(資料圖片僅供參考)

1、高通CPU的物理鏡像：目前安卓使用的主流CPU即為美國高通的CPU，大部分品牌的每代旗艦產品都是高通的CPU。高通CPU的手機都可以進入到9008強刷模式，在這個模式下可以不通過系統的引導強制刷新系統文件，對手機進行修復。取證中可以利用這個端口對手機進行數據讀取，保存成鏡像文件。這個方法對于沒有開啟全盤加密的手機都有效。但是，6.0以后開啟全盤加密的，就無法這樣操作了（全盤加密的鏡像無法解析）。此外，有些手機需要拆開外殼，在主板上短接兩個測試點才可以進入到9008模式。

2、Root后的邏輯提取：安卓手機root后，已經獲得最高的系統權限，通過邏輯提取可以獲取到大量的數據，包括各種應用的刪除數據。但在安卓6.0后，手機的root越來越難，幾乎不可能簡單的通過第三方工具獲得權限。

3、Root后的開機邏輯鏡像：所有安卓手機在開機狀態下獲得權限后，都可以提取手機的邏輯鏡像。在安卓4.x時代，這個方法用的很多。有了邏輯鏡像，就可以通過分析軟件對數據進行解析，恢復刪除數據（即使6.0后開啟全盤加密，只提取用戶區的邏輯鏡像也可以解析）。隨著手機難以root，除了少部分機型外，現在也很少使用這個方法。

4、Recovery下的邏輯提取和邏輯鏡像：安卓版本的提升造成手機很難通過互聯網上的通用root工具獲得權限，但取證設備廠家技術的也在不斷提高。一些廠家自己制作權限包，獲得權限。通常是在手機刷機模式下寫入權限包，保證手機啟動到recovery模式后具有root權限，這時同樣可以進行邏輯提取、邏輯鏡像（6.0后全盤加密的只做用戶區鏡像）。這種方法是解決高版本安卓提取難的一個行之有效的方法，但需要依賴于取證廠家不斷的軟件更新支持。

5、MTK物理鏡像：MTK作為臺灣產的CPU，因其性價比高，被眾多國產品牌青睞，中低端手機通常都采用的這個CPU。這個CPU的安卓手機，同樣可以通過CPU的底層命令對存儲芯片數據進行讀取。