【多种物理手段和逻辑手段在电子取证领域的实际应用】

[发表时间:2017年10月13日 00:00 来源:纸客帝国游戏 作者:纸客帝国游戏]

原标题:【多种物理手段和逻辑手段在电子取证领域的实际应用】

来源:科技强检(ID:techjc)

一、手机芯片与物联网取证

在不能直接连接手机或其他电子设备提取数据时,我们就要通过拆解的手段得到存储着重要信息的芯片来达到提取数据的目的。

1.被破坏的手机

一些案例当中手机都被暴力破坏或者受外部环境腐蚀过,内部电路已经被破坏,根本无法开机或插数据线来提取数据。

由于手机存储芯片使用陶瓷封装,具有防火、防水、防摔等特性,所以即使手机被外力损坏,手机芯片依然不会被破坏。

不要小瞧了上图中的小芯片,它叫EPROM,俗称码片,主要用于存储电话本、通信记录、短信等内容,容量多为4M、8M、16M,以及32M。早期BB机、市面上山寨机,诺基亚功能机1050,以及很多功能简单的电子设备都用的这种芯片,所以在提取数据中这种芯片往往有着巨大的作用。

2.数据提取

取出芯片下一步就要提取数据。通过RH-6900手机数据采集与分析系统可以完整的提取手机镜像并通过分析镜像得到珍贵的数据。

△RH-6900手机数据采集与分析系统主要功能

3.物联网取证

在很多案件中手机并不是主角,而那些日常使用的电子设备才是破案的关键。

例如保险柜中保存的文件就可能会是重要的线索,而打开保险柜却没那么容易。一些使用电子密码锁和指纹锁的保险柜可以通过读取芯片中的数据来破译出密码。

△密码锁保险柜指纹保险柜破译

除此之外,大家经常谈及的银行卡盗窃案,其中犯罪分子使用的银行卡读取设备没有通信接口,此时就需要拆下作案设备的八脚EPROM存储芯片,从而读取出数据镜像文件,然后解析文件得到银行卡数据。

△银行卡盗窃案作案设备

还有一些利用其他电子设备犯罪的案例,例如地磅造假案,打印机窃取打印内容,无线路由器后台偷取个人信息,房卡记录等等。随着我们日常接触电子设备越来越频繁,可以保存信息的设备也越来越多,芯片取证在物联网方面也有非常大的空间。

二、物理解决手段与逻辑提取

在很多案件中手机保存完整功能正常,但是有密码锁BL锁无法直接提取数据。这时可以通过一些物理手段来提取数据,不需要拆解芯片就能够解决这些疑难问题。按处理器种类来分可以分为以下几种。

1. Qualcomm高通处理器

高通CPU市场保有量非常大,早期的高通处理器需要在主板上预留接口来测试手机功能,这个接口也可以用来提取手机镜像数据,这就是JTAG接口。无需开机、话机锁密码、ROOT权限,也不需要打开USB调试,JTAG物理数据提取皆可提取镜像文件。

△HTC G1主板JTAG接口定义

而近几年的高通CPU手机并没有JTAG接口,例如OPPO、华为、小米、联想等等。那么没有JTAG接口就拿它们没办法了吗?当然不是,高通还预留了一个9008/9006接口,通过这个接口只需要连接一条USB线即可不开机直接拿到手机镜像。这种提取手段也不需要ROOT手机,更不需要解锁密码。提取速度也非常快,甚至能达到1GB/s。但是这种提取手段也是有局限性的,仅限于高通MSM89xx系列,像较早的MSM72xx和APQ80xx系列则不适用。

2.MTK联发科处理器/展讯处理器

联发科大家应该早有耳闻,早期的山寨机大多用的联发科处理器,以及展讯英飞凌等等。在目前的智能机上使用联发科处理器的也相当多,比如华为、OPPO、魅族、金立、红米、乐视等等。

提取联发科处理器的手机镜像方法类似于高通9008,不过在操作上有一些小的区别。提取联发科手机镜像时要在手机关机时先在软件里开始提取镜像然后插手机,这样就可以绕过联发科的自检。

不过对于使用阿里Yun OS的联发科处理器手机,需要先联系手机生产厂家获得证书之后就可以读出手机镜像文件了。

△MTK没有加密

△MTK有加密阿里云手机带BL

3.三星猎户座处理器

三星作为全球销量最大的手机厂商,其自主设计的猎户座处理器存世量也非常大。目前很多三星手机都有BL锁,而解锁刷机会造成数据丢失。

对于这种情况,可以使用安卓解锁系统来一键解锁手机。在Android6.0版本中,谷歌加入了强制全盘加密,针对升级到6.0及以上版本的三星手机,可以在安卓解锁系统软件中进入对应机型的一键Recovery,找到对应系统版本和基带版本,刷入Boot来绕过BL锁,然后刷入Recovery,之后可以开始备份Data区了。这个手段对于部分7.0机型也有效。

△三星S7读取镜像

4.华为海思处理器

经过多年发展,华为自主设计的海思处理器也成为了市场占有率很高的一个品牌。大多数华为手机都有BL锁,而去官网申请解锁必然会导致手机数据被清空,这样得不偿失。当然,我们也有针对华为手机提取数据的手段。

首先我们可以在安卓解锁系统软件中对华为手机进行一键备份,在这里我们只需要提取Data区镜像就可以了。

由于最新的几款华为手机例如P9、Mate9采用了F2FS文件系统,提取出镜像可能会无法解析,而在提取镜像时软件会在Fastboot模式下解除BL锁并推入第三方的Recovery,此时我们可以在RH-6900手机数据采集与分析系统软件中直接进行逻辑提取来获得手机所有的数据。

△华为P9 Plus备份Data

5.超级ADB

超级ADB是行业内非常火的一个话题,该功能主要依靠于一个手机桌面的一个漏洞,适用于安卓安全补丁2016.11之前的系统。

超级ADB可以在手机解锁没有Root权限下直接抓取Data区镜像。但由于各个手机厂家的定制情况不同,该方案实现起来的效果也有偏差,该功能可以作为辅助手段提取镜像。

三、山寨机平台

山寨机也是一个占据大量市场的机型。有很多不上网的人群,他们使用的手机大多是山寨机,而取证时这些山寨机就会成为突破口。

△仅一个MTK平台的山寨机就有38万多主题帖

嘉宾简介

张彬

大连睿海信息科技有限公司 技术总监

计算机专业毕业,2003年开始从事手机芯片底层数据的读取、擦除和写入的研究和开发工作(统称编程器),研究开发 过JTAG物理数据提取、JTAG物理定义侦测、山寨机定义侦测镜像获取、三星华为密码破解技术等。对市面上各种移动终端的逻辑数据提取手段、解锁、物理数据提取手段和镜像解析都有深入的研究和开发。返回搜狐,查看更多

责任编辑:

分享到:

Copyright @ 2017 纸客帝国游戏 版权所有

文章来自网络整理,如有侵犯您的权益请联系网站管理员,24小时内为您处理