来源：盘古石取证

对于电子数据取证的影响

对于移动终端电子取证来说，最常规的方式是通过系统提供的交互命令（例如Android 的ADB命令）及厂商自身提供的备份/移机软件进行数据固定。另外，在具备全盘数据提取条件的情况下，系统的文件结构对提取后的解析有着决定性的影响。而本次HarmonyOS NEXT完全脱离了安卓的系统框架，这无论是对系统交互命令、备份移机软件、文件系统架构都有着非常大的影响。

另一方面，由于本次HarmonyOS NEXT脱离安卓应用体系，仅支持鸿蒙应用。所以对程序功能性鉴定、应用网络流分析等取证场景也产生了极大的影响。

接下来就让我们从电子数据取证的视角，深入了解一下这些变化对于取证有哪些影响。

一些数据的解释说明：

【appId】: 应用的唯一标识符，包含特定的加密信息。

【name】: 应用名称，通常与包名相同。

【organization】: 开发者信息，提供应用开发公司的名称。

【versionCode & versionName】: 版本信息，便于追踪应用更新情况。

【hapPath】: 指示HAP安装文件的位置，便于取证人员直接访问。

接下来是用命令行获取到的模块信息：

一些数据的解释说明：

【abilityInfos】: 包含应用的能力信息，定义了应用的功能模块。

【hapPath】: 指示具体能力的HAP文件路径，便于取证操作。

【label】: 提供用户界面的友好名称。

模块信息详细描述了应用的功能组件，如“abilityInfos”中的各种能力和模块名称。这些信息帮助取证人员理解应用的结构，识别潜在的取证目标。模块的“hapPath”也为直接访问和提取相关数据提供了便利。

HarmonyOS NEXT的严格签名机制旨在提升设备安全性，防止恶意软件侵入。这一机制有效地确保只有经过验证的应用才能运行，降低了安全风险。该机制由华为进行验证，即使获得机主的认可，不明APP仍无法安装。使用bm命令安装HAP应用文件时，如果签名验证失败，会出现以下错误：

在鸿蒙4.2及华为手机助手的备份中，文件结构与当前的HarmonyOS NEXT备份格式有显著差异。例如，鸿蒙4.2的备份目录包含多个子目录，如AutoBackup、backupFiles和media等，数据文件更为直观和多样化。

（鸿蒙4.2备份目录）

HarmonyOS NEXT应用文件路径与iOS应用相似，每个HAP应用拥有属于自己的存储区域，如上图所示。

el1/、el2/：代表不同文件加密类型。

应用文件路径详细说明：

由于分布式系统的特性，应用沙箱路径和真实物理路径并不一致。在应用沙箱路径下进行文件读写时，经过映射转换，实际操作的是真实物理路径中的应用文件。以下是应用沙箱路径与真实物理路径的对应关系示例：

由此可以看出分布式文件系统的实现使得应用的沙箱路径与真实物理路径不一致，增加了数据提取的复杂性。取证人员需掌握新的路径映射规则，以有效获取所需数据。

总结

取证工具和方法需要更新，以适应HarmonyOS NEXT的交互命令和接口。

应用只能通过合法签名进行安装，限制了取证人员直接安装未经签名应用的能力。

备份文件格式与以往版本有显著不同，取证厂商需要开发新的解析工具来处理这些备份数据。

分布式文件系统的实现使得应用的沙箱路径与真实物理路径不一致，增加了数据提取的复杂性。取证人员需掌握新的路径映射规则，以有效获取所需数据。