Криминалистика мобильных устройств - Mobile device forensics

Криминалистика мобильных устройств это филиал цифровая криминалистика в отношении восстановления цифровые доказательства или данные из мобильное устройство под судебно-медицинский звуковые условия. Фраза мобильное устройство обычно относится к мобильные телефоны; однако это также может относиться к любому цифровому устройству, имеющему как внутреннюю память, так и коммуникация способность, в том числе КПК устройства, GPS устройства и планшетные компьютеры.

Использование мобильных телефонов / устройств в преступной деятельности было широко признано в течение нескольких лет, но судебно-медицинское исследование мобильных устройств - относительно новая область, возникшая в конце 1990-х - начале 2000-х годов. Распространение телефонов (особенно смартфоны ) и другие цифровые устройства на потребительском рынке вызвали потребность в судебно-медицинской экспертизе устройств, которую не могли удовлетворить существующие компьютерная экспертиза техники.[1]

Мобильные устройства можно использовать для сохранения нескольких типов личной информации, такой как контакты, фотографии, календари и заметки, SMS и MMS Сообщения. Смартфоны могут дополнительно содержать видео, электронную почту, информацию о просмотре веб-страниц, информацию о местоположении, а также сообщения и контакты социальных сетей.

Потребность в мобильной криминалистике растет по нескольким причинам, среди которых можно выделить следующие:

  • Использование мобильных телефонов для хранения и передачи личной и корпоративной информации
  • Использование мобильных телефонов в онлайн-транзакциях
  • Правоохранительные органы, преступники и мобильные телефоны[2]

Криминалистическая экспертиза мобильных устройств может быть особенно сложной на нескольких уровнях:[3]

Существуют доказательные и технические проблемы. например, анализ сотовой связи, основанный на использовании зоны покрытия мобильного телефона, не является точной наукой. Следовательно, хотя можно приблизительно определить зону сотовой связи, из которой был сделан или принят вызов, еще невозможно сказать с какой-либо степенью уверенности, что звонок на мобильный телефон исходил из определенного места, например адрес проживания.

  • Чтобы оставаться конкурентоспособными, производители оригинального оборудования часто меняют форм-факторы мобильного телефона, Операционная система файловые структуры, хранилища данных, службы, периферийные устройства и даже контактные разъемы и кабели. В результате судебно-медицинские эксперты должны использовать другой процесс судебной экспертизы по сравнению с компьютерная экспертиза.
  • Емкость хранилища продолжает расти благодаря спросу на более мощные устройства типа «мини-компьютер».[4]
  • Не только типы данных, но и способы использования мобильных устройств постоянно развиваются.
  • Режим гибернации, при котором процессы приостанавливаются, когда устройство выключено или находится в режиме ожидания, но в то же время остается активным.[2]

В результате этих проблем существует широкий спектр инструментов для извлечения доказательств с мобильных устройств; ни один инструмент или метод не может получить все свидетельства со всех устройств. Поэтому рекомендуется, чтобы судебно-медицинские эксперты, особенно те, кто желает квалифицироваться в качестве свидетелей-экспертов в суде, прошли обширную подготовку, чтобы понять, как каждый инструмент и метод собирают доказательства; как он поддерживает стандарты криминалистической надежности; и как он соответствует юридическим требованиям, таким как Стандарт Добера или же Фрай стандарт.

История

Криминалистическая экспертиза мобильных устройств как область исследований датируется концом 1990-х - началом 2000-х годов. Роль мобильных телефонов в преступлении давно признана правоохранительными органами. С увеличением доступности таких устройств на потребительском рынке и расширением спектра поддерживаемых ими коммуникационных платформ (например, электронная почта, просмотр веб-страниц) спрос на судебно-медицинскую экспертизу вырос.[1]

Ранние попытки исследовать мобильные устройства использовали методы, аналогичные первым компьютерным криминалистическим исследованиям: анализ содержимого телефона непосредственно через экран и фотографирование важного содержимого.[1] Однако это оказалось трудоемким процессом, и по мере того, как количество мобильных устройств начало расти, исследователи потребовали более эффективных средств извлечения данных. Предприимчивые мобильные судебно-медицинские эксперты иногда использовали программное обеспечение для синхронизации сотовых телефонов или КПК для «резервного копирования» данных устройства на судебно-медицинский компьютер для визуализации, а иногда просто выполняли компьютерную экспертизу на жестком диске подозрительного компьютера, на котором данные были синхронизированы. Однако программное обеспечение этого типа могло писать в телефон, а также читать его, и не могло восстанавливать удаленные данные.[5]

Некоторые судебно-медицинские эксперты обнаружили, что они могут извлекать даже удаленные данные с помощью «флешеров» или «твистеров», инструментов, разработанных OEM-производителями для «прошивки» памяти телефона для отладки или обновления. Тем не менее, флэшеры инвазивны и могут изменять данные; может быть сложно использовать; и, поскольку они не разработаны как инструменты судебной экспертизы, не выполняют ни хеш-проверок, ни (в большинстве случаев) контрольных журналов.[6] Следовательно, для судебно-медицинских экспертиз оставались необходимы лучшие альтернативы.

Чтобы удовлетворить эти требования, появились коммерческие инструменты, которые позволяли исследователям восстанавливать память телефона с минимальными нарушениями и анализировать ее отдельно.[1] Со временем эти коммерческие методы получили дальнейшее развитие, и восстановление удаленных данных с проприетарных мобильных устройств стало возможным с помощью некоторых специализированных инструментов. Более того, коммерческие инструменты даже автоматизировали большую часть процесса извлечения, давая возможность даже минимально обученным службам быстрого реагирования - которые в настоящее время гораздо чаще сталкиваются с подозреваемыми с мобильными устройствами в их распоряжении, чем с компьютерами - выполнять базовые извлечения для сортировки и сортировки. в целях предварительного просмотра данных.

Профессиональные приложения

Криминалистическая экспертиза мобильных устройств наиболее известна своим применением в расследованиях правоохранительных органов, но она также полезна для военная разведка, корпоративные расследования, частные расследования, уголовное и гражданское защита, и электронное открытие.

Типы доказательств

В качестве мобильное устройство технический прогресс, количество и типы данных, которые можно найти на мобильное устройство постоянно увеличивается. Доказательства, которые потенциально могут быть восстановлены с мобильного телефона, могут поступать из нескольких различных источников, включая память телефона, сим-карта, а также подключенные карты памяти, например SD открытки.

Традиционно судебная экспертиза мобильных телефонов была связана с восстановлением SMS и MMS обмен сообщениями, а также журналы вызовов, списки контактов и телефон IMEI /ESN Информация. Однако новые поколения смартфонов также включают в себя более широкий спектр информации; из просмотра веб-страниц, Беспроводная сеть настройки, геолокация информация (в том числе геотеги содержится в изображении метаданные ), электронной почте и других форматах мультимедийных данных в Интернете, включая важные данные, например социальная сеть сообщения и контакты - теперь сохраняются в «приложениях» смартфонов.[7]

Внутренняя память

В настоящее время в основном флэш-память состоящие из типов NAND или NOR, используются для мобильных устройств.[8]

Внешняя память

Внешние запоминающие устройства SIM открытки, SD карты (обычно встречаются в устройствах GPS, а также в мобильных телефонах), MMC открытки, CF карты, и Карта памяти.

Журналы поставщика услуг

Хотя технически это не является частью судебной экспертизы мобильных устройств, записи о звонках (а иногда и текстовые сообщения) от операторы беспроводной связи часто служат в качестве «дополнительных» доказательств, полученных после изъятия мобильного телефона. Это полезно, когда история звонков и / или текстовые сообщения были удалены с телефона, или когда геолокационные сервисы не включены. Подробные записи звонков и сотовый сайт Свалки (башни) могут показать местоположение владельца телефона, а также то, были ли они неподвижными или движущимися (то есть, отражался ли сигнал телефона от одной и той же стороны одной башни или от разных сторон нескольких башен на определенном пути движения).[9] Данные оператора связи и данные устройства вместе могут использоваться для подтверждения информации из других источников, например, видеонаблюдение видеозаписи или свидетельства очевидцев; или для определения общего места, где было снято изображение или видео без геотегов.

Европейский Союз требует, чтобы его страны-члены сохраняли определенные телекоммуникационные данные для использования в исследованиях. Сюда входят данные о сделанных и полученных вызовах. Местоположение мобильного телефона может быть определено, и эти географические данные также должны быть сохранены. Однако в Соединенных Штатах такое требование отсутствует, и стандарты не регулируют, как долго операторы связи должны хранить данные или даже то, что они должны хранить. Например, текстовые сообщения могут храниться только неделю или две, а журналы вызовов могут храниться от нескольких недель до нескольких месяцев. Чтобы снизить риск потери доказательств, сотрудники правоохранительных органов должны предоставить перевозчику письмо о сохранении, которое они затем должны подкрепить ордер на обыск.[9]

Судебно-медицинский процесс

Процесс судебной экспертизы для мобильных устройств в целом соответствует другим отраслям цифровой криминалистики; однако есть некоторые особые опасения. Как правило, процесс можно разбить на три основные категории: изъятие, сбор и изучение / анализ. Другие аспекты процесса компьютерной криминалистики, такие как прием, проверка, документация / отчетность и архивирование, по-прежнему применяются.[3]

Захват

Изъятие мобильных устройств регулируется теми же юридическими соображениями, что и другие цифровые носители. Мобильные телефоны часто будут восстанавливать включенными; поскольку целью изъятия является сохранение улик, устройство часто будет транспортироваться в том же состоянии, чтобы избежать отключения, которое может привести к изменению файлов.[10] Кроме того, следователь или первый респондент рискуют активировать блокировку пользователя.

Однако оставление телефона связано с другим риском: устройство по-прежнему может подключаться к сети / сотовой сети. Это может привести к появлению новых данных и перезаписи улик. Чтобы предотвратить соединение, мобильные устройства часто перевозятся и исследуются изнутри Клетка Фарадея (или сумка). Тем не менее, у этого метода есть два недостатка. Во-первых, большинство сумок делают устройство непригодным для использования, так как нельзя использовать его сенсорный экран или клавиатуру. Однако могут быть приобретены специальные клетки, позволяющие использовать устройство с прозрачным стеклом и в специальных перчатках. Преимущество этой опции - возможность также подключаться к другому криминалистическому оборудованию, блокируя сетевое соединение, а также заряжая устройство. Если этот параметр недоступен, рекомендуется изоляция сети путем помещения устройства в Авиа режим, или же клонирование свою SIM-карту (метод, который также может быть полезен, когда в устройстве полностью отсутствует SIM-карта).[3]

Следует отметить, что хотя этот метод может предотвратить запуск удаленной очистки (или взлома) устройства, он ничего не делает с локальным Выключатель мертвеца.

Приобретение

iPhone в защитной сумке RF
RTL Aceso, подразделение по приобретению мобильных устройств

Второй этап судебно-медицинской экспертизы: приобретение, в данном случае обычно относится к извлечению материала с устройства (по сравнению с битовой копией изображения, используемой в компьютерной криминалистике).[10]

Из-за проприетарного характера мобильных телефонов часто невозможно получить данные, когда они выключены; большинство мобильных устройств приобретаются в реальном времени. С более продвинутыми смартфонами, использующими расширенное управление памятью, подключение его к зарядному устройству и помещение его в клетку Фарадея может быть не очень хорошей практикой. Мобильное устройство распознает отключение сети и, следовательно, изменит свою информацию о состоянии, которая может запустить диспетчер памяти для записи данных.[11]

Большинство инструментов сбора данных для мобильных устройств имеют коммерческий характер и состоят из аппаратного и программного компонента, часто автоматизированного.

Обследование и анализ

По мере увеличения числа мобильные устройства использовать высокий уровень файловые системы, аналогично файловым системам компьютеров, методы и инструменты могут быть взяты из криминалистической экспертизы жесткого диска или требуют лишь незначительных изменений.[12]

В ТОЛСТЫЙ файловая система обычно используется на Память NAND.[13] Разница в том размер блока используется, что больше 512 байты для жестких дисков и зависит от типа используемой памяти, например, НИ тип 64, 128, 256 и Память NAND 16, 128, 256 или 512 килобайт.

Различные программные инструменты могут извлекать данные из образа памяти. Можно использовать специализированные и автоматизированные программные продукты для криминалистической экспертизы или общие программы просмотра файлов, такие как любые шестнадцатеричный редактор искать характеристики заголовков файлов. Преимущество шестнадцатеричного редактора заключается в более глубоком понимании управления памятью, но работа с шестнадцатеричным редактором требует много ручной работы и файловой системы, а также знания заголовков файлов. Напротив, специализированное программное обеспечение судебной экспертизы упрощает поиск и извлекает данные, но может не найти все. AccessData, Сыщик, Аналитик ESI и EnCase Если упомянуть лишь некоторые из них, это программные продукты для судебной экспертизы, предназначенные для анализа изображений в памяти.[14] Поскольку не существует инструмента, который извлекает всю возможную информацию, рекомендуется использовать два или более инструментов для исследования. В настоящее время (февраль 2010 г.) не существует программного решения для получения всех свидетельств из флэш-памяти.[8]

Типы сбора данных

Извлечение данных с мобильных устройств можно классифицировать по континууму, в соответствии с которым методы становятся более техническими и «криминалистически обоснованными», инструменты становятся более дорогими, анализ занимает больше времени, экспертам требуется больше обучения, а некоторые методы могут даже стать более инвазивными.[15]

Ручное получение

Экзаменатор использует пользовательский интерфейс для исследования содержимого памяти телефона. Таким образом, устройство используется в обычном режиме, при этом экзаменатор фотографирует содержимое каждого экрана. Этот метод имеет преимущество в том, что Операционная система делает ненужным использование специализированных инструментов или оборудования для преобразования необработанных данных в информацию, интерпретируемую человеком. На практике этот метод применяется к мобильным телефонам, КПК и системы навигации.[16] Недостатки состоят в том, что можно восстановить только данные, видимые операционной системе; что все данные доступны только в виде изображений; да и сам процесс занимает много времени.

Логическое приобретение

Логическое получение подразумевает побитовое копирование логических объектов хранения (например, каталогов и файлов), которые находятся в логическом хранилище (например, в разделе файловой системы). Преимущество логического получения состоит в том, что системные структуры данных легче извлекать и систематизировать. Логическое извлечение получает информацию от устройства с помощью производитель оригинального оборудования интерфейс прикладного программирования для синхронизации содержимого телефона с персональный компьютер. С логическим извлечением, как правило, легче работать, поскольку он не создает больших двоичный blob. Однако опытный судебно-медицинский эксперт сможет извлечь гораздо больше информации из физического извлечения.

Получение файловой системы

Логическое извлечение обычно не приводит к удалению информации, поскольку она обычно удаляется из файловой системы телефона. Однако в некоторых случаях - особенно с платформами, построенными на SQLite, Такие как iOS и Android - телефон может хранить база данных файл информации, который не перезаписывает информацию, а просто отмечает его как удаленный и доступный для последующей перезаписи. В таких случаях, если устройство позволяет файловая система доступ через интерфейс синхронизации, можно восстановить удаленную информацию. Извлечение файловой системы полезно для понимания структуры файлов, истории просмотра веб-страниц или использования приложений, а также для предоставления эксперту возможности выполнять анализ с помощью традиционных инструментов компьютерной криминалистики.[17]

Физическое приобретение

Физическое приобретение подразумевает побитовое копирование всего физического хранилища (например, флэш-память ); следовательно, это метод, наиболее похожий на обследование персональный компьютер. Преимущество физического получения данных состоит в том, что они позволяют исследовать удаленные файлы и остатки данных. Физическое извлечение получает информацию от устройства путем прямого доступа к флэш-памяти.

Обычно этого добиться труднее, поскольку устройство производитель оригинального оборудования необходимо обезопасить от произвольного чтения памяти; следовательно, устройство может быть заблокировано для определенного оператора. Чтобы обойти эту безопасность, поставщики инструментов мобильной криминалистики часто разрабатывают собственные загрузчики, позволяя инструменту криминалистической экспертизы получать доступ к памяти (и часто также обходить коды доступа пользователя или блокировки шаблонов).[18]

Обычно физическое извлечение разделяется на два этапа: этап сброса и этап декодирования.

Получение грубой силы

Получение грубой силы может быть выполнено сторонними инструментами грубой силы паролей, которые отправляют серию паролей / паролей на мобильное устройство.[19] Это трудоемкий, но, тем не менее, эффективный метод.[20] Этот метод использует метод проб и ошибок в попытке создать правильную комбинацию пароля или PIN-кода для аутентификации доступа к мобильному устройству. Несмотря на то, что процесс занимает много времени, он по-прежнему остается одним из лучших методов, если судебно-медицинский эксперт не может получить пароль. Благодаря имеющемуся в настоящее время программному и аппаратному обеспечению стало довольно легко взломать шифрование файла паролей мобильных устройств для получения пароля.[21] Два производителя стали публичными с момента выпуска iPhone5,[22] Cellebrite и GrayShift. Эти производители предназначены для правоохранительных органов и полиции. Cellebrite UFED Ultimate[23] Стоимость единицы составляет более 40 000 долларов США, а стоимость системы Grashifts составляет 15 000 долларов США.[24] Инструменты перебора подключены к устройству и будут физически отправлять коды на устройства iOS, начиная с 0000 до 9999 в последовательности, пока правильный код не будет успешно введен. После успешного ввода кода предоставляется полный доступ к устройству и может начаться извлечение данных.

Инструменты

Ранние исследования состояли из ручного анализа мобильных устройств в реальном времени; с экзаменаторами, фотографирующими или записывающими полезный материал для использования в качестве доказательства. Без оборудования для судебной фотографии, такого как Фернико ЗРТ, EDEC Eclipse, или же Project-a-Phone, это имело недостаток, связанный с риском модификации содержимого устройства, а также с тем, что многие части проприетарной операционной системы оставались недоступными.

В последние годы появился ряд аппаратных / программных инструментов для восстановления логических и физических доказательств с мобильных устройств. Большинство инструментов состоят как из аппаратного, так и из программного обеспечения. Оборудование включает в себя ряд кабелей для подключения мобильного устройства к устройству для сбора данных; программное обеспечение существует для извлечения доказательств, а иногда даже для их анализа.

Совсем недавно для этой области были разработаны инструменты судебной экспертизы мобильных устройств. Это является ответом как на потребность воинских частей в быстрой и точной антитеррористической разведке, так и на потребность правоохранительных органов в возможности предварительного просмотра криминалистических данных на месте преступления, исполнение ордера на обыск или неотложных обстоятельствах. Такие мобильные криминалистические инструменты часто усиленный для суровых условий (например, на поле боя) и грубого обращения (например, падение или погружение в воду).[25]

Как правило, поскольку какой-либо один инструмент не может собрать все доказательства со всех мобильных устройств, специалисты по мобильной криминалистике рекомендуют экспертам создать целые наборы инструментов, состоящие из смеси коммерческих, открытых, с открытым исходным кодом, инструментов с широкой и узкой поддержкой, а также с аксессуарами. например, зарядные устройства, сумки Фарадея или другое оборудование для прерывания сигнала и т. д.[26]

Коммерческие инструменты судебной экспертизы

Некоторые текущие инструменты включают Belkasoft Evidence Center, Cellebrite UFED, Кислородный судебно-медицинский детектив, Пакет мобильной криминалистики Elcomsoft, Susteen Secure View, MOBILEdit Forensic Express и Micro Systemation XRY.

Кроме того, были разработаны некоторые инструменты для решения проблемы увеличения преступного использования телефонов, изготовленных с использованием китайских наборов микросхем, в том числе: MediaTek (МТК), Spreadtrum и MStar. К таким инструментам относятся CHINEX от Cellebrite, и XRY PinPoint.

Открытый исходный код

Большинство инструментов мобильной криминалистики с открытым исходным кодом привязаны к конкретной платформе и ориентированы на анализ смартфонов. Хотя изначально он не предназначен для использования в качестве инструмента судебной экспертизы, BitPim широко используется в телефонах CDMA, а также в LG VX4400 / VX6000 и многих сотовых телефонах Sanyo Sprint.[27]

Физические инструменты

Судебная распайка

Последний и самый навязчивый метод получения изображения из памяти, обычно называемый в отрасли методом "Chip-Off", - это демонтаж то энергонезависимая память чип и подключите его к считывателю микросхемы памяти. Этот метод содержит потенциальную опасность полного уничтожения данных: можно разрушить чип и его содержимое из-за нагрева, необходимого во время распайки. До изобретения BGA Технология позволяла прикреплять датчики к контактам микросхемы памяти и восстанавливать память через эти датчики. Технология BGA прикрепляет чипы непосредственно к Печатная плата через расплавленный шарики припоя, так что присоединять зонды больше нельзя.

Компонент массива шариковой сетки, отображающий «эффект попкорна».
Здесь вы можете видеть, что влага на печатной плате превратилась в пар, когда она подверглась сильному нагреву. Это дает так называемый «эффект попкорна».

Распайка микросхем выполняется осторожно и медленно, чтобы тепло не разрушило микросхему или данные. Перед тем, как отпаять чип, печатная плата запекается в печи для удаления остатков воды. Это предотвращает так называемый эффект попкорна, при котором оставшаяся вода взорвет корпус микросхемы при распайке.

Существует три основных метода плавления припоя: горячий воздух, инфракрасный свет и паровая фазировка. Технология инфракрасного света работает со сфокусированным инфракрасным световым лучом на определенном Интегральная схема и используется для мелких чипов. Методы горячего воздуха и пара не могут фокусировать столько, сколько инфракрасная техника.

Реболлинг чипа

После распайки чипа процесс повторного обкатки очищает чип и добавляет в него новые оловянные шарики. Реболлинг может выполняться двумя разными способами.

  • Первый - использовать трафарет. Трафарет зависит от стружки и должен точно соответствовать. Затем на трафарет наносится оловянный припой. После охлаждения олова трафарет удаляется и, если необходимо, выполняется второй этап очистки.
  • Второй метод - это лазерный реболлинг.[28][29] Здесь трафарет программируется в блоке реболлинга. В головку соединения (похожую на трубку / иглу) автоматически загружается один оловянный шарик из емкости для разделения шариков припоя. Затем шарик нагревается лазером, так что шарик из олова-припоя становится жидким и стекает на очищенный кристалл. Мгновенно после плавления шара лазер выключается, и новый шар падает на головку соединения. При повторной загрузке связующая головка узла реболлинга меняет положение на следующий штифт.

Третий метод делает ненужным весь процесс реболлинга. Чип подключается к переходнику с Y-образными пружинами или подпружиненным пого булавки. Y-образные пружины должны иметь шарик на штифте, чтобы установить электрическое соединение, но пого булавки можно использовать прямо на колодках на чипе без шариков.[11][12]

Преимущество судебно-медицинской распайки состоит в том, что устройство не обязательно должно быть работоспособным, и можно сделать копию без каких-либо изменений исходных данных. Недостатком является то, что устройства для реболлинга дороги, поэтому этот процесс очень дорогостоящий, и есть некоторые риски полной потери данных. Следовательно, судебно-медицинская распайка должна выполняться только опытными лабораториями.[13]

JTAG

Существующие стандартизированные интерфейсы для чтения данных встроены в несколько мобильных устройств, например, для получения данных о местоположении от GPS оборудование (NMEA ) или для получения информации о замедлении от блоков подушек безопасности.[16]

Не все мобильные устройства предоставляют такой стандартизированный интерфейс, и не существует стандартного интерфейса для всех мобильных устройств, но у всех производителей есть одна общая проблема. Миниатюризация деталей устройства открывает вопрос, как автоматически тестировать функциональность и качество впаянных интегрированных компонентов. Для этой проблемы отраслевая группа, Совместная группа действий по тестированию (JTAG) разработал тестовую технологию под названием граничное сканирование.

Несмотря на стандартизацию, перед использованием интерфейса устройства JTAG для восстановления памяти необходимо выполнить четыре задачи.Чтобы найти правильные биты в регистре граничного сканирования, необходимо знать, какие схемы процессора и памяти используются и как они подключены к системной шине. Если к нему нет доступа извне, необходимо найти контрольные точки для интерфейса JTAG на печатной плате и определить, какая контрольная точка используется для какого сигнала. Порт JTAG не всегда припаивается к разъемам, поэтому иногда необходимо открыть устройство и перепаять порт доступа.[12] Должен быть известен протокол чтения памяти и, наконец, необходимо определить правильное напряжение, чтобы предотвратить повреждение цепи.[11]

Граничное сканирование дает полное судебно-медицинское изображение летучий и энергонезависимая память. Риск изменения данных сведен к минимуму, и микросхему памяти не нужно распаянный. Создание изображения может быть медленным, и не все мобильные устройства включены JTAG. Кроме того, может быть сложно найти порт тестового доступа.[13]

Инструменты командной строки

Системные команды

Мобильные устройства не позволяют запускать или загружаться с CD, подключение к сетевой ресурс или другое устройство с чистыми инструментами. Таким образом, системные команды могут быть единственным способом сохранить энергозависимую память мобильного устройства. Из-за риска изменения системных команд необходимо оценить, действительно ли важна энергозависимая память. Аналогичная проблема возникает, когда сетевое соединение недоступно, и к мобильному устройству нельзя подключить дополнительную память, потому что образ энергозависимой памяти должен быть сохранен во внутренней энергонезависимая память, где хранятся пользовательские данные и, скорее всего, удаленные важные данные будут потеряны. Системные команды - самый дешевый метод, но они сопряжены с некоторыми рисками потери данных. Каждое использование команды с параметрами и выводом должно быть задокументировано.

AT-команды

AT-команды старые модем команды, например, Набор команд Hayes и AT-команды телефона Motorola, и поэтому может использоваться только на устройстве с поддержкой модема. Используя эти команды, можно получить информацию только через Операционная система, так что удаленные данные не могут быть извлечены.[11]

дд

Для внешней памяти и USB-накопителя соответствующее программное обеспечение, например, команда Unix дд, необходим для создания битовой копии. Более того, USB-накопители с защитой памяти не требуют специального оборудования и могут быть подключены к любому компьютеру. Многие USB-накопители и карты памяти имеют переключатель блокировки записи, который можно использовать для предотвращения изменения данных во время копирования.

Если на USB-накопителе нет переключателя защиты, блокиратор[постоянная мертвая ссылка ] можно использовать для установки накопителя в режиме только для чтения или, в исключительном случае, микросхему памяти можно распаянный. Для SIM-карты и карт памяти требуется картридер сделать копию. SIM-карта тщательно анализируется, так что можно восстановить (удалить) данные, такие как контакты или текстовые сообщения.[11]

Операционная система Android включает команду dd. В сообщении блога, посвященном методам криминалистической экспертизы Android, демонстрируется способ создания живого образа Android-устройства с помощью команды dd.[30]

Коммерческие инструменты, не связанные с судебной экспертизой

Инструменты для прошивки

Инструмент для прошивки - это программное обеспечение и оборудование, которое можно использовать для программирования (прошивки) памяти устройства, например, EEPROM или же флэш-память. Эти инструменты в основном исходят от производителя или сервисных центров для отладки, ремонта или обновления. Они могут перезаписывать энергонезависимую память, а некоторые, в зависимости от производителя или устройства, также могут читать память, чтобы сделать копию, изначально предназначенную в качестве резервной. Память может быть защищена от чтения, например, с помощью программной команды или разрушения предохранителей в цепи чтения.[31]

Обратите внимание: это не помешает записывать или использовать внутреннюю память ЦПУ. Инструменты прошивки просты в подключении и использовании, но некоторые из них могут изменять данные и иметь другие опасные параметры или не создавать полную копию.[12]

Споры

Как правило, не существует стандарта для того, что является поддерживаемым устройством в конкретном продукте. Это привело к тому, что разные поставщики по-разному определяют поддерживаемые устройства. Такая ситуация значительно затрудняет сравнение продуктов на основе предоставленных поставщиком списков поддерживаемых устройств. Например, устройство, логическое извлечение которого с использованием только одного продукта создает список вызовов, сделанных устройством, может быть указано как поддерживаемое этим поставщиком, в то время как другой поставщик может предоставить гораздо больше информации.

Кроме того, разные продукты извлекают разный объем информации с разных устройств. Это приводит к очень сложной картине при попытке обзора продуктов. Как правило, это приводит к ситуации, когда настоятельно рекомендуется тщательно протестировать продукт перед покупкой. Довольно часто используется как минимум два продукта, которые дополняют друг друга.

Технология мобильных телефонов развивается быстрыми темпами. Цифровая криминалистика, связанная с мобильными устройствами, кажется, стоит на месте или медленно развивается. Для того чтобы судебная экспертиза мобильных телефонов могла догнать циклы выпуска мобильных телефонов, необходимо разработать более всеобъемлющую и углубленную основу для оценки наборов инструментов мобильной судебной экспертизы и своевременно предоставлять данные о соответствующих инструментах и ​​методах для каждого типа телефона.[32]

Анти-криминалистика

Антикомпьютерная криминалистика сложнее из-за небольшого размера устройств и ограниченной доступности данных пользователя.[13] Тем не менее, существуют разработки для защиты памяти в аппаратном обеспечении с помощью схем безопасности в ЦПУ и микросхему памяти, так что микросхему памяти нельзя прочитать даже после распайки.[33][34]

Смотрите также

Рекомендации

  1. ^ а б c d Кейси, Иоган (2004). Цифровые доказательства и компьютерные преступления, второе издание. Эльзевир. ISBN  978-0-12-163104-8.
  2. ^ а б Ахмед, Ризван (2009). «Мобильная криминалистика: введение с точки зрения правоохранительных органов Индии». Информационные системы, технологии и менеджмент. Коммуникации в компьютерных и информационных науках. 31. С. 173–184. Дои:10.1007/978-3-642-00405-6_21. ISBN  978-3-642-00404-9.
  3. ^ а б c Мерфи, Синтия. «Извлечение и документирование данных с мобильных телефонов» (PDF). Получено 4 августа 2013.
  4. ^ Цукаяма, Хейли (13 июля 2012 г.). «Две трети мобильных покупателей имеют смартфоны». Вашингтон Пост. Получено 20 июля 2012.
  5. ^ Янсен; и другие. «Преодоление препятствий для судебной экспертизы сотовых телефонов» (PDF). Получено 20 июля 2012.[постоянная мертвая ссылка ]
  6. ^ Текрей, Джон. "Флешеры: назад к основам судебной экспертизы мобильных телефонов". Архивировано из Июль 2012 г. оригинал Проверять | url = ценить (помощь) 15 ноября 2012 г.
  7. ^ Ахмед, Ризван. «Извлечение цифровых доказательств и документирование с мобильных устройств» (PDF). Получено 2 февраля 2015.
  8. ^ а б Сальваторе Фиорилло. Теория и практика мобильной криминалистики флеш-памяти. Theosecurity.com, декабрь 2009 г.
  9. ^ а б Миллер, Криста. «Другая сторона мобильной криминалистики». Officer.com. Получено 24 июля 2012.
  10. ^ а б Уэйн, Янсен. И Айерс, Рик. (Май 2007 г.). Рекомендации по криминалистике сотовых телефонов. извлекаются из http://www.mislan.com/SSDDFJ/papers/SSDDFJ_V1_1_Breeuwsma_et_al.pdf
  11. ^ а б c d е Уиллассен, Свейн Ю. (2006). «Криминалистический анализ внутренней памяти мобильного телефона». CiteSeerX  10.1.1.101.6742. Цитировать журнал требует | журнал = (помощь)
  12. ^ а б c d Марсель Бреувсма, Мартьен де Йонг, Керт Клавер, Рональд ван дер Книжфф и Марк Роулоффс. (2007). извлекаются из Криминалистическое восстановление данных из флэш-памяти В архиве 2016-10-23 на Wayback Machine. Small l Scale Digital Device Forensics Journal, Volume 1 (Number 1). Кроме того, многие из этих инструментов стали более приспособленными для восстановления кодов доступа / паролей пользователей без потери пользовательских данных. Примером инструмента, обычно используемого в этой области, является ключ BST В архиве 2016-10-23 на Wayback Machine.
  13. ^ а б c d Рональд ван дер Книжфф. (2007). извлекаются из 10 веских причин, почему вы должны переключить внимание на криминалистику небольших цифровых устройств В архиве 2008-10-15 на Wayback Machine.
  14. ^ Рик Айерс, Уэйн Янсен, Николас Сильерос и Ронан Даниеллу. (Октябрь 2005 г.). Извлекаются из Инструменты судебной экспертизы сотовых телефонов: обзор и анализ. Национальный институт стандартов и технологий.
  15. ^ Братья, Сэм. «Классификация инструментов iPhone» (PDF). Архивировано из оригинал (PDF) 20 октября 2012 г.. Получено 21 июля 2012.
  16. ^ а б Эоган Кейси. Справочник по расследованию компьютерных преступлений - криминалистические инструменты и технологии. Academic Press, 2-е издание, 2003 г.
  17. ^ Генри, Пол. «Краткий обзор - Cellebrite UFED с использованием извлечения данных телефона и дампа файловой системы». Получено 21 июля 2012.
  18. ^ Вэнс, Кристофер. «Физические приобретения Android с использованием Cellebrite UFED». Архивировано из оригинал 12 августа 2011 г.. Получено 21 июля 2012.
  19. ^ Сатиш., Боммисетти (2014). Практическая мобильная криминалистика: погрузитесь в мобильную криминалистику на устройствах iOS, Android, Windows и BlackBerry с помощью этого динамичного практического руководства. Тамма, Рохит., Махалик, Вереск. Бирмингем, Великобритания: Packt Pub. ISBN  9781783288328. OCLC  888036062.
  20. ^ «Грубая атака». Springer Ссылка. SpringerСсылка. Springer-Verlag. 2011 г. Дои:10.1007 / springerreference_9302.
  21. ^ Уиттакер, Зак. «За 15 000 долларов GrayKey обещает взломать пароли iPhone для полиции». ZDNet. Получено 2018-07-02.
  22. ^ Уиттакер, Зак. «Просочившиеся файлы раскрывают возможности технологии взлома телефонов израильской фирмы». ZDNet. Получено 2018-07-02.
  23. ^ «UFED Ultimate». Cellebrite.com.
  24. ^ Фокс-Брюстер, Томас. «Загадочный GrayKey за $ 15 000 обещает разблокировать iPhone X для федералов». Forbes. Получено 2018-07-02.
  25. ^ «Мобильная цифровая криминалистика для военных». Dell Inc. Получено 21 июля 2012.
  26. ^ Дэниелс, Кит. «Создание набора инструментов для исследования сотовых устройств: основные характеристики аппаратного и программного обеспечения». SEARCH Group Inc. Отсутствует или пусто | url = (помощь)
  27. ^ «Информационный центр электронных доказательств». Получено 25 июля 2012.
  28. ^ Домашняя страница Factronix
  29. ^ Видео: процесс реболлинга
  30. ^ Лорум, Марк (10 августа 2014 г.). "Live Imaging an Android Device". Получено 3 апреля 2015.
  31. ^ Том Солт и Родни Дрейк. Патент США 5469557. (1995). Извлекаются из Кодовая защита в микроконтроллере с предохранителями EEPROM. В архиве 2011-06-12 на Wayback Machine
  32. ^ Ахмед, Ризван. «Мобильная криминалистика: обзор, инструменты, будущие тенденции и проблемы с точки зрения правоохранительных органов» (PDF). Получено 2 февраля 2015.
  33. ^ Патент на безопасную загрузку
  34. ^ Харини Сундаресан. (Июль 2003 г.). Извлекаются из Функции безопасности платформы OMAP, Инструменты Техаса.

внешняя ссылка