隨著移動終端的迅速發展,利用移動終端進行各類非法或犯罪行為的犯罪行為不斷出現,而且呈現 出高速增長的勢頭,這使得電子資料取證的主要 目標從儲存介質向移動終端延伸。美國科研機 構電子資料取證包括手機在內的取證實現方 式和技術做出了5個層次分類。移動終端取證在專業化的取證裝置出現之前,都是直接在移動終端上檢視相關資料,並使用相機等翻拍裝置記錄證據。人工提取的優點在於門檻底,且總會存在工具無法提取的移動終端,對於那些缺少其他提取固定手段的取證人員來說,這無疑是唯一的解決辦法。這種檢驗手段僅能獲取已有資料,對於刪除的資料無法進行提取和固定,同時對於手機加密和破損的情況也無法應對。其次,必須保證該裝置能正常開機,同時並未設定密碼或者已知密碼。圖中北京瑞源的edec1030小型數碼翻拍儀就是人工提取的輔助裝置。
手機通過連線線(usb、rs232)或無線(藍芽、紅外、wifi)等方式與取證專用硬體或安裝軟體的工作站連線,提取邏輯資料。常見的如kingroot、360手機助等**軟體和專業的商業軟體可以實現開機連線獲取基本使用者資料資訊,在一定程度上邏輯提取可以獲得刪除資料記錄,但不能恢復未分配空間的資料,同時對於目前高版本的具有root許可權的智慧型手機邏輯提取存在一定的檢材資料有損風險。
對於低端智慧型機、國產機以及非智慧型手機取證有時候需要jtag/isp測試協議方式,利用手機主機板觸點連機進行資料提取和解析。此種技術對於無法正常開機、未獲得root許可權或者存在開機密碼的手機取證很有幫助。但資料被覆蓋或是被檢手機進行過全盤加密,那麼jtag/isp也僅僅獲得是的全盤加密的映象檔案。
chip-off技術是最複雜且最底層的資料獲取技術。這種方法需要將移動終端中的儲存晶元通過熱風槍或拆焊臺與主機板剝離,清理晶元表面的焊錫, 然後將晶元安 裝到晶元讀取 裝置上,直接 對晶元本身的 電路和協議進 行分析,獲取 其原始映象或相關資料。常見的手機儲存晶元如圖。
4.1、功能機晶元布局實物圖
4.2、智慧型機晶元布局實物圖
4.3、chipp-off技術特點
4.4、chip-off取證方法配套裝置示例
微讀技術是指在電子顯微鏡下對nand或nor晶元儲存層進行微觀狀態的觀察,並借助均衡磨損原理等固態介質儲存理論進行資料還原。這種技術已經上公升到電子取證領域的最尖端領域,而且目前也沒有商業微讀技術裝置。
iOS開發之NSString的幾條實用技巧
常量字串 nsstring string i am an iosdevtip 常用建立方法 nsstring string nsstring alloc init string i am an iosdevtip too 用initwithstring建立字串 nsstring string nss...
js逆向學習筆記之hook
1 覆蓋原方法 hook示例1 function hello 不修改hello中的 的情況下,呼叫hello 輸出2222 hello function hook示例2 替換js內部的alert使其,在呼叫alert的時候,不再彈出警示框,而是在控制台輸出hello world var origin...
逆向學習筆記之彙編02
r代表通用暫存器,m代表記憶體,imm代表立即數,r8代表8位通用暫存器,m8代表8位記憶體,imm8代表8位立即數 mov 目標運算元,源運算元 mov r m8,r8 mov r m16,r16 mov r m32,r32 mov r8,r m8 mov r16,r m16 mov r32,r ...