Криминалистическая экспертиза мобильных устройств

Восстановление доказательств с мобильных устройств

Судебно-медицинский эксперт осматривает мобильное устройство, изъятое в ходе расследования

Криминалистика мобильных устройств — это раздел цифровой криминалистики, занимающийся восстановлением цифровых доказательств или данных с мобильного устройства в условиях, соответствующих требованиям криминалистики . Термин «мобильное устройство» обычно относится к мобильным телефонам ; однако он также может относиться к любому цифровому устройству, имеющему как внутреннюю память, так и возможность коммуникации , включая КПК , GPS- устройства и планшетные компьютеры .

Некоторые мобильные компании пытались скопировать модель телефонов, что является незаконным. Поэтому мы видим так много новых моделей, появляющихся каждый год, что является шагом вперед к следующим поколениям. Процесс клонирования мобильных телефонов/устройств в преступных целях был широко признан в течение нескольких лет, но судебно-медицинская экспертиза мобильных устройств является относительно новой областью, датируемой концом 1990-х и началом 2000-х годов. Распространение телефонов (особенно смартфонов ) и других цифровых устройств на потребительском рынке вызвало спрос на судебно-медицинскую экспертизу устройств, который не мог быть удовлетворен существующими методами компьютерной криминалистики . ^[1]

Мобильные устройства могут использоваться для сохранения нескольких типов личной информации, таких как контакты, фотографии, календари и заметки, SMS и MMS сообщения. Смартфоны могут дополнительно содержать видео, электронную почту, информацию о просмотре веб-страниц, информацию о местоположении , а также сообщения и контакты социальных сетей.

Потребность в мобильной криминалистике растет по ряду причин, вот некоторые из основных причин:

• Использование мобильных телефонов для хранения и передачи личной и корпоративной информации
• Использование мобильных телефонов в онлайн-транзакциях
• Правоохранительные органы, преступники и мобильные телефоны ^[2]

Криминалистическая экспертиза мобильных устройств может быть особенно сложной по ряду причин: ^[3]

Существуют доказательные и технические проблемы. Например, анализ сотовой связи, вытекающий из использования покрытия использования мобильного телефона, не является точной наукой. Следовательно, хотя можно приблизительно определить зону сотовой связи, из которой был сделан или получен звонок, пока еще невозможно сказать с какой-либо степенью уверенности, что звонок по мобильному телефону исходил из определенного места, например, из жилого адреса.

• Чтобы оставаться конкурентоспособными, производители оригинального оборудования часто меняют форм-факторы мобильных телефонов , структуры файлов операционной системы , хранилища данных, сервисы, периферийные устройства и даже штыревые разъемы и кабели. В результате эксперты-криминалисты должны использовать другой процесс судебной экспертизы по сравнению с компьютерной криминалистикой .
• Емкость запоминающих устройств продолжает расти благодаря спросу на более мощные устройства типа «мини-компьютер». ^[4]
• Постоянно меняются не только типы данных, но и способы использования мобильных устройств.
• Режим гибернации, при котором процессы приостанавливаются, когда устройство выключено или находится в режиме ожидания, но в то же время остаются активными. ^[2]

В результате этих проблем существует широкий спектр инструментов для извлечения доказательств из мобильных устройств; ни один инструмент или метод не может получить все доказательства со всех устройств. Поэтому рекомендуется, чтобы судебные эксперты, особенно те, которые хотят получить квалификацию в качестве экспертов-свидетелей в суде, прошли обширную подготовку, чтобы понять, как каждый инструмент и метод получает доказательства; как они поддерживают стандарты судебной надежности; и как они соответствуют юридическим требованиям, таким как стандарт Доберта или стандарт Фрая .

История

Как область изучения, судебная экспертиза мобильных устройств датируется концом 1990-х и началом 2000-х годов. Роль мобильных телефонов в преступности давно была признана правоохранительными органами. С ростом доступности таких устройств на потребительском рынке и более широким спектром поддерживаемых ими коммуникационных платформ (например, электронная почта, просмотр веб-страниц) спрос на судебную экспертизу вырос. ^[1]

Ранние попытки исследовать мобильные устройства использовали методы, похожие на первые компьютерные криминалистические расследования: анализ содержимого телефона непосредственно через экран и фотографирование важного контента. ^[1] Однако это оказалось трудоемким процессом, и по мере того, как количество мобильных устройств начало расти, следователи потребовали более эффективных средств извлечения данных. Предприимчивые мобильные криминалисты иногда использовали программное обеспечение для синхронизации сотовых телефонов или КПК, чтобы «резервировать» данные устройства на криминалистическом компьютере для создания изображений, или иногда просто проводили компьютерную криминалистику на жестком диске подозреваемого компьютера, где данные были синхронизированы. Однако этот тип программного обеспечения мог записывать на телефон, а также читать его, и не мог извлекать удаленные данные. ^[5]

Некоторые эксперты-криминалисты обнаружили, что они могут извлекать даже удаленные данные с помощью коробок «флэшер» или «твистер» — инструментов, разработанных OEM-производителями для «прошивки» памяти телефона для отладки или обновления. Однако коробки-флэшеры являются инвазивными и могут изменять данные; могут быть сложными в использовании; и, поскольку они не разрабатывались как криминалистические инструменты, не выполняют ни проверки хэшей, ни (в большинстве случаев) контрольных журналов. ^[6] Поэтому для физических криминалистических экспертиз по-прежнему необходимы лучшие альтернативы.

Чтобы удовлетворить эти требования, появились коммерческие инструменты, которые позволили экспертам восстанавливать память телефона с минимальными помехами и анализировать ее отдельно. ^[1] Со временем эти коммерческие методы получили дальнейшее развитие, и восстановление удаленных данных с фирменных мобильных устройств стало возможным с помощью некоторых специализированных инструментов. Более того, коммерческие инструменты даже автоматизировали большую часть процесса извлечения, что позволило даже минимально обученным сотрудникам службы быстрого реагирования, которые в настоящее время с гораздо большей вероятностью столкнутся с подозреваемыми с мобильными устройствами в своем распоряжении, чем с компьютерами, выполнять базовые извлечения для целей сортировки и предварительного просмотра данных.

Профессиональные приложения

Криминалистическая экспертиза мобильных устройств наиболее известна своим применением в расследованиях, проводимых правоохранительными органами, но она также полезна для военной разведки , корпоративных расследований, частных расследований , уголовной и гражданской обороны , а также для обнаружения электронных данных .

Виды доказательств

По мере развития технологий мобильных устройств количество и типы данных, которые можно найти на мобильном устройстве, постоянно увеличиваются. Доказательства, которые потенциально можно восстановить с мобильного телефона, могут поступать из нескольких различных источников, включая память телефона, SIM-карту и подключенные карты памяти, такие как SD- карты.

Традиционно криминалистика мобильных телефонов была связана с восстановлением SMS и MMS сообщений, а также журналов вызовов, списков контактов и информации IMEI / ESN телефона. Однако новые поколения смартфонов также включают более широкий спектр информации; от просмотра веб-страниц, настроек беспроводной сети , информации о геолокации (включая геотеги, содержащиеся в метаданных изображений ), электронной почты и других форм богатых интернет-медиа, включая важные данные, такие как сообщения и контакты социальных сетей , которые теперь хранятся в «приложениях» смартфона. ^[7]

Внутренняя память

В настоящее время для мобильных устройств в основном используется флэш-память, состоящая из типов NAND или NOR. ^[8]

Внешняя память

Внешние запоминающие устройства — это SIM- карты, SD -карты (обычно встречаются в устройствах GPS, а также в мобильных телефонах), MMC- карты, CF- карты и карты памяти Memory Stick .

Журналы поставщика услуг

Хотя технически это не часть криминалистики мобильных устройств, записи о звонках (а иногда и текстовые сообщения) от беспроводных операторов часто служат «резервными» доказательствами, полученными после изъятия мобильного телефона. Они полезны, когда история звонков и/или текстовые сообщения были удалены с телефона или когда не включены службы определения местоположения . Записи о звонках и дампы сотовых станций (вышек) могут показать местоположение владельца телефона, а также были ли они неподвижны или двигались (т. е. отражался ли сигнал телефона от одной и той же стороны одной вышки или от разных сторон нескольких вышек по определенному маршруту движения). ^[9] Данные оператора и данные об устройстве вместе могут использоваться для подтверждения информации из других источников, например, записей видеонаблюдения или показаний очевидцев; или для определения общего местоположения, где было снято негеотегированное изображение или видео.

Европейский союз требует от своих стран-членов сохранять определенные данные телекоммуникаций для использования в расследованиях. Это включает данные о сделанных и полученных звонках. Местоположение мобильного телефона может быть определено, и эти географические данные также должны быть сохранены. Однако в Соединенных Штатах такого требования не существует, и никакие стандарты не регламентируют, как долго операторы должны хранить данные или даже то, что они должны хранить. Например, текстовые сообщения могут храниться только в течение недели или двух, в то время как журналы вызовов могут храниться от нескольких недель до нескольких месяцев. Чтобы снизить риск потери доказательств, сотрудники правоохранительных органов должны направить оператору письмо о сохранении, которое они затем должны подкрепить ордером на обыск . ^[9]

Судебно-медицинский процесс

Процесс судебной экспертизы мобильных устройств в целом соответствует другим ветвям цифровой судебной экспертизы; однако, существуют некоторые особые опасения. В целом, процесс можно разбить на три основные категории: изъятие, приобретение и экспертиза/анализ. Другие аспекты процесса компьютерной судебной экспертизы, такие как прием, проверка, документирование/отчетность и архивирование, по-прежнему применяются. ^[3]

Захват

Изъятие мобильных устройств подпадает под те же правовые положения, что и другие цифровые носители. Мобильные устройства часто изымаются во включенном состоянии; поскольку целью изъятия является сохранение доказательств, устройство часто транспортируется в том же состоянии, чтобы избежать выключения, которое изменило бы файлы. ^[10] Кроме того, следователь или первый спасатель рискуют активировать блокировку пользователя.

Однако, если оставить телефон включенным, это несет в себе другой риск: устройство все еще может устанавливать сетевое/сотовое соединение. Это может привести к появлению новых данных, перезаписывая улики. Чтобы предотвратить соединение, мобильные устройства часто перевозят и исследуют из клетки Фарадея (или сумки). Тем не менее, у этого метода есть два недостатка. Во-первых, большинство сумок делают устройство непригодным для использования, так как его сенсорный экран или клавиатура не могут быть использованы. Однако можно приобрести специальные клетки, которые позволяют использовать устройство с прозрачным стеклом и специальными перчатками. Преимуществом этого варианта является возможность также подключаться к другому криминалистическому оборудованию, блокируя сетевое соединение, а также заряжать устройство. Если этот вариант недоступен, рекомендуется изолировать сеть, либо переведя устройство в режим полета , либо клонировав его SIM-карту (метод, который также может быть полезен, когда на устройстве полностью отсутствует SIM-карта). ^[3]

Следует отметить, что хотя этот метод может предотвратить запуск удаленного стирания (или несанкционированного доступа) к устройству, он не защищает от локальной функции «мертвеца» .

Приобретение

iPhone в защитном чехле от радиочастот

RTL Aceso, подразделение по приобретению мобильных устройств

Вторым шагом в процессе судебной экспертизы является получение , в данном случае обычно относящееся к извлечению материала из устройства (по сравнению с побитовым копированием изображения, используемым в компьютерной криминалистике). ^[10]

Из-за фирменной природы мобильных телефонов часто невозможно получить данные, когда они выключены; большинство мобильных устройств получают данные в режиме реального времени. С более продвинутыми смартфонами, использующими расширенное управление памятью, подключение их к зарядному устройству и помещение в клетку Фарадея может быть не очень хорошей практикой. Мобильное устройство распознает отключение сети и, следовательно, изменит информацию о своем состоянии, что может привести к тому, что менеджер памяти запишет данные. ^[11]

Большинство инструментов сбора данных для мобильных устройств носят коммерческий характер и состоят из аппаратного и программного обеспечения, часто автоматизированного.

Обследование и анализ

Поскольку все большее число мобильных устройств используют файловые системы высокого уровня , аналогичные файловым системам компьютеров, методы и инструменты могут быть заимствованы из криминалистической экспертизы жестких дисков или потребуют лишь незначительных изменений. ^[12]

Файловая система FAT обычно используется в памяти NAND . ^[13] Отличием является используемый размер блока , который для жестких дисков больше 512 байт и зависит от используемого типа памяти, например, тип NOR 64, 128, 256 и память NAND 16, 128, 256 или 512 килобайт .

Различные программные средства могут извлекать данные из образа памяти. Можно использовать специализированные и автоматизированные криминалистические программные продукты или общие просмотрщики файлов, такие как любой шестнадцатеричный редактор, для поиска характеристик заголовков файлов. Преимущество шестнадцатеричного редактора заключается в более глубоком понимании управления памятью, но работа с шестнадцатеричным редактором означает много ручной работы и знания файловой системы, а также заголовков файлов. Напротив, специализированное криминалистическое программное обеспечение упрощает поиск и извлекает данные, но может не найти все. AccessData , Sleuthkit , ESI Analyst и EnCase , если упомянуть только некоторые, являются криминалистическими программными продуктами для анализа образов памяти. ^[14] Поскольку не существует инструмента, который извлекает всю возможную информацию, рекомендуется использовать два или более инструментов для проверки. В настоящее время (февраль 2010 г.) нет программного решения для получения всех доказательств из флэш-памяти. ^[8]

Типы сбора данных

Извлечение данных с мобильных устройств можно классифицировать в соответствии с континуумом, в соответствии с которым методы становятся более техничными и «криминалистически обоснованными», инструменты становятся более дорогими, анализ занимает больше времени, экспертам требуется больше обучения, а некоторые методы могут даже стать более инвазивными. ^[15]

Ручное приобретение

Эксперт использует пользовательский интерфейс для исследования содержимого памяти телефона. Таким образом, устройство используется как обычно, а эксперт фотографирует содержимое каждого экрана. Этот метод имеет преимущество в том, что операционная система делает ненужным использование специализированных инструментов или оборудования для преобразования необработанных данных в интерпретируемую человеком информацию. На практике этот метод применяется к сотовым телефонам, КПК и навигационным системам . ^[16] Недостатки в том, что можно восстановить только данные, видимые операционной системе; что все данные доступны только в виде изображений; и сам процесс занимает много времени.

Логическое приобретение

Логическое извлечение подразумевает побитовое копирование объектов логического хранилища (например, каталогов и файлов), которые находятся на логическом хранилище (например, в разделе файловой системы). Логическое извлечение имеет то преимущество, что системные структуры данных легче извлекать и организовывать инструменту. Логическое извлечение извлекает информацию из устройства с помощью интерфейса прикладного программирования производителя оригинального оборудования для синхронизации содержимого телефона с персональным компьютером . С логическим извлечением, как правило, проще работать, поскольку оно не создает большой двоичный блок . Однако опытный судебный эксперт сможет извлечь гораздо больше информации из физического извлечения.

Получение файловой системы

Логическое извлечение обычно не приводит к удалению информации, поскольку она обычно удаляется из файловой системы телефона. Однако в некоторых случаях — особенно с платформами, построенными на SQLite , такими как iOS и Android — телефон может хранить файл базы данных информации, который не перезаписывает информацию, а просто помечает ее как удаленную и доступную для последующей перезаписи. В таких случаях, если устройство разрешает доступ к файловой системе через свой интерфейс синхронизации, можно восстановить удаленную информацию. Извлечение файловой системы полезно для понимания структуры файла, истории просмотра веб-страниц или использования приложений, а также предоставляет эксперту возможность выполнять анализ с помощью традиционных инструментов компьютерной криминалистики. ^[17]

Физическое приобретение

Физическое получение подразумевает побитовую копию всего физического хранилища (например, флэш-памяти ); поэтому этот метод наиболее похож на исследование персонального компьютера . Физическое получение имеет то преимущество, что позволяет исследовать удаленные файлы и остатки данных. Физическое извлечение извлекает информацию из устройства путем прямого доступа к флэш-памяти.

Обычно этого сложнее достичь, поскольку производитель оригинального оборудования устройства должен защититься от произвольного чтения памяти; поэтому устройство может быть заблокировано для определенного оператора. Чтобы обойти эту защиту, поставщики инструментов для криминалистики мобильных устройств часто разрабатывают собственные загрузчики , позволяющие инструменту для криминалистики получать доступ к памяти (и часто также обходить пароли пользователей или блокировки шаблонов). ^[18]

Обычно физическое извлечение делится на два этапа: фазу сброса и фазу декодирования.

Получение методом грубой силы

Получение методом подбора пароля может быть выполнено с помощью сторонних инструментов подбора пароля, которые отправляют серию паролей/кодов на мобильное устройство. ^[19] Атака методом подбора пароля — это трудоемкий, но тем не менее эффективный метод. Этот метод использует метод проб и ошибок для создания правильной комбинации пароля или PIN-кода для аутентификации доступа к мобильному устройству. Несмотря на то, что этот процесс занимает много времени, это по-прежнему один из лучших методов, который можно использовать, если судебный эксперт не может получить пароль. С текущим доступным программным и аппаратным обеспечением стало довольно легко взломать шифрование файла паролей мобильного устройства, чтобы получить пароль. ^[20] После выпуска iPhone5 стали публичными два производителя: ^[21] Cellebrite и GrayShift . Эти производители предназначены для правоохранительных органов и полицейских управлений. Устройство Cellebrite UFED Ultimate ^[22] стоит более 40 000 долларов США, а система Grayshifts стоит 15 000 долларов. ^[23] Инструменты для подбора пароля подключаются к устройству и физически отправляют коды на устройства iOS, начиная с 0000 до 9999, последовательно, пока не будет успешно введен правильный код. После успешного ввода кода предоставляется полный доступ к устройству и можно начинать извлечение данных.

Инструменты

Ранние расследования состояли из ручного анализа мобильных устройств в реальном времени; эксперты фотографировали или записывали полезный материал для использования в качестве доказательств. Без оборудования для судебной фотографии, такого как Fernico ZRT, EDEC Eclipse или Project-a-Phone, это имело недостаток, заключающийся в риске изменения содержимого устройства, а также в том, что многие части фирменной операционной системы оставались недоступными.

В последние годы появилось множество аппаратных и программных средств для извлечения логических и физических доказательств с мобильных устройств. Большинство средств состоят из аппаратных и программных частей. Аппаратное обеспечение включает в себя ряд кабелей для подключения мобильного устройства к машине для сбора данных; программное обеспечение существует для извлечения доказательств и, иногда, даже для их анализа.

Совсем недавно были разработаны инструменты для криминалистической экспертизы мобильных устройств для полевых работ. Это является ответом как на потребность военных подразделений в быстрой и точной антитеррористической разведке, так и на потребность правоохранительных органов в возможностях криминалистического предварительного просмотра на месте преступления, при выполнении ордера на обыск или в экстренных обстоятельствах. Такие мобильные инструменты для криминалистической экспертизы часто имеют прочную конструкцию для суровых условий (например, поле боя) и грубого обращения (например, падения или погружения в воду). ^[24]

В целом, поскольку ни один инструмент не может охватить все улики со всех мобильных устройств, специалисты по мобильной криминалистике рекомендуют экспертам создавать целые наборы инструментов, состоящие из смеси коммерческих, открытых, широко и узкопрофильных криминалистических инструментов, а также таких аксессуаров, как зарядные устройства для аккумуляторов, мешки Фарадея или другое оборудование для нарушения сигнала и т. д. ^[25]

Коммерческие криминалистические инструменты

Некоторые текущие инструменты включают Belkasoft Evidence Center, Cellebrite UFED , Oxygen Forensic Detective, Elcomsoft Mobile Forensic Bundle, Susteen Secure View, MOBILEdit Forensic Express и Micro Systemation XRY .

Некоторые инструменты были дополнительно разработаны для решения проблемы растущего криминального использования телефонов, произведенных с китайскими чипсетами, включая MediaTek (MTK), Spreadtrum и MStar . Такие инструменты включают CHINEX от Cellebrite и XRY PinPoint .

С открытым исходным кодом

Большинство инструментов для криминалистики мобильных устройств с открытым исходным кодом являются платформенно-зависимыми и ориентированы на анализ смартфонов. Хотя изначально BitPim не был разработан как инструмент для криминалистики, он широко использовался на телефонах CDMA, а также на LG VX4400/VX6000 и многих сотовых телефонах Sanyo Sprint. ^[26]

Физические инструменты

Судебная распайка

Обычно называемый в отрасли методом «Chip-Off», последний и наиболее интрузивный метод получения образа памяти — это отпайка энергонезависимой микросхемы памяти и подключение ее к считывателю микросхем памяти. Этот метод несет в себе потенциальную опасность полного уничтожения данных: возможно уничтожение микросхемы и ее содержимого из-за тепла, необходимого для отпайки. До изобретения технологии BGA можно было прикреплять зонды к контактам микросхемы памяти и восстанавливать память через эти зонды. Технология BGA прикрепляет микросхемы непосредственно к печатной плате через расплавленные шарики припоя , так что прикрепить зонды больше невозможно.

Влага в этой плате превратилась в пар, когда она подверглась сильному нагреву. Это создает так называемый «эффект попкорна».

Отпайка чипов производится осторожно и медленно, чтобы тепло не разрушило чип или данные. Перед отпайкой чипа печатная плата запекается в печи для удаления оставшейся воды. Это предотвращает так называемый эффект попкорна, при котором оставшаяся вода может взорвать корпус чипа при отпайке.

В основном существует три метода расплавления припоя: горячий воздух, инфракрасный свет и паровая фазировка. Технология инфракрасного света работает с сфокусированным инфракрасным световым лучом на определенной интегральной схеме и используется для небольших чипов. Методы горячего воздуха и пара не могут фокусироваться так же хорошо, как инфракрасная техника.

Реболлинг чипа

После отпайки чипа процесс реболлинга очищает чип и добавляет к нему новые оловянные шарики. Реболлинг может быть выполнен двумя различными способами.

• Первый способ — использовать трафарет. Трафарет зависит от чипа и должен точно подходить. Затем на трафарет наносится оловянный припой. После остывания олова трафарет снимается и при необходимости выполняется второй этап очистки.
• Второй метод — лазерный реболлинг. ^{[27] [28]} Здесь трафарет программируется в блоке реболлинга. В бондовую головку (выглядит как трубка/игла) автоматически загружается один оловянный шарик из ванны для разделения шариков припоя. Затем шарик нагревается лазером, так что шарик оловянного припоя становится жидким и стекает на очищенный чип. Сразу после расплавления шарика лазер выключается, и в бондовую головку падает новый шарик. Во время перезагрузки бондовая головка блока реболлинга меняет положение на следующий штифт.

Третий метод делает весь процесс реболлинга ненужным. Чип подключается к адаптеру с помощью Y-образных пружин или пружинных штифтов pogo . Для создания электрического соединения пружинам в форме Y необходимо иметь шарик на штифте, но штифты pogo можно использовать непосредственно на контактных площадках чипа без шариков. ^{[11] [12]}

Преимущество судебной демонтажной экспертизы заключается в том, что устройство не обязательно должно быть функциональным, и можно сделать копию без каких-либо изменений в исходных данных. Недостатком является то, что устройства для реболлинга дороги, поэтому этот процесс очень затратен и есть некоторые риски полной потери данных. Следовательно, судебно-медицинская демонтажная экспертиза должна проводиться только опытными лабораториями. ^[13]

JTAG

Существующие стандартизированные интерфейсы для считывания данных встроены в несколько мобильных устройств, например, для получения данных о местоположении от оборудования GPS ( NMEA ) или для получения информации о замедлении от блоков подушек безопасности. ^[16]

Не все мобильные устройства предоставляют такой стандартизированный интерфейс, и не существует стандартного интерфейса для всех мобильных устройств, но у всех производителей есть одна общая проблема. Миниатюризация частей устройства открывает вопрос о том, как автоматически тестировать функциональность и качество спаянных интегрированных компонентов. Для решения этой проблемы отраслевая группа Joint Test Action Group (JTAG) разработала технологию тестирования, называемую граничным сканированием .

Несмотря на стандартизацию, перед использованием интерфейса устройства JTAG для восстановления памяти необходимо выполнить четыре задачи. Чтобы найти правильные биты в регистре граничного сканирования, необходимо знать, какие схемы процессора и памяти используются и как они подключены к системной шине. Если нет доступа извне, необходимо найти контрольные точки для интерфейса JTAG на печатной плате и определить, какая контрольная точка используется для какого сигнала. Порт JTAG не всегда припаян к разъемам, поэтому иногда необходимо открыть устройство и перепаять порт доступа. ^[12] Необходимо знать протокол чтения памяти и, наконец, необходимо определить правильное напряжение, чтобы предотвратить повреждение схемы. ^[11]

Сканирование границ создает полный криминалистический образ энергозависимой и энергонезависимой памяти . Риск изменения данных сведен к минимуму, и чип памяти не нужно отпаивать . Генерация образа может быть медленной, и не все мобильные устройства поддерживают JTAG. Кроме того, может быть сложно найти порт тестового доступа. ^[13]

Инструменты командной строки

Системные команды

Мобильные устройства не предоставляют возможности запуска или загрузки с компакт-диска , подключения к сетевому ресурсу или другому устройству с чистыми инструментами. Поэтому системные команды могут быть единственным способом сохранения энергозависимой памяти мобильного устройства. С учетом риска изменения системных команд необходимо оценить, действительно ли энергозависимая память важна. Похожая проблема возникает, когда сетевое подключение отсутствует и к мобильному устройству не может быть подключена вторичная память, поскольку образ энергозависимой памяти должен быть сохранен во внутренней энергонезависимой памяти , где хранятся пользовательские данные, и, скорее всего, удаленные важные данные будут потеряны. Системные команды являются самым дешевым методом, но подразумевают некоторые риски потери данных. Каждое использование команды с параметрами и выводом должно быть задокументировано.

AT-команды

Команды AT являются старыми командами модема , например, набор команд Hayes и команды AT телефона Motorola, и поэтому могут использоваться только на устройстве с поддержкой модема. Используя эти команды, можно получить информацию только через операционную систему , так что никакие удаленные данные не могут быть извлечены. ^[11]

дд

Для внешней памяти и USB-флеш-накопителя необходимо соответствующее программное обеспечение, например, команда Unix dd , чтобы сделать копию на уровне битов. Кроме того, USB-флеш-накопители с защитой памяти не требуют специального оборудования и могут быть подключены к любому компьютеру. Многие USB-накопители и карты памяти имеют переключатель блокировки записи, который можно использовать для предотвращения изменения данных при копировании.

Если на USB-накопителе нет защитного переключателя, можно использовать блокиратор для установки накопителя в режим только для чтения или, в исключительном случае, можно отпаять чип памяти. Для копирования SIM-карты и карты памяти требуется устройство чтения карт . ^[29] SIM-карта тщательно анализируется, так что можно восстановить (удалить) данные, такие как контакты или текстовые сообщения. ^[11]

Операционная система Android включает команду dd. В сообщении в блоге о методах криминалистики Android демонстрируется метод создания образа Android-устройства в реальном времени с помощью команды dd. ^[30]

Некриминалистические коммерческие инструменты

Инструменты Flasher

Инструмент для прошивки — это программируемое оборудование и/или программное обеспечение, которое может использоваться для программирования (прошивки) памяти устройства, например, EEPROM или флэш-памяти . Эти инструменты в основном поставляются производителем или сервисными центрами для отладки, ремонта или обновления услуг. Они могут перезаписывать энергонезависимую память, а некоторые, в зависимости от производителя или устройства, могут также считывать память, чтобы сделать копию, изначально предназначенную для резервного копирования. Память может быть защищена от чтения, например, с помощью программной команды или разрушения предохранителей в считывающей цепи. ^[31]

Обратите внимание, что это не помешает записи или использованию памяти внутри ЦП . Инструменты для прошивки просты в подключении и использовании, но некоторые из них могут изменять данные и имеют другие опасные опции или не делают полную копию. ^[12]

Споры

В целом не существует стандарта для того, что составляет поддерживаемое устройство в конкретном продукте. Это привело к ситуации, когда разные поставщики определяют поддерживаемое устройство по-разному. Такая ситуация значительно затрудняет сравнение продуктов на основе предоставленных поставщиком списков поддерживаемых устройств. Например, устройство, где логическое извлечение с использованием одного продукта дает только список вызовов, сделанных устройством, может быть указано как поддерживаемое этим поставщиком, в то время как другой поставщик может предоставить гораздо больше информации.

Более того, разные продукты извлекают разное количество информации из разных устройств. Это приводит к очень сложной картине при попытке обзора продуктов. В целом это приводит к ситуации, когда настоятельно рекомендуется тщательное тестирование продукта перед покупкой. Довольно распространено использование как минимум двух продуктов, которые дополняют друг друга.

Технология мобильных телефонов развивается быстрыми темпами. Цифровая криминалистика, связанная с мобильными устройствами, кажется, стоит на месте или развивается медленно. Для того, чтобы криминалистика мобильных телефонов могла догнать циклы выпуска мобильных телефонов, необходимо разработать более всеобъемлющую и глубокую структуру для оценки мобильных криминалистических инструментов, а данные о соответствующих инструментах и ​​методах для каждого типа телефонов должны быть доступны своевременно. ^[32]

Анти-криминалистика

Антикомпьютерная криминалистика более сложна из-за небольшого размера устройств и ограниченного доступа пользователя к данным. ^[13] Тем не менее, существуют разработки по защите памяти в аппаратном обеспечении с помощью схем безопасности в ЦП и микросхеме памяти, так что микросхему памяти невозможно прочитать даже после распайки. ^{[33] [34]}

Смотрите также

• Список инструментов цифровой криминалистики
• Портал телефонов

Ссылки

1. Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Elsevier. ISBN 978-0-12-163104-8.
2. Ahmed, Rizwan (2009). «Мобильная криминалистика: Введение с точки зрения индийских правоохранительных органов». Информационные системы, технологии и управление . Коммуникации в области компьютерных и информационных наук. Том 31. С. 173–184. doi :10.1007/978-3-642-00405-6_21. ISBN 978-3-642-00404-9.
3. Мерфи, Синтия. "Извлечение и документирование данных о сотовых телефонах" (PDF) . Получено 4 августа 2013 г.
4. Цукаяма, Хейли (13 июля 2012 г.). «Две трети покупателей мобильных устройств имеют смартфоны». Washington Post . Получено 20 июля 2012 г.
5. [1] Янсен и др. «Преодоление препятствий в криминалистике сотовых телефонов» . Получено 20 июля 2012 г.^{[ постоянная мертвая ссылка ]}
6. Thackray, John. "Flasher Boxes: Back to Basics in Mobile Phone Forensics". Архивировано из оригинала 15 ноября 2012 года . Получено 20 июля 2012 года .
7. Ахмед, Ризван. «Извлечение цифровых доказательств и документирование с мобильных устройств» (PDF) . Получено 2 февраля 2015 г.
8. Сальваторе Фиорилло. Теория и практика криминалистики мобильных устройств с использованием флэш-памяти. Архивировано 14 февраля 2019 г. на Wayback Machine . Theosecurity.com, декабрь 2009 г.
9. Miller, Christa. "The Other Side of Mobile Forensics". Officer.com . Получено 24 июля 2012 г.
10. Wayne, Jansen., & Ayers, Rick. (Май 2007). Руководство по криминалистике сотовых телефонов. Получено с http://www.mislan.com/SSDDFJ/papers/SSDDFJ_V1_1_Breeuwsma_et_al.pdf
11. Willassen, Svein Y. (2006). "Криминалистический анализ внутренней памяти мобильного телефона". IFIP Int. Conf. Digital Forensics . CiteSeerX 10.1.1.101.6742 . 
12. Марсель Бреувсма, Мартиен де Йонг, Курт Клавер, Рональд ван дер Книфф и Марк Рулоффс. (2007). извлечено из Forensic Data Recovery from Flash Memory, архив 2016-10-23 на Wayback Machine . Small l Scale Digital Device Forensics Journal, том 1 (номер 1). Кроме того, многие из этих инструментов стали более искусными в восстановлении пользовательских кодов доступа/паролей без потери пользовательских данных. Примером инструмента, обычно используемого в этой области, является BST Dongle.
13. Рональд ван дер Книфф. (2007). извлечено из 10 веских причин, по которым вам следует переключить внимание на криминалистику малогабаритных цифровых устройств. Архивировано 15 октября 2008 г. на Wayback Machine .
14. Рик Айерс, Уэйн Янсен, Николас Сильерос и Ронан Даниэлоу. (Октябрь 2005 г.). Получено из Cell Phone Forensic Tools: An Overview and Analysis. Национальный институт стандартов и технологий.
15. Бразерс, Сэм. "Классификация инструментов iPhone" (PDF) . Архивировано из оригинала (PDF) 20 октября 2012 г. . Получено 21 июля 2012 г. .
16. Эоган Кейси. Справочник по расследованию компьютерных преступлений – криминалистические инструменты и технологии. Academic Press, 2-е издание, 2003.
17. Генри, Пол. «Быстрый взгляд – Cellebrite UFED с использованием извлечения данных телефона и дампа файловой системы» . Получено 21 июля 2012 г.
18. Вэнс, Кристофер. "Физические приобретения Android с использованием Cellebrite UFED". Архивировано из оригинала 12 августа 2011 г. Получено 21 июля 2012 г.
19. Satish., Bommisetty (2014). Практическая мобильная криминалистика: погрузитесь в мобильную криминалистику на устройствах iOS, Android, Windows и BlackBerry с этим полным действий практическим руководством . Тамма, Рохит., Махалик, Хизер. Бирмингем, Великобритания: Packt Pub. ISBN 9781783288328. OCLC  888036062.
20. Уиттакер, Зак. «За 15 000 долларов GrayKey обещает взломать пароли iPhone для полиции». ZDNet . Получено 2018-07-02 .
21. Уиттакер, Зак. «Утечка файлов раскрывает масштабы технологии взлома телефонов израильской фирмы». ZDNet . Получено 2018-07-02 .
22. "UFED Ultimate". Cellebrite.com .
23. Фокс-Брюстер, Томас. «Таинственный «GrayKey» стоимостью $15 000 обещает разблокировать iPhone X для федералов». Forbes . Получено 2018-07-02 .
24. "Mobile Digital Forensics for the Military". Dell Inc. Получено 21 июля 2012 г.^{[ мертвая ссылка на YouTube ]}
25. Дэниелс, Кит. «Создание набора инструментов для исследования сотовых устройств: основные характеристики оборудования и программного обеспечения». SEARCH Group Inc. {{cite web}}: Отсутствует или пусто |url=( помощь )
26. "The Electronic Evidence Information Center" . Получено 25 июля 2012 г. .
27. Домашняя страница Factronix
28. Видео: Процесс реболлинга
29. "USB Blocker | Endpoint Protector". www.endpointprotector.com . Получено 20.03.2021 .
30. Лорум, Марк (2014-08-10). "Живая визуализация устройства Android" . Получено 3 апреля 2015 г.
31. Том Солт и Родни Дрейк. Патент США 5469557. (1995). Получено из Code protection in microcontroller with EEPROM fuses. Архивировано 2011-06-12 на Wayback Machine
32. Ахмед, Ризван. «Мобильная криминалистика: обзор, инструменты, будущие тенденции и проблемы с точки зрения правоохранительных органов» (PDF) . Архивировано из оригинала (PDF) 3 марта 2016 г. . Получено 2 февраля 2015 г. .
33. Патент на безопасную загрузку
34. Харини Сундаресан. (Июль 2003 г.). Получено из функций безопасности платформы OMAP, Texas Instruments .

Внешние ссылки

• Конференция «Мир мобильной криминалистики»
• Криминалистика чип-офф (forensicwiki.org)
• JTAG-криминалистика (forensicwiki.org)
• Практические примеры криминалистической экспертизы мобильных телефонов (QCC Global Ltd)