手持式裝置與手機取證與資料恢復工作原理

    內容表格
    沒有標頭

    版本為 14:50, 26 Dec 2024

    到這個版本。

    返回到 版本存檔.

    查閱目前版本

     

    注意: 以不正方法侵犯他人隱私知悉之他人秘密,即為妨害秘密罪
    若要做手機取證,建議申請通訊監察書(通訊保護法)

    原創OSSLab thx

    同於數位取證   Digital  Forensics (電子取證),手機取證是按照符合法律規範的方式對手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、簡訊、通訊錄、電子郵件、照片、 聲音檔等。

    用來做法律上 證明或反駁的證據。

    做手機取證前,先要瞭解手機儲存處.

    1.外部記憶卡
       都是FAT,FAT32格式 被刪除用簡單分區表還原就可

    2.Sim Card

    3.手機本身內部:

    手機本身就是嵌入式系統.
    Smart phone:底層一定用共用文件系統,Windows mobile 手機,GPS 採用FAT 分區  連結
    因此還原也是很簡易的.


    手機內部 外部I/O:

    Nokia:F-BUS ,M-BUS,IRDA ,Bluetooth.

    Protocol:AT command ,F-BUS ,OBDX ,M-BUS



    Dump整個手機file system.

    手機取證流程跟軟體.

    一.解鎖手機Pin Code,話機鎖,USER鎖 破解備份檔加密
    當手機被上鎖,

    二.讀取手機資訊,

    相關工具

    三.還原被刪除資料

    還原Sim Card被刪除簡訊

    1. Undeletesms 免費軟體
      http://vidstrom.net/stools/undeletesms/
       
    2. USIM Detective .有全功能30天試用版.
      http://quantaq.opiah.com/usim_detect...mdetective.php



    這方面軟體就以商業化為主
     

    1. EnCase Neutrino 
      http://www.guidancesoftware.com/mobi...e-neutrino.htm
      價格約NT 50萬吧
       

    2.  
    3. FINALDATA  Mobile Forensic
      Finaldata 公司作品,在2.1x版時不支持Unicode.支持Phone以高通為主.

      價格不詳 聽說在us 3000以上
      http://www.ojp.usdoj.gov/nij/pubs-sum/228227.htm
       

    4. http://quantaq.opiah.com/usim_detect...mdetective.php



      但MCU 手機
      以Sony ericsson為例 GlobalDateFileSystem 

    JTAG Dump Rom 法.

    四.手機已損毀
    還原閃存NAND FLASH 2 , Flash Translation Layer (FTL)

     

     

    參考資料

    1. Mobile Device Forensics Blog
      http://mobileforensics.wordpress.com/
       
    2. Nokia F-BUS Protocol
      http://www.embedtronics.com/nokia/fbus.html
       
    3. 論文 Forensic Analysis of Mobile Phones 
       
    Powered by MindTouch Core