注意: 以不正方法侵犯他人隱私知悉之他人秘密,即為妨害秘密罪 若要做手機取證,建議申請通訊監察書(通訊保護法) |
原創OSSLab thx
前言
同於數位取證 Digital Forensics (電子取證),手機取證是按照符合法律規範的方式對手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、簡訊、通訊錄、電子郵件、照片、 聲音檔等。用來做法律上 證明或反駁的證據。
工作原理
做手機取證前,先要瞭解手機儲存處.
- 外部記憶卡
都是FAT,FAT32格式,直接獨取,被刪除用簡單分區表還原就可
- Sim Card 可以讀取通訊錄跟SMS 另外已刪除SMS可以還原
- 手機本身內部:
手機本身就是嵌入式系統.
- Smart phone 底層會採用相通文件系統,對於其分區表判斷很容易,像Windows mobile 手機,GPS 採用FAT 分區使用Imagetool可以很輕易Dump所有Image後,再做FAT分析.Iphone 則是從備份檔可以還原出被刪除簡訊.
- MCU手機沒有通用文件系統與工具 並且文件系統也沒公開
這邊以Nokia為例
手機I/O: F-BUS ,M-BUS,內定腳位. IRDA ,Bluetooth.
F-BUS:112000 bps
官方傳輸線 DKU-5 是F-BUS腳位+AT76C711AVR 單晶片機
才可以下AT Command
M-BUS:9600 bps
IRDA:OBDX
Bluetooth:OBDX
Protocol:
AT command
F-BUS
OBDX
Dump整個手機file system.腳位
編碼 Unicode轉換格式
手機取證流程跟軟體
一.解鎖手機Pin Code,話機鎖,USER鎖 破解備份檔加密
當手機被上鎖,HWK,SE Tools
二.讀取手機明文資訊
相關工具
三.還原被刪除資料
還原Sim Card被刪除簡訊
- Undeletesms 免費軟體
http://vidstrom.net/stools/undeletesms/
- USIM Detective .有全功能30天試用版.
http://quantaq.opiah.com/usim_detect...mdetective.php
這方面軟體就以商業化為主
JTAG Dump Rom 法.
四.手機已損毀
還原閃存NAND FLASH 2 , Flash Translation Layer (FTL)
參考資料
- Mobile Device Forensics Blog
http://mobileforensics.wordpress.com/
- Nokia F-BUS Protocol
http://www.embedtronics.com/nokia/fbus.html
- Nokia AT Command
http://nds1.nokia.com/phones/files/g...kia_AThelp.pdf
- 論文 Forensic Analysis of Mobile Phones
http://www.8051projects.net/e107_fil...ile_phones.pdf
- Siemens AT command
http://alumni.ipt.pt/~pmad/s35i_c35i...andset_v01.pdf
- 帥猴手機維修論壇
http://bbs.shgzs.com/
帥虎手機維修論壇
http://www.sjwxzy.com/index.php
(編案:不知道為何取這樣好笑的名字 不過這二個論壇對於編寫手機文件有很完整資料)
-