Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Часть серии по
Криминалистика
Hard disk.jpg
Физиологический
Социальное
Криминалистика
Цифровая криминалистика
  • Компьютерные экзамены
  • Анализ данных
  • Изучение базы данных
  • Анализ вредоносного ПО
  • Мобильные устройства
  • Сетевой анализ
  • Фотография
  • Видеоанализ
  • Аудио анализ
Связанные дисциплины
  • Электротехника
  • Инженерное дело
  • Расследование пожара
  • Обнаружение пожарного ускорителя
  • Фрактография
  • Лингвистика
  • Материаловедение
  • Полимерная инженерия
  • Статистика
  • Реконструкция дорожно-транспортного происшествия
Статьи по Теме
  • Место преступления
  • Эффект CSI
  • Синдром Перри Мейсона
  • Календарь пыльцы
  • Знак заноса
  • Следы доказательств
  • Использование ДНК в судебной энтомологии
  • Контур
  • Категория
  • v
  • т
  • е

Криминалистическая экспертиза мобильных устройств - это отрасль цифровой криминалистики, относящаяся к восстановлению цифровых доказательств или данных с мобильного устройства в криминалистически обоснованных условиях. Фраза « мобильное устройство» обычно относится к мобильным телефонам ; однако он также может относиться к любому цифровому устройству, имеющему как внутреннюю память, так и возможность связи , включая КПК, устройства GPS и планшетные компьютеры .

Использование мобильных телефонов / устройств в преступной деятельности было широко признано в течение нескольких лет, но судебно-медицинское исследование мобильных устройств - относительно новая область, возникшая в конце 1990-х - начале 2000-х годов. Распространение телефонов (особенно смартфонов ) и других цифровых устройств на потребительском рынке вызвало потребность в судебно-медицинской экспертизе устройств, которую невозможно удовлетворить с помощью существующих методов компьютерной криминалистики . [1]

Мобильные устройства можно использовать для сохранения нескольких типов личной информации, например контактов, фотографий, календарей и заметок, SMS и MMS- сообщений. Смартфоны могут дополнительно содержать видео, электронную почту, информацию о просмотре веб-страниц, информацию о местоположении, а также сообщения и контакты социальных сетей.

Потребность в мобильной криминалистике растет по нескольким причинам, среди которых можно выделить следующие:

  • Использование мобильных телефонов для хранения и передачи личной и корпоративной информации
  • Использование мобильных телефонов в онлайн-транзакциях
  • Правоохранительные органы, преступники и мобильные телефоны [2]

Криминалистика мобильных устройств может быть особенно сложной задачей на нескольких уровнях: [3]

Существуют доказательные и технические проблемы. например, анализ сотовой связи, основанный на использовании зоны покрытия мобильного телефона, не является точной наукой. Следовательно, хотя можно приблизительно определить зону сотовой связи, из которой был сделан или принят вызов, еще невозможно сказать с какой-либо степенью уверенности, что звонок мобильного телефона исходил из определенного места, например, адреса проживания.

  • Чтобы оставаться конкурентоспособными, производители оригинального оборудования часто меняют форм-факторы мобильных телефонов , файловые структуры операционной системы , хранилища данных, службы, периферийные устройства и даже штыревые разъемы и кабели. В результате судебно-медицинские эксперты должны использовать другой процесс судебной экспертизы по сравнению с компьютерной криминалистикой .
  • Емкость хранилища продолжает расти благодаря спросу на более мощные устройства типа «мини-компьютер». [4]
  • Не только типы данных, но и способы использования мобильных устройств постоянно развиваются.
  • Режим гибернации, при котором процессы приостанавливаются, когда устройство выключено или находится в режиме ожидания, но в то же время остается активным. [2]

В результате этих проблем существует широкий спектр инструментов для извлечения доказательств с мобильных устройств; ни один инструмент или метод не может получить все свидетельства со всех устройств. Поэтому рекомендуется, чтобы судебно-медицинские эксперты, особенно те, кто желает квалифицироваться в качестве свидетелей-экспертов в суде, прошли обширную подготовку, чтобы понять, как каждый инструмент и метод собирают доказательства; как он поддерживает стандарты криминалистической надежности; и как он соответствует юридическим требованиям, таким как стандарт Даубера или стандарт Фрая .

История [ править ]

Криминалистическая экспертиза мобильных устройств как область исследований датируется концом 1990-х - началом 2000-х годов. Роль мобильных телефонов в преступлении давно признана правоохранительными органами. С увеличением доступности таких устройств на потребительском рынке и расширением спектра поддерживаемых ими коммуникационных платформ (например, электронная почта, просмотр веб-страниц) спрос на судебно-медицинскую экспертизу вырос. [1]

Ранние попытки исследовать мобильные устройства использовали методы, аналогичные первым компьютерным криминалистическим исследованиям: анализ содержимого телефона непосредственно через экран и фотографирование важного содержимого. [1] Однако это оказалось трудоемким процессом, и по мере того, как количество мобильных устройств начало расти, исследователи потребовали более эффективных средств извлечения данных. Предприимчивые мобильные судебно-медицинские эксперты иногда использовали программное обеспечение для синхронизации сотовых телефонов или КПК для «резервного копирования» данных устройства на судебно-медицинский компьютер для создания изображений, а иногда просто выполняли компьютерную криминалистику на жестком диске подозрительного компьютера, на котором данные были синхронизированы. Однако программное обеспечение этого типа могло писать в телефон, а также читать его, и не могло восстанавливать удаленные данные. [5]

Некоторые судебно-медицинские эксперты обнаружили, что они могут извлекать даже удаленные данные с помощью «флешеров» или «твистеров», инструментов, разработанных OEM-производителями для «прошивки» памяти телефона для отладки или обновления. Тем не менее, флешеры инвазивны и могут изменять данные; может быть сложно использовать; и, поскольку они не разработаны как инструменты судебной экспертизы, не выполняют ни хеш-проверок, ни (в большинстве случаев) контрольных журналов. [6] Таким образом, для судебно-медицинской экспертизы необходимы лучшие альтернативы.

Чтобы удовлетворить эти требования, появились коммерческие инструменты, которые позволяли исследователям восстанавливать память телефона с минимальными нарушениями и анализировать ее отдельно. [1] Со временем эти коммерческие методы получили дальнейшее развитие, и восстановление удаленных данных с проприетарных мобильных устройств стало возможным с помощью некоторых специализированных инструментов. Более того, коммерческие инструменты даже автоматизировали большую часть процесса извлечения, давая возможность даже минимально обученным службам быстрого реагирования - которые в настоящее время гораздо чаще сталкиваются с подозреваемыми с мобильными устройствами в их распоряжении, чем с компьютерами - выполнять базовые извлечения для сортировки и сортировки. в целях предварительного просмотра данных.

Профессиональные приложения [ править ]

Судебная экспертиза мобильных устройств наиболее известна своим применением в расследованиях правоохранительных органов, но она также полезна для военной разведки , корпоративных расследований, частных расследований , уголовной и гражданской защиты и электронного обнаружения .

Типы доказательств [ править ]

По мере развития технологий мобильных устройств количество и типы данных, которые можно найти на мобильном устройстве , постоянно увеличиваются. Доказательства, которые могут быть потенциально восстановлены с мобильного телефона, могут поступать из нескольких различных источников, включая память телефона, SIM-карту и прикрепленные карты памяти, такие как SD- карты.

Традиционно криминалистическая экспертиза мобильных телефонов связана с восстановлением сообщений SMS и MMS , а также журналов вызовов, списков контактов и информации IMEI / ESN телефона . Однако новые поколения смартфонов также включают в себя более широкий спектр информации; из просмотра веб-страниц, настроек беспроводной сети , геолокационной информации (включая геотеги, содержащихся в метаданных изображения ), электронной почты и других форм мультимедийных данных в Интернете, включая важные данные, такие как сообщения и контакты социальных сетей, теперь сохраняются в «приложениях» смартфонов . [7]

Внутренняя память [ править ]

В настоящее время для мобильных устройств в основном используется флэш-память, состоящая из типов NAND или NOR. [8]

Внешняя память [ править ]

Внешние устройства памяти - это SIM- карты, SD- карты (обычно присутствующие в устройствах GPS, а также в мобильных телефонах), MMC- карты, CF- карты и Memory Stick .

Журналы поставщика услуг [ править ]

Хотя технически это не является частью судебной экспертизы мобильных устройств, записи о звонках (а иногда и текстовые сообщения) от операторов беспроводной связи часто служат в качестве «резервных» доказательств, полученных после изъятия мобильного телефона. Это полезно, когда история вызовов и / или текстовые сообщения были удалены с телефона или когда службы определения местоположения не включены. Записи о звонках и свалки сотовых станций (вышек) могут показать местоположение владельца телефона, а также то, были ли они неподвижными или движущимися (т. Е. Отражался ли сигнал телефона от одной и той же стороны одной башни или от разных сторон нескольких башен вдоль определенной путь путешествия). [9]Данные носителя и данные устройства вместе могут использоваться для подтверждения информации из других источников, например, видеозаписей видеонаблюдения или свидетельств очевидцев; или для определения общего места, где было снято изображение или видео без геотегов.

Европейский Союз требует, чтобы его страны-члены сохраняли определенные телекоммуникационные данные для использования в расследованиях. Сюда входят данные о сделанных и полученных вызовах. Местоположение мобильного телефона может быть определено, и эти географические данные также должны быть сохранены. Однако в Соединенных Штатах такое требование отсутствует, и стандарты не регулируют, как долго операторы связи должны хранить данные или даже то, что они должны хранить. Например, текстовые сообщения могут храниться только неделю или две, а журналы вызовов могут храниться от нескольких недель до нескольких месяцев. Чтобы снизить риск потери доказательств, сотрудники правоохранительных органов должны предоставить перевозчику письмо о сохранении, которое затем они должны подкрепить ордером на обыск . [9]

Судебно-медицинский процесс [ править ]

Основная статья: цифровой криминалистический процесс

Процесс судебной экспертизы для мобильных устройств в целом соответствует другим отраслям цифровой криминалистики; однако есть некоторые особые опасения. Как правило, процесс можно разбить на три основные категории: изъятие, сбор и изучение / анализ. Другие аспекты процесса компьютерной криминалистики, такие как прием, проверка, документация / отчетность и архивирование, по-прежнему применяются. [3]

Захват [ править ]

Изъятие мобильных устройств регулируется теми же юридическими соображениями, что и другие цифровые носители. Мобильные телефоны часто будут восстанавливать включенными; поскольку целью изъятия является сохранение улик, устройство часто будет транспортироваться в том же состоянии, чтобы избежать отключения, которое может привести к изменению файлов. [10] Кроме того, следователь или первый респондент рискуют активировать блокировку пользователя.

Однако оставление телефона связано с другим риском: устройство по-прежнему может подключаться к сети / сотовой сети. Это может привести к появлению новых данных и перезаписи улик. Чтобы предотвратить соединение, мобильные устройства часто перевозят и исследуют из клетки (или сумки) Фарадея . Тем не менее, у этого метода есть два недостатка. Во-первых, большинство сумок делают устройство непригодным для использования, так как нельзя использовать его сенсорный экран или клавиатуру. Однако могут быть приобретены специальные клетки, позволяющие использовать устройство с прозрачным стеклом и в специальных перчатках. Преимущество этой опции - возможность также подключаться к другому криминалистическому оборудованию, блокируя сетевое соединение, а также заряжая устройство. Если этот параметр недоступен, рекомендуется изоляция сети путем помещения устройства вРежим полета или клонирование SIM-карты (метод, который также может быть полезен, когда в устройстве полностью отсутствует SIM-карта). [3]

Следует отметить, что, хотя этот метод может предотвратить запуск удаленной очистки (или взлома) устройства, он ничего не делает с переключателем местного мертвеца .

Приобретение [ править ]

iPhone в защитной сумке RF
RTL Aceso, подразделение по приобретению мобильных устройств

Вторым этапом судебно-медицинской экспертизы является получение , в данном случае обычно относящееся к извлечению материала с устройства (по сравнению с битовой копией изображений, используемой в компьютерной криминалистике). [10]

Из-за проприетарного характера мобильных телефонов часто невозможно получить данные, когда они выключены; большинство мобильных устройств приобретаются в реальном времени. С более продвинутыми смартфонами, использующими расширенное управление памятью, подключение его к зарядному устройству и помещение его в клетку Фарадея может быть не очень хорошей практикой. Мобильное устройство распознает отключение сети и, следовательно, изменит свою информацию о состоянии, которая может запустить диспетчер памяти для записи данных. [11]

Большинство инструментов сбора данных для мобильных устройств имеют коммерческий характер и состоят из аппаратного и программного компонента, часто автоматизированного.

Обследование и анализ [ править ]

Поскольку все больше мобильных устройств используют файловые системы высокого уровня , аналогичные файловым системам компьютеров, методы и инструменты могут быть заимствованы из криминалистической экспертизы жестких дисков или требуют лишь незначительных изменений. [12]

FAT файловая система обычно используется в памяти NAND . [13] Разница заключается в размере используемого блока , который для жестких дисков превышает 512 байт и зависит от используемого типа памяти, например, типа NOR 64, 128, 256 и памяти NAND 16, 128, 256 или 512 килобайт .

Различные программные инструменты могут извлекать данные из образа памяти. Для поиска характеристик заголовков файлов можно использовать специализированные и автоматизированные программные продукты для криминалистической экспертизы или общие программы просмотра файлов, такие как любой шестнадцатеричный редактор . Преимущество шестнадцатеричного редактора заключается в более глубоком понимании управления памятью, но работа с шестнадцатеричным редактором требует много ручной работы и файловой системы, а также знания заголовков файлов. Напротив, специализированное программное обеспечение судебной экспертизы упрощает поиск и извлекает данные, но может не найти все. AccessData , Sleuthkit , ESI Analyst и EnCase , если упомянуть лишь некоторые из них, представляют собой программные продукты для анализа образов памяти. [14]Поскольку не существует инструмента, который извлекает всю возможную информацию, рекомендуется использовать два или более инструментов для исследования. В настоящее время (февраль 2010 г.) не существует программного решения для получения всех свидетельств из флэш-памяти. [8]

Типы сбора данных [ править ]

Извлечение данных с мобильных устройств можно классифицировать по континууму, в соответствии с которым методы становятся более техническими и «криминалистически обоснованными», инструменты становятся более дорогими, анализ занимает больше времени, экспертам требуется больше обучения, а некоторые методы могут даже стать более инвазивными. [15]

Ручное получение [ править ]

Экзаменатор использует пользовательский интерфейс для исследования содержимого памяти телефона. Таким образом, устройство используется в обычном режиме, при этом экзаменатор фотографирует содержимое каждого экрана. Этот метод имеет преимущество в том, что операционная система избавляет от необходимости использовать специальные инструменты или оборудование для преобразования необработанных данных в информацию, интерпретируемую человеком. На практике этот метод применяется к мобильным телефонам, КПК и навигационным системам . [16] Недостатки в том, что можно восстановить только данные, видимые операционной системе; что все данные доступны только в виде изображений; да и сам процесс занимает много времени.

Логическое приобретение [ править ]

Логическое получение подразумевает побитовое копирование логических объектов хранения (например, каталогов и файлов), которые находятся в логическом хранилище (например, в разделе файловой системы). Преимущество логического получения состоит в том, что системные структуры данных легче извлекать и систематизировать. Логическое извлечение получает информацию от устройства с помощью интерфейса прикладного программирования производителя оригинального оборудования для синхронизации содержимого телефона с персональным компьютером . С логическим извлечением, как правило, легче работать, поскольку он не создает больших двоичных двоичных объектов . Однако опытный судебно-медицинский эксперт сможет извлечь гораздо больше информации из физического извлечения.

Получение файловой системы [ править ]

Логическое извлечение обычно не приводит к удалению информации, поскольку она обычно удаляется из файловой системы телефона. Однако в некоторых случаях - особенно с платформами, построенными на SQLite , такими как iOS и Android - телефон может хранить файл базы данных с информацией, который не перезаписывает информацию, а просто отмечает ее как удаленную и доступную для последующей перезаписи. В таких случаях, если устройство позволяет файловую системудоступ через интерфейс синхронизации, можно восстановить удаленную информацию. Извлечение файловой системы полезно для понимания структуры файлов, истории просмотра веб-страниц или использования приложений, а также для предоставления эксперту возможности выполнять анализ с помощью традиционных компьютерных инструментов судебной экспертизы. [17]

Физическое приобретение [ править ]

Физическое получение подразумевает побитовое копирование всего физического хранилища (например, флэш-памяти ); следовательно, это метод, наиболее похожий на обследование персонального компьютера . Преимущество физического получения данных состоит в том, что они позволяют исследовать удаленные файлы и остатки данных. Физическое извлечение получает информацию от устройства путем прямого доступа к флэш-памяти.

Как правило, этого добиться труднее, потому что изготовителю оборудования необходимо защитить устройство от произвольного чтения памяти; следовательно, устройство может быть заблокировано для определенного оператора. Чтобы обойти эту безопасность, поставщики инструментов мобильной криминалистики часто разрабатывают свои собственные загрузчики , позволяющие инструменту криминалистической экспертизы получать доступ к памяти (и часто также обходить коды доступа пользователя или блокировки шаблонов). [18]

Обычно физическое извлечение разделяется на два этапа: этап сброса и этап декодирования.

Получение грубой силы [ править ]

Получение грубой силы может выполняться сторонними инструментами грубой силы паролей, которые отправляют серию паролей / паролей на мобильное устройство. [19] Это трудоемкий, но, тем не менее, эффективный метод. [20] Этот метод использует метод проб и ошибок в попытке создать правильную комбинацию пароля или PIN-кода для аутентификации доступа к мобильному устройству. Несмотря на то, что процесс занимает много времени, он по-прежнему остается одним из лучших методов, если судебно-медицинский эксперт не может получить пароль. Благодаря имеющемуся в настоящее время программному и аппаратному обеспечению стало довольно легко взломать шифрование файла паролей мобильных устройств для получения пароля. [21] Два производителя стали публичными после выпуска iPhone5,[22] Cellebrite и GrayShift . Эти производители предназначены для правоохранительных органов и полиции. Устройство Cellebrite UFED Ultimate [23] стоит более 40 000 долларов США, а система Grayshifts стоит 15 000 долларов США. [24] Инструменты перебора подключены к устройству и будут физически отправлять коды на устройства iOS, начиная с 0000 до 9999 в последовательности, пока правильный код не будет успешно введен. После успешного ввода кода предоставляется полный доступ к устройству и может начаться извлечение данных.

Инструменты [ править ]

Основная статья: Список инструментов цифровой криминалистики § Криминалистическая экспертиза мобильных устройств

Ранние исследования состояли из ручного анализа мобильных устройств в реальном времени; с экзаменаторами, фотографирующими или записывающими полезный материал для использования в качестве доказательства. Без оборудования для криминалистической фотографии, такого как Fernico ZRT , EDEC Eclipse или Project-a-Phone , это имело недостаток, связанный с риском модификации содержимого устройства, а также с недоступностью многих частей проприетарной операционной системы.

В последние годы появился ряд аппаратных / программных инструментов для восстановления логических и физических доказательств с мобильных устройств. Большинство инструментов состоят как из аппаратного, так и из программного обеспечения. Оборудование включает в себя ряд кабелей для подключения мобильного устройства к устройству для сбора данных; программное обеспечение существует для извлечения доказательств, а иногда даже для их анализа.

Совсем недавно для этой области были разработаны инструменты судебной экспертизы мобильных устройств. Это является ответом как на потребность воинских частей в быстрой и точной антитеррористической разведке, так и на потребность правоохранительных органов в возможности судебно-медицинской экспертизы на месте преступления, исполнении ордера на обыск или неотложных обстоятельствах. Такие мобильные судебно-медицинские инструменты часто рассчитаны на суровые условия (например, на поле боя) и грубое обращение (например, падение или погружение в воду). [25]

Как правило, поскольку какой-либо один инструмент не может собрать все доказательства со всех мобильных устройств, специалисты по мобильной криминалистике рекомендуют экспертам создать целые наборы инструментов, состоящие из смеси коммерческих, открытых, с открытым исходным кодом, инструментов с широкой и узкой поддержкой, а также с аксессуарами. например, зарядные устройства, сумки Фарадея или другое оборудование для прерывания сигнала и т. д. [26]

Коммерческие инструменты судебной экспертизы [ править ]

Некоторые текущие инструменты включают Belkasoft Evidence Center , Cellebrite UFED , Oxygen Forensic Detective , Elcomsoft Mobile Forensic Bundle , Susteen Secure View , MOBILEdit Forensic Express и Micro Systemation XRY .

Некоторые инструменты дополнительно были разработаны с целью повышения адреса преступного использования телефонов , произведенных с китайскими чипсетами, которые включают в себя MediaTek (MTK), Spreadtrum и Mstar . К таким инструментам относятся CHINEX от Cellebrite и XRY PinPoint .

Открытый исходный код [ править ]

Большинство инструментов мобильной криминалистики с открытым исходным кодом зависят от платформы и ориентированы на анализ смартфонов. Хотя изначально BitPim не проектировался как инструмент судебной экспертизы, он широко использовался в телефонах CDMA, а также в телефонах LG VX4400 / VX6000 и многих сотовых телефонах Sanyo Sprint. [27]

Физические инструменты [ править ]

Судебная распайка [ править ]

Обычно называют методом «Чип-Off» в отрасли, последний и самый болезненный метод , чтобы получить изображение памяти на Desolder в энергонезависимую память чипа и подключить его к считывателю чип памяти. Этот метод содержит потенциальную опасность полного уничтожения данных: можно разрушить чип и его содержимое из-за нагрева, необходимого во время распайки. До изобретения технологии BGA можно было прикреплять датчики к контактам микросхемы памяти и восстанавливать память через эти датчики. Технология BGA связывает микросхемы непосредственно на печатной плате через расплавленные шарики припоя , так что прикрепить зонды больше невозможно.

Здесь вы можете видеть, что влага на печатной плате превратилась в пар, когда она подверглась сильному нагреву. Это дает так называемый «эффект попкорна».

Распайка микросхем выполняется осторожно и медленно, чтобы тепло не разрушило микросхему или данные. Перед тем, как отпаять чип, печатная плата запекается в печи для удаления остатков воды. Это предотвращает так называемый эффект попкорна, при котором оставшаяся вода взорвет корпус микросхемы при распайке.

Существует три основных метода плавления припоя: горячий воздух, инфракрасный свет и паровая фазировка. Технология инфракрасного света работает со сфокусированным инфракрасным световым лучом на конкретной интегральной схеме и используется для небольших микросхем. Методы горячего воздуха и пара не могут фокусировать столько, сколько инфракрасная техника.

Реболлинг чипа [ править ]

После распайки чипа процесс повторного обкатки очищает чип и добавляет в него новые оловянные шарики. Реболлинг может выполняться двумя разными способами.

  • Первый - использовать трафарет. Трафарет зависит от стружки и должен точно соответствовать. Затем на трафарет наносится оловянный припой. После охлаждения олова трафарет удаляется и, если необходимо, выполняется второй этап очистки.
  • Второй метод - это лазерный реболлинг. [28] [29] Здесь трафарет программируется в блоке реболлинга. В головку соединения (похожую на трубку / иглу) автоматически загружается один оловянный шарик из емкости для разделения шариков припоя. Затем шарик нагревается лазером, так что шарик из олова-припоя становится жидким и стекает на очищенный кристалл. Мгновенно после плавления шара лазер выключается, и новый шар падает на головку соединения. При повторной загрузке связующая головка узла реболлинга меняет положение на следующий штифт.

Третий метод делает ненужным весь процесс реболлинга. Чип подключается к адаптеру с помощью Y-образных пружин или подпружиненных штифтов . Y-образные пружины должны иметь шарик на штифте, чтобы установить электрическое соединение, но штифты Pogo можно использовать непосредственно на контактных площадках микросхемы без шариков. [11] [12]

Преимущество судебно-медицинской распайки состоит в том, что устройство не обязательно должно быть работоспособным, и можно сделать копию без каких-либо изменений исходных данных. Недостатком является то, что устройства для реболлинга дороги, поэтому этот процесс очень дорогостоящий, и есть некоторые риски полной потери данных. Следовательно, судебно-медицинская распайка должна выполняться только опытными лабораториями. [13]

JTAG [ править ]

Существующие стандартизированные интерфейсы для чтения данных встроены в несколько мобильных устройств, например, для получения данных о местоположении от оборудования GPS ( NMEA ) или для получения информации о замедлении от блоков подушек безопасности. [16]

Не все мобильные устройства предоставляют такой стандартизированный интерфейс, и не существует стандартного интерфейса для всех мобильных устройств, но у всех производителей есть одна общая проблема. Миниатюризация деталей устройства открывает вопрос, как автоматически тестировать функциональность и качество впаянных интегрированных компонентов. Для решения этой проблемы отраслевая группа, Joint Test Action Group (JTAG), разработала технологию тестирования, называемую граничным сканированием .

Несмотря на стандартизацию, перед использованием интерфейса устройства JTAG для восстановления памяти необходимо выполнить четыре задачи. Чтобы найти правильные биты в регистре граничного сканирования, необходимо знать, какие схемы процессора и памяти используются и как они подключены к системной шине. Если к нему нет доступа извне, необходимо найти контрольные точки для интерфейса JTAG на печатной плате и определить, какая контрольная точка используется для какого сигнала. Порт JTAG не всегда припаивается к разъемам, поэтому иногда необходимо открыть устройство и перепаять порт доступа. [12] Протокол чтения памяти должен быть известен, и, наконец, необходимо определить правильное напряжение, чтобы предотвратить повреждение цепи. [11]

Граничное сканирование дает полное криминалистическое изображение энергозависимой и энергонезависимой памяти . Риск изменения данных сведен к минимуму, и чип памяти не нужно распаивать . Создание изображения может быть медленным, и не все мобильные устройства поддерживают JTAG. Кроме того, может быть сложно найти порт тестового доступа. [13]

Инструменты командной строки [ править ]

Системные команды [ править ]

Мобильные устройства не предоставляют возможности запускаться или загружаться с компакт-диска , подключаясь к общему сетевому ресурсу или другому устройству с чистыми инструментами. Таким образом, системные команды могут быть единственным способом сохранить энергозависимую память мобильного устройства. Из-за риска изменения системных команд необходимо оценить, действительно ли важна энергозависимая память. Аналогичная проблема возникает, когда сетевое соединение недоступно, и к мобильному устройству нельзя подключить вторичную память, потому что образ энергозависимой памяти должен быть сохранен во внутренней энергонезависимой памяти., где хранятся пользовательские данные и, скорее всего, удаленные важные данные будут потеряны. Системные команды - самый дешевый метод, но они сопряжены с некоторыми рисками потери данных. Каждое использование команды с параметрами и выводом должно быть задокументировано.

AT-команды [ править ]

AT-команды - это старые команды модема , например, набор команд Hayes и AT-команды телефона Motorola , и поэтому их можно использовать только на устройстве, поддерживающем модем. Используя эти команды, можно получить информацию только через операционную систему , так что удаленные данные не могут быть извлечены. [11]

дд [ править ]

Для внешней памяти и USB-накопителя требуется соответствующее программное обеспечение, например, команда Unix dd , чтобы сделать копию на битовом уровне. Кроме того, USB-накопители с защитой памяти не требуют специального оборудования и могут быть подключены к любому компьютеру. Многие USB-накопители и карты памяти имеют переключатель блокировки записи, который можно использовать для предотвращения изменения данных во время копирования.

Если на USB-накопителе нет защитного переключателя, можно использовать блокировщик [ постоянная мертвая ссылка ] , чтобы установить накопитель в режиме только для чтения, или, в исключительном случае, микросхему памяти можно распаять . Для копирования SIM-карты и карт памяти требуется устройство чтения карт . SIM-карта тщательно анализируется, так что можно восстановить (удалить) данные, такие как контакты или текстовые сообщения. [11]

Операционная система Android включает команду dd. В сообщении блога, посвященном методам криминалистической экспертизы Android, демонстрируется способ создания живого образа Android-устройства с помощью команды dd. [30]

Коммерческие инструменты, не связанные с судебной экспертизой [ править ]

Инструменты прошивки [ править ]

Инструмент прошивки - это программное обеспечение и оборудование, которое можно использовать для программирования (прошивки) памяти устройства, например EEPROM или флеш-памяти . Эти инструменты в основном исходят от производителя или сервисных центров для отладки, ремонта или обновления. Они могут перезаписывать энергонезависимую память, а некоторые, в зависимости от производителя или устройства, также могут читать память, чтобы сделать копию, изначально предназначенную в качестве резервной. Память может быть защищена от чтения, например, с помощью программной команды или разрушения предохранителей в цепи чтения. [31]

Обратите внимание, что это не помешает записи или использованию памяти внутри ЦП . Инструменты прошивки просты в подключении и использовании, но некоторые из них могут изменять данные и иметь другие опасные параметры или не создавать полную копию. [12]

Споры [ править ]

Как правило, не существует стандарта для того, что является поддерживаемым устройством в конкретном продукте. Это привело к тому, что разные поставщики по-разному определяют поддерживаемые устройства. Такая ситуация значительно затрудняет сравнение продуктов на основе предоставленных поставщиком списков поддерживаемых устройств. Например, устройство, логическое извлечение которого с использованием только одного продукта создает список вызовов, сделанных устройством, может быть указано как поддерживаемое этим поставщиком, в то время как другой поставщик может предоставить гораздо больше информации.

Кроме того, разные продукты извлекают разный объем информации с разных устройств. Это приводит к очень сложной картине при попытке обзора продуктов. Как правило, это приводит к ситуации, когда настоятельно рекомендуется тщательно протестировать продукт перед покупкой. Довольно часто используется как минимум два продукта, которые дополняют друг друга.

Технология мобильных телефонов развивается быстрыми темпами. Цифровая криминалистика, связанная с мобильными устройствами, кажется, стоит на месте или медленно развивается. Для того чтобы судебная экспертиза мобильных телефонов могла догнать циклы выпуска мобильных телефонов, необходимо разработать более всеобъемлющую и углубленную основу для оценки наборов инструментов мобильной судебной экспертизы и своевременно предоставлять данные о соответствующих инструментах и ​​методах для каждого типа телефона. [32]

Анти-криминалистика [ править ]

Антикомпьютерная криминалистика сложнее из-за небольшого размера устройств и ограниченной доступности данных пользователя. [13] Тем не менее, существуют разработки для защиты памяти в аппаратном обеспечении с помощью схем безопасности в ЦП и микросхеме памяти, так что микросхема памяти не может быть прочитана даже после распайки. [33] [34]

См. Также [ править ]

  • Список инструментов цифровой криминалистики

Ссылки [ править ]

  1. ^ a b c d Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 978-0-12-163104-8.
  2. ^ а б Ахмед, Ризван (2009). «Мобильная криминалистика: введение с точки зрения правоохранительных органов Индии». Информационные системы, технологии и менеджмент . Коммуникации в компьютерных и информационных науках. 31 . С. 173–184. DOI : 10.1007 / 978-3-642-00405-6_21 . ISBN 978-3-642-00404-9.
  3. ^ a b c Мерфи, Синтия. «Извлечение данных и документация с мобильных телефонов» (PDF) . Проверено 4 августа 2013 года .
  4. ^ Tsukayama, Хейли (13 июля 2012). «Две трети покупателей мобильной связи имеют смартфоны» . Вашингтон Пост . Проверено 20 июля 2012 года .
  5. ^ Янсен; и другие. «Преодоление препятствий для судебной экспертизы сотовых телефонов» (PDF) . Проверено 20 июля 2012 года . [ постоянная мертвая ссылка ]
  6. ^ Текрей, Джон. «Флешеры: назад к основам судебной экспертизы мобильных телефонов» . Архивировано из оригинального 15 ноября 2012 года . Проверено 20 июля 2012 года .
  7. ^ Ахмед, Ризван. «Извлечение цифровых доказательств и документирование с мобильных устройств» (PDF) . Дата обращения 2 февраля 2015 .
  8. ^ a b Сальваторе Фиорилло. Теория и практика мобильной криминалистики флеш-памяти . Theosecurity.com, декабрь 2009 г.
  9. ^ a b Миллер, Криста. «Другая сторона мобильной криминалистики» . Officer.com . Проверено 24 июля 2012 года .
  10. ^ a b Уэйн, Янсен., и Айерс, Рик. (Май 2007 г.). Рекомендации по криминалистике сотовых телефонов. получено с http://www.mislan.com/SSDDFJ/papers/SSDDFJ_V1_1_Breeuwsma_et_al.pdf
  11. ^ a b c d e Willassen, Svein Y. (2006). «Криминалистический анализ внутренней памяти мобильного телефона». CiteSeerX 10.1.1.101.6742 .  Цитировать журнал требует |journal=( помощь )
  12. ^ a b c d Марсель Бреувсма, Мартьен де Йонг, Керт Клэйвер, Рональд ван дер Книжфф и Марк Рулоффс. (2007). получено из судебно-медицинской экспертизы восстановления данных из флэш-памяти. Архивировано 23 октября 2016 г. на Wayback Machine . Маломасштабный журнал судебной экспертизы цифровых устройств, том 1 (номер 1). Кроме того, многие из этих инструментов стали более искусными в восстановлении кодов доступа / паролей пользователей без потери пользовательских данных. Примером инструмента, обычно используемого в этой области, является BST Dongle, заархивированный 23.10.2016 на Wayback Machine .
  13. ^ a b c d Рональд ван дер Книжфф. (2007). извлечено из 10 хороших причин, почему вы должны переключить внимание на судебно-медицинскую экспертизу малых цифровых устройств. Архивировано 15 октября 2008 г. в Wayback Machine .
  14. Рик Айерс, Уэйн Янсен, Николас Сильерос и Ронан Даниеллу. (Октябрь 2005 г.). Получено из инструментов судебной экспертизы сотового телефона: обзор и анализ . Национальный институт стандартов и технологий.
  15. Братья, Сэм. «Классификация инструментов iPhone» (PDF) . Архивировано из оригинального (PDF) 20 октября 2012 года . Проверено 21 июля 2012 года .
  16. ^ а б Эоган Кейси. Справочник по расследованию компьютерных преступлений - криминалистические инструменты и технологии. Academic Press, 2-е издание, 2003 г.
  17. ^ Генри, Пол. «Краткий обзор - Cellebrite UFED с использованием извлечения данных телефона и дампа файловой системы» . Проверено 21 июля 2012 года .
  18. ^ Вэнс, Кристофер. «Физические приобретения Android с использованием Cellebrite UFED» . Архивировано из оригинального 12 августа 2011 года . Проверено 21 июля 2012 года .
  19. ^ Сатиш., Bommisetty (2014). Практическая мобильная криминалистика: погрузитесь в мобильную криминалистику на устройствах iOS, Android, Windows и BlackBerry с помощью этого динамичного практического руководства . Тамма, Рохит., Махалик, Вереск. Бирмингем, Великобритания: Packt Pub. ISBN 9781783288328. OCLC  888036062 .
  20. ^ "Атака грубой силой". Ссылка Springer. SpringerReference . Springer-Verlag. 2011. DOI : 10.1007 / springerreference_9302 .
  21. ^ Уиттакер, Зак. «За 15 000 долларов GrayKey обещает взломать пароли iPhone для полиции» . ZDNet . Проверено 2 июля 2018 .
  22. ^ Уиттакер, Зак. «Просочившиеся файлы раскрывают масштабы технологии взлома телефонов израильской фирмы» . ZDNet . Проверено 2 июля 2018 .
  23. ^ "UFED Ultimate" . Cellebrite.com .
  24. ^ Фокс-Брюстер, Томас. «Загадочные« GrayKey »за $ 15 000 обещают разблокировать iPhone X для федералов» . Forbes . Проверено 2 июля 2018 .
  25. ^ «Мобильная цифровая криминалистика для военных» . Dell Inc . Проверено 21 июля 2012 года .
  26. ^ Дэниелс, Кейт. «Создание набора инструментов для исследования сотовых устройств: основные характеристики аппаратного и программного обеспечения». SEARCH Group Inc. Отсутствует или пусто |url=( справка )
  27. ^ "Информационный центр электронных доказательств" . Проверено 25 июля 2012 года .
  28. ^ Домашняя страница Factronix
  29. Видео: процесс перезарядки
  30. ^ Lohrum, Марк (2014-08-10). «Live Imaging an Android Device» . Проверено 3 апреля 2015 года .
  31. ^ Том Солт и Родни Дрейк. Патент США 5469557. (1995). Получено из Кодовой защиты микроконтроллера с предохранителями EEPROM . Архивировано 12 июня 2011 года в Wayback Machine.
  32. ^ Ахмед, Ризван. «Мобильная криминалистика: обзор, инструменты, будущие тенденции и проблемы с точки зрения правоохранительных органов» (PDF) . Дата обращения 2 февраля 2015 .
  33. ^ Патент на безопасную загрузку
  34. ^ Харини Сундаресан. (Июль 2003 г.). Получено из функций безопасности платформы OMAP , Texas Instruments .

Внешние ссылки [ править ]

  • Конференция «Мир мобильной криминалистики»
  • Chip-Off Forensics (forensicwiki.org)
  • JTAG Forensics (forensicwiki.org)
  • Примеры использования судебной экспертизы мобильных телефонов (QCC Global Ltd)