Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Извлечение информации из мобильных телефонов

Продолжаю публикации по извлечению информации из заблокированных телефонов.

Я уже писал о некоторых возможностях извлечения информации из заблокированных телефонов на iOS и Android. Но данными способами получить доступ удалось не ко всем устройствам.


14 ноября 2016 года в гостинице Космос в Москве прошел «Евразийский Криминалистический Форум» (http://www.oxygensoftware.ru/ru/events/conference), на котором были представлены несколько иные подходы, о чём поговорим.


Особенности извлечения данных из Android устройств с помощью модифицированного образа восстановления


Мы видим два варианта: обход загрузчика, уязвимосоти загрузчика с использованием TWRP/CWM.


Для этого используется образ восстановления для целей криминалистики.

Извлечение информации из мобильных телефонов Android, Информация, Криминалистика, Криминалистический Форум, Длиннопост

Недостатки TWRP/CWM


• Монтирование разделов в режиме записи

• Отсутствие автоматического монтирования

• Изменение системного и пользовательского раздела

• Установка постоянного рута

• Не для всех моделей


При заблокированном загрузчике и зашифрованных разделах данный метод не работает.


Извлечение с помощью сервисного оборудования и технологических разъемов (Joint Test Action Group - JTAG)


Объекты исследования:

Извлечение информации из мобильных телефонов Android, Информация, Криминалистика, Криминалистический Форум, Длиннопост

Что используется:

Извлечение информации из мобильных телефонов Android, Информация, Криминалистика, Криминалистический Форум, Длиннопост
Извлечение информации из мобильных телефонов Android, Информация, Криминалистика, Криминалистический Форум, Длиннопост

Преимущества технологии JTAG:

• позволяет получить полнуюкопию данных памяти устройства;

• позволяет обходить пользовательские блокировки некоторых устройств;

• позволяет работать с неисправными аппаратами;

• не является деструктивнымметодом;


Извлечение напрямую из микросхем памяти


Что используется:

Извлечение информации из мобильных телефонов Android, Информация, Криминалистика, Криминалистический Форум, Длиннопост

Преимущества технологии Chip-off:


• Метод позволяет работать с ПОЛНОСТЬЮ УНИЧТОЖЕННЫМИ мобильными устройствами - нужен только модуль флер-памяти

• Поддерживается более 90% всех существующих мобильных устройств в мире

• Гарантированно полное извлечение всей имеющейся информации


Недостатки:


• Вмешательство в конструктивное исполнение мобильного устройства (вероятна полная неработоспособность устройства)


• Сложность методики выпаивания и очистки микросхем


• Необходимость в сложном декодировании данных из ряда мобильных устройств


Эти варианты сам ручками еще не пробовал, но если будут положительные результаты, обязательно расскажу.

Android Информация Криминалистика Криминалистический Форум Длиннопост
40
Все комментарии Автора
7
Skarfais
Автор поста оценил этот комментарий

Все эти методы юзают обычные ремонтники телефонов если случаются такие случаи так что ты тут ничего нового не сказал)

раскрыть ветку (1)
14
Аватар пользователя KerkPirrusKerkPirrus
Автор поста оценил этот комментарий

Так я и не говорю, что Америку открыл. Сейчас разбираюсь с этой темой, делюсь информацией. Надеюсь, что кому-то будет интересно.

показать ответы
ReF1ex
Автор поста оценил этот комментарий

Успокойте моего внутреннего параноика, LG Flex 2, андроид 5.1.1, загрузчик блокированный, графический ключ, раздел дата зашифрован, в систем установлена противоугонка цербер. Возможно как-нибудь извлечь конфиденциальные данные?

раскрыть ветку (1)
1
Аватар пользователя KerkPirrusKerkPirrus
Автор поста оценил этот комментарий

Вот только сегодня новость пришла:

"Новое в Мобильном Криминалисте "Детектив" версии 9.0.2:

Мастер Извлечения Данных. Добавлена возможность обходить пароль на блокировку экрана и создавать физический дамп для новейших моделей LG, включая LG G5, LG V10 и LG V20. Получение рут-прав не требуются."


Скачаю, посмотрю, что нового.

LongLebowski
Автор поста оценил этот комментарий

А программным обеспечением не поделитесь с коллегой?

раскрыть ветку (1)
Аватар пользователя KerkPirrusKerkPirrus
Автор поста оценил этот комментарий

Оно все с электронными ключами идет.

Аватар пользователя NidlzNidlz
Автор поста оценил этот комментарий

Но ведь если включено шифрование данных, то доставать информацию впринцепи бесполезно. Разве нет?

раскрыть ветку (1)
Аватар пользователя KerkPirrusKerkPirrus
Автор поста оценил этот комментарий

Есть утилитка Passware Kit Forensic. Если напрямую с чипа памяти создать образ, то заявляют возможность расшифровки.


280+ форматов файлов

• 64-bit версия

• Windows and Linux Agents

• Пакетная обработка зашифрованных файлов

• Mobile Forensics

• Извлечение данных из облачных сервисов

• iCloud, Dropbox, MS OneDrive

• Анализ образа памяти

• OS users, websites, cloud services, drives, files

• Расшифровка дисков

• BitLocker, TrueCrypt, LUKS, FileVault2, PGP, VeraCrypt


Расшифровка дисков, зашифрованных VeraCrypt

• Поддержка iOS 10

• Поддержка macOS Sierra

• 2x быстрее на картах NVIDIA GTX 1080

• Новый преобразователь для переборных атак: Substitution


В теории выглядит красиво, на практике пока не пробовал.

Аватар пользователя KpblcuKKpblcuK
Автор поста оценил этот комментарий

Очень хотелось бы от ТС несколько консультаций по теме, желательно в личке. ТС, это реально? Как я понимаю, на фото несколько "вулканов", остальное вопросов практически не задает, разве что, без подогрева, насколько сложнее вытаскивать эту мелочь и по поводу ПО.

раскрыть ветку (1)
Аватар пользователя KerkPirrusKerkPirrus
Автор поста оценил этот комментарий

Я пока к консультациям не готов, сам только учусь. Но если смогу чем, помогу.