一部锤子手机引起的解锁事件

最近笔者在工作中遇到了一部有锁屏密码的锤子手机，型号为坚果3。提取数据前需要对这部手机进行解锁，否则无法继续进行取证。下面以此手机为例，给大家分享一下安卓手机保资料解锁屏幕密码的过程。

首先，给手机刷入第三方rec(即Recovery，rec是手机的一个微系统，用来恢复初始化状态&更新系统。第三方Recovery在此基础上扩展了操作性，不仅能实现前面的功能，更可以安装各种修改过的ROM、root&xp等)，输入第三方rec的目的就是为了后面给手机刷入root包。在刷入第三方rec之前需要将手机进入fastboot模式，不同的手机进入fastboot有不同的方式，一般是关机，然后按住音量减和电源键。在fastboot模式下可以执行adb命令刷入相应的rec，但目前大部分国产手机都会有BL(即bootloader)锁，有这个锁的情况下我们就不能随便刷第三方的rec，因为厂家不想让我们随意修改手机的数据。

回到这部手机，刷第三方rec的操作与其他手机不同，它需要一定操作来使机器进入9008模式，在9008模式下才能使用对应的软件刷入rec.img。其他手机刷入rec可自行百度寻找相应的方法，此处不作详述。

其次，锤子手机进入9008模式的方法需要短接，手动制作一根短接线(将数据线剖开，短接其中两根)，将数据线一头插在电脑上，短接两根线，然后一头插到手机上，等待几秒，这个时候手机已经进入了9008模式，我们打开锤子对应的线刷工具：

在界面上选择Flat Build，然后点击brower，选择线刷目录下的prog_emmc_firehose_8953_ddr.mbn：

然后点击LoadXML，选择包里的rawprogram_unsparse.xml，点击确定后在弹出的框里点击选择patch0.xml：

再点击download等待即可刷入第三方rec。

刷入rec之后接下来就是把与机型适配的rootzip包放到手机中(能找到即可)，按住音量加和电源键使手机进入recovry模式，在里面找到刚才放入的root包安装即可。

最后，就是清除手机的锁屏密码了，在电脑安装好的adb工具里敲入adb shell，此时手机处于recovery模式下，使用ls命令列出当前目录下所有文件：

使用cd命令进入data/system目录下，锁屏密码就存放在这里面：

上图中的gatekeeper.password.key文件就是锁屏密码，这里我们使用rm gatekeeper.password.key 删除掉这个文件，然后使用reboot重启手机：

待手机重启完毕，手机的锁屏密码已经成功清除了。

总结：清除手机锁屏密码其实是个很容易的过程，上面的示例中因为锤子手机的特殊性才使输入rec过程复杂了一些，大部分的手机破解密码锁的过程如下：

1. 确定该手机是否存在bootload锁以及解锁教程

2. 寻找相应机型的第三方rec包和教程(大部分使用adb即可完成，两条命令十分简单)

3.  找到对应的手机root包，格式使zip的，然后再recovery模式下安装

4.  使用adb工具连接recovery模式下的手机，进入data/system文件夹下删除密码文件即可完成保资料解锁

5.  解锁后开启usb调试使用取证工具提取数据，也可以配合busybox将想要的数据tar出来