手机取证工作中，侦查员往往对手机的保资料密码破解和数据的恢复效果格外重视。安卓手机存在屏幕密码，我们可以直接清除密码或者利用如MTK、高通等芯片的漏洞进行离线镜像绕过锁屏密码。但是高版本的手机来说，一旦这个手机加密了，我们打出来的镜像是无法解析的。

小编前段时间支持了一个案件，案件手机是金立S10，存在屏幕密码。通过进入手机工程模式知道这个手机是联发科MTK芯片6757，安卓版本7.0。

从网上找到相应的刷机包进行离线刷机，很幸运，成功了。

对于取证人员来说，这是个好消息。我满怀期待的把手机镜像打出来进行解析，要么说人倒霉的时候喝凉水都塞牙，镜像有了，但是我却无法解析，看到这可能大家都猜到了，对！Android 7.0 及更高版本文件加密了！

Android源码编译后的镜像文件：

ramdisk.img是emulator的文件系统

system.img包括了主要的包、库等文件

userdata.img包括了一些用户数据

Android分区：

/data 数据分区存放用户安装的软件以及各种数据

/system 系统分区

/recovery 恢复分区

/cache 缓存缓存临时文件夹

/boot分区 内核分区

/SDCard分区 挂载的SD卡

而由于我打出来的镜像是全盘镜像，注定是无法解析的。看到这可能有些专家肯定会直接指出，为啥不直接打data分区呢？其实我也想啊，但是这个手机比较奇怪，就没有给我选择的余地，系统直接出来的就是全盘。

回过头来看到镜像文件，使用7z解压，发现文件最后边userdata文件，再次满怀惊喜的单独导出来。。。我就知道事情没那没简单。

没错，数据导出提取失败了。

思来想去，和同事沟通后，最后使用adb命令的方法，手机连接电脑，就认准data分区，事实证明，我们的成功了！话不多说，开始上菜。。。

下载BusyBox < - 用于从手机复制和发送数据的实用程序

安装ADB后。连接Android手机（当它打开时）。打开终端/命令行并运行：adb devices

拉取当前文件adb push busybox /data/local/tmp

adb shell连接到手机。我们使用ls 来测试我们是否可以访问受保护的目录。“-rw-rw-rw-”很显然，我们需要额外获取权限。

chmod 777 busybox，修改busybox的权限，变为可执行。

df 我们查看一下data文件在哪里。

找到想要的data文件了，那就导出来吧

提示报错，提前做个adb端口转发：adb forward tcp:7777 tcp:7777 

data可以换成任意目录（如data分区 就是 data），通过tar命令打包，并通过busybox里的nc将数据传输出来。

最终得到了我想要的tar包镜像文件

分析结果：

完美收官！

温馨提示：adb 命令可以多开窗口，但是一定要在同一adb程序下。