手持式裝置與手機取證與資料恢復工作原理 - 儲存設備
By Ida
at 2010-10-07T04:45
at 2010-10-07T04:45
Table of Contents
注意: 無故以不正方法侵犯他人隱私知悉之他人秘密,即為妨害秘密罪
若要做手機取證,建議申請通訊監察書(通訊保護法)
原創OSSLab
同於數位取證 (Digital Forensics),手機取證是按照符合法律規範的方式對
手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、
簡訊、通訊錄、電子郵件、照片、 聲音檔等。用來做法律上證明或反駁的證據。
做手機取證前,先要瞭解手機儲存處.
1. 外部記憶卡
都是FAT,FAT32格式,直接獨取,被刪除分區或是刪除檔案.用簡單分區表還原
就可
2. Sim Card 可以讀取通訊錄跟SMS 另外已刪除SMS可以還原
3. 手機本身內部:
手機本身就是嵌入式系,根據其文件系統做還原
* Smart phone 底層會採用相通文件系統,對於其分區表判斷很容易,
像用Windows mobile OS的"手機,GPS "採用FAT 分區使用Imagetool
可以很輕易Dump所有Image後,再做FAT分析.Iphone
則是從備份檔可以還原出被刪除簡訊.
* MCU手機沒有通用文件系統與工具 並且文件系統也沒公開
比較可行方式是用其I/O做 Digital Forensic
這邊以Nokia為例,Nokia手機分為DCT3,DCT4,BB5 Soultion
手機I/O: F-BUS ,M-BUS,內定腳位. IRDA ,Bluetooth.
F-BUS:112000 bps 部份機種
官方傳輸線 DKU-5 是F-BUS腳位+AT76C711AVR 單晶片機
才可以下AT Command
M-BUS:9600 bps
IRDA:OBDX
Bluetooth:OBDX
AT command
Protocol:
F-BUS
OBDX
Dump 整隻手機 flash memory :
需要專用工具 連接 M-BUS I/O,F-BUS ,BSI (測量電源)
,VBAT (電源),GND(負極)
獲得整個手機 flash memory file
以Flash memory 分析再進行 Unicode編碼轉換格式
手機取證流程跟軟體
一.解鎖手機Pin Code,話機鎖,USER鎖 破解備份檔加密
當手機被上鎖,以 SE Tools 等手機維修硬件
二.讀取手機明文未刪除資訊
相關工具
* Celldek 行動劫取台
http://www.logicubeforensics.com/products/hd_duplication/celldek.asp
價格約NT 30萬
* CelleBrite UFED System 行動劫取台
http://www.cellebrite.com/UFED-Standard-Kit.html?gclid=COWGsZDWiKACFUIwpAod1BY_Eg
價格約NT 20萬 以上
* Oxygen forensic 2010 適用於大量品牌手機
http://www.oxygen-forensic.com/cn/
nt 4-5萬
Protocol:ETSI and Nokia AT Command ,ODBX
* Bitpom 免費開源 只適用高通CDMA Soultion
http://www.bitpim.org/
Protocol:ETSI and 高通 AT Command
* Tulp2g 免費開源
http://tulp2g.sourceforge.net/
Protocol:ETSI and Siemens AT Command ,ODBX
* FMA 免費開源 適用Nokia
http://fma.sourceforge.net/index2.htm
Protocol:ETSI and Nokia AT Command ,ODBX
* Manifest explorer 適用 Android
https://www.isecpartners.com/manifest_explorer.html
* MIAT 適用 Symbain ,Windows Mobile
http://miatforensics.org/index.php?option
=com_content&view=article&id=70&Itemid=53
三.可還原被刪除資料軟硬體
還原Sim Card被刪除簡訊
1. Undeletesms 免費軟體
http://vidstrom.net/stools/undeletesms/
2. USIM Detective .有全功能30天試用版.
http://quantaq.opiah.com/usim_detective/usimdetective.php
這方面軟體就以商業化為主
* EnCase Neutrino
http://www.guidancesoftware.com/mobile-cellphone-forensics
-software-neutrino.htm
價格約NT 80萬吧 也許更高
Flash dump原理
* .XRY
http://www.msab.com/en/mobile-forensic-products/
價格約40萬 以上
* FINALDATA Mobile Forensic
Finaldata 公司作品,在2.1x版時不支持Unicode.支持Phone以高通為主.
價格不詳 聽說在us 3000以上
http://www.ojp.usdoj.gov/nij/pubs-sum/228227.htm
應該是AT command
* Iphone data recovery
http://www.iphonedatarecovery.org/
但MCU 手機
以Sony ericsson為例 GlobalDateFileSystem JTAG Dump Rom 法.
四.手機已損毀
還原閃存NAND FLASH (已玩過 有很大難度....)
以上為我們實驗室初步研究 部份品牌手機確實可以還原被刪除未覆蓋資料
但是不夠全面化.....
(其實還有一個省事作法 裝手機木馬....這程式可很好玩了..
不過NCC ,電信警察隊,市刑大竟然完全沒有概念....)
--
Telecom Fabless IC designer Rank in my mind
Atheros LSI Broadcom Marvell Qualcomm
因為非強者 所以只能自嘆
http://www.osslab.org.tw/
--
若要做手機取證,建議申請通訊監察書(通訊保護法)
原創OSSLab
同於數位取證 (Digital Forensics),手機取證是按照符合法律規範的方式對
手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、
簡訊、通訊錄、電子郵件、照片、 聲音檔等。用來做法律上證明或反駁的證據。
做手機取證前,先要瞭解手機儲存處.
1. 外部記憶卡
都是FAT,FAT32格式,直接獨取,被刪除分區或是刪除檔案.用簡單分區表還原
就可
2. Sim Card 可以讀取通訊錄跟SMS 另外已刪除SMS可以還原
3. 手機本身內部:
手機本身就是嵌入式系,根據其文件系統做還原
* Smart phone 底層會採用相通文件系統,對於其分區表判斷很容易,
像用Windows mobile OS的"手機,GPS "採用FAT 分區使用Imagetool
可以很輕易Dump所有Image後,再做FAT分析.Iphone
則是從備份檔可以還原出被刪除簡訊.
* MCU手機沒有通用文件系統與工具 並且文件系統也沒公開
比較可行方式是用其I/O做 Digital Forensic
這邊以Nokia為例,Nokia手機分為DCT3,DCT4,BB5 Soultion
手機I/O: F-BUS ,M-BUS,內定腳位. IRDA ,Bluetooth.
F-BUS:112000 bps 部份機種
官方傳輸線 DKU-5 是F-BUS腳位+AT76C711AVR 單晶片機
才可以下AT Command
M-BUS:9600 bps
IRDA:OBDX
Bluetooth:OBDX
AT command
Protocol:
F-BUS
OBDX
Dump 整隻手機 flash memory :
需要專用工具 連接 M-BUS I/O,F-BUS ,BSI (測量電源)
,VBAT (電源),GND(負極)
獲得整個手機 flash memory file
以Flash memory 分析再進行 Unicode編碼轉換格式
手機取證流程跟軟體
一.解鎖手機Pin Code,話機鎖,USER鎖 破解備份檔加密
當手機被上鎖,以 SE Tools 等手機維修硬件
二.讀取手機明文未刪除資訊
相關工具
* Celldek 行動劫取台
http://www.logicubeforensics.com/products/hd_duplication/celldek.asp
價格約NT 30萬
* CelleBrite UFED System 行動劫取台
http://www.cellebrite.com/UFED-Standard-Kit.html?gclid=COWGsZDWiKACFUIwpAod1BY_Eg
價格約NT 20萬 以上
* Oxygen forensic 2010 適用於大量品牌手機
http://www.oxygen-forensic.com/cn/
nt 4-5萬
Protocol:ETSI and Nokia AT Command ,ODBX
* Bitpom 免費開源 只適用高通CDMA Soultion
http://www.bitpim.org/
Protocol:ETSI and 高通 AT Command
* Tulp2g 免費開源
http://tulp2g.sourceforge.net/
Protocol:ETSI and Siemens AT Command ,ODBX
* FMA 免費開源 適用Nokia
http://fma.sourceforge.net/index2.htm
Protocol:ETSI and Nokia AT Command ,ODBX
* Manifest explorer 適用 Android
https://www.isecpartners.com/manifest_explorer.html
* MIAT 適用 Symbain ,Windows Mobile
http://miatforensics.org/index.php?option
=com_content&view=article&id=70&Itemid=53
三.可還原被刪除資料軟硬體
還原Sim Card被刪除簡訊
1. Undeletesms 免費軟體
http://vidstrom.net/stools/undeletesms/
2. USIM Detective .有全功能30天試用版.
http://quantaq.opiah.com/usim_detective/usimdetective.php
這方面軟體就以商業化為主
* EnCase Neutrino
http://www.guidancesoftware.com/mobile-cellphone-forensics
-software-neutrino.htm
價格約NT 80萬吧 也許更高
Flash dump原理
* .XRY
http://www.msab.com/en/mobile-forensic-products/
價格約40萬 以上
* FINALDATA Mobile Forensic
Finaldata 公司作品,在2.1x版時不支持Unicode.支持Phone以高通為主.
價格不詳 聽說在us 3000以上
http://www.ojp.usdoj.gov/nij/pubs-sum/228227.htm
應該是AT command
* Iphone data recovery
http://www.iphonedatarecovery.org/
但MCU 手機
以Sony ericsson為例 GlobalDateFileSystem JTAG Dump Rom 法.
四.手機已損毀
還原閃存NAND FLASH (已玩過 有很大難度....)
以上為我們實驗室初步研究 部份品牌手機確實可以還原被刪除未覆蓋資料
但是不夠全面化.....
(其實還有一個省事作法 裝手機木馬....這程式可很好玩了..
不過NCC ,電信警察隊,市刑大竟然完全沒有概念....)
--
Telecom Fabless IC designer Rank in my mind
Atheros LSI Broadcom Marvell Qualcomm
因為非強者 所以只能自嘆
http://www.osslab.org.tw/
--
Tags:
儲存設備
All Comments
By Delia
at 2010-10-09T08:29
at 2010-10-09T08:29
By Todd Johnson
at 2010-10-13T01:21
at 2010-10-13T01:21
By Quintina
at 2010-10-14T04:02
at 2010-10-14T04:02
Related Posts
請問創見兩個硬碟的差異?
By Hedwig
at 2010-10-07T00:35
at 2010-10-07T00:35
請推薦百元速度尚可的隨身碟
By Annie
at 2010-10-07T00:31
at 2010-10-07T00:31
關於Seagate的RMA
By Wallis
at 2010-10-06T22:36
at 2010-10-06T22:36
記憶卡變成RAW檔,無法開啟
By Yuri
at 2010-10-06T19:14
at 2010-10-06T19:14
IDE轉SATA
By Jack
at 2010-10-06T15:29
at 2010-10-06T15:29