前言

隨著智能手機更新迭代越來越快，手機廠家對手機系統安全性要求也越來越嚴格。系統安全性提高對公民的隱私是一件好事，但是對于取證行業確實一個大難題，手機系統安全性的提高意味著我們能對犯罪嫌疑人手機的提取數據和恢復數據越來越少，本期小編將跟大家操作一下不加密芯片的手機的鏡像方式原理與解析

1. 該方法只適用于高通CPU手機

???高通9008模式全稱「Qualcomm HS-USB QDLoader 9008」，是一種download模式，是最底層的聯機模式。它相對于recovery、fastboot和Android系統是獨立的。

1. 準備工作

???手機對應的原廠線刷包

???安裝QPST工具

以小米5X手機為例

1. 解壓原廠線刷包，找到firehose協議文件，該文件為QPST支持的下載協議

????

注意：一定是得線刷包，卡刷包是沒有這個引導文件的。以小米為例，進小米MIUI官網

隨便找到一款機型，例如小米5X（不加密芯片），這里下載的包是卡刷包，是不帶引導系統的

然后需要找到線刷教程，里面可以下載對應機型的線刷包

將線刷包下載下來解壓，打開壓縮包就能找到小米5X的引導文件啦！

1. 手機進入9008模式，不同手機進入9008模式操作方法不同，大致有以下幾種方法：

1. 手機關機，按住特定組合按鍵
2. 手機拆機，短接特定觸點（小米手機）
3. 使用特制數據線連接電腦進入9008模式
4. 未鎖定BL的手機，可以在開機狀態下，使用adb reboot edl命令進入

小米5X手機可以使用adb reboot edl 進入9008模式，進入成功后，在PC設備管理中，可以看到9008端口，手機顯示為黑屏

1. 打開QFIL

????

點擊Partion Manager 后會彈出確認框，點擊OK后，顯示手機分區情況，下拉到最后選擇userdata分區，右擊usredata分區

由于鏡像存儲默認路勁在C盤，如果C盤空間不足，可以使用MKLINK /D 將保存目錄鏈接到其他盤

最后將鏡像文件掛載在龍信LX-A200軟件進行取證恢復，這個時候我們就能發現鏡像出來的數據恢復會比直連提取的恢復效果要好很多哦

如果智能手機開啟了全盤加密，這種方法獲取的數據也是加密的。不過可以通過QPST工具刷入第三方具有掛載和解密userdata分區的recovery，然后進行數據提取。