這篇文章我拖了很久...尚未完.不過寫在這可以摧促我完成 用了一些設備也達成XX效果.不過挺費時間
注意: 無故以不正方法侵犯他人隱私知悉之他人秘密,即為妨害秘密罪
若要做手機取證,建議申請通訊監察書(通訊保護法)
同於數位取證 (Digital Forensics),手機取證(Mobile phone Forensics)是按照符合法律規範的方式對手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、簡訊、通訊錄、電子郵件、照片、 聲音檔等。用來做法律上證明或反駁的證據。
做手機取證前,先要瞭解手機儲存處.
1. 外部記憶卡
都是FAT,FAT32格式,直接獨取,被刪除分區或是刪除檔案.用簡單分區表還原就可
2. Sim Card 可以讀取通訊錄跟SMS 另外已刪除SMS可以還原
3. 手機本身內部:
手機本身就是嵌入式系,根據其文件系統做還原
* Smart phone 底層會採用相通文件系統,對於其分區表判斷很容易,像Windows mobile 手機,GPS 採用FAT 分區使用Imagetool可以很輕易Dump所有Image後,再做FAT分析.Iphone 則是從備份檔可以還原出被刪除簡訊.
* MCU手機沒有通用文件系統與工具 並且文件系統也沒公開
這邊以Nokia為例,Nokia手機 分為DCT3,DCT4,BB5等 Soultion
手機I/O: F-BUS ,M-BUS,內定腳位. IRDA ,Bluetooth.
F-BUS:112000 bps 部份機種
官方傳輸線 DKU-5 是F-BUS腳位+AT76C711AVR 單晶片機 才可以下AT Command
M-BUS:9600 bps
IRDA:OBDX
以AT command ,odbx, 無法抓出被刪除data
必需dump mobile 裝置整個flash memory
商業化硬體
這方面軟體就以商業化為主
* EnCase Neutrino
http://www.guidancesoftware.com/mobile- ... utrino.htm 價格約NT 80萬吧 也許更高
Flash dump原理
* .XRY
http://www.msab.com/en/mobile-forensic-products/ 價格約40萬 以上
* FINALDATA Mobile Forensic
Finaldata 公司作品,在2.1x版時不支持Unicode.支持Phone以高通為主.
價格不詳 聽說在us 3000以上
http://www.ojp.usdoj.gov/nij/pubs-sum/228227.htm 應該是AT command
* Iphone data recovery
http://www.iphonedatarecovery.org/ JTAG Dump Rom 法.
四.手機已損毀
還原閃存NAND FLASH 2 , Flash Translation Layer (FTL)
完成篇跟實務分享待補充
_________________
OSSLab 實驗室
http://www.osslab.com.tw/Opensources,虛擬化,Voip,逆向工程,Data recovery,Storage ,Embedded system ,通訊系統
登入
註冊
問答集
搜尋
