從損壞的手機中獲取數據

• 2020 年 2 月 23 日
• 筆記

有時候，犯罪分子會故意損壞手機來破壞數據。比如粉碎、射擊手機或是直接扔進水裡，但取證專家仍然可以找到手機里的證據。

如何獲取損壞了的手機中的數據呢？

圖1：在炮火中損壞的手機

訪問手機的存儲晶片

損壞的手機可能無法開機，並且數據埠無法正常工作，因此，可以使用硬體和軟體工具直接訪問手機的存儲晶片。一些原本被駭客使用的工具，也可以合法地用作調查的一部分。

那麼產生的結果是準確的嗎？研究人員將數據載入到了10種流行的手機型號上。然後，他們自己或外部專家進行了數據提取，以此測試，提取的數據是否與原始數據完全匹配，並且沒有任何變化。

方法

為了使研究準確，研究人員不能將大量數據直接打包到手機上。他們選擇以人們通常的習慣添加數據，比如拍照、發送消息、使用Facebook、LinkedIn和其他社交媒體應用程式。他們還輸入了具有多個中間名和格式奇奇怪怪的地址與聯繫人，以此查看在檢索數據時是否會遺漏或丟失部分數據。此外，他們還開著手機GPS，開著車在城裡轉來轉去，獲取GPS數據。

研究人員將數據載入到手機上之後，使用了兩種方法來提取數據。

第一種方法：JTAG

許多電路板都有小的金屬抽頭，可以訪問晶片上的數據。研究人員充分地利用了這一點。

對於製造商來說，他們使用這些金屬抽頭來測試電路板，但是在這些金屬抽頭上焊接電線，調查人員就可以從晶片中提取數據。

這種方法被稱為JTAG，主要用於聯合任務行動組，也就是編碼這種測試特性的協會。

第二種方法：chip-off（晶片提取）

晶片提取就是將晶片通過微小的金屬引腳直接連接到電路板上的操作形式。要知道，在過去，專家們通常是將晶片輕輕地從板上拔下來並將它們放入晶片讀取器中來實現數據獲取的，但是金屬引腳很細。一旦損壞它們，則獲取數據就會變得非常困難甚至失敗。

圖2：數字取證專家通常可以使用JTAG方法從損壞的手機中提取數據

數據提取

幾年前，專家發現，與其將晶片直接從電路板上拉下來，不如像從導線上剝去絕緣層一樣，將它們放在車床上，磨掉板的另一面，直到引腳暴露出來。

這個方法看似很簡單了，直到有人想出一種更簡單的方法，也就是chip-off（晶片提取），這是the Fort Worth警察局數字取證實驗室和Colorado一家名為VTO實驗室的私人取證公司一起發現的，後者將提取的數據送到NIST（美國國家標準技術研究院）後，由研究院的電腦科學家對此進行了JTAG提取。

數據提取完成後，Ayers和Reyes-Rodriguez使用了八種不同的取證軟體工具來提取原始數據、生成聯繫人、位置、文本、照片和社交媒體數據等。然後，他們將這些數據與最初載入到每部手機上的數據進行了比較。

比較結果表明，JTAG和Chip-off均提取了數據而沒有對其進行更改，但是某些軟體工具比其他工具更擅長理解數據，尤其是那些來自社交媒體應用程式中的數據。

*參考來源：helpnetsecurity，kirazhou編譯整理，轉載請註明來自 FreeBuf.COM。