Was this page helpful?

手持式裝置與手機取證與資料恢復工作原理

    內容表格
    沒有標頭

     

    注意: 無故以不正方法侵犯他人隱私知悉之他人秘密,即為妨害秘密罪
    若要做手機取證,建議申請通訊監察書(通訊保護法)

    原創OSSLab thx

    前言


    同於數位取證 (Digital  Forensics),手機取證是按照符合法律規範的方式對手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、簡訊、通訊錄、電子郵件、照片、 聲音檔等。用來做法律上證明或反駁的證據。

    工作原理


    做手機取證前,先要瞭解手機儲存處.

    1. 外部記憶卡
      都是FAT,FAT32格式,直接獨取,被刪除分區或是刪除檔案.用簡單分區表還原就可
       
    2. Sim Card 可以讀取通訊錄跟SMS 另外已刪除SMS可以還原
       
    3. 手機本身內部:

      手機本身就是嵌入式系,根據其文件系統做還原
       
    • Smart phone 底層會採用相通文件系統,對於其分區表判斷很容易,像用Windows mobile OS的"手機,GPS "採用FAT 分區使用Imagetool可以很輕易Dump所有Image後,再做FAT分析.Iphone 則是從備份檔可以還原出被刪除簡訊.
       
    • MCU手機沒有通用文件系統與工具 並且文件系統也沒公開
      比較可行方式是用其I/O做 Digital  Forensic

      這邊以Nokia為例,Nokia手機部份分為DCT3,DCT4,BB5 Soultion

      手機I/O: F-BUS ,M-BUS,內定腳位. IRDA ,Bluetooth.

      F-BUS:112000 bps 部份機種 

      官方傳輸線  DKU-5 是F-BUS腳位+AT76C711AVR 單晶片機
      才可以下AT Command

      M-BUS:9600 bps

      IRDA:OBDX

      Bluetooth:OBDX

      AT command
      Protocol:

       
        F-BUS
        OBDX


      Dump 整隻手機 flash memory :
      需要專用工具 連接  M-BUS I/O,F-BUS ,BSI  (測量電源) ,VBAT (電源),GND(負極)


      獲得整個手機 flash memory  file

      以Flash  memory 非完整數據塊分析再進行 PDU 編碼轉換格式
       

    手機取證流程跟軟體


    一.解鎖手機Pin Code,話機鎖,USER鎖 破解備份檔加密
         當手機被上鎖,以 SE Tools 等手機維修硬件

    二.讀取手機明文未刪除資訊

    相關工具

    三.還原被刪除資料

    還原Sim Card被刪除簡訊

    1. Undeletesms 免費軟體
      http://vidstrom.net/stools/undeletesms/
       
    2. USIM Detective .有全功能30天試用版.
      http://quantaq.opiah.com/usim_detect...mdetective.php



    這方面軟體就以商業化為主
     

    四.手機已損毀
               還原閃存NAND FLASH .但是手持式裝置通常用自己的flash file system

    總結





     

     

    參考資料

    1. 德國研究報告
      http://pi1.informatik.uni-mannheim.d...itzenbarth.pdf
       
    2. Mobile Device Forensics Blog
      http://mobileforensics.wordpress.com/
       
    3. Nokia F-BUS Protocol
      http://www.embedtronics.com/nokia/fbus.html
       
    4. AT Commands For CDMA Wireless Modems Reference Guide
      http://igor.chudov.com/manuals/AT_Co...lcomm_U300.pdf
       
    5. Nokia AT Command
      http://nds1.nokia.com/phones/files/g...kia_AThelp.pdf
       
       
    6. http://en.wikipedia.org/wiki/Mobile_forensics
      http://www.forensicswiki.org/wiki/Cell_phones

       
    7. 論文 Forensic Analysis of Mobile Phones 
      http://www.8051projects.net/e107_fil...ile_phones.pdf
       
    8. Siemens AT command
      http://alumni.ipt.pt/~pmad/s35i_c35i...andset_v01.pdf
       
    9. 帥猴手機維修論壇 (目前只接受付費會員) 
      http://bbs.shgzs.com/

      帥虎手機維修論壇
      http://www.sjwxzy.com/index.php

      (編云:不知道為何取這樣好笑的名字 不過這二個論壇對於編寫手機文件有很完整資料)
    10. http://forensics.luizrabelo.com.br/2...ensics+blog%29


    11. http://www.sans.org/reading_room/whi...orensics_32888
    Was this page helpful?
    標籤 (Edit tags)
    • No tags

    文件 1

    文件大小日期附件上傳者 
     neutrino.png
    無描述
    89.19 KB03:45, 27 Feb 2010thx動作
    您必須 登入 才能發佈評論。
    Powered by MindTouch Core