手机删除痕迹取证 - Wiki 文档

用户删除数据、隐藏应用、加密文件或使用私密空间，并不意味着痕迹完全消失。手机系统和应用为了提升性能、同步数据、显示缩略图、维持会话和记录状态，常常会留下大量残留。

在取证比赛中，“删除了什么”“隐藏了什么”“加密文件密码在哪里”“私密空间里有什么”经常是高分题。分析这类问题，需要从文件系统、数据库、缓存、缩略图、备份和日志多个角度展开。

一、删除数据不等于消失

删除后可能残留在：

数据库 WAL 文件
SQLite 空闲页
应用缓存
缩略图
系统最近删除
云端回收站
聊天附件目录
通知记录
搜索索引
备份文件
日志文件

因此，如果当前界面或当前数据库表中看不到，不代表数据不存在。

很多应用使用 SQLite WAL 模式。相关文件包括：

app.db
app.db-wal
app.db-shm

WAL 文件可能保存尚未合并或历史更新记录。分析数据库时应同时保留主库和 WAL 文件，否则可能丢失最新数据或删除前残留。

常见现象：

主库中没有某条消息
WAL 中仍有消息内容字符串
取证工具解析结果与手工打开结果不一致
复制数据库后最新记录消失

**遇到这类情况，应尽量在原始目录中分析完整三件套，而不是只复制 **.db 文件。

图片和视频删除后，缩略图可能仍存在。

常见缩略图来源：

系统相册缩略图
聊天应用缩略图
视频预览图
浏览器缓存缩略图
文件管理器预览图
编辑软件缓存

缩略图可以证明某个媒体内容曾在设备中出现，但要注意：缩略图不一定等于原图，也不一定证明用户主动保存。

许多手机系统和应用都有“最近删除”机制。

可能存在：

相册最近删除
文件管理器回收站
云盘回收站
笔记回收站
聊天收藏删除记录

这些位置可能保存删除时间、剩余保留天数、原路径和文件缩略图。

手机可能提供隐藏相册、隐私空间、应用锁、保险箱或文件保密柜。

分析重点：

是否启用隐藏功能
隐藏文件数量
隐藏文件路径
解锁方式
启用时间
访问记录
与账号或密码的关系

隐藏功能不一定把文件加密，有时只是移动路径或修改数据库状态。应同时检查系统设置、相册数据库、文件路径和应用配置。

加密文件可能来自：

压缩包密码
文件保险箱
笔记加密
聊天备份加密
数据库加密
应用自定义加密
云盘加密

密码线索常见位置：

备忘录
聊天记录
浏览器保存密码
截图
配置文件
文件名
压缩包注释
常用生日手机号
服务器配置
应用源码

不要只暴力破解。很多比赛题的密码往往藏在手机其他位置，例如聊天中提到的纪念日、浏览器搜索记录、备忘录、截图或服务器配置。

应用卸载后可能残留：

外部存储目录
下载的 APK
缓存文件
媒体文件
系统安装日志
应用商店记录
浏览器下载记录

分析已卸载应用时，应结合包名、安装时间、卸载时间和残留数据判断。

通知记录可能保存被删除消息的摘要，例如：

聊天消息预览
验证码
支付提醒
登录提醒
下载完成提醒
系统告警

剪贴板也可能短暂保存：

账号
密码
验证码
钱包地址
URL
Token

这些数据的留存依赖系统版本和提取范围，但在比赛中常作为补充线索出现。

删除本地数据后，云端或备份中可能仍有旧版本。

常见来源：

系统备份
聊天备份
相册云同步
云盘缓存
旧手机迁移数据
应用导出文件

如果检材中出现多个时间点的备份，应比较差异，寻找删除前数据。

删除和隐藏数据的结论要明确层级：

当前可见数据：用户当前设备中仍能看到
删除残留：数据曾存在，但当前状态可能已删除
缓存数据：设备曾加载或接收过
缩略图：媒体内容曾被系统或应用生成预览
备份数据：某时间点存在过

删除、隐藏和加密并不会让数字痕迹彻底消失。真正的取证分析应从数据库、WAL、缓存、缩略图、备份、日志和配置中寻找残留，并通过路径、时间和上下文解释其证据意义。