了解 Android FBE 與 FDE 差異
並提升 Premium 與 CAS 提取成功機會

若在取證的過程中遇到瓶頸，如何分辨 FBE 與 FDE with Secure Startup 的裝置，並知道是否 Premium 或 CAS 服務可支援提取？

圖一、Android 作業系統與加密機制對應

從圖一可得知，Android 9 之後皆採用 FBE 加密機制，對取證同仁最大的影響是 FBE 最高僅能做到「完整檔案系統」提取，物理提取已不再是一個選項。而介於 Android 7 與 8 之間的裝置，則有可能是 FDE 或 FBE，這時可以藉由裝置螢幕畫面來辦別，是否有啟動 FDE with Secure Start-up。若是更早期版本，可能僅有啟用 FDE 而沒有 Secure Start-up。

以下先以華為的裝置來說明，左邊的裝置屬於冷開機（Cold）狀態，既重開機完後用戶尚未解開螢幕鎖「 BFU（Before First Unlock）」。當「螢幕鎖」尚未被解開時，在 Credential Encrypted (CE) storage 內的用戶資料皆屬於加密狀態，僅有 Device Encrypted (DE) Storage 的系統檔案或是特定 APP 是未加密並可讀取狀態 （如鬧鐘、電話或開發者自行決定不需要 AFU 等級保護的 APP）。

圖二、華為 FBE 冷開機與熱開機差異

而冷開機狀態的裝置，僅能透過暴力破解方式才有機會提取。若為熱開機狀態裝置，則 Premium 可在「螢幕鎖」未解開狀態下完成提取。

Samsung A20 出場時皆已採用 FBE 加密機制，左邊的範例為冷開機狀態，螢幕上會有一個小「Ｐ」的符號，或下拉後會出現裝置已重開機訊息。這個狀態的裝置只能藉由暴力破解才有機會提取。

右邊的裝置為熱開機狀態，快速辨別的方式為左下與右下有「電話」與「相機」的符號，並且無小「Ｐ」符號。Premium 可提取出 AFU 狀態下的檔案。

圖三、LG FBE 冷開機與熱開機差異

接著為 FDE with Secure Start-up 狀態的裝置。該加密特性，開機後 Android 作業系統並未載入，因此與一般開機畫面有很大不同，可輕易辨識。

三星冷開機後畫面大多數底圖為黑色，而 LG 則為白色。三星或 LG 皆需採用暴力破解方式才可取證，唯獨 LG 的裝置並不是每一隻都可藉由 Premium 或 CAS 提取，建議可先使用 Premium 嘗試提取，若失敗再與高田洽詢 CAS 是否有支援。

圖四、三星、LG FDE with Secure Start-up