Pháp chứng số trên thiết bị di động • Pháp chứng số trên thiết bị di động là một lĩnh vực đặc biệt phát triển trong lĩnh vực Pháp chứng kỹ thuật số nhằm cung cấp các báo cáo điều tra chính xác về thiết bị di động của nghi phạm. • Mục tiêu của Pháp chứng số trên thiết bị di động là thực hành sử dụng phương pháp điều tra dữ liệu chứa trong bộ nhớ trong của thiết bị di động và môi trường mạng. • Pháp chứng số trên thiết bị di động là khoa học về phục hồi bằng chứng kỹ thuật số từ các thiết bị di động sử dụng các phương pháp được chấp nhận. Pháp chứng số và Pháp chứng số trên thiết bị di động Sự phát triển của Mạng di động • Pháp chứng viên kỹ thuật số phải đối mặt với một thách thức liên tục để theo kịp các công nghệ mới nhất mà có thể được sử dụng để tìm ra các manh mối có liên quan trong điều tra. • Thiết bị di động hiện rất phổ biến trong xã hội ngày nay, chúng được sử dụng bởi nhiều cá nhân cho các mục đích cá nhân và chuyên nghiệp. • Các thiết bị di động rất khác nhau trong thiết kế và chúng liên tục trải qua các thay đổi như cải thiện công nghệ hiện có và giới thiệu công nghệ mới. Mạng truyền thông di động Điều tra một thiết bị di động • Khi Pháp chứng viên gặp một thiết bị di động trong quá trình điều tra, nhiều câu hỏi phát sinh: • Phương pháp tốt nhất để bảo vệ các bằng chứng là gì? • Làm thế nào xử lý các thiết bị? • Làm thế nào dữ liệu được trích xuất trên thiết bị có khả năng có giá trị hoặc có liên quan? • Chìa khóa để trả lời những câu hỏi bắt đầu với một sự hiểu biết vững chắc đặc điểm của phần cứng và phần mềm của thiết bị di động. Bảo vệ toàn vẹn thiết bị di động • Một trong những nguyên tắc đầu tiên của bất kì cuộc pháp chứng nào cũng là tránh sự thay đổi của thiết bị di động được điều tra trên bất kì phương diện nào. • Phần dung lượng lưu trữ trên một thiết bị không thể dễ dàng lấy đi. Tuy nhiên nếu thiết bị di động được điều tra đang được bật thì việc tắt máy hoặc tháo pin sẽ làm thay đổi dữ liệu thiết bị. Điều tra thông tin trên thiết bị di động Thu thập các bằng chứng tiềm năng • Các nhà sản xuất thiết bị di động thường cung cấp một bộ xử lý thông tin tính năng và khả năng tương tự nhau như: Quản lý Thông tin cá nhân (PIM), các ứng dụng tin nhắn và e-mail, web và duyệt web. • Pháp chứng viên cần hiểu rõ các tính năng và khả năng dựa trên các yếu tố bao gồm: các thiết bị được sản xuất, phiên bản của phần mềm đang chạy, những thay đổi được thực hiện do một nhà cung cấp dịch vụ cụ thể, các sửa đổi hoặc ứng dụng được cài đặt bởi người sử dụng. Đặc trưng các loại thiết bị di động Đặc trưng phần mềm thiết bị di động Bộ nhớ trong thiết bị di động • Khi điện thoại thông minh được giới thiệu, cấu hình bộ nhớ điện thoại bổ sung thêm bộ nhớ Flash. • Bộ nhớ Flash được chia thành hai kiểu: NOR và NAND. NOR (Not OR) thường sử dụng các cổng logic NOR trong khi đó NAND (Not AND) lại sử dụng các cổng logic NAND. • Điện thoại thế hệ thứ hai sử dụng các bộ nhớ Flash NOR, NAND và bộ nhớ RAM. • Điện thoại thế hệ thứ hai trữ các tập tin hệ thống trong NOR flash, tập tin người dùng trong NAND và bộ nhớ RAM được sử dụng để thực thi mã lệnh. Bộ nhớ trong điện thoại các thế hệ
Chip nhớ NAND Flash
Thẻ SIM • Thẻ SIM (Subscriber Identity Module) là là thẻ nhớ thông minh sử dụng trên điện ... thuê bao di động, được sử dụng trong mạng điện thoại di động hệ GSM Cellular. • Trong khuôn khổ GSM, điện thoại di động được gọi là một trạm di động và được phân chia thành hai phần riêng biệt: Universal Integrated Circuit Card (UICC) và các thiết bị di động (ME). Đặc điểm mạng di động • Hai hệ thống chi phối hầu hết các mạng di động kỹ thuật số được gọi là Code Division Multiple Access (CDMA) và hệ thống mạng toàn cầu cho thông tin di động (GSM). • Các mạng di động phổ biến khác bao gồm Time Division Multiple Access (TDMA) và mạng tích hợp kỹ thuật số mạng nâng cao (iDEN). • Mạng iDEN sử dụng một giao thức độc quyền thiết kế bởi Motorola, trong khi những mạng di động khác theo tiêu chuẩn giao thức mở. • Một phiên bản kỹ thuật số của các tiêu chuẩn tương tự ban đầu cho dịch vụ điện thoại di động điện thoại, được gọi là kỹ thuật số dịch vụ điện thoại di động cao cấp (D-AMPS), cũng tồn tại. Các mạng di động tại Việt nam Mô hình hoạt động của mạng di động Các chứng cớ số cần thu thập 1. Tên thuê bao và thiết bị định danh 2. Ngày/giờ, ngôn ngữ, và các thiết lập khác 3. Danh bạ/Thông tin liên hệ 4. Thông tin lịch 5. Tin nhắn văn bản gửi đi, gửi đến 6. Tin nhắn đa phương tiện truyền thông 7. Nhật ký cuộc gọi nhỡ 8. Thư điện tử 9. Hình ảnh 10.Âm thanh và video ghi âm 11. Các địa chỉ Web 12.Các hoạt động duyệt web 13.Tài liệu điện tử 14.Dữ liệu liên quan môi trường xã hội SQLite Database • SQLite là hệ thống cơ sở dữ liệu quan hệ mã nguồn mở nhỏ gọn, hoàn chỉnh, có thể cài đặt bên trong các trình ứng dụng khác., cài đặt thông dụng trong các thiết bị di động Android, iOS, Windows Phone • SQLite được Richard Hipp viết dưới dạng thư viện bằng ngôn C với các ưu điểm sau: • Tin cậy: các hoạt động transaction (chuyển giao) nội trong cơ sở dữ liệu được thưc hiện trọn vẹn, không gây lỗi khi xảy ra sự cố phần cứng • Tuân theo chuẩn SQL92 (chỉ có một vài đặc điểm không hỗ trợ), không cần cài đặt cấu hình,Kích thước chương trình gọn nhẹ, với cấu hình đầy đủ chỉ không đầy 300 kB SQLite Công cụ SQLite Forensic Explorer • SQLite Forensic Explorer có khả năng phân tích, giải nén và báo cáo thông tin từ bất kỳ cơ sở dữ liệu SQLite (không bị hỏng hoặc mã hóa). Công cụ Epilog • Epilog cho phép phục hồi dữ liệu bị xóa chứa trong cơ sở dữ liệu SQLite. • Epilog cho phép phân tích dữ liệu SQLite vừa phục hồi và đưa chúng với một bảng trong các tập tin cơ sở dữ liệu đang hoạt động. Điều tra với các thiết bị di động • Các công cụ điều tra cho thiết bị di động khác đáng kể với máy tính cá nhân. Trong khi máy tính cá nhân có thể khác các thiết bị di động từ góc độ phần cứng và phần mềm nhưng chức năng của chúng ngày càng trở nên tương tự. • Hiện nhiều hệ thống điện thoại di động có hệ điều hành mở (ví dụ, Android), một số hệ điều hành điện thông thường vẫn còn đóng (iOS). • Hệ điều hành đóng làm cho sự hiểu biết hệ thống liên kết file và cấu trúc khó khăn. Nhiều thiết bị di động với cùng cài đặt một hệ điều hành nhưng có thể thay đổi nhiều đưa đến kết quả là một hệ thống tập tin có cấu trúc khác biệt. Phân loại công cụ điều tra thiết bị di động • Cấp 1, khai thác bằng tay, liên quan đến việc ghi lại thông tin trong điện thoại và đưa lên trên một màn hình sử dụng bàn phím hoặc touchscreen để xem. • Cấp 2, khai thác luân lý, kết nối giữa điện thoại và máy tính qua các cáp USB hoặc RS-232, hoặc kết nối không dây như IrDA, WiFi, or Bluetooth. Pháp chứng viên chép thông tin để nghiên cứu. • Cấp độ 3, Khai thác vật lý, cho phép truy cập vào bộ nhớ Flash của điện thoại nhằm khai thác thông tin • Cấp 4, Chip Off, cần tháo bộ nhớ Flash từ một thiết bị di động để trực tiếp trích xuất dữ liệu. Pháp chứng viên nghiên cứu các dữ liệu nhị phân từ bộ nhớ Flash • Cấp 5, Một máy đọc Micro sử dụng một kính hiển vi điện tử. ghi lại những quan sát vật lý của các cổng trong NAND hoặc NOR chip. Điều tra thiết bị di động Các cấp công cụ pháp chứng di động Các công cụ điều tra trên thiết bị di động Các công cụ điều tra trên thiết bị di động Điều tra trên thiết bị di động Công cụ đọc thông tin từ điện thoại di động • Pháp chứng viên sao chép lại các thông tin của điện thoại di động, bao gồm các thông tin trong bộ nhớ Flash. • Pháp chứng viên làm việc với các bản copy của bộ nhớ Flash khi tìm kiếm bằng chứng. Công cụ đọc nội dung thẻ UICC • Có các công cụ pháp chứng điện thoại di động đọc nội dung UICCs. • Những công cụ này thực hiện một đọc trực tiếp nội dung của UICC ra một máy tính cá nhân/ máy đọc thẻ thông minh (PC / SC) • Phạm vi của dữ liệu thu được thay đổi theo khả năng và các tính năng của công cụ. • Đa số các công cụ khai thác UICC có được các số liệu sau: thuê bao di động quốc tế Identity (IMSI), Vi mạch thẻ ID (ICCID), số viết tắt quay số (ADN), số cuối Cuộc gọi đi (LND), tin nhắn SMS, và Thông tin địa điểm (locus) Công cụ đọc nội dung thẻ SIM Thiết bị bị khóa • Một thiết bị di động bị khóa là thiết bị có yêu cầu xác thực thành công bằng cách sử dụng mật khẩu hoặc một số phương tiện khác để có được quyền truy cập vào thiết bị. • Một số cách phục hồi dữ liệu từ các thiết bị bị khóa. Có ba loại: dựa trên phần mềm, dựa trên phần cứng và điều tra. • Thiết bị bị khóa bao gồm hệ thống thiếu thiết bị nhận dạng, mã PIN cho thẻ UICCs, hoặc khóa thiết bị di động bị khóa cần kích hoạt. Khóa bảo vệ dữ liệu • Khóa Mật khẩu và thẻ nhớ được mã hóa cung cấp cho người dùng với thêm phương tiện để bảo vệ dữ liệu. Bảo vệ này có thể làm cho phục hồi dữ liệu như vậy là phức tạp hơn. • Khả năng mã hóa nội dung được cung cấp như một tính năng tiêu chuẩn trong nhiều thiết bị di động hoặc có thể có sẵn thông qua một tiện ích ứng dụng. Công cụ dựa trên phần mềm và phần cứng • Công cụ dựa trên phần mềm được sử dụng để phá vỡ hoặc bỏ qua cơ chế xác thực. • Hiện có một số công cụ cung cấp một chức năng tự động khôi phục mật khẩu từ các thiết bị di động bị khóa. • Công cụ dựa trên phần cứng liên quan đến một sự kết hợp của phần mềm và phần cứng để phá vỡ hoặc bỏ qua các cơ chế chứng thực và cho phép truy cập vào thiết bị. Công cụ phá khóa iPhone Các phương pháp điều tra không công cụ • Hỏi nghi phạm - nếu một thiết bị được bảo vệ bằng mật khẩu, mã PIN hoặc cơ chế xác thực khác liên quan đến xác thực dựa trên tri thức, nghi phạm có thể được truy vấn thông tin này trong cuộc phỏng vấn đầu tiên. • Xem xét thu giữ tài liệu - Mật khẩu hoặc số PIN có thể được viết trên một mảnh giấy và giữ hoặc gần điện thoại, tại một máy tính để bàn sử dụng để đồng bộ hóa với thiết bị di động, hoặc mang theo người nghi phạm, chẳng hạn như trong vòng một ví, và có thể được phục hồi thông qua kiểm tra trực quan. • Yêu cầu các nhà cung cấp dịch vụ - Nếu một thiết bị di động GSM được bảo vệ bằng mã PIN, định danh (ví dụ, ICCID) có thể thu được và sử dụng để yêu cầu mã PUK từ nhà cung cấp dịch vụ và thiết lập lại mã PIN. Khả năng các công cụ pháp chứng • Công cụ phần mềm pháp chứng có khả năng xử lý nhu cầu điều tra thông thường với hàng loạt các thiết bị hiện hành. • Tình huống khó khăn hơn, chẳng hạn như phục hồi dữ liệu bị xóa khỏi bộ nhớ của thiết bị, có thể yêu cầu các công cụ chuyên ngành và chuyên môn và tháo lắp thiết bị. • Phạm vi hỗ trợ cung cấp, bao gồm cáp điện thoại di động thiết bị và trình điều khiển, tài liệu sản phẩm, và tần số cập nhật, và có thể thay đổi đáng kể trong số sản phẩm. • Các tính năng được cung cấp như tìm kiếm, đánh dấu trang, và khả năng báo cáo cũng có thể thay đổi đáng kể. Bảo quản bằng chứng trên thiết bị di động • Bằng chứng bảo quản là quá trình của việc duy trì an toàn thiết bị mà không thay đổi hoặc thay đổi các nội dung của dữ liệu nằm trên các thiết bị và phương tiện di động. • Bảo quản bằng chứng là bước đầu tiên trong việc phục hồi bằng chứng kỹ thuật số. • Để sử dụng bằng chứng thành công, cho dù chưa có một tòa án hoặc một thủ tục không chính thức, thiết bị di động phải được bảo tồn. • Thất bại trong việc bảo vệ chứng cứ trong trạng thái ban đầu của nó có thể gây nguy hiểm cho toàn bộ nội dung điều tra, có khả năng mất có giá trị thông tin liên quan. Kỹ thuật cách ly mạng di động • Thiết bị phải được sạc đầy trước khi kiểm tra, cần xem xét để có một nguồn điện cố định hoặc di động kèm theo. Thùng bảo vệ • Thùng bảo vệ - Một thùng bảo vệ di động có thể cho phép kiểm tra sẽ được tiến hành một cách an toàn một khi điện thoại nằm bên trong. • Cáp kết nối với thùng phải cách ly hoàn toàn để phòng ngừa cuộc gọi mạng xảy ra. Cách ly khu vực • Khu vực làm việc được bảo vệ khỏi tín hiệu di động là một cách tốn kém nhưng hiệu quả để tiến hành kiểm tra một cách an toàn ở một vị trí cố định. • Một " lều Faraday " là một thay thế rẻ hơn mà còn cho phép di động. • Nối cáp vào lều là một vấn đề vì không có cách ly thích hợp nó trở thành một ăng-ten, đánh bại mục đích của lều. Lều Faraday ngăn tín hiệu Radio Lều Faraday sử dụng chống nghe lén Thiết bị gây nhiễu/giả mạo - bằng cách phá sóng • Thiết bị gây nhiễu / giả mạo - Phát ra một tín hiệu mạnh hơn so với một điện thoại di động hay can thiệp vào tín hiệu có thể làm cho một điện thoại di động không họạt động. • Một kỹ thuật khác liên quan đến việc lừa điện thoại vào một tín hiệu "không có dịch vụ“ đến từ các tháp di động gần nhất. • Bởi vì các thiết bị như vậy có thể ảnh hưởng đến truyền thông trong không phận xung quanh công cần có giấy phép sử dụng ở một số khu vực pháp lý. Xe phá sóng Dữ liệu trên thẻ nhớ • Hầu hết các thiết bị di động trên Android có thẻ nhớ microSD tháo rời. • Các dữ liệu trên thẻ nhớ microSD không nên bỏ qua khi họ thường có chứa một lượng lớn dữ liệu không được mã hóa và không được bảo vệ. • Pháp chứng viên cần xem xét các thẻ nhớ microSD, nên chống ghi và sao lại với kỹ thuật tiêu chuẩn. • Các bản sao sau đó có thể được kiểm tra bằng cách sử dụng các công cụ pháp chứng kỹ thuật số truyền thống. Điện thoại di động iOS • Từ iPhone 3G [s], Apple đã gắn các thiết bị iOS với một chip mã hóa chuyên dụng, làm tăng tốc mã hóa phần cứng . • Apple đã kết hợp mật hóa nâng cao vào hệ điều hành với một tính năng có tên là Bảo vệ dữ liệu. • Bảo vệ dữ liệu là sự kết hợp của tăng tốc mã hóa phần cứng và một chương trình mật mã xác thực, cho phép bất kỳ tập tin hoặc các mảnh thông tin được mã hóa hoặc giải mã với khóa riêng biệt. • File được bảo vệ với bảo vệ dữ liệu được mã hóa với một khóa tập tin ngẫu nhiên, sau đó đó được mã hóa bằng một khóa lớp cấp cao hơn, và được lưu trữ như một thẻ tập tin với các tập tin. Bảo vệ dữ liệu trong iOS • Mật khẩu (và dữ liệu nhạy cảm khác) được lưu trữ trên thiết bị iOS được mã hóa và được lưu trữ trong keychain iOS, một thiết bị có cơ chế bảo mật quan trọng được xây dựng trong hệ điều hành iOS. • Các tập tin và các thành tố keychain iOS đều được bảo vệ bởi một số phím điều khiển truy cập, nào cũng được mã hóa trong thiết bị mật mã của người dùng. • Mật mã phải được biết để giải mã Hệ thống Bảo vệ với những tập tin chọn và các thành tố keychain iOS, và cũng để vô hiệu hóa giao diện khóa của thiết bị. Xử lý thiết bị iOS khi điều tra • Các chương trình mã hóa đặt ra những thách thức đáng kể đối với Pháp chứng viên. Các các mã hóa này có trên thiết bị iOS như iPhone 3GS và iPhone 4, iPad, iPod Touch. • Pháp chứng viên cần tắt các thiết bị có tùy chọn thực hiện xóa từ xa dữ liệu chứa trong chúng. Khi được kích hoạt, UID bị phá hủy và khi 256 bit của khóa bị phá hủy thì việc giải mã sẽ cực kỳ phức tạp. • Để tránh kịch bản như vậy, cần đảm bảo rằng thông tin vô tuyến bị chặn hoặc bị vô hiệu hóa trước khi xem xét cũng như vận chuyển đến phòng thí nghiệm để kiểm tra. Tìm bằng chứng số trong IOS • Khi bảo vệ dữ liệu đang hoạt động , khóa tập tin được xóa sạch khi tập tin bị xóa , để lại nội dung tập tin được mã hóa và thường là không thể phục hồi trong không gian đĩa, • Tuy nhiên một phần quan trọng của dữ liệu người dùng được có thể được tìm thấy trong Bảng chứa dữ liệu (như SQLite ) và Pháp chứng viên không nên hoặc bỏ qua khi kiểm tra . • Phục hồi dữ liệu khá khó khăn nhưng dùng phần mềm phục hồi dữ liệu SQLite (ví dụ , Epilog ), có thể là lựa chọn duy nhất . Điện thoại di động Android • Android là một hệ điều hành được thiết kế bởi Google chủ yếu cho các thiết bị di động như điện thoại thông minh và máy tính bảng. • Android lần đầu tiên được phát hành trong năm 2007 và các điện thoại dựa trên Android đầu tiên được phát hành vào tháng Mười năm 2008. • Hệ điều hành Android là một mã nguồn mở và Google phát hành một phiên bản lớn khoảng một lần trong năm. • Với thiết bị di động của mỗi hãng đều có những phiên bản khác nhau của hệ điều hành với các sửa đổi nhỏ Hệ điều hànhAndroid • Android là một hệ điều hành mã nguồn mở dựa trên nền tảng Linux được thiết kế dành cho các thiết bị di động và được Google phát hành theo Giấy phép Apache. • Hệ điều hành Android đã có số lượng thiết bị di động sử dụng chiếm gần 50% trên thế giới và không ngừng tăng trưởng. Hiện nay Android có các version • Cupcake (1.5), Donut (1.6) • Eclair (2.0–2.1), Froyo (2.2–2.2.3), Gingerbread (2.3–2.3.7) • Honeycomb (3.0–3.2.6), Ice Cream Sandwich (4.0–4.0.4), Jelly Bean (4.1–4.3), KitKat (4.4), Lollipop (5.0), Marshmallow (6.0 ), Nougat (7.0 ) Phân loại kĩ thuật pháp chứng trên Android • Kỹ thuật lôgic • Khai thác dữ liệu và thường được thực hiện bằng cách truy cập vào hệ thống tập tin . • Có thể có được tất cả dữ liệu không xóa (nondeleted) trực tiếp từ hệ thống tập tin. Một só File hay dữ liệu bị xóa có thể khôi phục • Kỹ thuật phần cứng • Nhắm đến các thiết bị lưu trữ trực tiếp mà không phụ thuộc vào hệ thống tập tin để truy cập dữ liệu. • Có thể truy cập cả dữ liệu chưa xóa và đã xóa Quy trình xử lý một thiết bị Android Bảo vệ thiết bị Android khi bắt đầu điều tra • Vượt qua các mã bảo mật, khi thiết bị còn đang bật thì tránh cho thiết bị bị khóa • Vào phần cài đặt để cô lập mạng di động và Wifi • Lựa chọn phương thức xử lý theo yêu cầu quá trình điều tra • Tìm nguồn và cáp phù hợp • Tắt thiết bị sau khi xử lý Công cụ điều tra sử dụng cấp độ 2 - kỹ thuật logic • MOBILedit • Cellebrite UFED • EnCase Neutrino • Micro Systemation XRY MOBILedit • MOBILedit là phần mềm kết nối máy tính và thiết bị di động của Phòng thí nghiệm Compelson • MOBILedit cho phép thực hiện tất cả các thao tác: trao đổi file (hình ảnh, nhạc, video), cài đặt game - phần mềm, soạn và gửi tin nhắn, tra cứu – sao lưu danh bạ... • Giao tiếp giữa máy tính với điện thoại có thể sử dụng công nghệ không dây Bluetooth, cổng hồng ngoại hoặc cáp. Giao diện MOBILedit Cellebrite UFED • Cellebrite UFED là một công cụ pháp chứng cho phép trích xuất dữ liệu từ hàng ngàn loại thiết bị di động trong đó có rất nhiều thiết bị Android • Thiết bị Cellebrite UFED cho phép khai thác, giải mã, phân tích và báo cáo dữ liệu với các điện thoại di động công nghệ tiên tiến nhất. • Thiết bị Cellebrite UFE thực hiện khai thác vật lý, logic, hệ thống tập tin và khai thác mật khẩu của tất cả các dữ liệu (ngay cả khi đã bị xóa) của các thiết bị. Cellebrite UFED EnCase Neutrino • EnCase là phần mềm pháp chứng chuyên nghiệp tích hợp với thiết bị Neutrino cho phép khai thác các thiết bị di động. EnCase Neutrino Giao diện EnCase Micro Systemation XRY XRY là một công cụ Pháp chứng số trên thiết bị di động chuyên dụng được phát triển bởi Micro Systemation (MSAB) có trụ sở tại Stockholm. XRY đã có từ năm 2002 và "XRY Complete" là một gói phần mềm có chứa các phần mềm và phần cứng để cho phép phân tích logical và physical với thiết bị di động. Sản phẩm bao gồm như sau: • XRY Forensic: Gói phần mềm khóa bản quyền. • Thiết bị kết nối thông tin với USB, Bluetooth, và kết nối hồng ngoại. • Thiết bị Cloner SIM ID . • Gói thẻ nhân bản SIM . • Bộ các loại cáp cho việc thu thập logical và physical. • Ứng dụng phần mềm XACT Hex Viewer. • Công cụ đọc XRY để phân phối cho các bên thứ ba. Micro Systemation XRY Điều tra với kỹ thuật vật lý • Kỹ thuật vật lý trong điều tra thiết bị di động là kỹ thuật pháp chứng số nhằm thu được hình ảnh vật lý của mục đích lưu trữ dữ liệu đặc trưng dẫn đến phục hồi được nhiều dữ liệu theo cấp số nhân và qua được mã bảo vệ. • Kỹ thuật vật lý cung cấp truy cập không chỉ dữ liệu bị xóa mà còn dữ liệu đã bị loại bỏ khi hệ thống không còn cần nó. Ví dụ, một số hệ thống theo dõi thời gian qua một trang web được truy cập và các trường ngày được cập nhật mỗi khi trang web được truy cập một lần nữa. Kỹ thuật vật lý điều tra thiết bị Android Kĩ thuật pháp chứng vật lý trên thiết bị Android được chia làm 2 loại lớn: • Sử dụng phần cứng: Phương pháp kết nối các thiết bị phần cứng hoặc kết cấu vật lý các thành phần của thiết bị. • Sử dụng phần mềm: Sử dụng phần mềm trên các thiết bị di động với quyền truy cập root và cung cấp một hình ảnh vật lý đầy đủ của các phân vùng dữ liệu. Kĩ thuật vật lý sử dụng phần cứng • Cấp độ 3 - JTAG: sử dụng thiết bị cho phép kết nối với phần cứng thiết bị di động để thực hiện thao tác xóa và ghi flash, JTAG là công cụ dùng để thực hiện diagnostic và debug, test thiết bị di động. • Cấp độ 4 - Chip-off: là một kỹ thuật lấy các chip flash NAND ra từ thiết bị đ động và kiểm tra bên ngoài. Kỹ thuật Chip-off cho phép phục hồi thiết bị đi động hư hỏng và xâm nhập vào các thiết bị có mã bảo mật. Kỹ thuật JTAG • Kỹ thuật JTAG hình thành trong những năm 1980 để phát triển một tiêu chuẩn để thử nghiệm các hệ thống liên kết nối trên bo mạch máy in (PCB). • Năm 1990, các tiêu chuẩn đã được hoàn tất và đã trở thành một tiêu chuẩn cho ngành điện tử, đặc biệt IEEE 1.149,1- 1990 (IEEE SA, nd), và sau đó một bản cập nhật sau đó vào năm 2001 có tên là IEEE 1.149,1-2001. • Tiêu chuẩn JTAG đã được chấp nhận rộng rãi và ngày nay hầu hết các PCBs đều có cổng JTAG truy cập thử nghiệm (TAPs) để tạo điều kiện truy cập vào các đơn vị xử lý trung tâm (CPU). Kỹ thuật chip-off • Chip flash NAND được lấy các thiết bị bằng cách tháo nó ra, hoặc dùng thiết bị đặc biệt sử dụng một luồng không khí nóng và mội trường chân không để loại bỏ mạch nội. Ngoài ra còn có các kỹ thuật đốt nóng chip nhiệt độ xác định. • Quá trình loại bỏ mạch nối thường thiệt hại các kết nối ở phía dưới chip, vì vậy nó trước tiên phải được làm sạch và sau đó sửa chữa. • Chip NAND được đưa vào một thiết bị phần cứng chuyên dụng, ở đó nó có thể được đọc. Các thiết bị này thường phải được lập trình cho một chip NAND flash cụ thể và hỗ trợ một số các chip phổ biến. Kỹ thuật vật lý dựa trên phần mềm Kỹ thuật vật lý dựa trên phần mềm có một số ưu điểm so với các kỹ thuật dựa trên phần cứng. Kỹ thuật dựa trên phần mềm: • Kỹ thuật vật lý dựa trên phần mềm cung cấp truy cập trực tiếp vào hệ thống tập tin để cho phép một bản sao hoàn chỉnh của tất cả các tập tin logic (đơn giản hóa một số phân tích). • Kỹ thuật vật lý dựa trên phần mềm bị ít nguy cơ gây thiệt hại cho thiết bị hoặc mất mát dữ liệu. • Để thực hiện các kỹ thuật vật lý dựa trên phần mềm, trước tiên Pháp chứng viên phải có quyền root, sau đó chạy chương trình khai thác Kĩ thuật vật lý dựa trên phần mềm Có ba loại chính của quyền root: • Quyền root tạm thời được hình thành bằng 1 lần khai thác, nó sẽ mất đi khi khởi động lại. Các chương trình chạy nền Android debug bridge không chạy như root trong trường hợp này. • Quyền root đầy đủ được hình thành thông qua 1 ROM tùy chỉnh hoặc khai thác root liên tục.ROM tùy chỉnh thường chạy nên Android debug bridge như root dù không được root chấp nhận. • Chế độ phục hồi gốc đạt được bằng cách flash một phân vùng phục hồi tùy chỉnh hoặc một phần của một ROM tùy chỉnh. ROM tùy chỉnh thường chạy các chương trình nền Android debug bridge như là root như hầu hết các phân vùng phục hồi được sửa đổi. Phương pháp AFPhysical Phương pháp AFPhysical được phát triển bởi viaForensics để cung cấp một đĩa vật lý hình ảnh của phân vùng flash NAND trên Android. Phương pháp này đòi hỏi phải có quyền root trên thiết bị và nên hỗ trợ bất kỳ thiết bị Android nào. Phương pháp này không phải là đơn giản và các nhà phân tích pháp chứng phải có trình độ cao để điều tra 1 thiết bị cụ thể. Phương pháp AFPhysical Quá trình của phương pháp AFPhysical • Có được quyền root trên thiết bị Android mục tiêu. • Xác định phân vùng flash NAND cần phải được chụp ảnh. • Tải lên tập tin nhị phân pháp chứng cho các thiết bị Android cần điều tra. • Có được sao chép ảnh hóa vật lý của phân vùng flash NAND. Phương pháp AFPhysical Hết bài 10