freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

极客 | 从损坏的手机中获取数据
2020-02-17 08:00:45

有时候,犯罪分子会故意损坏手机来破坏数据。比如粉碎、射击手机或是直接扔进水里,但取证专家仍然可以找到手机里的证据。

如何获取损坏了的手机中的数据呢?

图01.jpg

图1:在炮火中损坏的手机

访问手机的存储芯片

损坏的手机可能无法开机,并且数据端口无法正常工作,因此,可以使用硬件和软件工具直接访问手机的存储芯片。一些原本被骇客使用的工具,也可以合法地用作调查的一部分。

那么产生的结果是准确的吗?研究人员将数据加载到了10种流行的手机型号上。然后,他们自己或外部专家进行了数据提取,以此测试,提取的数据是否与原始数据完全匹配,并且没有任何变化。

方法

为了使研究准确,研究人员不能将大量数据直接打包到手机上。他们选择以人们通常的习惯添加数据,比如拍照、发送消息、使用Facebook、LinkedIn和其他社交媒体应用程序。他们还输入了具有多个中间名和格式奇奇怪怪的地址与联系人,以此查看在检索数据时是否会遗漏或丢失部分数据。此外,他们还开着手机GPS,开着车在城里转来转去,获取GPS数据。

研究人员将数据加载到手机上之后,使用了两种方法来提取数据。

第一种方法:JTAG

许多电路板都有小的金属抽头,可以访问芯片上的数据。研究人员充分地利用了这一点。

对于制造商来说,他们使用这些金属抽头来测试电路板,但是在这些金属抽头上焊接电线,调查人员就可以从芯片中提取数据。

这种方法被称为JTAG,主要用于联合任务行动组,也就是编码这种测试特性的协会。

第二种方法:chip-off(芯片提取)

芯片提取就是将芯片通过微小的金属引脚直接连接到电路板上的操作形式。要知道,在过去,专家们通常是将芯片轻轻地从板上拔下来并将它们放入芯片读取器中来实现数据获取的,但是金属引脚很细。一旦损坏它们,则获取数据就会变得非常困难甚至失败。

微信图片_20200206135550.jpg

图2:数字取证专家通常可以使用JTAG方法从损坏的手机中提取数据

数据提取

几年前,专家发现,与其将芯片直接从电路板上拉下来,不如像从导线上剥去绝缘层一样,将它们放在车床上,磨掉板的另一面,直到引脚暴露出来。

这个方法看似很简单了,直到有人想出一种更简单的方法,也就是chip-off(芯片提取),这是the Fort Worth警察局数字取证实验室和Colorado一家名为VTO实验室的私人取证公司一起发现的,后者将提取的数据送到NIST(美国国家标准技术研究院)后,由研究院的计算机科学家对此进行了JTAG提取。

数据提取完成后,Ayers和Reyes-Rodriguez使用了八种不同的取证软件工具来提取原始数据、生成联系人、位置、文本、照片和社交媒体数据等。然后,他们将这些数据与最初加载到每部手机上的数据进行了比较。

比较结果表明,JTAG和Chip-off均提取了数据而没有对其进行更改,但是某些软件工具比其他工具更擅长理解数据,尤其是那些来自社交媒体应用程序中的数据。

*参考来源:helpnetsecurity,kirazhou编译整理,转载请注明来自 FreeBuf.COM。

# 数据安全 # 极客 # 存储芯片
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者