PHÁP CHỨNG KỸ THUẬT SỐ

Bài 10: Điều tra tội phạm trên thiết bị di

động - Pháp chứng số trên thiết bị di động

Giảng viên: TS. Đàm Quang Hồng Hải

Pháp chứng số trên thiết bị di động
• Pháp chứng số trên thiết bị di động là một lĩnh vực
đặc biệt phát triển trong lĩnh vực Pháp chứng kỹ
thuật số nhằm cung cấp các báo cáo điều tra chính
xác về thiết bị di động của nghi phạm.
• Mục tiêu của Pháp chứng số trên thiết bị di động là
thực hành sử dụng phương pháp điều tra dữ liệu
chứa trong bộ nhớ trong của thiết bị di động và môi
trường mạng.
• Pháp chứng số trên thiết bị di động là khoa học về
phục hồi bằng chứng kỹ thuật số từ các thiết bị di
động sử dụng các phương pháp được chấp nhận.
Pháp chứng số và Pháp chứng số trên thiết
bị di động
Sự phát triển của Mạng di động
• Pháp chứng viên kỹ thuật số phải đối mặt với một
thách thức liên tục để theo kịp các công nghệ mới
nhất mà có thể được sử dụng để tìm ra các manh
mối có liên quan trong điều tra.
• Thiết bị di động hiện rất phổ biến trong xã hội ngày
nay, chúng được sử dụng bởi nhiều cá nhân cho các
mục đích cá nhân và chuyên nghiệp.
• Các thiết bị di động rất khác nhau trong thiết kế và
chúng liên tục trải qua các thay đổi như cải thiện
công nghệ hiện có và giới thiệu công nghệ mới.
Mạng truyền thông di động
Điều tra một thiết bị di động
• Khi Pháp chứng viên gặp một thiết bị di động trong quá
trình điều tra, nhiều câu hỏi phát sinh:
• Phương pháp tốt nhất để bảo vệ các bằng chứng là
gì?
• Làm thế nào xử lý các thiết bị?
• Làm thế nào dữ liệu được trích xuất trên thiết bị có
khả năng có giá trị hoặc có liên quan?
• Chìa khóa để trả lời những câu hỏi bắt đầu với một sự
hiểu biết vững chắc đặc điểm của phần cứng và phần
mềm của thiết bị di động.
Bảo vệ toàn vẹn thiết bị di động
• Một trong những nguyên tắc đầu tiên của bất kì
cuộc pháp chứng nào cũng là tránh sự thay đổi của
thiết bị di động được điều tra trên bất kì phương
diện nào.
• Phần dung lượng lưu trữ trên một thiết bị không thể
dễ dàng lấy đi. Tuy nhiên nếu thiết bị di động được
điều tra đang được bật thì việc tắt máy hoặc tháo pin
sẽ làm thay đổi dữ liệu thiết bị.
Điều tra thông tin trên thiết bị di động
Thu thập các bằng chứng tiềm năng
• Các nhà sản xuất thiết bị di động thường cung cấp
một bộ xử lý thông tin tính năng và khả năng tương
tự nhau như: Quản lý Thông tin cá nhân (PIM), các
ứng dụng tin nhắn và e-mail, web và duyệt web.
• Pháp chứng viên cần hiểu rõ các tính năng và khả
năng dựa trên các yếu tố bao gồm: các thiết bị được
sản xuất, phiên bản của phần mềm đang chạy,
những thay đổi được thực hiện do một nhà cung cấp
dịch vụ cụ thể, các sửa đổi hoặc ứng dụng được cài
đặt bởi người sử dụng.
Đặc trưng các loại thiết bị di động
Đặc trưng phần mềm thiết bị di động
Bộ nhớ trong thiết bị di động
• Khi điện thoại thông minh được giới thiệu, cấu hình bộ
nhớ điện thoại bổ sung thêm bộ nhớ Flash.
• Bộ nhớ Flash được chia thành hai kiểu: NOR và
NAND. NOR (Not OR) thường sử dụng các cổng logic
NOR trong khi đó NAND (Not AND) lại sử dụng các
cổng logic NAND.
• Điện thoại thế hệ thứ hai sử dụng các bộ nhớ Flash
NOR, NAND và bộ nhớ RAM.
• Điện thoại thế hệ thứ hai trữ các tập tin hệ thống trong
NOR flash, tập tin người dùng trong NAND và bộ nhớ
RAM được sử dụng để thực thi mã lệnh.
Bộ nhớ trong điện thoại các thế hệ

Chip nhớ NAND Flash

Thẻ SIM
• Thẻ SIM (Subscriber Identity Module) là là thẻ nhớ
thông minh sử dụng trên điện ... thuê bao di động,
được sử dụng trong mạng điện thoại di động hệ
GSM Cellular.
• Trong khuôn khổ GSM, điện thoại di động được gọi
là một trạm di động và được phân chia thành hai
phần riêng biệt: Universal Integrated Circuit Card
(UICC) và các thiết bị di động (ME).
Đặc điểm mạng di động
• Hai hệ thống chi phối hầu hết các mạng di động kỹ thuật số
được gọi là Code Division Multiple Access (CDMA) và hệ
thống mạng toàn cầu cho thông tin di động (GSM).
• Các mạng di động phổ biến khác bao gồm Time Division
Multiple Access (TDMA) và mạng tích hợp kỹ thuật số
mạng nâng cao (iDEN).
• Mạng iDEN sử dụng một giao thức độc quyền thiết kế bởi
Motorola, trong khi những mạng di động khác theo tiêu
chuẩn giao thức mở.
• Một phiên bản kỹ thuật số của các tiêu chuẩn tương tự ban
đầu cho dịch vụ điện thoại di động điện thoại, được gọi là
kỹ thuật số dịch vụ điện thoại di động cao cấp (D-AMPS),
cũng tồn tại.
Các mạng di động tại Việt nam
Mô hình hoạt động của mạng di động
Các chứng cớ số cần thu thập
1. Tên thuê bao và thiết bị định danh
2. Ngày/giờ, ngôn ngữ, và các thiết lập khác
3. Danh bạ/Thông tin liên hệ
4. Thông tin lịch
5. Tin nhắn văn bản gửi đi, gửi đến
6. Tin nhắn đa phương tiện truyền thông
7. Nhật ký cuộc gọi nhỡ
8. Thư điện tử
9. Hình ảnh
10.Âm thanh và video ghi âm
11. Các địa chỉ Web
12.Các hoạt động duyệt web
13.Tài liệu điện tử
14.Dữ liệu liên quan môi trường xã hội
SQLite Database
• SQLite là hệ thống cơ sở dữ liệu quan hệ mã nguồn mở nhỏ
gọn, hoàn chỉnh, có thể cài đặt bên trong các trình ứng dụng
khác., cài đặt thông dụng trong các thiết bị di động Android,
iOS, Windows Phone
• SQLite được Richard Hipp viết dưới dạng thư viện bằng
ngôn C với các ưu điểm sau:
• Tin cậy: các hoạt động transaction (chuyển giao) nội
trong cơ sở dữ liệu được thưc hiện trọn vẹn, không gây
lỗi khi xảy ra sự cố phần cứng
• Tuân theo chuẩn SQL92 (chỉ có một vài đặc điểm không
hỗ trợ), không cần cài đặt cấu hình,Kích thước chương
trình gọn nhẹ, với cấu hình đầy đủ chỉ
không đầy 300 kB
SQLite
Công cụ SQLite Forensic Explorer
• SQLite Forensic Explorer có khả năng phân tích, giải nén và
báo cáo thông tin từ bất kỳ cơ sở dữ liệu SQLite (không bị
hỏng hoặc mã hóa).
Công cụ Epilog
• Epilog cho phép phục hồi dữ liệu bị xóa chứa trong cơ sở
dữ liệu SQLite.
• Epilog cho phép phân tích dữ liệu SQLite vừa phục hồi và
đưa chúng với một bảng trong các tập tin cơ sở dữ liệu đang
hoạt động.
Điều tra với các thiết bị di động
• Các công cụ điều tra cho thiết bị di động khác đáng kể với
máy tính cá nhân. Trong khi máy tính cá nhân có thể khác
các thiết bị di động từ góc độ phần cứng và phần mềm
nhưng chức năng của chúng ngày càng trở nên tương tự.
• Hiện nhiều hệ thống điện thoại di động có hệ điều hành mở
(ví dụ, Android), một số hệ điều hành điện thông thường
vẫn còn đóng (iOS).
• Hệ điều hành đóng làm cho sự hiểu biết hệ thống liên kết
file và cấu trúc khó khăn. Nhiều thiết bị di động với cùng
cài đặt một hệ điều hành nhưng có thể thay đổi nhiều đưa
đến kết quả là một hệ thống tập tin có cấu trúc khác biệt.
Phân loại công cụ điều tra thiết bị di động
• Cấp 1, khai thác bằng tay, liên quan đến việc ghi lại thông tin
trong điện thoại và đưa lên trên một màn hình sử dụng bàn phím
hoặc touchscreen để xem.
• Cấp 2, khai thác luân lý, kết nối giữa điện thoại và máy tính qua
các cáp USB hoặc RS-232, hoặc kết nối không dây như IrDA,
WiFi, or Bluetooth. Pháp chứng viên chép thông tin để nghiên
cứu.
• Cấp độ 3, Khai thác vật lý, cho phép truy cập vào bộ nhớ Flash
của điện thoại nhằm khai thác thông tin
• Cấp 4, Chip Off, cần tháo bộ nhớ Flash từ một thiết bị di động
để trực tiếp trích xuất dữ liệu. Pháp chứng viên nghiên cứu các
dữ liệu nhị phân từ bộ nhớ Flash
• Cấp 5, Một máy đọc Micro sử dụng một kính hiển vi điện
tử. ghi lại những quan sát vật lý của các cổng trong
NAND hoặc NOR chip.
Điều tra thiết bị di động
Các cấp công cụ pháp chứng di động
Các công cụ điều tra trên thiết bị di động
Các công cụ điều tra trên thiết bị di động
Điều tra trên thiết bị di động
Công cụ đọc thông tin từ điện thoại di động
• Pháp chứng viên sao
chép lại các thông tin
của điện thoại di động,
bao gồm các thông tin
trong bộ nhớ Flash.
• Pháp chứng viên làm
việc với các bản copy
của bộ nhớ Flash khi
tìm kiếm bằng chứng.
Công cụ đọc nội dung thẻ UICC
• Có các công cụ pháp chứng điện thoại di động đọc nội
dung UICCs.
• Những công cụ này thực hiện một đọc trực tiếp nội
dung của UICC ra một máy tính cá nhân/ máy đọc thẻ
thông minh (PC / SC)
• Phạm vi của dữ liệu thu được thay đổi theo khả năng và
các tính năng của công cụ.
• Đa số các công cụ khai thác UICC có được các số liệu
sau: thuê bao di động quốc tế Identity (IMSI), Vi mạch
thẻ ID (ICCID), số viết tắt quay số (ADN), số cuối
Cuộc gọi đi (LND), tin nhắn SMS, và Thông tin địa
điểm (locus)
Công cụ đọc nội dung thẻ SIM
Thiết bị bị khóa
• Một thiết bị di động bị khóa là thiết bị
có yêu cầu xác thực thành công bằng
cách sử dụng mật khẩu hoặc một số
phương tiện khác để có được quyền
truy cập vào thiết bị.
• Một số cách phục hồi dữ liệu từ các
thiết bị bị khóa. Có ba loại: dựa trên
phần mềm, dựa trên phần cứng và điều
tra.
• Thiết bị bị khóa bao gồm hệ thống
thiếu thiết bị nhận dạng, mã PIN cho
thẻ UICCs, hoặc khóa thiết bị di động
bị khóa cần kích hoạt.
Khóa bảo vệ dữ liệu
• Khóa Mật khẩu và thẻ nhớ được mã hóa cung cấp cho người
dùng với thêm phương tiện để bảo vệ dữ liệu. Bảo vệ này có
thể làm cho phục hồi dữ liệu như vậy là phức tạp hơn.
• Khả năng mã hóa nội dung được cung cấp như một tính
năng tiêu chuẩn trong nhiều thiết bị di động hoặc có thể có
sẵn thông qua một tiện ích ứng dụng.
Công cụ dựa trên phần mềm và phần cứng
• Công cụ dựa trên phần mềm được sử dụng để phá vỡ
hoặc bỏ qua cơ chế xác thực.
• Hiện có một số công cụ cung cấp một chức năng tự
động khôi phục mật khẩu từ các thiết bị di động bị
khóa.
• Công cụ dựa trên phần cứng liên quan đến một sự kết
hợp của phần mềm và phần cứng để phá vỡ hoặc bỏ qua
các cơ chế chứng thực và cho phép truy cập vào thiết bị.
Công cụ phá khóa iPhone
Các phương pháp điều tra không công cụ
• Hỏi nghi phạm - nếu một thiết bị được bảo vệ bằng mật khẩu,
mã PIN hoặc cơ chế xác thực khác liên quan đến xác thực dựa
trên tri thức, nghi phạm có thể được truy vấn thông tin này trong
cuộc phỏng vấn đầu tiên.
• Xem xét thu giữ tài liệu - Mật khẩu hoặc số PIN có thể được viết
trên một mảnh giấy và giữ hoặc gần điện thoại, tại một máy tính
để bàn sử dụng để đồng bộ hóa với thiết bị di động, hoặc mang
theo người nghi phạm, chẳng hạn như trong vòng một ví, và có
thể được phục hồi thông qua kiểm tra trực quan.
• Yêu cầu các nhà cung cấp dịch vụ - Nếu một thiết bị di động
GSM được bảo vệ bằng mã PIN, định danh (ví dụ, ICCID) có
thể thu được và sử dụng để yêu cầu mã PUK từ nhà cung cấp
dịch vụ và thiết lập lại mã PIN.
Khả năng các công cụ pháp chứng
• Công cụ phần mềm pháp chứng có khả năng xử lý nhu cầu
điều tra thông thường với hàng loạt các thiết bị hiện hành.
• Tình huống khó khăn hơn, chẳng hạn như phục hồi dữ liệu
bị xóa khỏi bộ nhớ của thiết bị, có thể yêu cầu các công cụ
chuyên ngành và chuyên môn và tháo lắp thiết bị.
• Phạm vi hỗ trợ cung cấp, bao gồm cáp điện thoại di động
thiết bị và trình điều khiển, tài liệu sản phẩm, và tần số cập
nhật, và có thể thay đổi đáng kể trong số sản phẩm.
• Các tính năng được cung cấp như tìm kiếm, đánh dấu trang,
và khả năng báo cáo cũng có thể thay đổi đáng kể.
Bảo quản bằng chứng trên thiết bị di động
• Bằng chứng bảo quản là quá trình của việc duy trì an toàn
thiết bị mà không thay đổi hoặc thay đổi các nội dung của
dữ liệu nằm trên các thiết bị và phương tiện di động.
• Bảo quản bằng chứng là bước đầu tiên trong việc phục hồi
bằng chứng kỹ thuật số.
• Để sử dụng bằng chứng thành công, cho dù chưa có một tòa
án hoặc một thủ tục không chính thức, thiết bị di động phải
được bảo tồn.
• Thất bại trong việc bảo vệ chứng cứ trong trạng thái ban đầu
của nó có thể gây nguy hiểm cho toàn bộ nội dung điều tra,
có khả năng mất có giá trị thông tin liên quan.
Kỹ thuật cách ly mạng di động
• Thiết bị phải được sạc đầy trước khi kiểm tra, cần
xem xét để có một nguồn điện cố định hoặc di động
kèm theo.
Thùng bảo vệ
• Thùng bảo vệ - Một thùng
bảo vệ di động có thể cho
phép kiểm tra sẽ được tiến
hành một cách an toàn một
khi điện thoại nằm bên trong.
• Cáp kết nối với thùng phải
cách ly hoàn toàn để phòng
ngừa cuộc gọi mạng xảy ra.
Cách ly khu vực
• Khu vực làm việc được bảo vệ khỏi tín hiệu di động
là một cách tốn kém nhưng hiệu quả để tiến hành
kiểm tra một cách an toàn ở một vị trí cố định.
• Một " lều Faraday " là một thay thế rẻ hơn mà còn
cho phép di động.
• Nối cáp vào lều là một vấn đề vì không có cách ly
thích hợp nó trở thành một ăng-ten, đánh bại mục
đích của lều.
Lều Faraday ngăn tín hiệu Radio
Lều Faraday sử dụng chống nghe lén
Thiết bị gây nhiễu/giả mạo - bằng cách phá
sóng
• Thiết bị gây nhiễu / giả mạo - Phát ra một tín hiệu mạnh hơn
so với một điện thoại di động hay can thiệp vào tín hiệu có
thể làm cho một điện thoại di động không họạt động.
• Một kỹ thuật khác liên quan đến việc lừa điện thoại vào một
tín hiệu "không có dịch vụ“ đến từ các tháp di động gần
nhất.
• Bởi vì các thiết bị như vậy có thể ảnh hưởng đến truyền
thông trong không phận xung quanh công cần có giấy phép
sử dụng ở một số khu vực pháp lý.
Xe phá sóng
Dữ liệu trên thẻ nhớ
• Hầu hết các thiết bị di động trên Android có thẻ nhớ
microSD tháo rời.
• Các dữ liệu trên thẻ nhớ microSD không nên bỏ qua
khi họ thường có chứa một lượng lớn dữ liệu không
được mã hóa và không được bảo vệ.
• Pháp chứng viên cần xem xét các thẻ nhớ microSD,
nên chống ghi và sao lại với kỹ thuật tiêu chuẩn.
• Các bản sao sau đó có thể được kiểm tra bằng cách
sử dụng các công cụ pháp chứng kỹ thuật số truyền
thống.
Điện thoại di động iOS
• Từ iPhone 3G [s], Apple đã gắn các thiết bị iOS với một
chip mã hóa chuyên dụng, làm tăng tốc mã hóa phần cứng .
• Apple đã kết hợp mật hóa nâng cao vào hệ điều hành với
một tính năng có tên là Bảo vệ dữ liệu.
• Bảo vệ dữ liệu là sự kết hợp của tăng tốc mã hóa phần cứng
và một chương trình mật mã xác thực, cho phép bất kỳ tập
tin hoặc các mảnh thông tin được mã hóa hoặc giải mã với
khóa riêng biệt.
• File được bảo vệ với bảo vệ dữ liệu được mã hóa với một
khóa tập tin ngẫu nhiên, sau đó đó được mã hóa bằng một
khóa lớp cấp cao hơn, và được lưu trữ như một thẻ tập tin
với các tập tin.
Bảo vệ dữ liệu trong iOS
• Mật khẩu (và dữ liệu nhạy cảm khác) được lưu trữ trên
thiết bị iOS được mã hóa và được lưu trữ trong
keychain iOS, một thiết bị có cơ chế bảo mật quan trọng
được xây dựng trong hệ điều hành iOS.
• Các tập tin và các thành tố keychain iOS đều được bảo
vệ bởi một số phím điều khiển truy cập, nào cũng được
mã hóa trong thiết bị mật mã của người dùng.
• Mật mã phải được biết để giải mã Hệ thống Bảo vệ với
những tập tin chọn và các thành tố keychain iOS, và
cũng để vô hiệu hóa giao diện khóa của thiết bị.
Xử lý thiết bị iOS khi điều tra
• Các chương trình mã hóa đặt ra những thách thức đáng
kể đối với Pháp chứng viên. Các các mã hóa này có trên
thiết bị iOS như iPhone 3GS và iPhone 4, iPad, iPod
Touch.
• Pháp chứng viên cần tắt các thiết bị có tùy chọn thực
hiện xóa từ xa dữ liệu chứa trong chúng. Khi được kích
hoạt, UID bị phá hủy và khi 256 bit của khóa bị phá hủy
thì việc giải mã sẽ cực kỳ phức tạp.
• Để tránh kịch bản như vậy, cần đảm bảo rằng thông tin
vô tuyến bị chặn hoặc bị vô hiệu hóa trước khi xem xét
cũng như vận chuyển đến phòng thí nghiệm
để kiểm tra.
Tìm bằng chứng số trong IOS
• Khi bảo vệ dữ liệu đang hoạt động , khóa tập tin
được xóa sạch khi tập tin bị xóa , để lại nội dung tập
tin được mã hóa và thường là không thể phục hồi
trong không gian đĩa,
• Tuy nhiên một phần quan trọng của dữ liệu người
dùng được có thể được tìm thấy trong Bảng chứa dữ
liệu (như SQLite ) và Pháp chứng viên không nên
hoặc bỏ qua khi kiểm tra .
• Phục hồi dữ liệu khá khó khăn nhưng dùng phần
mềm phục hồi dữ liệu SQLite (ví dụ , Epilog ),
có thể là lựa chọn duy nhất .
Điện thoại di động Android
• Android là một hệ điều hành được thiết kế bởi Google
chủ yếu cho các thiết bị di động như điện thoại thông
minh và máy tính bảng.
• Android lần đầu tiên được phát hành trong năm 2007 và
các điện thoại dựa trên Android đầu tiên được phát hành
vào tháng Mười năm 2008.
• Hệ điều hành Android là một mã nguồn mở và Google
phát hành một phiên bản lớn khoảng một lần trong năm.
• Với thiết bị di động của mỗi hãng đều có những phiên
bản khác nhau của hệ điều hành với các sửa đổi nhỏ
Hệ điều hànhAndroid
• Android là một hệ điều hành mã nguồn mở dựa trên nền
tảng Linux được thiết kế dành cho các thiết bị di động và
được Google phát hành theo Giấy phép Apache.
• Hệ điều hành Android đã có số lượng thiết bị di động sử
dụng chiếm gần 50% trên thế giới và không ngừng tăng
trưởng.
Hiện nay Android có các version
• Cupcake (1.5), Donut (1.6)
• Eclair (2.0–2.1), Froyo (2.2–2.2.3),
Gingerbread (2.3–2.3.7)
• Honeycomb (3.0–3.2.6), Ice Cream Sandwich (4.0–4.0.4),
Jelly Bean (4.1–4.3), KitKat (4.4), Lollipop (5.0),
Marshmallow (6.0 ), Nougat (7.0 )
Phân loại kĩ thuật pháp chứng trên Android
• Kỹ thuật lôgic
• Khai thác dữ liệu và thường được thực hiện bằng cách
truy cập vào hệ thống tập tin .
• Có thể có được tất cả dữ liệu không xóa (nondeleted) trực
tiếp từ hệ thống tập tin. Một só File hay dữ liệu bị xóa có
thể khôi phục
• Kỹ thuật phần cứng
• Nhắm đến các thiết bị lưu trữ trực tiếp mà không phụ
thuộc vào hệ thống tập tin để truy cập dữ liệu.
• Có thể truy cập cả dữ liệu chưa xóa và đã xóa
Quy trình xử lý một thiết bị Android
Bảo vệ thiết bị Android khi bắt đầu điều tra
• Vượt qua các mã bảo mật, khi thiết bị còn đang bật
thì tránh cho thiết bị bị khóa
• Vào phần cài đặt để cô lập mạng
di động và Wifi
• Lựa chọn phương thức xử lý
theo yêu cầu quá trình điều tra
• Tìm nguồn và cáp phù hợp
• Tắt thiết bị sau khi xử lý
Công cụ điều tra sử dụng cấp độ 2 - kỹ
thuật logic
• MOBILedit
• Cellebrite UFED
• EnCase Neutrino
• Micro Systemation XRY
MOBILedit
• MOBILedit là phần mềm kết nối máy tính và thiết bị di
động của Phòng thí nghiệm Compelson
• MOBILedit cho phép thực hiện tất cả các thao tác: trao đổi
file (hình ảnh, nhạc, video), cài đặt game - phần mềm, soạn
và gửi tin nhắn, tra cứu – sao lưu danh bạ...
• Giao tiếp giữa máy tính với điện thoại có thể sử dụng công
nghệ không dây Bluetooth, cổng hồng ngoại hoặc cáp.
Giao diện MOBILedit
Cellebrite UFED
• Cellebrite UFED là một công cụ pháp chứng cho phép trích
xuất dữ liệu từ hàng ngàn loại thiết bị di động trong đó có
rất nhiều thiết bị Android
• Thiết bị Cellebrite UFED cho phép khai thác, giải mã, phân
tích và báo cáo dữ liệu với các điện thoại di động công nghệ
tiên tiến nhất.
• Thiết bị Cellebrite UFE thực
hiện khai thác vật lý, logic,
hệ thống tập tin và khai thác
mật khẩu của tất cả các dữ
liệu (ngay cả khi đã bị xóa)
của các thiết bị.
Cellebrite UFED
EnCase Neutrino
• EnCase là phần mềm pháp chứng chuyên nghiệp
tích hợp với thiết bị Neutrino cho phép khai thác các
thiết bị di động.
EnCase Neutrino
Giao diện EnCase
Micro Systemation XRY
 XRY là một công cụ Pháp chứng số trên thiết bị di động chuyên dụng
được phát triển bởi Micro Systemation (MSAB) có trụ sở tại
Stockholm.
 XRY đã có từ năm 2002 và "XRY Complete" là một gói phần mềm có
chứa các phần mềm và phần cứng để cho phép phân tích logical và
physical với thiết bị di động. Sản phẩm bao gồm như sau:
• XRY Forensic: Gói phần mềm khóa bản quyền.
• Thiết bị kết nối thông tin với USB, Bluetooth, và kết nối hồng
ngoại.
• Thiết bị Cloner SIM ID .
• Gói thẻ nhân bản SIM .
• Bộ các loại cáp cho việc thu thập logical và physical.
• Ứng dụng phần mềm XACT Hex Viewer.
• Công cụ đọc XRY để phân phối cho các bên thứ ba.
Micro Systemation XRY
Điều tra với kỹ thuật vật lý
• Kỹ thuật vật lý trong điều tra thiết bị di động là kỹ
thuật pháp chứng số nhằm thu được hình ảnh vật lý
của mục đích lưu trữ dữ liệu đặc trưng dẫn đến phục
hồi được nhiều dữ liệu theo cấp số nhân và qua
được mã bảo vệ.
• Kỹ thuật vật lý cung cấp truy cập không chỉ dữ liệu
bị xóa mà còn dữ liệu đã bị loại bỏ khi hệ thống
không còn cần nó. Ví dụ, một số hệ thống theo dõi
thời gian qua một trang web được truy cập và các
trường ngày được cập nhật mỗi khi trang web được
truy cập một lần nữa.
Kỹ thuật vật lý điều tra thiết bị Android
Kĩ thuật pháp chứng vật lý trên thiết bị Android được
chia làm 2 loại lớn:
• Sử dụng phần cứng: Phương pháp kết nối các thiết
bị phần cứng hoặc kết cấu vật lý các thành phần của
thiết bị.
• Sử dụng phần mềm: Sử dụng phần mềm trên các
thiết bị di động với quyền truy cập root và cung cấp
một hình ảnh vật lý đầy đủ của các phân vùng dữ
liệu.
Kĩ thuật vật lý sử dụng phần cứng
• Cấp độ 3 - JTAG: sử dụng thiết bị cho phép kết nối
với phần cứng thiết bị di động để thực hiện thao tác
xóa và ghi flash, JTAG là công cụ dùng để thực hiện
diagnostic và debug, test thiết bị di động.
• Cấp độ 4 - Chip-off: là một kỹ thuật lấy các chip
flash NAND ra từ thiết bị đ động và kiểm tra bên
ngoài. Kỹ thuật Chip-off cho phép phục hồi thiết bị
đi động hư hỏng và xâm nhập vào các thiết bị có mã
bảo mật.
Kỹ thuật JTAG
• Kỹ thuật JTAG hình thành trong những năm 1980 để phát
triển một tiêu chuẩn để thử nghiệm các hệ thống liên kết nối
trên bo mạch máy in (PCB).
• Năm 1990, các tiêu chuẩn đã được hoàn tất và đã trở thành
một tiêu chuẩn cho ngành điện tử, đặc biệt IEEE 1.149,1-
1990 (IEEE SA, nd), và sau đó một bản cập nhật sau đó vào
năm 2001 có tên là IEEE 1.149,1-2001.
• Tiêu chuẩn JTAG đã được chấp nhận rộng rãi và ngày nay
hầu hết các PCBs đều có cổng JTAG truy cập thử nghiệm
(TAPs) để tạo điều kiện truy cập vào các đơn vị xử lý trung
tâm (CPU).
Kỹ thuật chip-off
• Chip flash NAND được lấy các thiết bị bằng cách tháo nó
ra, hoặc dùng thiết bị đặc biệt sử dụng một luồng không
khí nóng và mội trường chân không để loại bỏ mạch nội.
Ngoài ra còn có các kỹ thuật đốt nóng chip nhiệt độ xác
định.
• Quá trình loại bỏ mạch nối thường thiệt hại các kết nối ở
phía dưới chip, vì vậy nó trước tiên phải được làm sạch
và sau đó sửa chữa.
• Chip NAND được đưa vào một thiết bị phần cứng chuyên
dụng, ở đó nó có thể được đọc. Các thiết bị này thường
phải được lập trình cho một chip NAND flash cụ thể và
hỗ trợ một số các chip phổ biến.
Kỹ thuật vật lý dựa trên phần mềm
Kỹ thuật vật lý dựa trên phần mềm có một số ưu điểm so với
các kỹ thuật dựa trên phần cứng. Kỹ thuật dựa trên phần mềm:
• Kỹ thuật vật lý dựa trên phần mềm cung cấp truy cập trực
tiếp vào hệ thống tập tin để cho phép một bản sao hoàn
chỉnh của tất cả các tập tin logic (đơn giản hóa một số phân
tích).
• Kỹ thuật vật lý dựa trên phần mềm bị ít nguy cơ gây thiệt
hại cho thiết bị hoặc mất mát dữ liệu.
• Để thực hiện các kỹ thuật vật lý dựa trên phần mềm, trước
tiên Pháp chứng viên phải có quyền root, sau đó chạy
chương trình khai thác
Kĩ thuật vật lý dựa trên phần mềm
Có ba loại chính của quyền root:
• Quyền root tạm thời được hình thành bằng 1 lần khai thác, nó sẽ
mất đi khi khởi động lại. Các chương trình chạy nền
Android debug bridge không chạy như root trong trường hợp
này.
• Quyền root đầy đủ được hình thành thông qua 1 ROM tùy chỉnh
hoặc khai thác root liên tục.ROM tùy chỉnh thường chạy nên
Android debug bridge như root dù không được root chấp nhận.
• Chế độ phục hồi gốc đạt được bằng cách flash một phân vùng
phục hồi tùy chỉnh hoặc một phần của một ROM tùy chỉnh.
ROM tùy chỉnh thường chạy các chương trình nền
Android debug bridge như là root như hầu hết các phân vùng
phục hồi được sửa đổi.
Phương pháp AFPhysical
Phương pháp AFPhysical được phát triển bởi
viaForensics để cung cấp một đĩa vật lý hình ảnh của
phân vùng flash NAND trên Android.
Phương pháp này đòi hỏi phải có quyền root trên thiết
bị và nên hỗ trợ bất kỳ thiết bị Android nào.
Phương pháp này không phải là đơn giản và các nhà
phân tích pháp chứng phải có trình độ cao để điều tra
1 thiết bị cụ thể.
Phương pháp AFPhysical
Quá trình của phương pháp AFPhysical
• Có được quyền root trên thiết bị Android mục tiêu.
• Xác định phân vùng flash NAND cần phải được
chụp ảnh.
• Tải lên tập tin nhị phân pháp chứng cho các thiết bị
Android cần điều tra.
• Có được sao chép ảnh hóa vật lý của phân vùng
flash NAND.
Phương pháp AFPhysical
Hết bài 10