Android反取证技术生态与文件擦除机制剖析

反取证技术（Anti-forensics）在Android生态中通过应用商店（如Google Play）广泛传播，其中文件擦除（file-wiping）作为不可逆数据销毁手段，通过覆写特定模式（如0x00或随机值）使原始数据无法恢复。研究团队选取6款下载量超5000次的擦除应用（含iShredder Standard/Shreddit等），在三星Galaxy Note 9（Android 9）等多设备环境下展开实验。

擦除功能真实性验证

静态分析发现Secure Wipe Out仅调用Java的delete()方法执行基础删除，未实际覆写数据区，导致文件可通过恢复工具还原（图4）。动态分析中，Frida捕获到Data Eraser App等应用正确使用RandomAccessFile.seek()访问数据区，而ZERDAVA通过getContentResolver()实现物理覆写（表3）。在文件级加密（FBE）环境中，覆写操作仍能有效覆盖加密后的数据块（图5）。

标准合规性缺陷

尽管应用宣称支持DoD 5220.22-M等25种算法，实际存在显著偏差：iShredder因开发者错误将随机值（-1）编码为0xFF（图7），导致Schneier方法7次覆写中5次未使用随机模式；Data Eraser App的DoD 5220.22-M(ECE)实现用单一随机值替代标准要求的固定值-补码-随机混合模式（图6）。实验显示仅50%算法完全合规，但所有有效覆写均能达到反取证目的。

法证痕迹挖掘

系统级痕迹中，UsageStats记录应用最后运行时间（如SDelete于2023/11/07 08:02:51激活），Recent Tasks保存包名与任务ID（图9-10）。应用级关键证据包括：

1. 1.

   XML配置日志：iShredder的shared_prefs记录擦除文件路径（20231108_161319.jpg）、算法（0x00单次覆写）及耗时（2秒）（图11）

2. 2.

   图像缓存：Shreddit的SHA256哈希命名缓存（/cache/image_manager_disk_cache）可恢复预览图，通过设备型号-文件名-内容哈希关联推测已擦除原图（图12）

评估框架验证

基于三阶段标准（应用痕迹分析/执行过程追踪/文件系统残留检测）测试第三方工具Androshredder，发现其虽违反DoD标准（全随机覆写），但未遗留可追溯痕迹，证实反取证有效性。研究同时指出理想擦除需同步清理缓存/Snapshots等衍生数据，而Scoped Storage等新机制可能限制痕迹获取。

该研究为移动设备反取证检测提供了方法论支撑，后续将扩展至iOS设备及分区擦除分析。韩国国家研究基金会（NRF）资助项目RS-2024-00359621为本研究提供支持。