前言
--------------------------------------------------------------------------------
同於數位取證 (Digital Forensics),手機取證是按照符合法律規範的方式對手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、簡訊、通訊錄、電子郵件、照片、 聲音檔等。用來做法律上證明或反駁的證據。
工作原理
--------------------------------------------------------------------------------
做手機取證前,先要瞭解手機儲存處.
外部記憶卡
都是FAT,FAT32格式,直接獨取,被刪除分區或是刪除檔案.用簡單分區表還原就可
Sim Card 可以讀取通訊錄跟SMS 另外已刪除SMS可以還原
手機本身內部:
手機本身就是嵌入式系,根據其文件系統做還原
Smart phone 底層會採用相通文件系統,對於其分區表判斷很容易,像用Windows mobile OS的"手機,GPS "採用FAT 分區使用Imagetool可以很輕易Dump所有Image後,再做FAT分析.Iphone 則是從備份檔可以還原出被刪除簡訊.
MCU手機沒有通用文件系統與工具 並且文件系統也沒公開
比較可行方式是用其I/O做 Digital Forensic
這邊以Nokia為例,Nokia手機部份分為DCT3,DCT4,BB5 Soultion
手機I/O: F-BUS ,M-BUS,內定腳位. IRDA ,Bluetooth.
F-BUS:112000 bps 部份機種
官方傳輸線 DKU-5 是F-BUS腳位+AT76C711AVR 單晶片機
才可以下AT Command
M-BUS:9600 bps
IRDA:OBDX
Bluetooth:OBDX
AT command
Protocol:
F-BUS
OBDX
Dump 整隻手機 flash memory :
需要專用工具 連接 M-BUS I/O,F-BUS ,BSI (測量電源) ,VBAT (電源),GND(負極)
獲得整個手機 flash memory file
以Flash memory 分析再進行 Unicode編碼轉換格式
手機取證流程跟軟體
--------------------------------------------------------------------------------
一.解鎖手機Pin Code,話機鎖,USER鎖 破解備份檔加密
當手機被上鎖,以 SE Tools 等手機維修硬件
二.讀取手機明文未刪除資訊
相關工具
Celldek 行動劫取台
http://www.logicubeforensics.com/pro...on/celldek.asp
價格約NT 30萬
CelleBrite UFED System 行動劫取台
http://www.cellebrite.com/UFED-Stand...FUIwpAod1BY_Eg
價格約NT 20萬 以上
Oxygen forensic 2010 適用於大量品牌手機
http://www.oxygen-forensic.com/cn/
nt 4-5萬
Protocol:ETSI and Nokia AT Command ,ODBX
Bitpom 免費開源 只適用高通CDMA Soultion
http://www.bitpim.org/
Protocol:ETSI and 高通 AT Command
Tulp2g 免費開源
http://tulp2g.sourceforge.net/
Protocol:ETSI and Siemens AT Command ,ODBX
FMA 免費開源 適用Nokia
http://fma.sourceforge.net/index2.htm
Protocol:ETSI and Nokia AT Command ,ODBX
Manifest explorer 適用 Android
https://www.isecpartners.com/manifest_explorer.html
MIAT 適用 Symbain ,Windows Mobile
http://miatforensics.org/index.php?o...d=70&Itemid=53
針對黑莓,iphone 備份格式破解
http://www.elcomsoft.com/eppb.html
三.還原被刪除資料
還原Sim Card被刪除簡訊
Undeletesms 免費軟體
http://vidstrom.net/stools/undeletesms/
USIM Detective .有全功能30天試用版.
http://quantaq.opiah.com/usim_detect...mdetective.php
這方面軟體就以商業化為主
EnCase Neutrino
http://www.guidancesoftware.com/mobi...e-neutrino.htm
價格約NT 80萬吧 也許更高
Flash dump原理
.XRY
http://www.msab.com/en/mobile-forensic-products/
價格約40萬 以上
FINALDATA Mobile Forensic
Finaldata 公司作品,在2.1x版時不支持Unicode.支持Phone以高通為主.
價格不詳 聽說在us 3000以上
http://www.ojp.usdoj.gov/nij/pubs-sum/228227.htm
應該是AT command
Iphone data recovery
http://www.iphonedatarecovery.org/
但MCU 手機
以Sony ericsson為例 GlobalDateFileSystem JTAG Dump Rom 法.
四.手機已損毀
還原閃存NAND FLASH .
--------------------------------------------------------------------------------
參考資料
Mobile Device Forensics Blog
http://mobileforensics.wordpress.com/
Nokia F-BUS Protocol
http://www.embedtronics.com/nokia/fbus.html
AT Commands For CDMA Wireless Modems Reference Guide
http://igor.chudov.com/manuals/AT_Co...lcomm_U300.pdf
Nokia AT Command
http://nds1.nokia.com/phones/files/g...kia_AThelp.pdf
論文 Forensic Analysis of Mobile Phones
http://www.8051projects.net/e107_fil...ile_phones.pdf
Siemens AT command
http://alumni.ipt.pt/~pmad/s35i_c35i...andset_v01.pdf
帥猴手機維修論壇 (目前只接受付費會員)
http://bbs.shgzs.com/
帥虎手機維修論壇
http://www.sjwxzy.com/index.php
(編案:不知道為何取這樣好笑的名字 不過這二個論壇對於編寫手機文件有很完整資料)
原創OSSLab thx
注意: 無故以不正方法侵犯他人隱私知悉之他人秘密,即為妨害秘密罪
若要做手機取證,建議申請通訊監察書(通訊保護法)
轉自 http://www.osslab.org.tw/Storage/Data_Recovery/software2/mobile
發表文章
0 意見: