你被叔叔按头那一刻扔手机删APP有用吗？

很多人嘴巴硬的时候就说，我要是被按头了，绝对怎么怎么样，手机一扔，抗拒从严，回家过年，扛得住叔叔的一切手段。

有这个想法的，还是太天真了，时代已经变了，数据，比你自己还清楚你做了什么，更有很多粉丝咨询我因为被叔叔传唤，去的时候把聊天记录、app什么都删除了，我告诉你叔叔根本不屑对你使用大记忆恢复术就知道你干了什么！！！

我给各位的建议是：出了问题被按头，直接实话实说，毕竟检察院起诉书建议量刑的时候还能打一句：如实供述犯罪事实，系坦白，可以从轻处罚！！！

经常踩缝纫机的小伙伴们都知道，如今互联网技术那是突飞猛进，智能手机早就成了咱工作生活里离不了的工具，也正因如此，咱的手机里存了海量的数据，从生活习惯到兴趣爱好，甚至一天的行踪，分析分析手机数据，全都能给扒拉出来，在不少案子里，智能手机成了常见的检材，法务这块儿，对它的取证分析那可是重点关注。

经常踩缝纫机的小伙伴们都知道洛卡德物质交换原理，物质一接触就会有东西转移留下痕迹，这智能手机取证也是一个道理，就算流程看着再正常，也会留下操作的小尾巴 。

在智能手机的日志和配置文件中，存储着大量有价值的数据，你以为你删干净了。其实叔叔对这些数据进行分析，就能够了解检材的使用情况以及你所有的的相关信息。

Android 设备的 Dumpsys

dumpsys 是 Android 系统中的一个工具，主要功能是打印出当前系统的一些信息，比如 activity、package 等，它是分析设备问题、查看运行状态和使用情况的有效工具。可在 shell 下直接输入 dumpsys 指令，但返回数据量较大。因此在实际使用中，可将指令返回结果输入到一个文件中，以便于文件的传输与分析 。

当你被按头的时候，在叔叔摆弄手机的那些时间里，技术叔叔会发现一个挺有意思的玩意儿 ——dumpsys 指令，一开始，叔叔就会直接用了这个指令，好家伙，手机里正在跑着的所有服务信息，就跟开闸放水似的全打印出来了，密密麻麻的，看得你自己眼睛都花了。

后来你才知道，这玩意儿还能更精准地用， adb.exe shell dumpsys -l 这个指令，能把当前系统里运行的所有服务都给揪出来，清清楚楚地摆在你面前。这就好比你以前收币，一开始是一股脑地收，后来学会了分类筛选，只挑自己想要的，方便又实用。

如果你手机连过了WIFI，就可以直接用若要收集与 WiFi 相关的信息，可直接使用指令 “adb.exe shell dumpsys wifi” ，你连过所有的wifi信息都会被知道。

Android 设备的 Logcat

Logcat 是 Android 系统中的命令行工具，主要用于开发过程中对设备进行调试，借助它能够获取应用的日志信息。使用时，可直接输入指令 “adb.exe shell logcat” 。

这就是日志记录，可以使用不同的记录类进行保存，叔叔在查询日志时可以根据实际的需求选择不同的类进行查看。

Logcat 指令会打印出大量数据内容，这些内容依据类型不同，被存放在不同的缓冲区。在使用 Logcat 获取数据时，可以按照数据所在的缓冲区来单独获取。要是没有指定缓冲区，那么默认输出的是 system 和 main 缓冲区的内容。

各缓冲区具体输出内容如下：

Radio：输出通信系统的 log；

System：输出系统组件的 log；

Event：输出 event 模块 log；

Main：输出所有 java 层的 log，以及不属于上述三层的 log。

Android 设备的 Bugreport

Bugreport 是专门为系统开发和 App 开发设计的工具，它包含设备日志、诊断信息以及堆栈轨迹。这些内容能帮助开发者查找和修复应用中的错误。对于叔叔取证工作来说，Bugreport 也蕴含着大量有价值的信息 。

经常踩缝纫机的小伙伴就说了，我左手三星右手苹果，无敌之人。

多数三星设备支持 SysDump 模式，使用该模式需先解锁手机并进入桌面，在此模式下，叔叔无需完整文件系统权限，就能获取通常难以获取的日志文件。SysDump 是手机自带的应用程序，若手机有扩展卡，日志数据会复制到存储卡中；若没有，则复制到内部存储的根目录下名为 “log” 的文件夹。

所以，无论日志数据存储在哪，叔叔也可以在没有 Root 权限的情况下，也能用 MTP 或 ADB 指令获取日志文件。

获取日志的方法是在拨号界面输入 “*#9900#” 进入 SysDump 模式（如图 14 所示），接着点击 “Copy to sdcard（include CP Ramdump）”，数分钟内即可完成日志获取并收到提示。

iOS 设备的联机行为

在对 iOS 设备进行数据固定之前，需先用数据线连接手机和计算机，然后在手机上点击 “信任此电脑”，成功验证锁屏密码后，就能完成取证前的联机操作。

iOS 设备也支持接入 iFlash Device 外置存储设备，用户可借助它将数据存储到外置存储设备中。

别说那些敏感信息了，就像输入密码解锁屏幕、按锁屏键锁定屏幕等这些操作都会在手机上留下痕迹，从日志中能够看出，当前屏幕处于输入密码后解锁，并已进入系统桌面的状态 。

所以，你被按头的时候，立刻锁屏扔掉手机，都知道你做了什么操作。

点亮屏幕和息屏的操作在日志文件中也有记录，该日志文件位于 /data/log/lss_log 。其中 “unlockUser finished” 表示解锁完成，而且日志文件中带有时间戳信息，据此能够判断出具体在何时进行了解锁或息屏操作。

iOS 设备的解锁状态可从 Unified Logs 中获取，在控制台程序里搜索进程 “chronod”、信息 “Transition”，其中，“BioUnlock” 指的是通过面容 ID 或触控 ID 来解锁设备，这些东西叔叔都知道。

通过分析历史数据，能知晓你在某个时刻用手机进行的活动，打开了什么APP，使用历史详细记录了应用程序的使用情况，且这些历史数据按日、星期、月甚至年记录，因此，对这部分数据进行分析，有可能了解到手机在很长一段时间内的使用状况。

整理起来就是，你在什么时候打开了什么APP，屏幕使用时长这些综合数据都能知道。

Android 设备的最近任务快照功能会自动截屏当前屏幕，并将截图保存在设备的 /data/system_ce/ 目录下。访问该目录需先获得 Root 权限，从这个目录中能获取设备在一段时间内使用过的应用及其界面截图。

在任务快照里，每个任务都有对应的任务 ID，系统会为每个任务创建一张以任务 ID 命名的截图和一个同名的 XML 文件。截图文件存放在 /data/system_ce/0/snapshots/，记录的是当前操作界面。

很多人说用苹果啊，其实iOS 的应用程序快照功能适用于本地应用和第三方应用，当出现应用程序切换至后台、设备锁定、应用切换、应用中断等情况时，系统会自动截屏保存，但部分应用程序不允许被截屏，在 iOS 11 及之后的操作系统版本中，快照文件为.ktx 格式，可在 macOS 环境下查看；而在 iOS 10 及之前的操作系统版本中，截图文件则是.png 格式。

在 iOS 设备上，已安装应用程序的信息可从 applicationState.db 数据库文件中获取，该文件位于 /var/mobile/Library/FrontBoard/ 目录。数据库记录了应用程序的包名和 id 编号，例如 id 为 128 对应的包名是 com.tencent .xin。若要查看某个应用程序的安装信息，需先依据包名确定其对应的 id。

iOS 设备上的应用程序存储在以 UUID 命名的目录里。因此，在进行手工分析之前，需要先找到对应的应用数据存储目录，而这一信息可从相关数据库中获取。否则，就只能逐个查看每个目录下的

com .apple.mobile_container_manager.metadata.plist 文件，才能确定应用程序的包名。

​Android手机上的应用商店或许会对应用程序的卸载情况进行跟踪，小米应用商店的数据库文件market_2.db，存于/data/data/com.xiaomi.market/databases/ 目录下，其中package_remove_histroy表记录了被卸载应用程序的包名和卸载时间。

iOS设备上应用程序的卸载行为相关信息，可以通过位于/private/var/installd/Library/Logs/MobileInstallation/ 目录下的mobile_installation.log.0|1安装日志进行分析得出。

所以不要抱有侥幸心理，洛卡德交换原理在电子数据领域依然适用，在智能手机取证方面体现得尤为明显，智能手机中的日志蕴含大量痕迹信息，对手机数据分析至关重要。然而，由于其格式复杂、种类繁多，难以被自动化分析工具处理，这就凸显了手工分析的重要性。

但是如果你真的被叔叔上了这种手段，那么先枪毙后判刑，都不带冤枉的。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。