Наиболее распространенной неисправностью мобильных устройств, поступающих на судебное исследование, является разбитый дисплей.

Размер: px
Начинать показ со страницы:

Download "Наиболее распространенной неисправностью мобильных устройств, поступающих на судебное исследование, является разбитый дисплей."

Транскрипт

1 Извлечение данных из поврежденных мобильных устройств. Последние несколько лет нам часто приходится извлекать данные из всевозможных мобильных устройств (мобильные телефоны, смартфоны, планшетные компьютеры и т.п.). Среди устройств, поступающих на исследование, попадаются поврежденные мобильные устройства, имеющие механические повреждения, поврежденные огнем, поврежденные в результате хранения в неблагоприятной (агрессивной) среде, из которых также необходимо извлекать цифровые доказательства. У нас сложились определенные подходы к исследованию поврежденных мобильных устройств, которыми хотелось поделиться с коллегами. В начале исследования поврежденного мобильного устройства эксперту необходимо определиться, что именно неисправно в устройстве. Совсем не обязательно сразу выпаивать чип памяти и производить с ним какие-либо дальнейшие манипуляции. Как показала практика, иногда есть более простые решения извлечения данных из поврежденных мобильных устройств. Рассмотрим их: Наиболее распространенной неисправностью мобильных устройств, поступающих на судебное исследование, является разбитый дисплей. Илл. 1. Мобильное устройство с разбитым дисплеем. Т.е., мобильное устройство находится в исправном состоянии, но, из-за разбитого дисплея не отображает никаких данных. Исследование подобных мобильных устройств не представляет большой сложности. Для исследования мобильных устройств с разбитым дисплеем мы используем UFED (Cellebryte) и.xry (Micro Systemation). Мы создаем физический дамп памяти мобильного устройства, из которого извлекаем данные (телефонную книгу, вызовы, SMS, графические файлы, видео и т.д.). Иногда, когда имеющееся оборудование не поддерживает создание физического дампа памяти мобильного устройства, мы проводим логическое извлечение данных (если это возможно). В этом случае можно использовать большее количество

2 судебных программ для анализа мобильного устройства. Например, Oxygen Forensic Suite (Oxygen Software Company). Также всегда можно заменить поврежденный дисплей на новый. Это удорожает стоимость исследования и делает его более продолжительным по времени, однако часто это единственное возможное решение (например, при исследовании Android устройств с отключенной системной опцией «USB Debugging» («Отладка по USB»)). В ряде случаев мы используем специализированные программаторы («RIFF Box», «Medusa Box» и т.д.), предназначенные для ремонта мобильных устройств, с целью извлечения из мобильных устройств данных. Подобные программаторы используют для своей работы интерфейс JTAG. С помощью специализированных программаторов возможно извлечение данных из мобильных устройств, имеющих поврежденное системное программное обеспечение или данные, которые защищены PIN - кодом. Распространенным дефектом является выход мобильного устройства из строя из-за окисления контактов его системной платы. В этом случае восстановление работоспособности телефона достигается путем очистки контактов мобильного устройства в ультразвуковой ванне. Сгоревшие защитные резисторы в цепях питания мобильного устройства являются еще одной причиной неисправности. Работоспособность мобильного устройства достигается путем установления, какой именно резистор сгорел и его заменой. Использование устройств - «доноров». Метод заключается в том, что из поврежденного мобильного устройства извлекается чип памяти и устанавливается в точно такое же исправное мобильное устройство. При этом вы решаете сразу несколько сложных задач, с которыми вам пришлось бы столкнуться, используй вы метод экстракции чипа («Chip-Off»): нет необходимости знать, какой контроллер используется мобильным устройством для обработки данных чипа памяти, какой формат имеют страницы памяти чипа; какая файловая система используется мобильным устройством и каковы ее особенности; нет необходимости знать, в каких форматах хранятся данные (О! как только вы столкнетесь с необходимостью ручного декодирования физического дампа памяти вы поймете, о чем мы говорим), используются ли при этом элементы шифрования данных и т.д. К отрицательным сторонам метода относятся: необходимость наличия, точно такого же телефона, который представлен на исследование. Перепайка чипа очень сложная и трудоемкая работа. Существует вероятность стирания данных из-за воздействия высоких температур на чип или механическое повреждение чипа. При использовании данного метода нельзя исключать, что производитель мобильного устройства использует аппаратную защиту, которая, при замене

3 чипа памяти в устройстве, сотрет все данные. Перед тем как проводить исследование поврежденного мобильного устройства, если у вас есть два мобильных устройства, которые вы можете использовать в качестве «доноров», попробуйте поменять их чипы памяти местами и посмотреть на реакцию устройств. При использовании этого метода понадобится оборудование для реболлинга. Например, комплект для реболлинга BGA микросхем «JOVY SYSTEMS JV-RKC». При исследовании поврежденного мобильного устройства, следует обращать внимание на конструкцию его системной платы. Мы исследовали телефон Motorola V3, пролежавший два года в земле. Вид телефона был ужасен. Многочисленные окислы повредили его корпус и системную плату. Естественно, он был неисправен. Илл. 2. Мобильный телефон с признаками окисления. Однако после демонтажа телефона было установлено, что системная плата состоит из нескольких частей. Часть системной платы, с расположенной на ней микросхемой памяти, пострадала от воздействия среды меньше всего. Для извлечения данных из этого телефона, мы купили на интернет-аукционе такой же телефон. Заменили в купленном телефоне часть системной платы с чипом памяти на часть, извлеченную из поврежденного телефона и считали данные. Если ни один из описанных выше приемов вам не помог, придется использовать метод экстракции чипа («Chip-Off»). Однако прежде чем извлекать чип, следует удостовериться том, что вы сможете получить информацию в виде, пригодном для дальнейшего анализа. Например, в устройствах Apple, используется двойное шифрование: аппаратное и программное. Извлекать чип из подобного устройства нет смысла, так как

4 дешифрация, извлеченной из чипа информации, окажется, скорее всего, невозможной. Иногда, наши коллеги спрашивают нас: «Какой программатор нужно использовать для извлечения данных из чипа памяти <модель мобильного устройства>?». Это не корректный вопрос. Часто производители мобильных устройств производят смену набора комплектующих мобильного устройства даже во время изготовления одной партии. Т.е., имея два мобильных устройства из одной партии, мы не можем уверенно сказать, что в них используются одинаковые чипы памяти. Именно поэтому, не зная, какой конкретно чип стоит в мобильном устройстве, поступившем на судебное исследование, нельзя ответить на вопрос про программатор, даже зная модель мобильного устройства. Еще одна плохая новость: чипов памяти в мобильном устройстве может быть больше чем один. Нужно найти их все. Эксперт, собирающийся извлечь данные с чипа памяти мобильного устройства, должен выполнить четыре основных этапа: 1) Экстракцию чипа. 2) Извлечение данных из чипа памяти. 3) «Сборка» дампа (корректная стыковка страниц памяти и исключение из дампа служебных областей). 4) Декодирование дампа. Рассмотрим эти этапы подробнее: Этап 1. Экстракция чипа. Экстрагировать чип относительно просто: в большинстве случаев, достаточно нагреть чип потоком горячего воздуха из паяльной станции и отделить чип от системной платы. На этом этапе очень важно не перегреть чип (это приведет к стиранию данных) и не повредить его механически. Повышайте температуру горячего воздуха постепенно. Если чип залит смолой, то для её отделения можно использовать два метода: 1) Химический: удаление смолы нагретым до 50 град.с ацетоном или диметилфомамидом. 2) Термический: потоком горячего воздуха системная плата разогревается до 200 град.с, механически счищается максимальное количество смолы. Затем, чип разогревается до град. С и механически отделяется от платы. Этап 2. Извлечение данных из чипа памяти. Данный этап не сложен при условии, что у вас есть программатор с адаптером под нужный вам тип форм-фактора BGA чипа. Однако найти подобный программатор большая проблема. Мы имели много дискуссий с коллегами на тему: «Какой программатор купить для «Chip-Off»?». Хороший

5 программатор, с большим количеством адаптеров под различные формфакторы BGA чипов, стоит целое состояние. Трата такого количества денег на покупку устройства, которое будет использоваться, не особо часто невыгодно. В результате, мы пришли к консенсусу, что в случае необходимости, будем арендовать подобное оборудование у крупных сервисных центров, занимающихся ремонтом электроники. Также, хотелось бы обратить внимание коллег на разработки украинской фирмы EPOS «EPOS FlashExtractor» и российской фирмы ACE Laboratory - «PC-3000 Flash». В комплекты их оборудования входят переходники для подключения чипов памяти различных форм-факторов. Однако чипы придется впаивать в адаптеры, поставляемые EPOS и ACE Laboratory. Это сложная и трудоемкая работа. Этап 3. «Сборка» дампа. «Сборка» дампа сводится к исключению из страниц памяти служебных областей и корректной стыковке страниц памяти. В решении задач этого этапа хорошо помогают уже упомянутые выше продукты «EPOS FlashExtractor» (EPOS), «PC-3000 Flash» (ACE Laboratory). Они имеют большие базы знаний по структуре хранения данных в различных типах микросхем памяти и о разных контроллерах, используемых для управления данными, сохраненными на чипах. Также, с их помощью удобно производить «сборку» дампа в ручном режиме. Для оценки дампа полученного на данном этапе для оценки дампа полученного на данном этапе, мы используем следующий тест: Любое мобильное устройство содержит графические файлы. Это могут быть графические файлы созданные пользователем или графические файлы программного обеспечения. Мы считаем, что данный этап был выполнен неправильно, если из полученного дампа мы не можем восстановить графические файлы (или фрагменты изображений) размером более 2 Кбайт. Этап 4. Декодирование дампа. Декодирование дампа сложная задача. Основам декодирования дампа учат на учебных курсах (например, проводимых Cellebrite). Однако не думайте, что с физическим дампом исследуемого телефона будет также просто разобраться как и с учебным. Если «XRY» (Micro Systemation) или «UFED Physical Analyzer» (Cellebrite) поддерживают декодирование физического дампа для модели телефона, который вы исследуете, то, полученный вами дамп можно попробовать декодировать этими программами. Более удобно использовать «UFED Physical Analyzer» (Cellebrite), так как он позволяет задавать последовательность действий при обработке физического дампа, писать собственные модули на языке Python для анализа физического дампа. Также, на данном этапе значительно облегчают работу исследователя программы: «RevEnge» (Sanderson Forensics), «Phone Image Carver» (GetData), «Cell Phone Analyzer» (BKForensics).

6 На этом, мы заканчиваем краткое изложение методов и средств, используемых для извлечения данных из поврежденных телефонов. Надеемся, что наша статья оказалась вам полезной.

Все, что вы хотели узнать о флэш-дисках, но боялись спросить

Все, что вы хотели узнать о флэш-дисках, но боялись спросить Все, что вы хотели узнать о флэш-дисках, но боялись спросить Андрей Кузнецов Описываются технические характеристики флэш-дисков и рассматриваются вопросы, связанные с их выбором и применением. Что такое

Подробнее

ОПЕРАЦИОННАЯ СИСТЕМА WINDOWS 7

ОПЕРАЦИОННАЯ СИСТЕМА WINDOWS 7 МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ГБОУ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ АМУРСКАЯ ГОСУДАРСТВЕННАЯ МЕДИЦИНСКАЯ КАДЕМИЯ Е.В. ПЛАЩЕВАЯ ОПЕРАЦИОННАЯ СИСТЕМА WINDOWS 7 МЕТОДИЧЕСКИЕ УКАЗАНИЯ

Подробнее

ТСО: метод один, а использовать можно. по-разному. Анна Соколова/ Ирина Филиппова/ компания «Элвис-плюс»/

ТСО: метод один, а использовать можно. по-разному. Анна Соколова/ Ирина Филиппова/ компания «Элвис-плюс»/ 100 ://CIO/методики/TCO ТСО: метод один, а использовать можно Думай о конце дела, о том, чтобы счастливо выйти, а не о том, чтобы красиво войти. Витело по-разному Анна Соколова/ Ирина Филиппова/ компания

Подробнее

Drive Copy 11 Professional

Drive Copy 11 Professional PARAGON Paragon Software Group Heinrich von Stephan Str. 5c 79100 Freiburg, Germany Tel. +49 (0) 761 59018201 Fax +49 (0) 761 59018130 Internet www.paragon.ru Email sales@paragon.ru Drive Copy 11 Professional

Подробнее

Руководство по эксплуатации

Руководство по эксплуатации Руководство по эксплуатации Содержание Общая информация...3 Указания по эксплуатации...4 Комплектность...7 Технические характеристики...8 Назначение планшетного компьютера...9 Общий вид планшетного компьютера...14

Подробнее

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ Н А Ц И О Н А Л Ь Н Ы Й С Т А Н Д А Р Т Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И ГОСТ Р ИСО/МЭК ТО 13335-3 2007 Информационная технология МЕТОДЫ

Подробнее

Информатика 9. Билеты & Ответы

Информатика 9. Билеты & Ответы Информатика 9. Билеты & Ответы Билет 1 1. Понятие информации. Виды информации. Роль информации в живой природе и в жизни людей. Язык как способ представления информации: естественные и формальные языки.

Подробнее

Acronis Disk Director 11 Home. Руководство пользователя

Acronis Disk Director 11 Home. Руководство пользователя Acronis Disk Director 11 Home Руководство пользователя Acronis, 2000 2010. Все права защищены. Acronis, Acronis Compute with Confidence, Acronis Recovery Manager, Зона безопасности Acronis, Acronis True

Подробнее

Информационная система как объект защиты

Информационная система как объект защиты Глава 2 Информационная система как объект защиты В этой главе: Что такое информационная система ИС всякие нужны, ИС всякие важны Разработка и производство информационных систем Структура ИС и принципы

Подробнее

Содержание. Страница. V.A.G. 1552 - Руководство по эксплуатации Страница - 1 -

Содержание. Страница. V.A.G. 1552 - Руководство по эксплуатации Страница - 1 - Содержание Страница 1. Состав оборудования. 3 2. Для чего необходима новая диагностическая система? 4 3. Что означает понятие «самодиагностика»? 5 4. Что собой представляет система бортовой электроники

Подробнее

Приложение 3. Работа с LMS на основе MOODLE

Приложение 3. Работа с LMS на основе MOODLE П3.6. Подготовка тестов Это один из наиболее важных элементов создания курса, поэтому он вынесен в отдельный раздел. Преподаватель может создавать в своем курсе тесты, состоящие из вопросов различного

Подробнее

Ðàçðàáîòêà êðàñèâûõ ñòðàíèö

Ðàçðàáîòêà êðàñèâûõ ñòðàíèö Ãëàâà 2 Ðàçðàáîòêà êðàñèâûõ ñòðàíèö В этой главе... Внешний вид страницы Три главных принципа веб-дизайна Ошибки дизайна, которых следует избегать Безнаказанное нарушение правил Использование таблиц и

Подробнее

FossDoc: Построй свою систему сам 2012 г. 2012 г.

FossDoc: Построй свою систему сам 2012 г. 2012 г. FossDoc: Построй свою систему сам 2012 г. 2012 ООО "Предприятие ФОСС-Он-Лайн". Все права защищены. Без письменного разрешения ФОСС-Он-Лайн никакая часть данной документации не может быть воспроизведена

Подробнее

ЧТО МОЖЕТ ВАШ ТЕЛЕФОН

ЧТО МОЖЕТ ВАШ ТЕЛЕФОН ЧТО МОЖЕТ ВАШ ТЕЛЕФОН БАЗОВЫЕ ФУНКЦИИ ОФИСНОЙ ТЕЛЕФОНИИ ОТ AVAYA ИНТЕЛЛЕКТУАЛЬНЫЕ КОММУНИКАЦИИ СОВРЕМЕННОГО ПРЕДПРИЯТИЯ Наши любимые функции Введение Казалось бы, что может быть нового рассказано об устройстве,

Подробнее

Анализ основной причины

Анализ основной причины Анализ основной причины Упрощенные инструменты и методы Бьерн Андерсен Том Фагерхоуд ASQ Quality Press Милуоки, Висконсин Root Cause Analysis - Simplified Tools and Techniques 2 Введение "Вам нравится

Подробнее

Генераторы сигналов от А до Я. Учебное пособие

Генераторы сигналов от А до Я. Учебное пособие Содержание Полная измерительная система... 3 Генератор сигналов... 4 Аналоговый или цифровой... 5 Основные применения генератора сигналов... 6 Проверка...6 Тестирование цифровых модульных передатчиков

Подробнее

ООО «Д и м р у с» Реле контроля состояния изоляции КРУ IDR-10. Руководство по эксплуатации. г. Пермь

ООО «Д и м р у с» Реле контроля состояния изоляции КРУ IDR-10. Руководство по эксплуатации. г. Пермь ООО «Д и м р у с» Реле контроля состояния изоляции КРУ IDR-10 г. Пермь Оглавление 1. Введение... 3 1.1. Назначение... 3 1.2. Описание прибора «IDR-10»... 4 1.2.1. Технические характеристики прибора...

Подробнее

Проект Тасис по распространению технической информации (ПРТИ) tdp2@pophost.eunet.be

Проект Тасис по распространению технической информации (ПРТИ) tdp2@pophost.eunet.be Проект Тасис по распространению технической информации (ПРТИ) tdp2@pophost.eunet.be Вниманию пользователей: документация, подготовленная ПРТИ, предназначена для использования только в качестве информационных

Подробнее

12 КРИТЕРИЕВ ВЫБОРА ОСЦИЛЛОГРАФА

12 КРИТЕРИЕВ ВЫБОРА ОСЦИЛЛОГРАФА 12 КРИТЕРИЕВ ВЫБОРА ОСЦИЛЛОГРАФА 2 12 критериев выбора осциллографа В этом кратком руководстве описаны наиболее важные критерии, которые надо учитывать при выборе нового осциллографа. Если вам нужен осциллограф

Подробнее

ИНСТРУКЦИЯ ДЛЯ АВТОРОВ ПО РАБОТЕ В СИСТЕМЕ SCIENCE INDEX

ИНСТРУКЦИЯ ДЛЯ АВТОРОВ ПО РАБОТЕ В СИСТЕМЕ SCIENCE INDEX ИНСТРУКЦИЯ ДЛЯ АВТОРОВ ПО РАБОТЕ В СИСТЕМЕ SCIENCE INDEX Данная инструкция предназначена для авторов научных публикаций, входящих в базу данных Российского индекса научного цитирования (РИНЦ). В инструкции

Подробнее

ЧАСТЬ 1. Уроки с 1-5

ЧАСТЬ 1. Уроки с 1-5 Помоги себе сам»: подсказки для начинающего пользователя ЧАСТЬ 1 Уроки с 1-5 Подсказки для начинающи х Оглавление Урок 1 Знакомство с компьютером... 3 Урок 2 Работа с папками и файлами компьютера... 18

Подробнее

КАК РЕШАТЬ ЗАДАЧИ ПО ТЕОРЕТИЧЕСКОЙ МЕХАНИКЕ

КАК РЕШАТЬ ЗАДАЧИ ПО ТЕОРЕТИЧЕСКОЙ МЕХАНИКЕ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Государственное образовательное учреждение высшего профессионального образования «Нижегородский государственный университет им. Н.И. Лобачевского»

Подробнее

ОРГАНИЗАЦИЯ ОПЫТНО- КОНСТРУКТОРСКИХ РАБОТ И УПРАВЛЕНИЕ ИМИ

ОРГАНИЗАЦИЯ ОПЫТНО- КОНСТРУКТОРСКИХ РАБОТ И УПРАВЛЕНИЕ ИМИ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Государственное образовательное учреждение высшего профессионального образования МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «МАМИ» Г. Б. ШИПИЛЕВСКИЙ

Подробнее

Разработка более сложной формы (прием товаров)

Разработка более сложной формы (прием товаров) Глава 5 Разработка более сложной формы (прием товаров) В этой главе мы рассмотрим технологию создания более сложных форм на примере формы, предназначенной для оформления приема товаров. В качестве источника

Подробнее

Руководство по эксплуатации Nokia Lumia 1520

Руководство по эксплуатации Nokia Lumia 1520 Руководство по эксплуатации Nokia Lumia 1520 Выпуск 2.0 RU Тсс... Это руководство еще не все, что имеется... В телефоне есть руководство, которое всегда с Вами и доступно при необходимости. Проведите влево

Подробнее

Архитектура и работа с данными «1C:Предприятия 8.2»

Архитектура и работа с данными «1C:Предприятия 8.2» М. Г. Радченко Е. Ю.Хрусталева Архитектура и работа с данными «1C:Предприятия 8.2» Москва 2011 УДК 658.012.011.56:004.42 ББК 65.29 Р15 Р15 Радченко М. Г. Архитектура и работа с данными «1С:Предприятия

Подробнее

Пробники от А до Я. Учебное пособие

Пробники от А до Я. Учебное пособие Пробники от А до Я Учебное пособие Учебное пособие Селектор пробников Tektronix Этот онлайновый интерактивный инструмент позволяет выбирать пробники по серии, модели или по стандартам/ приложениям путем

Подробнее

Организация дистанционного обучения в системе «MOODLE»

Организация дистанционного обучения в системе «MOODLE» МИНСКИЙ ГОРОДСКОЙ ИНСТИТУТ РАЗВИТИЯ ОБРАЗОВАНИЯ ЦЕНТР ИНФОРМАЦИОННЫХ РЕСУРСОВ СИСТЕМЫ ОБРАЗОВАНИЯ ОТДЕЛ ТЕХНИЧЕСКИХ СРЕДСТВ ОБУЧЕНИЯ И ДИСТАНЦИОННОГО ОБРАЗОВАНИЯ Организация дистанционного обучения в системе

Подробнее

Содержание Введение 4 1.Надежное программное средство как продукт технологии программирования. 5 1.1. Программа как формализованное описание процесса

Содержание Введение 4 1.Надежное программное средство как продукт технологии программирования. 5 1.1. Программа как формализованное описание процесса Содержание Введение 4 1.Надежное программное средство как продукт технологии программирования. 5 1.1. Программа как формализованное описание процесса обработки данных. 5 1.2. Понятие правильной программы.

Подробнее

Система контроля и управления доступом «Сфинкс».

Система контроля и управления доступом «Сфинкс». Система контроля и управления доступом «Сфинкс». Руководство администратора ООО «Промышленная автоматика контроль доступа», г. Н. Новгород, 2014 г. Оглавление 1. Введение.... 3 2. Используемые определения,

Подробнее