[極密]手持式裝置與手機取證與資料恢復工作原理

看板Storage_Zone (儲存裝置)作者laptop (空中飛熊)時間15年前 (2010/10/07 04:46)推噓2(2推 0噓 1→)

留言3則, 3人參與討論串1/1

注意: 無故以不正方法侵犯他人隱私知悉之他人秘密，即為妨害秘密罪若要做手機取證,建議申請通訊監察書(通訊保護法) 原創OSSLab 同於數位取證 (Digital Forensics)，手機取證是按照符合法律規範的方式對手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、簡訊、通訊錄、電子郵件、照片、聲音檔等。用來做法律上證明或反駁的證據。做手機取證前，先要瞭解手機儲存處. 1. 外部記憶卡都是FAT,FAT32格式,直接獨取,被刪除分區或是刪除檔案.用簡單分區表還原就可 2. Sim Card 可以讀取通訊錄跟SMS 另外已刪除SMS可以還原 3. 手機本身內部: 手機本身就是嵌入式系,根據其文件系統做還原 * Smart phone 底層會採用相通文件系統，對於其分區表判斷很容易，像用Windows mobile OS的"手機,GPS "採用FAT 分區使用Imagetool 可以很輕易Dump所有Image後,再做FAT分析.Iphone 則是從備份檔可以還原出被刪除簡訊. * MCU手機沒有通用文件系統與工具並且文件系統也沒公開比較可行方式是用其I/O做 Digital Forensic 這邊以Nokia為例,Nokia手機分為DCT3,DCT4,BB5 Soultion 手機I/O: F-BUS ,M-BUS,內定腳位. IRDA ,Bluetooth. F-BUS:112000 bps 部份機種官方傳輸線 DKU-5 是F-BUS腳位+AT76C711AVR 單晶片機才可以下AT Command M-BUS:9600 bps IRDA:OBDX Bluetooth:OBDX AT command Protocol: F-BUS OBDX Dump 整隻手機 flash memory : 需要專用工具連接 M-BUS I/O,F-BUS ,BSI (測量電源) ,VBAT (電源),GND(負極) 獲得整個手機 flash memory file 以Flash memory 分析再進行 Unicode編碼轉換格式手機取證流程跟軟體一.解鎖手機Pin Code,話機鎖,USER鎖破解備份檔加密當手機被上鎖,以 SE Tools 等手機維修硬件二.讀取手機明文未刪除資訊相關工具 * Celldek 行動劫取台 http://www.logicubeforensics.com/products/hd_duplication/celldek.asp 價格約NT 30萬 * CelleBrite UFED System 行動劫取台 http://www.cellebrite.com/UFED-Standard-Kit.html?gclid=COWGsZDWiKACFUIwpAod1BY_Eg 價格約NT 20萬以上 * Oxygen forensic 2010 適用於大量品牌手機 http://www.oxygen-forensic.com/cn/ nt 4-5萬 Protocol:ETSI　and Nokia AT Command ,ODBX * Bitpom 免費開源只適用高通ＣＤＭＡ　Soultion http://www.bitpim.org/ Protocol:ETSI　and 高通 AT Command * Tulp2g 免費開源 http://tulp2g.sourceforge.net/ Protocol:ETSI　and Siemens AT Command ,ODBX * FMA 免費開源適用Nokia http://fma.sourceforge.net/index2.htm Protocol:ETSI　and Nokia AT Command ,ODBX * Manifest explorer 適用 Android https://www.isecpartners.com/manifest_explorer.html * MIAT 適用 Symbain ,Windows Mobile http://miatforensics.org/index.php?option =com_content&view=article&id=70&Itemid=53 三.可還原被刪除資料軟硬體還原Sim Card被刪除簡訊 1. Undeletesms 免費軟體 http://vidstrom.net/stools/undeletesms/ 2. USIM Detective .有全功能30天試用版. http://quantaq.opiah.com/usim_detective/usimdetective.php 這方面軟體就以商業化為主 * EnCase Neutrino http://www.guidancesoftware.com/mobile-cellphone-forensics -software-neutrino.htm 價格約NT 80萬吧也許更高 Flash dump原理 * .XRY http://www.msab.com/en/mobile-forensic-products/ 價格約40萬以上 * FINALDATA Mobile Forensic Finaldata 公司作品，在2.1x版時不支持Unicode.支持Phone以高通為主. 價格不詳聽說在us 3000以上 http://www.ojp.usdoj.gov/nij/pubs-sum/228227.htm 應該是AT command * Iphone data recovery http://www.iphonedatarecovery.org/ 但MCU 手機以Sony ericsson為例 GlobalDateFileSystem JTAG Dump Rom 法. 四.手機已損毀還原閃存NAND FLASH (已玩過有很大難度....) 以上為我們實驗室初步研究部份品牌手機確實可以還原被刪除未覆蓋資料但是不夠全面化..... (其實還有一個省事作法裝手機木馬....這程式可很好玩了.. 不過NCC ,電信警察隊,市刑大竟然完全沒有概念....) -- Telecom Fabless IC designer Rank in my mind Atheros LSI Broadcom Marvell Qualcomm 因為非強者所以只能自嘆 http://www.osslab.org.tw/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.84.210.79