使用signal-back获取Android Signal数据逻辑转储
我收到很多人要求提供这个过程的详细说明,所以决定将其作为本周的博客内容。这不是一个特别技术性的过程,我也首先承认它不遵循严格的取证基本原则。我认识到这一点并同意!这种方法绝对是在Android设备上最后采取的措施之一——在你完成了所有其他获取技术之后——包括可能拍摄屏幕照片。你还应考虑直接操作设备的任何潜在后果,并愿意在以后说明这一点,否则不要这样做!
随着技术的发展,我们作为取证检查员被迫慢慢做出让步,获取原始未更改数据集的难度增加了,就像使用写保护的机械硬盘那样。只要你遵循了合理的取证流程,并在不做任何更改的情况下获取了尽可能多的数据,我认为具备这种能力是很好的——能够以这种方式导出Signal数据——考虑到时间并不总是充裕,消息数据可能不可预测地非常庞大。我们都有过必须一张一张拍摄屏幕照片的经历,说实话——这很糟糕。更糟糕的是,从屏幕照片获得的数据通常不太精确……也许时间被四舍五入到最近的分钟,相对于查看时的时刻,或者根本不可见。
免责声明说够了,我们从哪里开始?
首先,取出设备中的任何SD卡,将其放入袋子中或用胶带贴在带有标签的东西上,然后放在一边。找一张空白的SD卡。我们将使用这张临时SD卡在备份数据准备好后传输出去。我通常等到备份创建后再插入SD卡。
在设备上打开Signal应用程序。通过主屏幕右上角的"…“按钮进入设置。在这里找到"聊天和媒体"并点击。
在下一个屏幕上,点击滑块开关启用聊天备份。如果已经启用,请先关闭再重新打开。每次都会生成一个新密码。注意:你可能希望在完成提取后将其关闭。
启用滑块开关将触发一个带有数字密码的对话框。密码是从左到右、逐行读取的,就像中间没有空格一样。勾选复选框。强烈建议拍照而不是写下来。
程序运行后,原始屏幕将更新为新的最后备份日期。返回主屏幕并找到文件管理器应用程序。在设备根目录(不是SD卡)上,找到名为Signal的文件夹。除了你新生成的备份外,它将是空的。现在放入你的空白SD卡。假设一切顺利并且它被挂载,长按Signal文件夹,然后从上下文菜单中选择"移动到”。
我通常选择将其移动到空白SD卡上,这样它就不会留在设备上。将其传输到你的检查机器并复制出来。如果你用十六进制查看它,你会看到你期望看到的东西——一个加密的容器文件。
现在我们需要使用signal-back。这个应用程序是用Go编写的,并且是开源的,但已经被方便地打包成一个可执行文件,你可以从它的Github页面xeals/signal-back下载。我将这个可执行文件放在我的PATH环境变量中的一个文件夹中,但如果你喜欢,可以将其复制到案例文件夹中。命令语法是:
|
|
之后,系统将提示你输入密码,该密码不会回显到屏幕。如果你收到长错误或任何与解析错误有关的内容,可能是密码问题——请重试。或者,如果一切成功,你现在有一个与SMS备份和还原兼容的XML文件。
将这些数据放入兼容的工具中,瞧!Signal数据!最后一点,XML中没有联系人姓名。我不知道Signal备份数据库是否包含它,但我处理这个问题的方法是使用取证工具导出所有本机联系人,并根据电话号码将其应用到XML。你也可以手动完成此操作。