目前从事手机取证工作人员越来越多，手机取证方式及方法也不断推陈出新，笔者根据自身多年手机提取经验整理以下提取思路及部分解决方法，提供各位刚接触此项工作人员及各位专业人员参考讨论，不足之处敬请谅解。

一、看系统版本

1.安卓5.0以下

基本都可以提取，可以直接先尝试提取，如提取失败，考虑root，安卓5.0以下随便root(360root、Kingo Root、刷机精灵等)基本上不会导致数据丢失。

如失败或部分山寨机可以考虑手动root，根据手机芯片型号下载相应刷机包及软件刷recovery（如三星的odin、 MTK-Flashtool、高通QPST（Qualcomm Product SupportTools）工具等），需要注意MTK芯片引导文件可能需要寻找多个进行测试。

2.安卓5.0以上

尝试直接提取，如失败考虑使用以下根据品牌型号处理方法。

备注：安卓安装APK包时提示需输入密码，可考虑手动将备份包拷如手机目录手动安装。

二、看手机品牌型号

1.OPPO、VIVO、华为等

低版本采取本地备份的办法（本地空间不足考虑使用插入TF或OTG接口U盘备份、备份至电脑端进行备份），然后 使用各家取证软件对手机备份文件进行解析读取。

华为手机高版本也可以采取备份到电脑端方式备份，VIVO/OPPO手机高版本一般使用WIFI互传、一键换机的方式解决无法备份问题。

2.三星

可以使用睿海或平航软件大部分机器均可以使用逻辑镜像或物理镜像提取。

注：安卓手机也可以采取对APP降版本的方式进行提取相关数据，但需要注意安卓版本（安卓8.0以下降级一般较低丢失数据风险，安卓8.0以上版本均有一定丢失数据风险，建议先通版本测试后再进行降级提取），无论何种版本将版本提取务必需先对数据进行完整备份！

3.苹果

苹果手机必须知道密码，都是备份提取，除极少版本以外基本上不会出现提取失败情况，注意需要如使用iTunes备份到电脑端并解析时需记得或取消备份密码，如需恢复内容较多或需分析数据较多建议联系磐石实验室对手机进行完整镜像后分析恢复有较好效果。

注意：IOS11以后版本备份密码可以通过重置所有设置清楚备份密码，但同时会擦除WIFI密码、备份密码、网站历史记录等重要数据。

4.其它

直接提取或备份提取，如无法提取可尝试根据芯片型号进行root。

三、看芯片版本

MTK、高通芯片均可考虑下载使用对应刷机工具进行刷包操作（如有BL锁、需先解开）。

华为海思麒麟芯片部分型号可以使用原厂工具进行保资料强行刷包操作、且无需解锁BL。

四、密码绕过及root权限获取/镜像

1.iPhone手机

低版本：如设备在电脑端登录过，可以使用电脑端文件替换方式对手机信任进行欺骗信任绕过，部分版本也可通过密码暴力破解的办法进行绕过。

高版本：

（1）目前最新版本可以使用Checkra1n越狱工具利用苹果Checkm8漏洞进行部分数据提取。

（2）联系以色列Cellebrite对手机进行破解，存在费用较高且需检材需送至新加坡分公司解锁。

（3）如有电脑端iTunes备份且加密可联系盘古取证拿到备份密码。

2.安卓手机

大部分安卓手机如BL锁（BootLoader锁）处于锁定状态，则需要先进入系统解锁后方能刷入recovery包以获取root权限，现在虽然大部分厂商已不提供自主解锁路径，但可以考虑使用某宝购买解锁码或协助解锁途径。

也有部分手机可以使用进入MTK或9008漏洞进行密码绕过或进行完整镜像或获取root权限。

部分华为海思麒麟芯片手机可以使用漏洞对密码进行暴力破解。

近期，深圳市云帆赢通信息技术有限公司针对部分安卓机型及版本，增加了免拆机、免Root与镜像获取功能，对恢复数据有很大的帮助，需要的司法取证工作人员可以与其联系，确认具体适配机型、版本（也可以通过本号协助联系）。

进入MTK或9008模式方法及注意事项：

（1）有些手机关机后按住特定组合键然后连接数据线至PC端可进入、此方法进入时部分机型可能需要特定时间快速拔插接入（此类情况在MTK机型较为多见）；

（2）部分机型需拆机后进行短接进入，具体机型短接点及进入方法可以上网搜索参考、另需注意部分机器短接点被海绵或粘胶塑料进行覆盖，需撕开覆盖物；另部分机型短接点位于主板屏幕下方，短接时需要拆下主板或屏幕并保持排线正常连接；

（3）部分手机可以使用短接线或工程线连接至PC端后进入；

（4）对于未锁BL的手机还可以使用命令adbreboot edl或 fastboot oem edl（注：可能出现adb reboot edl 进入9061的情况、具体可以查看设备管理器设备是否为9008）。

以上方法及思路，仅为常见情况下一般解决思路，因手机提取存在型号、芯片型号繁杂情况，如遇到具体提取情况还需根据实际情况分析后采取对应解决方式进行处理，如手动分析解析包，通过抓包解析数据等情况受篇幅原因就不一一介绍，如有兴趣可以上网搜索相关资料，感谢各位提出意见或建议。

（作者单位：昆明市公安局五华分局网络安全保卫大队）