手机取证技术探讨与分析.ppt

手机取证技术 探讨与分析 讲师：杨建国,深圳市先创数字技术有限公司,手机取证的技术手段 手机取证的技术难点 三. 手机取证的工具介绍,目 录,一.手机取证的技术手段,1. 1手机取证的应用背景 随着移动终端的迅速发展，利用移动终端进行各类非法或犯罪行为的犯罪行为不断出现，而且呈现 出高速增长的势头，这使得电子数据取证的主要 目标从存储介质向移动终端延伸。美国科研机 构电子数据取证包括手机在内的取证实现方 式和技术做出了5个层次分类：,1.人工提取,2.逻辑提取,3.JTAG/ISP,4.chip-off提取,5.微读,一.手机取证的技术手段,1.2 人工提取,移动终端取证在专业化的取证设备出现之前，都是直接在移动终端上查看相关数据，并使用相机等翻拍设备记录证据。人工提取的优点在于门槛底，且总会存在工具无法提取的移动终端，对于那些缺少其他提取固定手段的取证人员来说，这无疑是唯一的解决办法。这种检验手段仅能获取已有数据，对于删除的数据无法进行提取和固定，同时对于手机加密和破损的情况也无法应对。其次，必须保证该设备能正常开机，同时并未设置密码或者已知密码。图中北京瑞源的EDEC1030小型数码翻拍仪就是人工提取的辅助设备。,1.3逻辑提取 手机通过连接线（USB、RS232）或无线（蓝牙、红外、WiFi）等方式与取证专用硬件或安装软件的工作站连接，提取逻辑数据。常见的如kingroot、360手机助等代理软件和专业的商业软件可以实现开机连接获取基本用户数据信息，在一定程度上逻辑提取可以获得删除数据记录，但不能恢复未分配空间的数据，同时对于目前高版本的具有root权限的智能手机逻辑提取存在一定的检材数据有损风险。,一.手机取证的技术手段,一.手机取证的技术手段,1.4 JTAG/ISP提取 对于低端智能机、国产机以及非智能手机取证有时候需要JTAG/ISP测试协议方式，利用手机主板触点连机进行数据提取和解析。此种技术对于无法正常开机、未获得root权限或者存在开机密码的手机取证很有帮助。但数据被覆盖或是被检手机进行过全盘加密，那么JTAG/ISP也仅仅获得是的全盘加密的镜像文件。,一.手机取证的技术手段,1.5物理提取 chip-off技术是最复杂且最底层的数据获取技术。这种方法需要将移动终端中的存储芯片通过热风枪或拆焊台与主板剥离，清理芯片表面的焊锡， 然后将芯片安 装到芯片读取 设备上，直接 对芯片本身的 电路和协议进 行分析，获取 其原始镜像或相关数据。常见的手机存储芯片如图,二.LED显示屏的常用术语,一.手机取证的技术手段,1.5.1 功能机芯片布局实物图,一.手机取证的技术手段,1.5.2 智能机芯片布局实物图,一.手机取证的技术手段,1.5.3 chipp-off技术特点,手机FLASH芯片为陶瓷密封封装，在极端情况下（如手机被摔裂、破坏 、进水、腐蚀），仍可通过对FLASH芯片的数据提取来获得所需信息；,脱离手机操作环境直接读取手机FLASH存储芯片内容提取最原始数据；,不受手机好坏限制、不受手机操作系统限制、不受手机是否有锁限制；,不区分脱离手机操作环境，直接读取手机FLASH存储芯片内容，提取最 原始数据；手机型号，只针对FLASH型号，产品适用范围广泛；,加密数据、未加密数据、已删除数据、未删除数据，均可完整提取，生 成镜像文件兼容其他厂家分析工具软件，进行数据分析及数据恢复工作；,1,2,3,4,5,一.手机取证的技术手段,1.5.4 chip-off取证方法配套设备示例 芯片提取设备+芯片底座及数据线+分析软件,一.手机取证的技术手段,1.6 微读 微读技术是指在电子显微镜下对NAND或NOR芯片存储层进行微观状态的观察，并借助均衡磨损原理等固态介质存储理论进行数据还原。这种技术已经上升到电子取证领域的最尖端领域，而且目前也没有商业微读技术设备。,一.手机取证的技术手段,1.7 取证技术手段的优先级 目前的人工、逻辑、JTAG/ISP及chip-off的技术应用分析，无论是从取证的难易程度、电子数据的深度，还是取证固定的司法规范，普遍遵循着这4个取证手段（由于微读手段只是行业发展的预测，不做为应用现状的讨论）的应用优先级：,1.人工提取,4.chip-off,二.手机取证的技术难点,2.1 手机取证的技术现状 随着人们智能手机不断地技术革新和APP应用普及，电子数据安全与备份也不断地随之变化，同时我国电子取证标准与规范不断完善中，这些都给手机取证带来新的机遇和挑战。目前我国手机取证技术仍然存在些瓶颈难点，总的来说归纳如下：,手机解锁、 文件加密的 解析,历史浏览 及聊天删 除记录的 恢复,手机投资、 交易及支 付等金融 交易记录 解析,安卓手机 root获取 及无损检 材与解析,二.手机取证的技术难点,2.1.1 手机解锁与文件加密解析 现在用户的智能手机关系到太多的个人隐私信息，那么手机的图形和数字锁、SIM卡PIN及PUK锁，指纹锁甚至手机存储芯片的文件加密、声纹及虹膜识别技术都是用户手机加密的实现方式，而这些恰恰给手机取证带来一定技术障碍。,二.手机取证的技术难点,目前常用的解决办法是都是recovery模式下清锁或者物理方式绕过解锁限制，或许国产OPPO等机型简锁进行一定的软件破解，这些都可能会面临获取root权限或者解锁中对检测数据取证固定带来一定的影响。,1.苹果手机从4S以后都采用了全盘加密、如果需要进行物理芯片数据获取，除了要先破解密码以外，还需要对手机越狱，同时需要安装SSH，目前的技术手段还是无解的。虽然曾经的FBI通过cellebrite 对苹果5C进行密码破解，这也是仅仅是利用苹果手机开机密码次数漏洞； 2.从Android 5.0开始，谷歌已经引入了全盘加密的设置，但并未强制要求开启,但在一定算法上要突破，还是需要很长的路要走；同时安卓最新版的微信的声音识别解锁都是目前面临的解锁挑战。,二.手机取证的技术难点,二.手机取证的技术难点,2.1.2 历史浏览及聊天删除记录的恢复 目前智能手机上的浏览器历史记录和微信聊天记录对于司法取证人员来说可能存在很有价值的线索信息，然而伴随高智商的网络犯罪，一些用户可能会定期的清除历史缓存或者删除历史聊天记录，这给取证工作带来一定的麻烦。 1.苹果手机操作系统对用户只读模式无法对其历史浏览及聊天删除记录恢复也是无法镜像解析，而且系统 本身为保持操作流畅性能也会定期对 应用缓存和垃圾清理； 2.即使我们获得全部镜像文件，但是 对于高版本的微信聊天记录本身就有 加密，这就存在破解难题。,2.1.3 手机投资、交易及支付等金融交易记录解析 智能手机在满足用户基本通话、聊天和娱乐的同时，也方便了用户一些投资理财和交易支付，可谓真正的足不出户。然而涉及用户金融安全的加密更是手机重中之重，司法取证对于金融交易更是一筹莫展，即便是我们通过层层方式获取了类似支付宝、京东及淘宝网购等其他APP镜像文件，目前软件也是无法解析其交易记录和密码。据业内人士说智能支付和交易平台的公司进行协助获悉,二.手机取证的技术难点,二.手机取证的技术难点,2.1.4 安卓手机root获取及无损检材与解析 司法取证中对于电子数据的有效性有严格DM5校验规定，这就限制了提取的镜像文件必须是原始数据。但是现在升级版本的安卓系统都有root,无论是通过第三方代理软件，或者直接物理方式提取，,都难免存在有 损检材的风险， 无法严格进行 存储芯片的数 据读写保护。 在安卓2.3.4版 本以前都是可以 一键root, 但是从6.0以后，以下几点都是需要突破的：,二.手机取证的技术难点,1、难以root，存在很大 的风险变砖； 2、在线备份，可以获 取部分逻辑数据，对于 删除数据，甚至手机中 能看到的微信、支付宝， 但是都无法提取； 3、3rd recovery， data分区加密。即使我们 拿到无法解析，而且从安卓5.0时代开始，3rd recovery的备份能力明显不足，不少数据已无法获取； 4、基于chipoff的芯片提取。第一步，针对UFS2.0架构，尚无支持的配套硬件设备，第二步，镜像获取之后，全盘数据加密，无法解析。,三.手机取证工具简介,3.1 UFED Touch 以色列Cellebrite 公司是国际上最早生 产的手机取证工具的 厂商之一，其设备代 表着移动终端取证设 备的最高水平。 UFED Touch是其生 产的新一代、高性能 的独立便携式手机司法分析工具设备，也是目前国际主流的手机取证工具。它支持以“位对位”的形式对手机、GPS、平板电脑以及中国山寨手机等大部分移动设备中的数据进行物理获取和深度分析。,3.2 厦门美亚柏科 DC-4501手机取证系统是厦门美 亚柏科信息股份有限公司自主研制生产的、用于手机数据提取和恢复并进行深度分析及数据检索的调查取证产品。该产品作为,三.手机取证工具简介,DC-4500手机取证系统的升级换代产品，集成了更高性能的主机设备，采集速度更快。,3.3 大连睿海 RH-6900是一套可应用于国产 山寨手机、品牌功能手机、新型智能 手机等全品牌、各种操作系统的手机 数据综合提取分析系统。系统内置通 用型芯片物理数据提取模块、EMMC 物理数据提取模块、JTAG物理数据提 取模块、智能终端数据分析模块、手 机SIM卡/存储卡数据分析模块等多个功能模块，该产品是一款集成了软件提取手段、JTAG方式、底层芯片级数据提取方式等多种方式的、可全面应对各种复杂需求的综合型手机数据提取分析系统。,三.手机取证工具简介,三.手机取证工具简介,3.4 北京瑞源 2016年新款EDEC狼蛛6100手机检验系 统，涵盖主流品牌智能手机、功能机的数据 提取、数据恢复、手机APP解析能力，系统