鸿蒙设备取证 - Wiki 文档

随着鸿蒙设备在日常使用中的比例增加，鸿蒙取证也逐渐进入电子数据取证比赛和实务分析场景。鸿蒙设备的分析思路与 Android 有相似之处，但在系统应用、备份结构、HAP 应用包、华为账号、运动健康和设备生态联动方面具有自己的特点。

鸿蒙取证不应简单套用 Android 分析方法。更合理的做法是先识别检材来源，再围绕账号、应用、浏览、媒体、位置和设备生态建立分析框架。

虽然目前取证比赛中鸿蒙手机出现比较少，但针对国内情况，鸿蒙手机（设备）取证日后会在实战、竞赛中越来越多

一、鸿蒙取证常见检材形态

常见鸿蒙检材包括：

整机镜像
逻辑备份
文件系统导出
应用单独导出
HAP 应用包
华为手机助手备份
取证工具解析结果
可穿戴设备关联数据

不同来源决定可见数据范围。完整文件系统能看到更多系统和应用沙箱；逻辑备份可能只包含部分应用数据；单独 HAP 包更多用于程序分析，而不是用户数据分析。

鸿蒙设备通常与华为账号、云空间、运动健康、浏览器、图库、智慧生活等生态强关联。

分析时优先关注：

设备型号
系统版本
设备名称
序列号
IMEI
手机号
华为账号
云同步状态
登录时间
绑定设备

这些信息用于确认设备身份和用户归属。若设备还关联手表、耳机、平板、电脑等设备，后续可能形成跨设备证据链。

鸿蒙应用常以 HAP 包形式存在。HAP 包对取证的价值主要包括：

识别应用包名和名称
查看权限声明
定位入口 Ability
分析资源文件
搜索服务器地址和接口
分析业务逻辑
提取硬编码密钥或配置

常见关注点：

module.json5
resources/
abc 文件
so 库
配置文件
证书信息
网络权限
定位权限
相机和麦克风权限

如果题目给出某个 HAP 应用，并要求分析服务器地址、功能逻辑、加密方式或用户行为，应同时做静态分析和设备沙箱数据分析。

鸿蒙应用也会产生应用私有数据。分析时重点寻找：

数据库
配置文件
缓存
日志
图片视频
WebView 数据
Token
接口地址
用户 ID

常见文件类型仍包括：

*.db
*.sqlite
*.json
*.xml
*.log
*.preferences
cache/
files/
databases/

陌生应用分析时，可以从关键词入手：

user
uid
phone
token
session
server
api
url
host
message
chat
location
order
wallet

鸿蒙设备中的浏览器和搜索记录常用于还原用户行为。

重点分析：

访问网址
搜索关键词
下载记录
历史页面标题
Cookie
表单缓存
文件下载路径

在比赛中，浏览器记录经常连接手机和服务器。例如用户在手机中搜索服务器后台地址、访问 Web 面板、下载远控工具、打开虚拟币平台或访问钓鱼页面。

图库数据不仅包括图片和视频，还包括相册数据库、缩略图、编辑记录、收藏、隐藏和删除痕迹。

重点关注：

拍摄时间
创建时间
修改时间
EXIF
GPS 坐标
截图来源
缩略图
隐藏相册
最近删除
云同步状态

很多关键信息会出现在截图中，例如聊天截图、后台页面、钱包地址、验证码、地图路线、服务器密码和二维码。分析截图时要结合文件时间和应用来源，不要只看图片内容。

鸿蒙生态中，华为运动健康和手表数据非常重要。可分析内容包括：

步数
跑步轨迹
心率
压力
睡眠
运动时间
运动距离
配速
运动区域
绑定设备

如果题目涉及“实际年龄”“经常跑步区域”“平均跑步公里数”“某日运动时间”等问题，应优先检查运动健康相关数据库、缓存和导出文件。

位置类结论要谨慎。运动轨迹可以证明设备或绑定手表经过某区域，但还需要结合账号、设备佩戴情况和其他行为证据确认使用人。

华为云空间可能同步：

照片
联系人
备忘录
浏览器书签
应用数据
设备备份
查找设备记录

本地可能残留同步状态、账号信息、缓存文件和缩略图。比赛中可能不会要求真正登录云端，而是通过本地缓存和同步记录判断用户行为。

如果 HAP 应用中存在加密逻辑，单纯看用户数据可能无法解释字段含义。此时应结合程序分析：

先从应用沙箱找到加密数据库或配置
再从 HAP 中分析字段含义、接口路径、加密算法
最后回到数据文件中解密或解释记录

常见问题包括：

服务器地址是什么？
接口路径是什么？
加密 key 在哪里？
用户数据保存在什么表？
某字段代表什么含义？

鸿蒙取证的关键是同时理解系统生态和应用结构。华为账号、浏览器、图库、运动健康、HAP 应用和应用沙箱共同构成证据来源。

分析时不要把鸿蒙简单当作 Android，也不要只依赖取证软件报告。对于比赛题，最有效的策略是：先建立设备和账号画像，再围绕应用、浏览、媒体、位置和可穿戴数据逐层分析。