来源：取证爱好者之家，作者：王洋

作为曾经的OPPO旗舰手机，R9/R9 Plus系列的手机在取证中遇到的还比较多，本文对这个系列的手机的数据提取做个简单的归纳，希望对大家有帮助。

一般情况下，我们拿到手机后，先对手机的软硬件参数（CPU，安卓版本）做一个查询，以方便选择相应的数据提取方式。这个查询，在百度搜索里手机测评文章里很容易就找到。R9系列分几个版本，实际上硬件上差别不大，只是对应不同运营商的网络制式。各版本的基本参数如下：

我们先来看R9这四款手机都是用的MTK芯片，而手机出厂时的安卓版本是安卓5.1的，手机没有全盘加密。我们实际数据提取时，可以不需要考虑获取手机的ROOT权限，也不需要考虑手机的屏幕锁问题。直接用MTK读镜像的方法获取手机的完整镜像。读取镜像时操作注意事项：手机完全关机，软件开始读取，按住手机的音量上键，插入数据线。软件会自动识别手机并进行数据读取。

接下来再看R9 Plus这三款手机，它们采用的都是高通CPU方案，出厂时的安卓版本是安卓5.1。同样的，手机没有全盘加密，不需要考虑获取ROOT权限，也不需要考虑屏幕锁，我们用高通关机读镜像的方法获取手机的完整镜像。读取镜像时操作注意事项：手机在完全关机状态下，按住手机的音量上键和音量下键的同时并用数据线连接电脑和手机，等手机进入9008刷机模式，如果此时打开设备管理器，在设备管理器端口下面会出现一个新的9008端口，表明连接成功。软化运行软件开始读取。 

其他：

1、如果遇到屏幕坏的手机，可以拆开后盖，将手机电池与主板分离，以保证手机彻底断电，然后重新连接好电池。再按上面的操作进行镜像读取。

2、如果遇到手机严重损毁，无法正常用数据线读取，可以选择拆下存储芯片，用芯片取证设备进行镜像读取。

3、如果需要锁屏密码，可以通过读取的镜像直接查找屏幕锁密码或者在解析后的文件中找到*.key文件分析密码。