使用FBE恢复删除的文件在Android设备上***
问题描述
假设有一部运行Android 10系统的手机,并且该手机使用了基于文件的加密(File-Based Encryption, FBE)。如果在删除某个文件后立即关闭手机以防止文件被覆盖,能否恢复并解密该文件?如果手机运行的是Android 9系统,情况会有所不同吗?
解决方案
方案1 – Android 10系统
关键点
- 每个FBE文件都由不同的随机加密密钥加密,该密钥本身也由闪存中的不同密钥加密存储。
- 即便假设能够完全恢复加密文件的数据和加密文件密钥,仍需解密这些密钥,而这些密钥又依赖于更高层级的密钥。
- 所有密钥都存储在CPU保护的可信执行环境中,因此恢复密钥几乎是不可能的。
操作步骤
- 尝试恢复文件数据:
- 如果手机未重新启动,可以尝试使用数据恢复工具(如Dr.Fone等)尝试恢复被删除的文件。
注意,恢复的数据可能仍然是加密状态,需要进一步处理。
尝试解密文件:
- 如果能够恢复到部分或全部加密文件的数据和密钥,接下来需要解密这些密钥。
- 由于密钥存储在受保护的环境中,解密过程极为复杂且通常不可行。
方案2 – Android 9系统
关键点
- 在Android 9中,FBE的工作原理与Android 10相同,因此上述方法同样适用。
操作步骤
- 尝试恢复文件数据:
类似于Android 10系统,尝试使用数据恢复工具恢复被删除的文件。
尝试解密文件:
- 如果恢复到部分或全部加密文件的数据和密钥,解密过程依然面临相同的挑战。
总结
- 恢复文件:使用数据恢复工具尝试恢复被删除的文件,但这通常只能恢复部分数据且文件可能是加密状态。
- 解密文件:即使恢复到加密文件的数据和密钥,解密过程极其复杂且几乎不可能完成,因为所有密钥都存储在受保护的环境中。
请注意,上述方法仅适用于特定情况下的数据恢复,实际操作中可能需要专业的数据恢复服务或工具。此外,为了防止数据丢失或损坏,建议定期备份重要数据。
正文完