Вступление к приобретению криминалистических данных с мобильных устройств Android

Роль цифрового криминалистического следователя (DFI) является непрерывным возможностями обучения, особенно, когда технология расширяется и распространяется во все сферы коммуникаций, развлечений и бизнеса. Как DFI, мы имеем дело с ежедневным натиском новых устройств. Многие из этих устройств, как мобильный телефон или планшет, используют общие операционные системы, с которыми нам нужно ознакомиться. Конечно, ОС Android преобладает в индустрии планшетов и сотовых телефонов. Учитывая преобладание ОС Android на рынке мобильных устройств, DFI при многих расследований будет работать на устройствах Android. Хотя существует несколько моделей, которые предлагают подходы к получению данных с устройств Android, в этой статье представлены четыре жизнеспособные методы, которые следует учесть DFI при сборе доказательств с устройств Android.

Немного истории ОС Android

Первый коммерческий релиз Android был в сентябре 2008 года с версии 1.0. Android является открытым кодом и "свободной в пользовании" операционной системой для мобильных устройств, разработанных Google. Важно, что в начале Google и другие аппаратные компании создали "Альянс с открытыми трубками" (OHA) в 2007 году для содействия и поддержки роста Android на рынке. Сейчас в состав ОГА входят 84 аппаратных компаний, включая таких гигантов, как Samsung, HTC и Motorola (если назвать несколько). Этот союз был создан для конкуренции с компаниями, которые имели свои собственные рыночные предложения, например, конкурентоспособные устройства, предлагаемые Apple, Microsoft (Windows Phone 10 - который, как сообщается, сейчас мертвый на рынке), и Blackberry (который перестал производить оборудования). Независимо от того, является ОС несуществующей или нет, DFI должен знать о различных версиях нескольких платформ операционной системы, особенно если фокус их криминалистики находится в определенной области, например мобильных устройствах.

Linux и Android

Текущая итерация ОС Android базируется на Linux. Имейте в виду, что "на основе Linux" не означает, что обычные приложения для Linux всегда работать на Android, и, наоборот, приложения для Android, которые, возможно, вам понравятся (или знакомы с ними), не обязательно & # 39; обязательно работать на вашем рабочем столе Linux. Но Linux - это не Android. Для уточнения сути, заметьте, что Google выбрал ядро ​​Linux, важнейшую часть операционной системы Linux, для управления обработкой чипсетов аппаратных средств, чтобы разработчикам Google не приходилось заниматься особенностями того, как происходит обработка в данной задаче набор аппаратных средств. Это позволяет их разработчикам сосредоточиться на более широком уровне операционной системы и функциях пользовательского интерфейса ОС Android.

Большая доля рынка

ОС Android имеет значительную долю рынка на рынке мобильных устройств, прежде всего благодаря природе с открытым кодом. Избыток 328000000 устройств Android была поставлена ​​состоянию на третий квартал 2016 года. И, по данным netwmarketshare.com, операционная система Android имела основную часть установок в 2017 году - почти 67% - по состоянию на этот текст.

Как DFI, мы можем ожидать, что во время типичного расследования столкнется с оборудованием на базе Android. Благодаря открытому коду ОС Android в сочетании с различными аппаратными платформами от Samsung, Motorola, HTC и т.д., разнообразие комбинаций между типом оборудования и реализацией ОС представляет дополнительную проблему. Учитывайте, что Android сейчас находится в версии 7.1.1, однако каждый производитель телефона и поставщик мобильных устройств обычно модифицируют ОС для конкретных предложений оборудования и услуг, предоставляя дополнительный уровень сложности для DFI, поскольку подход к сбору данных может отличаться. .

Прежде чем углубиться в дополнительные атрибуты ОС Android, которые затрудняют подход к получению данных, давайте рассмотрим концепцию версии ROM, которая будет применена к устройству Android. Как обзор, программа ROM (Read Only Memory) - это программирования низкого уровня, близкий к уровню ядра, а уникальную программу ROM часто называют прошивкой. Если вы считаете, что планшетный ПК в отличие от мобильного телефона, будет отличаться программированием ПЗУ по сравнению с мобильным телефоном, поскольку аппаратные функции между планшетом и мобильным телефоном будут разными, даже если оба аппаратные устройства от того же производителя оборудования. Усложняя потребность в более детальной специфике программы ПЗУ, добавьте конкретные требования к операторам мобильной связи & # 39; связи (Verizon, AT & T и т.д.).

Несмотря на общность получения данных с мобильного телефона, не все устройства Android равны, особенно учитывая то, что на рынке есть четырнадцать основных релизов ОС Android (от версии 1.0 до 7.1.1), несколько носителей со специфическими для модели ПЗУ и дополнительные бесчисленные пользовательские издания (ПЗУ заказчика). "Издание, составленные клиентом", также ПЗУ, зависящие от модели. В общем, обновление уровня ПЗУ, применены к каждому беспроводного устройства, содержащие операционные и системные базовые программы, которые работают для определенного аппаратного устройства, для определенного поставщика (например, ваш Samsung S7 от Verizon) и для определенной реализации.

Несмотря на то, что не существует решения "серебряной пули" для расследования любого устройства Android, криминалистическое расследование устройства Android должно осуществлять тот же общий процесс сбора доказательств, требуя структурированного процесса и подхода, который касается расследования, изъятия, изоляции, сбора, экспертиза и анализ и отчетность по любым цифровым доказательств. Когда поступит запрос на обследование устройства, ГФИ начинает с планирования и подготовки к включению необходимого способа приобретения устройств, необходимых документов для поддержки и документирования цепи хранения, разработки целевой заявления для проведения экспертизы, детализации модели устройства (и других специфических атрибутов приобретенного оборудования) и списка или описания информации, которую запрашивающий хочет получить.

Уникальные проблемы приобретения

Мобильные устройства, в частности мобильные телефоны, планшеты и т.д., сталкиваются с уникальными проблемами при изъятии доказательств. Поскольку время работы аккумулятора на мобильных устройствах ограничен, и обычно не рекомендуется вставлять зарядное устройство в устройство, этап изоляции сбора доказательств может стать критическим состоянием при приобретении устройства. Помиляючы должное приобретение, сотовые данные, подключение к Wi-Fi и с & # 39; единения Bluetooth также должны быть включены в фокус следователя при получении. Android имеет много функций безопасности, встроенных в телефон. Блокировка экрана можно установить как PIN-код, пароль, рисунок узора, распознавание лица, распознавание местоположения, распознавания доверенных устройств и биометрические данные, такие как отпечатки пальцев. По оценкам, 70% пользователей пользуются некоторым типом защиты на своем телефоне. Критично, есть доступное программное обеспечение, которое пользователь, возможно, загрузил, что может дать им возможность удаленно протирать телефон, затрудняя приобретение.

При извлечении мобильного устройства вряд ли экран будет разблокирован. Если устройство заблокировано, проверка DFI будет проще, поскольку DFI может немедленно изменить настройки в телефоне. Если доступ к мобильному телефону разрешен, отключите экран блокировки и измените время ожидания экрана на максимальное значение (которое может составлять до 30 минут для некоторых устройств). Имейте в виду, что ключевым важно изоляция телефона от любых подключений к Интернету, чтобы предотвратить отдаленном протиранию устройства. Поместите телефон в режиме самолета. Подключите к телефону внешний блок питания после того, как он будет помещен в мешок без статики, предназначенный для блокировки радиочастотных сигналов. Получив безопасность, позже вы сможете включить отладку через USB, что позволит Android Debug Bridge (ADB), который может обеспечить хороший захват данных. Хотя может быть важно изучить артефакты оперативной памяти на мобильном устройстве, это вряд ли произойдет.

Приобретение данных Android

Копирование жесткого диска по настольному или портативному компьютеру судебно-обоснованным способом является тривиальным по сравнению с методами извлечения данных, необходимыми для сбора данных мобильных устройств. Как правило, DFI имеют готов физический доступ к жесткому диску без помех, позволяет создавать аппаратное копирование или изображения битового потокового изображения. Мобильные устройства хранят свои данные внутри телефона в труднодоступных местах. Извлечение данных через USB-порт может быть сложной задачей, но это может быть осуществлено осторожно и удачи на устройствах Android.

После того, как устройство Android было изъято и надежно, пора проверить телефон. Для Android существует несколько методов сбора данных, которые резко отличаются. В этой статье представлены и обсуждены четыре основных способа подхода к сбору данных. Эти п & # 39; Пять методов отмечаются и обобщены ниже:

1. Отправьте устройство производителю Вы можете отправить устройство производителю для извлечения данных, будет стоить дополнительное время и деньги, но это может понадобиться, если у вас нет определенного умения для конкретного устройства, а также времени для учиться. В частности, как отмечалось ранее, Android имеет множество версий ОС на основе производителя и версии ROM, добавляет сложности приобретения. Обычно производитель делает эту услугу доступной для государственных органов и правоохранительных органов для большинства отечественных устройств, поэтому, если вы независимый подрядчик, вам нужно будет проконсультироваться с производителем или получить поддержку в организации, с которой вы работаете. Кроме того, опция расследование производителей может быть недоступна для нескольких международных моделей (как, например, много китайских телефонов без имени, которые распространяют рынок - подумайте о "одноразовый телефон»).

2. Непосредственное физическое получения данных. Одно из правил расследования DFI - никогда не менять данные. Физическое получения данных с мобильного телефона должно учитывать те же строгие процессы проверки и документирования, что применяемый физический метод не изменяет никаких данных на устройстве. Кроме того, после подключения устройства необходим показатель хеш-суммы. Физическое приобретение позволяет DFI получить полное изображение устройства с помощью USB-шнура и криминалистического программного обеспечения (в этот момент вам следует подумать о блоках записи, чтобы предотвратить любом изменении данных). Подключение к мобильному телефону и захвата изображения просто не так чисто и ясно, как извлечения данных с жесткого диска на компьютере. Проблема заключается в том, что в зависимости от выбранного вами инструмента криминалистического приобретение, конкретной марки и модели телефона, оператора, версии ОС Android, настроек на телефоне, корневого статуса устройства, состояния блокировки, если PIN-код код известен, и если на устройстве включена опция отладки USB, возможно, вы не сможете получить данные с исследуемого устройства. Проще говоря, физическое приобретение оказывается в области "просто пытаться", чтобы увидеть, что вы получаете, и может с & # 39; явиться перед судом (или противоположной стороной) как неструктурированный способ сбора данных, может поставить под угрозу получение данных.

3. Криминалистические экспертизы JTAG (изменение физического приобретения, указанная выше). Как определение, криминалистика JTAG (Joint Test Action Group) - это более совершенный способ получения данных. Это, по сути, физический метод, предусматривающий с & # 39; единения кабелей и подключение к тестовым портов доступа (TAP) в устройстве и использования инструкций обработки для вызова передачи необработанных данных, хранящихся в памяти & # 39; памяти. Сырые данные извлекаются непосредственно с подключенного устройства с помощью специального кабеля JTAG. Это считается низким уровнем сбора данных, поскольку нет преобразования или интерпретации, и это похоже на разрядную копию, которая делается при получении доказательств по настольному или портативному комп & # 39; ютера на жестком диске. Приобретение JTAG часто может осуществляться заблокированных, поврежденных и недоступных (заблокированных) устройств. Поскольку это копия низкого уровня, если устройство было зашифровано (будь то пользователем или определенным производителем, таким как Samsung и некоторые устройства Nexus), полученные данные все равно нужно будет расшифровать. Но поскольку Google решил покончить с шифрованием на все устройство выпуском Android OS 5.0, ограничения шифрования всего устройства несколько сужается, если пользователь не решил зашифровать устройство. После получения данных JTAG с устройства Android, полученные данные можно дополнительно проверить и проанализировать с помощью таких инструментов, как 3zx (ссылка: http://z3x-team.com/) или Belkasoft (ссылка: https://belkasoft.com /) . Использование инструментов JTAG автоматически удаляет основные цифровые судебно-медицинские артефакты, включая журналы вызовов, контакты, данные о местонахождении, историю просмотров и многое другое.

4. Приобретение фишек. Эта методика приобретения требует изъятия микросхем памяти & # 39; памяти из устройства. Производит сырые двоичные отвалы. Опять же, это считается усовершенствованным низкоуровневым приобретением и потребует паи микросхем памяти & # 39; памяти, используя высокоспециализированные инструменты для удаления микросхем и других специализированных устройств для чтения микросхем. Как и криминалистики JTAG, указанной выше, DFI рискует, что содержание чипа будет зашифровано. Но если информация не зашифрована, битная копия может быть удалена как неочищенный изображения. DFI нужно будет бороться с перестановкой адреса блоков, фрагментацией и, при наличии, шифрованием. Кроме того, несколько производителей устройств Android, например Samsung, применяют шифрование, которое невозможно обойти во время или после завершения приобретения чипа, даже если известен правильный пароль. Из-за проблем с доступом к зашифрованным устройств отключения микросхем ограничивается незашифрованными устройствами.

5. Сбор данных в прямом эфире. Нам всем известно, что Google освоил сбор данных. Google известен тем, что поддерживает огромное количество мобильных телефонов, планшетов, ноутбуков, компьютеров и других устройств различных типов операционной системы. Если у пользователя есть аккаунт Google, DFI может получить доступ, загрузить и проанализировать всю информацию для пользователя под его учетной записью Google с надлежащим разрешением Google. Это включает загрузку информации из учетной записи Google пользователя. Сейчас пользователям Android нет полных резервных копий облаков. Данные, которые можно проверить, включают Gmail, контактную информацию, данные Google Диска (что может быть очень показательно), синхронизированные вкладки Chrome, закладки браузера, пароли, список зарегистрированных устройств Android (где можно просмотреть историю местоположений для каждого устройства), и гораздо больше .

П & # 39; Пять методов, указанных выше, не является исчерпывающим перечнем. Часто повторяющиеся примечания по сбору данных - при работе на мобильном устройстве важна надлежащая и точная документация. Кроме того, документирование процессов и процедур, применяемых, а также соблюдение установленного вами цепочки ожоги, гарантировать, что собранные доказательства будут "криминалистически обоснованными".

вывод

Как обсуждается в этой статье, криминалистика мобильных устройств, в частности ОС Android, отличается от традиционных цифровых криминалистических процессов, применяемых для портативных и настольных комп & # 39; компьютеров. Несмотря на то, что персональный компьютер & # 39; Компьютер легко защищен, хранилище можно легко скопировать, а устройство можно хранить, безопасное приобретение мобильных устройств и данных может быть и часто проблематично. Необходим структурированный подход к приобретению мобильного устройства и плановый подход к сбору данных. Как было отмечено выше, п & # 39; Пять введенных методов позволят DFI получить доступ к устройству. Однако существует несколько дополнительных методов, о которых идет речь в этой статье. Необходимы будут дополнительные исследования и использования инструмента DFI.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *