Экспертиза мобильных устройств

Криминалистика мобильных устройств — это отрасль цифровой криминалистики, связанная с восстановлением цифровых доказательств или данных с мобильного устройства в криминалистически обоснованных условиях. Фраза «мобильное устройство» обычно относится к мобильным телефонам ; однако это также может относиться к любому цифровому устройству, имеющему как внутреннюю память, так и возможность связи , включая КПК , устройства GPS и планшетные компьютеры .

Некоторые мобильные компании пытались скопировать модель телефонов, что является незаконным. Итак, каждый год мы видим так много новых моделей, что является шагом вперед к следующим поколениям. Процесс клонирования мобильных телефонов/устройств в преступных целях был широко известен в течение нескольких лет, но криминалистическое исследование мобильных устройств — относительно новая область, возникшая в конце 1990-х — начале 2000-х годов. Распространение телефонов (особенно смартфонов ) и других цифровых устройств на потребительском рынке вызвало потребность в судебно-медицинской экспертизе устройств, которую невозможно было удовлетворить с помощью существующих методов компьютерной криминалистики . ^{[ 1 ]}

Мобильные устройства можно использовать для сохранения нескольких типов личной информации, такой как контакты, фотографии, календари и заметки, SMS и MMS сообщения . Смартфоны могут дополнительно содержать видео, электронную почту, информацию о просмотре веб-страниц, информацию о местоположении , а также сообщения и контакты социальных сетей.

Потребность в мобильной криминалистике растет по нескольким причинам, среди которых можно назвать следующие:

Использование мобильных телефонов для хранения и передачи личной и корпоративной информации.
Использование мобильных телефонов в онлайн-транзакциях
Правоохранительные органы, преступники и мобильные телефоны ^{[ 2 ]}

Экспертиза мобильных устройств может быть особенно сложной на нескольких уровнях: ^{[ 3 ]}

Существуют фактические и технические проблемы. Например, анализ сотовой сети, основанный на использовании покрытия мобильного телефона, не является точной наукой. Следовательно, хотя можно приблизительно определить зону сотовой станции, из которой был сделан или получен вызов, еще невозможно сказать с какой-либо степенью уверенности, что вызов по мобильному телефону исходил из определенного места, например, из адреса проживания.

Чтобы оставаться конкурентоспособными, производители оригинального оборудования часто меняют форм-факторы мобильных телефонов , файловые структуры операционной системы , хранилища данных, службы, периферийные устройства и даже штыревые разъемы и кабели. В результате судебно-медицинским экспертам приходится использовать другой процесс судебно-медицинской экспертизы, чем компьютерную экспертизу .
Емкость хранилища продолжает расти благодаря спросу на более мощные устройства типа «мини-компьютер». ^{[ 4 ]}
Постоянно меняются не только типы данных, но и способы использования мобильных устройств.
Режим гибернации, при котором процессы приостанавливаются, когда устройство выключено или находится в режиме ожидания, но в то же время остается активным. ^{[ 2 ]}

В результате этих проблем существует множество инструментов для извлечения доказательств с мобильных устройств; ни один инструмент или метод не может получить все данные со всех устройств. Поэтому судебно-медицинским экспертам, особенно тем, кто желает получить квалификацию свидетелей-экспертов в суде, рекомендуется пройти обширную подготовку, чтобы понять, как каждый инструмент и метод позволяют получить доказательства; как он поддерживает стандарты судебно-медицинской экспертизы; и насколько он соответствует юридическим требованиям, таким как стандарт Даубера или стандарт Фрая .

История

Как область исследований судебно-медицинская экспертиза мобильных устройств возникла в конце 1990-х - начале 2000-х годов. Роль мобильных телефонов в преступности уже давно признана правоохранительными органами. С увеличением доступности таких устройств на потребительском рынке и более широким набором коммуникационных платформ, которые они поддерживают (например, электронная почта, просмотр веб-страниц), спрос на судебно-медицинскую экспертизу вырос. ^{[ 1 ]}

В ранних попытках проверки мобильных устройств использовались методы, аналогичные первым компьютерным криминалистическим расследованиям: анализ содержимого телефона непосредственно через экран и фотографирование важного контента. ^{[ 1 ]} Однако этот процесс оказался трудоемким, и поскольку количество мобильных устройств начало увеличиваться, следователи потребовали более эффективных способов извлечения данных. Предприимчивые мобильные судмедэксперты иногда использовали программное обеспечение для синхронизации мобильных телефонов или КПК для «резервного копирования» данных устройства на судебно-медицинский компьютер для создания изображений, а иногда просто проводили компьютерную экспертизу на жестком диске подозрительного компьютера, где данные были синхронизированы. Однако этот тип программного обеспечения может не только читать, но и записывать данные на телефон, и не может восстановить удаленные данные. ^{[ 5 ]}

Некоторые судебно-медицинские эксперты обнаружили, что они могут восстановить даже удаленные данные с помощью «прошивальщиков» или «твистеров» — инструментов, разработанных OEM-производителями для «прошивки» памяти телефона для отладки или обновления. Однако флэшеры агрессивны и могут изменять данные; может быть сложным в использовании; и, поскольку они не разработаны как инструменты судебной экспертизы, они не выполняют ни проверки хеша, ни (в большинстве случаев) контрольных журналов. ^{[ 6 ]} Поэтому для проведения физических судебно-медицинских экспертиз по-прежнему необходимы лучшие альтернативы.

Для удовлетворения этих требований появились коммерческие инструменты, которые позволили экспертам восстановить память телефона с минимальными нарушениями и проанализировать ее отдельно. ^{[ 1 ]} Со временем эти коммерческие методы получили дальнейшее развитие, и восстановление удаленных данных с проприетарных мобильных устройств стало возможным с помощью некоторых специализированных инструментов. Более того, коммерческие инструменты даже автоматизировали большую часть процесса извлечения данных, что дает возможность даже минимально подготовленным специалистам по оказанию первой помощи (которые в настоящее время с гораздо большей вероятностью сталкиваются с подозреваемыми с мобильными устройствами в своем распоряжении, чем с компьютерами) выполнять базовые извлечения для сортировки и целях предварительного просмотра данных.

Профессиональные приложения

Криминалистика мобильных устройств наиболее известна благодаря своему применению в расследованиях правоохранительных органов, но она также полезна для военной разведки , корпоративных расследований, частных расследований , уголовной и гражданской обороны , а также электронных исследований .

Виды доказательств

По мере развития технологий мобильных устройств объем и типы данных, которые можно найти на мобильном устройстве, постоянно увеличиваются. Доказательства, которые потенциально могут быть восстановлены с мобильного телефона, могут быть получены из нескольких различных источников, включая память телефона, SIM-карту и подключенные карты памяти, такие как SD- карты.

Традиционно криминалистика мобильных телефонов связана с восстановлением сообщений SMS и MMS , а также журналов вызовов, списков контактов и IMEI / ESN информации телефона. Однако новые поколения смартфонов также содержат более широкий спектр информации; из просмотра веб-страниц, беспроводной сети настроек о геолокации , информации (включая геотеги, содержащиеся в метаданных изображения ), электронной почты и других видов интернет-медиа, включая важные данные, такие как сообщения и контакты в социальных сетях , которые теперь сохраняются в «приложениях» для смартфонов. . ^{[ 7 ]}

Внутренняя память

В настоящее время для мобильных устройств в основном используется флэш-память типа NAND или NOR. ^{[ 8 ]}

Внешняя память

Внешними устройствами памяти являются SIM- карты, SD- карты (обычно встречающиеся в устройствах GPS, а также в мобильных телефонах), MMC карты , CF- карты и Memory Stick .

Журналы поставщика услуг

Хотя технически это не является частью криминалистической экспертизы мобильных устройств, записи подробностей звонков (а иногда и текстовые сообщения) от операторов беспроводной связи часто служат «резервным» доказательством, полученным после конфискации мобильного телефона. Это полезно, когда история вызовов и/или текстовые сообщения были удалены с телефона или когда службы определения местоположения не включены. Записи подробностей вызовов и дампы сотовых станций (вышек) могут показать местоположение владельца телефона, а также то, были ли они неподвижными или движущимися (т. е. отражался ли сигнал телефона от одной и той же стороны одной вышки или от разных сторон нескольких вышек вдоль определенной путь путешествия). ^{[ 9 ]} Данные оператора связи и данные устройства вместе могут использоваться для подтверждения информации из других источников, например, записей видеонаблюдения или показаний очевидцев; или для определения общего места, где было снято изображение или видео без географической привязки.

Европейский Союз требует от своих стран-членов сохранять определенные телекоммуникационные данные для использования в расследованиях. Сюда входят данные о совершенных и принятых вызовах. Можно определить местоположение мобильного телефона, и эти географические данные также необходимо сохранить. Однако в Соединенных Штатах такого требования не существует, и никакие стандарты не регулируют, как долго операторы связи должны хранить данные или даже то, что они должны хранить. Например, текстовые сообщения могут храниться только неделю или две, а журналы вызовов могут храниться от нескольких недель до нескольких месяцев. Чтобы снизить риск потери доказательств, сотрудники правоохранительных органов должны предоставить перевозчику письмо о сохранении, которое они затем должны подкрепить ордером на обыск . ^{[ 9 ]}

Судебно-медицинский процесс

Процесс криминалистики мобильных устройств во многом аналогичен другим областям цифровой криминалистики; однако существуют некоторые особые опасения. В целом этот процесс можно разбить на три основные категории: изъятие, приобретение и исследование/анализ. Другие аспекты процесса компьютерной экспертизы, такие как прием, проверка, документирование/отчетность и архивирование, по-прежнему применяются. ^{[ 3 ]}

Захват

Изъятие мобильных устройств регулируется теми же юридическими соображениями, что и другие цифровые носители. Мобильные телефоны часто оказываются включенными; поскольку целью изъятия является сохранение доказательств, устройство часто перевозят в том же состоянии, чтобы избежать отключения, которое может привести к изменению файлов. ^{[ 10 ]} Кроме того, следователь или сотрудник службы экстренного реагирования рискуют активировать блокировку пользователя.

Однако оставление телефона включенным сопряжено с еще одним риском: устройство все равно может подключиться к сети/сотовой сети. Это может привести к появлению новых данных, перезатирающих доказательства. Чтобы предотвратить соединение, мобильные устройства часто транспортируются и проверяются внутри клетки Фарадея (или сумки). Несмотря на это, у этого метода есть два недостатка. Во-первых, большинство сумок делают устройство непригодным для использования, поскольку невозможно использовать его сенсорный экран или клавиатуру. Однако можно приобрести специальные клетки, позволяющие использовать прибор с прозрачным стеклом и специальными перчатками. Преимуществом этой опции является возможность подключения к другому криминалистическому оборудованию, блокируя сетевое соединение, а также заряжая устройство. Если эта опция недоступна, рекомендуется изоляция сети либо путем перевода устройства в режим полета , либо клонирования его SIM-карты (метод, который также может быть полезен, когда в устройстве полностью отсутствует SIM-карта). ^{[ 3 ]}

Следует отметить, что, хотя этот метод может предотвратить запуск удаленного стирания (или взлома) устройства, он ничего не делает против локального переключателя мертвеца .

Приобретение

Вторым этапом судебно-медицинской экспертизы является сбор данных , в этом случае обычно имеется в виду извлечение материала из устройства (по сравнению с растровым изображением, используемым в компьютерной криминалистике). ^{[ 10 ]}

Из-за проприетарного характера мобильных телефонов часто невозможно получить данные, когда они выключены; в большинстве случаев приобретение мобильных устройств осуществляется в реальном времени. В более продвинутых смартфонах, использующих расширенное управление памятью, подключение его к зарядному устройству и помещение его в клетку Фарадея может быть не очень хорошей практикой. Мобильное устройство распознает отключение от сети и, следовательно, изменит информацию о своем состоянии, что может заставить диспетчер памяти записать данные. ^{[ 11 ]}

Большинство инструментов сбора данных для мобильных устройств носят коммерческий характер и состоят из аппаратного и программного компонента, часто автоматизированного.

Обследование и анализ

Поскольку все большее число мобильных устройств высокого уровня используют файловые системы , аналогичные файловым системам компьютеров, методы и инструменты могут быть заимствованы из криминалистики жесткого диска или требуют лишь небольших изменений. ^{[ 12 ]}

Файловая система FAT обычно используется в памяти NAND . ^{[ 13 ]} Разница заключается в используемом размере блока , который для жестких дисков превышает 512 байт и зависит от типа используемой памяти, например, тип NOR 64, 128, 256 и память NAND 16, 128, 256 или 512 килобайт .

Различные программные инструменты могут извлекать данные из образа памяти. можно использовать специализированные и автоматизированные программные продукты для судебно-медицинской экспертизы или универсальные программы просмотра файлов, такие как любой шестнадцатеричный редактор Для поиска характеристик заголовков файлов . Преимущество шестнадцатеричного редактора заключается в более глубоком понимании управления памятью, но работа с шестнадцатеричным редактором требует много ручной работы и знания файловой системы, а также знания заголовков файлов. Напротив, специализированное программное обеспечение для криминалистической экспертизы упрощает поиск и извлекает данные, но может не найти всего. AccessData , Sleuthkit , ESI Analyst и EnCase , и это лишь некоторые из них, являются судебно-медицинскими программными продуктами для анализа образов памяти. ^{[ 14 ]} Поскольку не существует инструмента, извлекающего всю возможную информацию, для проверки желательно использовать два или более инструментов. В настоящее время (февраль 2010 г.) не существует программного решения для получения всех доказательств из флэш-памяти. ^{[ 8 ]}

Типы сбора данных

Извлечение данных с мобильных устройств можно классифицировать по континууму: методы становятся более техническими и «криминалистически обоснованными», инструменты становятся более дорогими, анализ занимает больше времени, экспертам требуется дополнительная подготовка, а некоторые методы могут даже стать более инвазивными. ^{[ 15 ]}

Ручное приобретение

Эксперт использует пользовательский интерфейс для исследования содержимого памяти телефона. Таким образом, устройство используется как обычно: экзаменатор фотографирует содержимое каждого экрана. Преимущество этого метода заключается в том, что операционная система исключает необходимость использования специализированных инструментов или оборудования для преобразования необработанных данных в информацию, интерпретируемую человеком. На практике этот метод применяется к сотовым телефонам, КПК и навигационным системам . ^{[ 16 ]} Недостатком является то, что можно восстановить только данные, видимые операционной системе; что все данные доступны только в виде картинок; да и сам процесс занимает много времени.

Логическое приобретение

Логическое получение подразумевает побитовое копирование объектов логического хранилища (например, каталогов и файлов), которые находятся в логическом хранилище (например, разделе файловой системы). Преимущество логического сбора данных заключается в том, что инструменту легче извлекать и организовывать системные структуры данных. Логическое извлечение извлекает информацию из устройства с помощью производителя оригинального оборудования прикладного программного интерфейса для синхронизации содержимого телефона с персональным компьютером . С логическим извлечением обычно легче работать, поскольку оно не создает большой двоичный объект . Однако опытный судебно-медицинский эксперт сможет извлечь гораздо больше информации из физического извлечения.

Получение файловой системы

Логическое извлечение обычно не приводит к удалению информации, поскольку она обычно удаляется из файловой системы телефона. Однако в некоторых случаях — особенно на платформах, построенных на SQLite , таких как iOS и Android — телефон может хранить файл базы данных с информацией, который не перезаписывает информацию, а просто помечает ее как удаленную и доступную для последующей перезаписи. В таких случаях, если устройство разрешает доступ к файловой системе через интерфейс синхронизации, можно восстановить удаленную информацию. Извлечение файловой системы полезно для понимания структуры файлов, истории просмотра веб-страниц или использования приложений, а также дает исследователю возможность выполнять анализ с помощью традиционных инструментов компьютерной криминалистики. ^{[ 17 ]}

Физическое приобретение

Физическое получение подразумевает побитовую копию всего физического хранилища (например, флэш-памяти ); следовательно, это метод, наиболее похожий на проверку персонального компьютера . Преимущество физического сбора данных заключается в том, что он позволяет исследовать удаленные файлы и остатки данных. Физическое извлечение получает информацию с устройства путем прямого доступа к флэш-памяти.

Как правило, этого сложнее достичь, поскольку производителю оригинального оборудования устройства необходимо обеспечить защиту от произвольного чтения памяти; следовательно, устройство может быть привязано к определенному оператору. Чтобы обойти эту защиту, поставщики мобильных криминалистических инструментов часто разрабатывают свои собственные загрузчики , позволяющие криминалистическому инструменту получать доступ к памяти (а часто также обходить пароли пользователей или шаблонные блокировки). ^{[ 18 ]}

Обычно физическое извлечение делится на два этапа: этап дампа и этап декодирования.

Получение грубой силы

Перебор паролей может быть выполнен с помощью сторонних инструментов подбора паролей, которые отправляют на мобильное устройство серию кодов/паролей. ^{[ 19 ]} Атака методом перебора — трудоемкий, но, тем не менее, эффективный метод. Этот метод использует метод проб и ошибок в попытке создать правильную комбинацию пароля или PIN-кода для аутентификации доступа к мобильному устройству. Несмотря на то, что этот процесс занимает много времени, это по-прежнему один из лучших методов, если судебно-медицинский эксперт не может получить пароль. Благодаря современному доступному программному и аппаратному обеспечению стало довольно легко взломать шифрование файла паролей мобильного устройства, чтобы получить пароль. ^{[ 20 ]} Два производителя стали достоянием общественности с момента выпуска iPhone5: ^{[ 21 ]} Cellebrite и GrayShift . Эти производители предназначены для правоохранительных органов и отделений полиции. Cellebrite UFED Ultimate ^{[ 22 ]} единица стоит более 40 000 долларов США, а система Grayshifts стоит 15 000 долларов США. ^{[ 23 ]} Инструменты брутфорса подключены к устройству и будут физически отправлять коды на устройства iOS, начиная с 0000 до 9999, последовательно, пока правильный код не будет успешно введен. После успешного ввода кода предоставляется полный доступ к устройству и можно начать извлечение данных.

Инструменты

Ранние исследования включали ручной анализ мобильных устройств в реальном времени; эксперты фотографируют или записывают полезный материал для использования в качестве доказательства. Без оборудования для криминалистической фотографии, такого как Fernico ZRT , EDEC Eclipse или Project-a-Phone , это имело тот недостаток, что был риск изменения содержимого устройства, а также оставление многих частей проприетарной операционной системы недоступными.

В последние годы появился ряд аппаратных и программных инструментов для восстановления логических и физических доказательств с мобильных устройств. Большинство инструментов состоят как из аппаратной, так и из программной части. Аппаратное обеспечение включает в себя несколько кабелей для подключения мобильного устройства к машине для сбора данных; программное обеспечение существует для извлечения доказательств, а иногда даже для их анализа.

Совсем недавно для этой области были разработаны инструменты криминалистической экспертизы мобильных устройств. Это является ответом как на потребность воинских частей в быстрой и точной антитеррористической разведке, так и на потребность правоохранительных органов в возможностях судебно-медицинской экспертизы на месте преступления, исполнении ордера на обыск или неотложных обстоятельствах. Такие мобильные судебно-медицинские инструменты часто имеют повышенную прочность для работы в суровых условиях (например, на поле боя) и при грубом обращении (например, при падении или погружении в воду). ^{[ 24 ]}

Как правило, поскольку невозможно использовать какой-либо один инструмент для сбора всех доказательств со всех мобильных устройств, специалисты по мобильной криминалистике рекомендуют следователям создавать целые наборы инструментов, состоящие из сочетания коммерческих инструментов, инструментов с открытым исходным кодом, инструментов широкой и узкой поддержки, а также аксессуаров. такие как зарядные устройства для аккумуляторов, сумки Фарадея или другое оборудование, разрушающее сигнал, и т. д. ^{[ 25 ]}

Коммерческие судебно-медицинские инструменты

Некоторые текущие инструменты включают Belkasoft Evidence Center, Cellebrite UFED , Oxygen Forensic Detective, Elcomsoft Mobile Forensic Bundle, Susteen Secure View, MOBILEdit Forensic Express и Micro Systemation XRY .

Кроме того, были разработаны некоторые инструменты для решения проблемы увеличения преступного использования телефонов, изготовленных с китайскими чипсетами, в том числе MediaTek (MTK), Spreadtrum и MStar . К таким инструментам относятся CINEX компании Cellebrite и XRY PinPoint .

Открытый исходный код

Большинство инструментов мобильной криминалистики с открытым исходным кодом зависят от платформы и ориентированы на анализ смартфонов. не был разработан как инструмент криминалистической экспертизы, Хотя изначально BitPim он широко использовался в телефонах CDMA, а также в LG VX4400/VX6000 и многих сотовых телефонах Sanyo Sprint. ^{[ 26 ]}

Физические инструменты

Судебная распайка

Последний и наиболее интрузивный метод получения образа памяти, обычно называемый в отрасли методом «Chip-Off», заключается в отпайке и энергонезависимой микросхемы памяти подключении ее к устройству считывания микросхем памяти. Этот метод содержит потенциальную опасность полного уничтожения данных: можно разрушить чип и его содержимое из-за тепла, необходимого при распайке. До изобретения технологии BGA можно было прикреплять зонды к контактам микросхемы памяти и восстанавливать память с помощью этих зондов. Технология BGA прикрепляет чипы непосредственно к печатной плате посредством расплавленных шариков припоя , так что прикрепить зонды уже невозможно.

Компонент массива шариков, отображающий «эффект попкорна». — Влага в этой плате превратилась в пар, когда она подверглась сильному нагреву. Это создает так называемый «эффект попкорна».

Отпайка чипов выполняется осторожно и медленно, чтобы тепло не разрушило чип или данные. Перед отпайкой чипа печатная плата запекается в печи для удаления остатков воды. Это предотвращает так называемый эффект попкорна, при котором оставшаяся вода взорвет корпус микросхемы при распайке.

В основном существует три метода плавления припоя: горячий воздух, инфракрасный свет и фазовая обработка паром. Технология инфракрасного света фокусирует луч инфракрасного света на конкретной интегральной схеме и используется для небольших чипов. Методы горячего воздуха и пара не могут обеспечить такую же фокусировку, как инфракрасный метод.

Чип реболлинг

После распайки чипа в процессе повторной сборки чип очищается и в него добавляются новые оловянные шарики. Реболлинг можно выполнить двумя разными способами.

Первый – использовать трафарет. Трафарет зависит от чипа и должен точно подходить. Затем на трафарет наносится олово-припой. После остывания банки трафарет удаляют и при необходимости выполняют второй этап очистки.
Второй метод – лазерный реболлинг. ^{[ 27 ]}^{[ 28 ]} Здесь трафарет программируется в блоке перевальцовки. В соединительную головку (выглядит как трубка/игла) автоматически загружается один оловянный шарик из резервуара для отделения шариков припоя. Затем шарик нагревается лазером, так что шарик оловянного припоя становится жидким и течет на очищенный чип. Сразу после плавления шарика лазер выключается и в связующую головку падает новый шарик. При перезарядке соединительная головка устройства для повторного шарикирования меняет положение на следующий штифт.

Третий метод делает весь процесс перекомпоновки ненужным. Микросхема подключается к адаптеру с помощью Y-образных пружин или подпружиненных пого-штифтов . Y-образные пружины должны иметь шарик на штыре для установления электрического соединения, но штифты Pogo можно использовать непосредственно на контактных площадках чипа без шариков. ^{[ 11 ]}^{[ 12 ]}

Преимущество судебно-медицинской распайки заключается в том, что устройство не обязательно должно быть работоспособным и можно сделать копию без каких-либо изменений исходных данных. Недостаток заключается в том, что устройства для перекомпоновки дороги, поэтому этот процесс очень дорогостоящий и существует некоторый риск полной потери данных. Следовательно, судебно-медицинская распайка должна проводиться только опытными лабораториями. ^{[ 13 ]}

JTAG

Существующие стандартизированные интерфейсы для считывания данных встроены в несколько мобильных устройств, например, для получения данных о местоположении от GPS оборудования ( NMEA ) или для получения информации о замедлении от блоков подушек безопасности. ^{[ 16 ]}

Не все мобильные устройства предоставляют такой стандартизированный интерфейс, и не существует стандартного интерфейса для всех мобильных устройств, но у всех производителей есть одна общая проблема. Миниатюризация деталей устройства открывает вопрос о том, как автоматически проверять функциональность и качество спаянных интегрированных компонентов. Для решения этой проблемы отраслевая группа Joint Test Action Group (JTAG) разработала технологию тестирования, называемую граничным сканированием .

Несмотря на стандартизацию, необходимо решить четыре задачи, прежде чем интерфейс устройства JTAG можно будет использовать для восстановления памяти. Чтобы найти правильные биты в регистре пограничного сканирования, необходимо знать, какие схемы процессора и памяти используются и как они подключены к системной шине. Если доступ снаружи отсутствует, необходимо найти контрольные точки для интерфейса JTAG на печатной плате и определить, какая контрольная точка используется для какого сигнала. Порт JTAG не всегда распаян разъемами, поэтому иногда приходится вскрывать устройство и перепаивать порт доступа. ^{[ 12 ]} Протокол чтения памяти должен быть известен и, наконец, необходимо определить правильное напряжение, чтобы предотвратить повреждение схемы. ^{[ 11 ]}

Граничное сканирование создает полное судебно-медицинское изображение энергозависимой и энергонезависимой памяти . Риск изменения данных сведен к минимуму, а микросхему памяти не нужно выпаивать . Создание изображения может быть медленным, и не все мобильные устройства поддерживают JTAG. Кроме того, может быть сложно найти порт доступа для тестирования. ^{[ 13 ]}

Инструменты командной строки

Системные команды

Мобильные устройства не предоставляют возможности запуска или загрузки с компакт-диска , подключения к сетевому ресурсу или другому устройству с помощью чистых инструментов. Поэтому системные команды могут оказаться единственным способом сэкономить энергозависимую память мобильного устройства. Учитывая риск изменения системных команд, необходимо оценить, действительно ли энергозависимая память важна. Аналогичная проблема возникает, когда отсутствует сетевое соединение и к мобильному устройству не может быть подключена дополнительная память, поскольку образ энергозависимой памяти должен быть сохранен во внутренней энергонезависимой памяти , где хранятся пользовательские данные и, скорее всего, будут удалены важные данные. потеряться. Системные команды — самый дешевый метод, но предполагают определенный риск потери данных. Каждое использование команды с параметрами и выводом должно быть задокументировано.

АТ-команды

AT-команды представляют собой старые команды модема , например набор команд Hayes и AT-команды телефона Motorola , и поэтому их можно использовать только на устройстве, поддерживающем модем. Используя эти команды, можно получить информацию только через операционную систему , поэтому удаленные данные невозможно извлечь. ^{[ 11 ]}

дд

Для внешней памяти и флэш-накопителя USB соответствующее программное обеспечение, например, команда Unix dd для создания копии на уровне битов необходимо . Кроме того, USB-накопители с защитой памяти не требуют специального оборудования и могут быть подключены к любому компьютеру. Многие USB-накопители и карты памяти имеют переключатель блокировки записи, который можно использовать для предотвращения изменения данных во время копирования.

Если USB-накопитель не имеет защитного переключателя, можно использовать блокировщик для установки накопителя в режим «только чтение» или, в исключительном случае, выпаять микросхему памяти . SIM-карты и карты памяти требуется устройство чтения карт . Для копирования ^{[ 29 ]} SIM-карта тщательно анализируется, поэтому можно восстановить (удалить) данные, такие как контакты или текстовые сообщения. ^{[ 11 ]}

Операционная система Android включает команду dd. В сообщении блога, посвященном методам криминалистической экспертизы Android, демонстрируется метод создания живого образа устройства Android с помощью команды dd. ^{[ 30 ]}

Некриминалистические коммерческие инструменты

Инструменты-прошивальщики

Инструмент для прошивки — это программирование аппаратного и/или программного обеспечения, которое можно использовать для программирования (прошивки) памяти устройства, например, EEPROM или флэш-памяти . Эти инструменты в основном поставляются производителем или сервисными центрами для отладки, ремонта или обновления. Они могут перезаписывать энергонезависимую память, а некоторые, в зависимости от производителя или устройства, также могут считывать память для создания копии, изначально предназначенной для резервного копирования. Память можно защитить от чтения, например, с помощью команды программного обеспечения или разрушения предохранителей в цепи чтения. ^{[ 31 ]}

Обратите внимание, что это не помешает записи или использованию внутренней памяти ЦП . Инструменты-прошивальщики просты в подключении и использовании, но некоторые могут менять данные и иметь другие опасные опции или не делать полную копию. ^{[ 12 ]}

Споры

Как правило, не существует стандарта того, что представляет собой поддерживаемое устройство в конкретном продукте. Это привело к ситуации, когда разные поставщики по-разному определяют поддерживаемое устройство. В такой ситуации гораздо сложнее сравнивать продукты на основе списков поддерживаемых устройств, предоставленных поставщиком. Например, устройство, в котором логическое извлечение с использованием только одного продукта создает список вызовов, выполненных устройством, может быть указано как поддерживаемое этим поставщиком, в то время как другой поставщик может предоставить гораздо больше информации.

Более того, разные продукты извлекают разное количество информации с разных устройств. Это приводит к очень сложной ситуации при попытке обзора продуктов. Как правило, это приводит к ситуации, когда настоятельно рекомендуется тщательно протестировать продукт перед покупкой. Довольно часто используются как минимум два продукта, которые дополняют друг друга.

Технологии мобильных телефонов развиваются быстрыми темпами. Цифровая криминалистика, связанная с мобильными устройствами, похоже, стоит на месте или развивается медленно. Для того чтобы судебная экспертиза мобильных телефонов могла идти в ногу с циклом выпуска мобильных телефонов, необходимо разработать более полную и глубокую структуру для оценки наборов инструментов для судебной экспертизы мобильных телефонов, а данные о соответствующих инструментах и методах для каждого типа телефонов должны предоставляться своевременно. ^{[ 32 ]}

Антикриминалистика

Антикомпьютерная экспертиза сложнее из-за небольшого размера устройств и ограниченной доступности данных для пользователя. ^{[ 13 ]} Тем не менее, существуют разработки по аппаратной защите памяти с помощью схем безопасности в ЦП и микросхеме памяти, так что микросхему памяти нельзя прочитать даже после распайки. ^{[ 33 ]}^{[ 34 ]}

См. также

Ссылки

^ Jump up to: ^а ^б ^с ^д Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 978-0-12-163104-8 .
^ Jump up to: ^а ^б Ахмед, Ризван (2009). «Мобильная криминалистика: введение с точки зрения правоохранительных органов Индии». Информационные системы, технологии и менеджмент . Коммуникации в компьютерной и информатике. Том. 31. С. 173–184. дои : 10.1007/978-3-642-00405-6_21 . ISBN 978-3-642-00404-9 .
^ Jump up to: ^а ^б ^с Мерфи, Синтия. «Извлечение данных и документация доказательств по сотовому телефону» (PDF) . Проверено 4 августа 2013 г.
^ Цукаяма, Хейли (13 июля 2012 г.). «Две трети покупателей мобильных устройств имеют смартфоны» . Вашингтон Пост . Проверено 20 июля 2012 г.
^ [1] Янсен; и др. «Преодоление препятствий в криминалистике мобильных телефонов» . Проверено 20 июля 2012 г. ^{[ постоянная мертвая ссылка ]}
^ Текрей, Джон. «Flasher Boxs: возвращение к основам криминалистики мобильных телефонов» . Архивировано из оригинала 15 ноября 2012 года . Проверено 20 июля 2012 г.
^ Ахмед, Ризван. «Извлечение цифровых доказательств и документирование с мобильных устройств» (PDF) . Проверено 2 февраля 2015 г.
^ Jump up to: ^а ^б Сальваторе Фиорилло. Теория и практика мобильной криминалистики флэш-памяти. Архивировано 14 февраля 2019 г. на Wayback Machine . Theosecurity.com, декабрь 2009 г.
^ Jump up to: ^а ^б Миллер, Криста. «Другая сторона мобильной криминалистики» . Офицер.com . Проверено 24 июля 2012 г.
^ Jump up to: ^а ^б Уэйн, Янсен и Айерс, Рик. (май 2007 г.). Руководство по криминалистической экспертизе мобильных телефонов. получено с http://www.mislan.com/SSDDFJ/papers/SSDDFJ_V1_1_Breeuwsma_et_al.pdf.
^ Jump up to: ^а ^б ^с ^д ^и Уиллассен, Свейн Ю. (2006). «Криминалистический анализ внутренней памяти мобильного телефона». ИФИП Межд. Конф. Цифровая криминалистика . CiteSeerX 10.1.1.101.6742 .
^ Jump up to: ^а ^б ^с ^д Марсель Бреусма, Мартиен де Йонг, Курт Клавер, Рональд ван дер Книфф и Марк Рулоффс. (2007). получено из судебно-медицинской экспертизы по восстановлению данных из флэш-памяти, заархивировано 23 октября 2016 г. на Wayback Machine . Малый журнал по криминалистике цифровых устройств, том 1 (номер 1). Кроме того, многие из этих инструментов стали более приспособлены к восстановлению кодов доступа и паролей пользователей без потери пользовательских данных. Примером инструмента, обычно используемого в этой области, является BST Dongle .
^ Jump up to: ^а ^б ^с ^д Рональд ван дер Книфф. (2007). взято из книги «10 веских причин, почему вам следует переключить внимание на криминалистическую экспертизу небольших цифровых устройств». Архивировано 15 октября 2008 г. в Wayback Machine .
^ Рик Айерс, Уэйн Янсен, Николас Силлерос и Ронан Даниэлу. (октябрь 2005 г.). Получено из инструментов криминалистической экспертизы мобильных телефонов: обзор и анализ . Национальный институт стандартов и технологий.
^ Братья, Сэм. «Классификация инструментов iPhone» (PDF) . Архивировано из оригинала (PDF) 20 октября 2012 года . Проверено 21 июля 2012 г.
^ Jump up to: ^а ^б Эоган Кейси. Справочник по расследованию компьютерных преступлений – судебно-медицинские инструменты и технологии. Академическое издательство, 2-е издание, 2003 г.
^ Генри, Пол. «Краткий обзор: Cellebrite UFED использует извлечение данных телефона и дамп файловой системы» . Проверено 21 июля 2012 г.
^ Вэнс, Кристофер. «Физические данные Android с использованием Cellebrite UFED» . Архивировано из оригинала 12 августа 2011 года . Проверено 21 июля 2012 г.
^ Сатиш., Боммисетти (2014). Практическая криминалистическая экспертиза мобильных устройств: погрузитесь в криминалистическую экспертизу мобильных устройств на устройствах iOS, Android, Windows и BlackBerry с помощью этого насыщенного практическим руководством . Тамма, Рохит., Махалик, Хизер. Бирмингем, Великобритания: Паб Packt. ISBN 9781783288328 . OCLC 888036062 .
^ Уиттакер, Зак. «За 15 000 долларов GrayKey обещает взломать пароли iPhone для полиции» . ЗДНет . Проверено 2 июля 2018 г.
^ Уиттакер, Зак. «Утечка файлов раскрывает возможности технологии взлома телефонов израильской фирмы» . ЗДНет . Проверено 2 июля 2018 г.
^ «ЮФЕД Ultimate» . Cellebrite.com .
^ Фокс-Брюстер, Томас. «Таинственный «GrayKey» за 15 000 долларов обещает разблокировать iPhone X для федералов» . Форбс . Проверено 2 июля 2018 г.
^ «Мобильная цифровая криминалистика для военных» . Делл Инк . Проверено 21 июля 2012 г. ^{[ мертвая ссылка на YouTube ]}
^ Дэниелс, Кейт. «Создание набора инструментов для исследования сотовых устройств: основные характеристики аппаратного и программного обеспечения». ПОИСК Групп Инк. {{cite web}}: Отсутствует или пусто |url= ( помощь )
^ «Информационный центр электронных доказательств» . Проверено 25 июля 2012 г.
^ Домашняя страница Factronix
^ Видео: Процесс реболлинга
^ «Блокировщик USB | Защита конечных точек» . www.endpointprotector.com . Проверено 20 марта 2021 г.
^ Лорум, Марк (10 августа 2014 г.). «Живое изображение устройства Android» . Проверено 3 апреля 2015 г.
^ Том Солт и Родни Дрейк. Патент США 5469557. (1995). Получено из кода защиты в микроконтроллере с предохранителями EEPROM . Архивировано 12 июня 2011 г. в Wayback Machine.
^ Ахмед, Ризван. «Мобильная криминалистика: обзор, инструменты, будущие тенденции и проблемы с точки зрения правоохранительных органов» (PDF) . Архивировано из оригинала (PDF) 3 марта 2016 года . Проверено 2 февраля 2015 г.
^ Патент безопасной загрузки
^ Харини Сундаресан. (июль 2003 г.). Получено из функций безопасности платформы OMAP , Texas Instruments .

Внешние ссылки

[casey-1] Jump up to: ^а ^б ^с ^д Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 978-0-12-163104-8 .

[Rizwan-2] Jump up to: ^а ^б Ахмед, Ризван (2009). «Мобильная криминалистика: введение с точки зрения правоохранительных органов Индии». Информационные системы, технологии и менеджмент . Коммуникации в компьютерной и информатике. Том. 31. С. 173–184. дои : 10.1007/978-3-642-00405-6_21 . ISBN 978-3-642-00404-9 .

[Murphy-3] Jump up to: ^а ^б ^с Мерфи, Синтия. «Извлечение данных и документация доказательств по сотовому телефону» (PDF) . Проверено 4 августа 2013 г.

[4] Цукаяма, Хейли (13 июля 2012 г.). «Две трети покупателей мобильных устройств имеют смартфоны» . Вашингтон Пост . Проверено 20 июля 2012 г.

[5] [1] Янсен; и др. «Преодоление препятствий в криминалистике мобильных телефонов» . Проверено 20 июля 2012 г. ^{[ постоянная мертвая ссылка ]}

[6] Текрей, Джон. «Flasher Boxs: возвращение к основам криминалистики мобильных телефонов» . Архивировано из оригинала 15 ноября 2012 года . Проверено 20 июля 2012 г.

[Rizwan1-7] Ахмед, Ризван. «Извлечение цифровых доказательств и документирование с мобильных устройств» (PDF) . Проверено 2 февраля 2015 г.

[Fiorillo-8] Jump up to: ^а ^б Сальваторе Фиорилло. Теория и практика мобильной криминалистики флэш-памяти. Архивировано 14 февраля 2019 г. на Wayback Machine . Theosecurity.com, декабрь 2009 г.

[Miller-9] Jump up to: ^а ^б Миллер, Криста. «Другая сторона мобильной криминалистики» . Офицер.com . Проверено 24 июля 2012 г.

[Wayne_&_Ayes:CellPhoneForensic-10] Jump up to: ^а ^б Уэйн, Янсен и Айерс, Рик. (май 2007 г.). Руководство по криминалистической экспертизе мобильных телефонов. получено с http://www.mislan.com/SSDDFJ/papers/SSDDFJ_V1_1_Breeuwsma_et_al.pdf.

[Willassen:MobileInternForensic-11] Jump up to: ^а ^б ^с ^д ^и Уиллассен, Свейн Ю. (2006). «Криминалистический анализ внутренней памяти мобильного телефона». ИФИП Межд. Конф. Цифровая криминалистика . CiteSeerX 10.1.1.101.6742 .

[ForensicDataRecoveryFlashMem-12] Jump up to: ^а ^б ^с ^д Марсель Бреусма, Мартиен де Йонг, Курт Клавер, Рональд ван дер Книфф и Марк Рулоффс. (2007). получено из судебно-медицинской экспертизы по восстановлению данных из флэш-памяти, заархивировано 23 октября 2016 г. на Wayback Machine . Малый журнал по криминалистике цифровых устройств, том 1 (номер 1). Кроме того, многие из этих инструментов стали более приспособлены к восстановлению кодов доступа и паролей пользователей без потери пользовательских данных. Примером инструмента, обычно используемого в этой области, является BST Dongle .

[Knijff:TenGoodReasons-13] Jump up to: ^а ^б ^с ^д Рональд ван дер Книфф. (2007). взято из книги «10 веских причин, почему вам следует переключить внимание на криминалистическую экспертизу небольших цифровых устройств». Архивировано 15 октября 2008 г. в Wayback Machine .

[NIST-14] Рик Айерс, Уэйн Янсен, Николас Силлерос и Ронан Даниэлу. (октябрь 2005 г.). Получено из инструментов криминалистической экспертизы мобильных телефонов: обзор и анализ . Национальный институт стандартов и технологий.

[15] Братья, Сэм. «Классификация инструментов iPhone» (PDF) . Архивировано из оригинала (PDF) 20 октября 2012 года . Проверено 21 июля 2012 г.

[Casey:Handbook-16] Jump up to: ^а ^б Эоган Кейси. Справочник по расследованию компьютерных преступлений – судебно-медицинские инструменты и технологии. Академическое издательство, 2-е издание, 2003 г.

[17] Генри, Пол. «Краткий обзор: Cellebrite UFED использует извлечение данных телефона и дамп файловой системы» . Проверено 21 июля 2012 г.

[18] Вэнс, Кристофер. «Физические данные Android с использованием Cellebrite UFED» . Архивировано из оригинала 12 августа 2011 года . Проверено 21 июля 2012 г.

[19] Сатиш., Боммисетти (2014). Практическая криминалистическая экспертиза мобильных устройств: погрузитесь в криминалистическую экспертизу мобильных устройств на устройствах iOS, Android, Windows и BlackBerry с помощью этого насыщенного практическим руководством . Тамма, Рохит., Махалик, Хизер. Бирмингем, Великобритания: Паб Packt. ISBN 9781783288328 . OCLC 888036062 .

[20] Уиттакер, Зак. «За 15 000 долларов GrayKey обещает взломать пароли iPhone для полиции» . ЗДНет . Проверено 2 июля 2018 г.

[21] Уиттакер, Зак. «Утечка файлов раскрывает возможности технологии взлома телефонов израильской фирмы» . ЗДНет . Проверено 2 июля 2018 г.

[22] «ЮФЕД Ultimate» . Cellebrite.com .

[23] Фокс-Брюстер, Томас. «Таинственный «GrayKey» за 15 000 долларов обещает разблокировать iPhone X для федералов» . Форбс . Проверено 2 июля 2018 г.

[24] «Мобильная цифровая криминалистика для военных» . Делл Инк . Проверено 21 июля 2012 г. ^{[ мертвая ссылка на YouTube ]}

[25] Дэниелс, Кейт. «Создание набора инструментов для исследования сотовых устройств: основные характеристики аппаратного и программного обеспечения». ПОИСК Групп Инк. {{cite web}}: Отсутствует или пусто |url= ( помощь )

[26] «Информационный центр электронных доказательств» . Проверено 25 июля 2012 г.

[factronix.com-27] Домашняя страница Factronix

[Video:LaserReballingScheme-28] Видео: Процесс реболлинга

[29] «Блокировщик USB | Защита конечных точек» . www.endpointprotector.com . Проверено 20 марта 2021 г.

[Lohrum-30] Лорум, Марк (10 августа 2014 г.). «Живое изображение устройства Android» . Проверено 3 апреля 2015 г.

[Patent:CodeProtectionFuses-31] Том Солт и Родни Дрейк. Патент США 5469557. (1995). Получено из кода защиты в микроконтроллере с предохранителями EEPROM . Архивировано 12 июня 2011 г. в Wayback Machine.

[Ahmed-32] Ахмед, Ризван. «Мобильная криминалистика: обзор, инструменты, будущие тенденции и проблемы с точки зрения правоохранительных органов» (PDF) . Архивировано из оригинала (PDF) 3 марта 2016 года . Проверено 2 февраля 2015 г.

[Patent:SecureBoot-33] Патент безопасной загрузки

[OMAP-34] Харини Сундаресан. (июль 2003 г.). Получено из функций безопасности платформы OMAP , Texas Instruments .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

v т и Цифровая криминалистика
Branches	Computer forensics Mobile device forensics Network forensics Database forensics Software forensics
Hardware	Forensic disk controller
Software	ADF Solutions Digital Evidence Investigator EnCase Foremost FTK PTK Forensics The Sleuth Kit The Coroner's Toolkit COFEE HashKeeper Xplico
Certification	Certified Forensic Computer Examiner (CFCE) Global Information Assurance Certification
Processes	Digital forensic process Data acquisition Digital evidence eDiscovery Anti–computer forensics
Organisations	National Software Reference Library Department of Defense Cyber Crime Center National Hi-Tech Crime Unit (NHTCU) Australian High Tech Crime Centre (AHTCC)
People	Mary Aiken Annie Antón Rebecca Bace Josh Brunty Eoghan Casey Hany Farid Simson Garfinkel Clifford Stoll Robert Zeidman
Glossary of digital forensics terms