降级提取是手机取证的终极手法之一

近来有学员问及，对于安卓7.0以上版本的证物手机，发现未能顺利取得如LINE、WeChat等重要迹证的相关问题。没错，由于安全性的日益提升，对于Android 7.0以上的未Root手机，如何"取"成了一大难题。毕竟，要取得出才有办法进行分析，而为了达到有效取证，往往必须运用一个以上的设备或工具，并穷尽各种可能的提取模式以达成目的。

对于Android 7.0以上的未Root手机，有些机型可在Bootloader模式下进行提取，或是有支持Smart ADB的话，便可在无屏幕锁定，且允许USB调试的情况下顺利进行提取。而除了前述方法之外，开可以考虑采用的，便是"Downgrade Extraction"，即所谓的 降级取证 的提取方法进行。

下面是效率源公司的Smartphone Forensic System(简称SPF)， 对手机进行提取，如下图左上方红色框住部份所示，可以得知该手机的操作系统版本为Android 7.0，及所采用的提取模式为Downgrade Extraction。接着，便选取要提取的目标App - LINE进行提取，如下图右上方蓝色框住部份所示。

▲