置
聯繫人數據庫
/data/data/com.android.providers.contacts/databases/contacts2.db
數據庫main -> data表,
刪除標記在raw_contacts,deleted=1爲刪除狀態
這種設計的目的,推測是爲了方便雲同步。
假如雲端有一條短信 A,斷網後在本地刪除了它,如果真進行物理刪除,再次聯網時,雲端是該刪除這條短信,還是重新同步回本地?
因此採用“標記刪除”的方式,雲端讀取到短信 A 狀態變更後,再自動執行抹除操作。
“數據恢復專家”APP 是怎麼做聯繫人恢復的?
我逆向分析了這款 App 的代碼,發現它只是把現有的聯繫人列表重新顯示了一遍,完全沒有恢復已刪除聯繫人的功能。
翻遍代碼後確認,這就是他們所謂的“聯繫人恢復”功能
某數據恢復APP反編譯代碼:恢復聯繫人邏輯
那麼,能不能讀取到已刪除的聯繫人呢?
可以。只需查詢 deleted = 1 的記錄(即已刪除的聯繫人)既可。
我寫了demo在 MIUI14 和 澎湃3 上測試 無Root 可以獲取到已刪數據
澎湃3 成功獲取已刪除聯繫人
相冊、截圖恢復
這款 App 的相冊恢復邏輯更是讓我震驚。它所謂的“圖片恢復”,實際上只有兩個功能:
掃描整個存儲目錄,獲取所有圖片;
提取縮略圖。
在大量 App 中,只要涉及圖片選擇功能,通常都會自動緩存縮略圖,以加快下次加載速度。
因此,無論你怎麼誤刪圖片,只要它曾被某個 App 的圖片選擇器加載過,在使用“數據恢復”App 時,就有很大概率被“找到”。
因爲縮略圖不一定會隨原圖一起被刪除,這取決於 App 自身的實現邏輯。
所以你現在應該明白,爲什麼很多人反映“圖片找到了,但付費恢復後很模糊”了吧?
某數據恢復App反編譯代碼-恢復相冊邏輯
那有沒有安卓數據恢復軟件真的有用?
如果你指的是從應用商店下載一個 App 就能搞定,或者連接電腦但無需 Root 的那種——我可以明確告訴你:沒有。
安卓系統並未開放文件系統底層 API,除了備份之外,幾乎沒有其他方式能實現真正意義上的數據恢復。
帽子叔叔爲什麼能恢復?
能恢復主要涉及以下幾個技術方向(非技術手段暫且不談):漏洞利用、漏洞提權、內存殘留提取、後門、芯片提取。
我用一個漏洞做演示:相冊刪除 → 回收站刪除,仍然可以恢復原圖。
不要問我細節,此漏洞不公開
動圖過大無法上傳,我已將視頻上傳至網盤,感興趣的可以去看(#替換爲.):
wwapb#lanzout#com/iVquo3lq748f 密碼:1122
像下面這種取證設備,就是集漏洞之作,恢復數據是其核心功能之一
某手機取證塔操作檯
那商店裏那些App是什麼套路?
既然純 App 實現相冊恢復本就不可能,那麼這些 App 本質上就是徹頭徹尾的流氓軟件。
它們的協議裏通常都寫着“數字產品不享受 7 天無理由退貨”。你想退款?可以,但必須有理由,而且只能按比例退。
下面是受害者評論截圖,套路基本如下:
收費後先檢查手機是否有備份,有就幫你恢復;
沒有備份?那讓你換個“工程師”,再收一次人工費。
看到了嗎?不需要什麼高深的技術,也不需要昂貴的設備,光靠收人工費就能發家致富。
這僅是一個數據恢復APP的評論
有沒有深層次的恢復方法?
分析到這兒,肯定有同學會問:像電腦那樣繞過文件系統、直接讀取硬盤進行數據恢復的做法,在安卓上可行嗎?
可以,但前提是你的手機擁有 Root 權限——無論通過漏洞提權獲得,還是自己解鎖 BL 刷入。
具體來說,Root 後可以從以下三個方面進行深度恢復:
App 能夠繞過安卓權限限制,直接對底層文件系統進行掃描和操作,原理與 PC 硬盤數據恢復類似;
App 能夠掃描所有程序的私有目錄,獲取更多圖片資源;
對本地 SQLite 數據庫進行數據恢復(詳見文末論文)。
省流總結
某些“數據恢復專家”App 純屬忽悠——所謂的“恢復”,不過是把相冊裏的縮略圖或回收站內容重新翻出來,以及檢查一下你的手機雲備份和本地備份,根本談不上真正恢復。
安卓系統本身不支持無 Root 情況下的深度數據恢復——文件系統底層 API 未開放,不 Root 就別指望靠一個 App 搞定。
真正能恢復數據的,靠的是漏洞、提權、內存殘留、芯片提取等專業手段,但有幾個APP能做到這麼深的層次?
這些 App 的盈利模式就是“人工費”——會員先收一筆,找不到推薦人工,再收一筆,人工查不到備份,推薦再換一個工程師,再收一筆,像極了殺豬盤。
想深度恢復?前提是 Root——之後才能繞過權限,對底層文件系統和 SQLite 數據庫進行掃描和恢復。
一句話:商店裏的數據恢復 App,要慎用
參考資料(#替換爲.)
信息安全學報-新型智能終端取證技術研究 3.4節點中關於以前的安卓sqlite恢復原理、4.2節的恢復案例(這是2016年的研究論文,技術已過時,僅作爲早期sqlite的恢復原理學習)
jcs#iie#ac#cn/ch/reader/view_abstract.aspx?file_no=20160304&flag=1
基於SQLite3的Android手機數據恢復技術研究
d#wanfangdata#com#cn/periodical/dnzsyjs-itrzyksb201927003
F2FS文件系統數據恢復原理及(F2FS是現代安卓重要的文件系統)
github#com/RiweiPan/F2FS-NOTES/blob/master/F2FS-Data-Recovery/數據恢復的原理以及方式.md
Advanced forensic recovery of deleted file data in F2FS
www#sciencedirect#com/science/article/pii/S2666281725001155
android developer-Contacts Provider API
developer.android.google.cn/identity/providers/contacts-provider
鳴謝
感謝@聰明的sb 協助測試,回收站刪除-恢復漏洞在澎湃3上依然存在
更多遊戲資訊請關註:電玩幫遊戲資訊專區
電玩幫圖文攻略 www.vgover.com
