手持式裝置與手機取證與資料恢復工作原理

    內容表格
    沒有標頭

    版本為 03:07, 26 Dec 2024

    到這個版本。

    返回到 版本存檔.

    查閱目前版本

     

    注意: 無故以不正方法侵犯他人隱私知悉之他人秘密,即為妨害秘密罪
    若要做手機取證,建議申請通訊監察書(通訊保護法)

    原創OSSLab thx

    前言


    同於數位取證 (Digital  Forensics),手機取證是按照符合法律規範的方式對手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、簡訊、通訊錄、電子郵件、照片、 聲音檔等。用來做法律上證明或反駁的證據。

    工作原理


    做手機取證前,先要瞭解手機儲存處.

    1. 外部記憶卡
      都是FAT,FAT32格式,直接獨取,被刪除分區或是刪除檔案.用簡單分區表還原就可
       
    2. Sim Card 可以讀取通訊錄跟SMS 另外已刪除SMS可以還原
       
    3. 手機本身內部:

      手機本身就是嵌入式系,根據其文件系統做還原
       
    • Smart phone 底層會採用相通文件系統,對於其分區表判斷很容易,像用Windows mobile OS的"手機,GPS "採用FAT 分區使用Imagetool可以很輕易Dump所有Image後,再做FAT分析.Iphone 則是從備份檔可以還原出被刪除簡訊.
       
    • MCU手機沒有通用文件系統與工具 並且文件系統也沒公開
      比較可行方式是用其I/O做 Digital  Forensic

      這邊以Nokia為例,Nokia手機部份分為DCT3,DCT4,BB5 Soultion

      手機I/O: F-BUS ,M-BUS,內定腳位. IRDA ,Bluetooth.

      F-BUS:112000 bps 部份機種 

      官方傳輸線  DKU-5 是F-BUS腳位+AT76C711AVR 單晶片機
      才可以下AT Command

      M-BUS:9600 bps

      IRDA:OBDX

      Bluetooth:OBDX

      AT command
      Protocol:

       
        F-BUS
        OBDX


      Dump 整隻手機 flash memory :
      需要專用工具 連接  M-BUS I/O,F-BUS ,BSI  (測量電源) ,VBAT (電源),GND(負極)


      獲得整個手機 flash memory  file

      以Flash  memory 分析再進行 Unicode編碼轉換格式
       

    手機取證流程跟軟體


    一.解鎖手機Pin Code,話機鎖,USER鎖 破解備份檔加密
         當手機被上鎖,以 SE Tools 等手機維修硬件

    二.讀取手機明文未刪除資訊

    相關工具

    三.還原被刪除資料

    還原Sim Card被刪除簡訊

    1. Undeletesms 免費軟體
      http://vidstrom.net/stools/undeletesms/
       
    2. USIM Detective .有全功能30天試用版.
      http://quantaq.opiah.com/usim_detect...mdetective.php



    這方面軟體就以商業化為主
     

    四.手機已損毀
               還原閃存NAND FLASH .但是手持式裝置通常用自己的flash file system

    總結





     

     

    參考資料

    1. 德國研究報告
      http://pi1.informatik.uni-mannheim.d...itzenbarth.pdf
       
    2. Mobile Device Forensics Blog
      http://mobileforensics.wordpress.com/
       
    3. Nokia F-BUS Protocol
      http://www.embedtronics.com/nokia/fbus.html
       
    4. AT Commands For CDMA Wireless Modems Reference Guide
      http://igor.chudov.com/manuals/AT_Co...lcomm_U300.pdf
       
    5. Nokia AT Command
      http://nds1.nokia.com/phones/files/g...kia_AThelp.pdf
       
       
    6. http://en.wikipedia.org/wiki/Mobile_forensics
      http://www.forensicswiki.org/wiki/Cell_phones

       
    7. 論文 Forensic Analysis of Mobile Phones 
      http://www.8051projects.net/e107_fil...ile_phones.pdf
       
    8. Siemens AT command
      http://alumni.ipt.pt/~pmad/s35i_c35i...andset_v01.pdf
       
    9. 帥猴手機維修論壇 (目前只接受付費會員) 
      http://bbs.shgzs.com/

      帥虎手機維修論壇
      http://www.sjwxzy.com/index.php

      (編云:不知道為何取這樣好笑的名字 不過這二個論壇對於編寫手機文件有很完整資料)
    10. http://forensics.luizrabelo.com.br/2...ensics+blog%29
    Powered by MindTouch Core