9、安卓设备数据存储与安全深度解析

安卓设备数据存储与安全深度解析

安卓设备存储机制

在安卓设备的数据存储周期中，会有诸如块回收等操作。例如，在某个周期里，块 0 被进行了垃圾回收，之后便可以用于写入新的数据。当文件被重命名时，会向 NAND 闪存写入新的对象头。而当块 1 中的所有块都过时后，它们就可用于垃圾回收。不过要注意，由于 NAND 闪存的耐用性有限，应尽量避免频繁的写入/擦除周期。

从取证的角度来看，除非经过垃圾回收，否则对象头和对象数据块的完整历史都会保留在 NAND 闪存中。借助合适的软件，对 NAND 闪存进行扫描，基本上就能重建文件系统的完整历史。这不仅能获取每次编辑的日期和时间，还可能恢复文件的实际状态。虽然在实际中，YAFFS2 分区的状态并非如此简单，但总体原理是适用的。

挂载文件系统

为了更好地理解安卓设备的内存系统，我们来探究一下设备上挂载的文件系统。以 HTC Incredible 为例，运行不带参数的 mount 命令，会返回挂载的文件系统列表及其选项。以下是 /mnt/sdcard 的一些常见选项：
| 选项 | 描述 |
| — | — |
| rw | 以读写模式挂载 |
| dirsync | 目录的所有更新同步进行 |
| nosuid | 不允许设置 setuid（防止其他用户以文件所有者权限执行程序） |
| nodev | 不将任何文件解释为特殊块设备 |
| noexec | 不允许文件系统中的文件执行 |
| relatime | 若文件访问时间早于修改时间，则更新访问时间 |
| uid=