取证技术探讨与分析讲师:杨建国 深圳市先创数字技术有限公司深圳市先创数字技术有限公司 � 目录�一.取证的技术手段1.1取证的应用背景 随着移动终端的迅速发展,利用移动终端进行各类非法或犯罪行为的犯罪行为不断出现,而且呈现出高速增长的势头,这使得电子数据取证的主要目标从存储介质向移动终端延伸美国科研机构电子数据取证包括在内的取证实现方式和技术做出了5个层次分类:1.人工提取2.逻辑提取3.JTAG/ISP4.chip-off提取5.微读�一.取证的技术手段1.2人工提取 移动终端取证在专业化的取证设备出现之前,都是直接在移动终端上查看相关数据,并使用相机等翻拍设备记录证据人工提取的优点在于门槛底,且总会存在工具无法提取的移动终端,对于那些缺少其他提取固定手段的取证人员来说,这无疑是唯一的解决办法这种检验手段仅能获取已有数据,对于删除的数据无法进行提取和固定,同时对于加密和破损的情况也无法应对。
其次,必须保证该设备能正常开机,同时并未设置密码或者已知密码图中北京瑞源的EDEC1030小型数码翻拍仪就是人工提取的辅助设备�1.3逻辑提取通过连接线(USB、RS232)或无线(蓝牙、红外、WiFi)等方式与取证专用硬件或安装软件的工作站连接,提取逻辑数据常见的如kingroot、360助等代理软件和专业的商业软件可以实现开机连接获取基本用户数据信息,在一定程度上逻辑提取可以获得删除数据记录,但不能恢复未分配空间的数据,同时对于目前高版本的具有root权限的智能逻辑提取存在一定的检材数据有损风险一.取证的技术手段�一.取证的技术手段1.4JTAG/ISP提取对于低端智能机、国产机以及非智能取证有时候需要JTAG/ISP测试协议方式,利用主板触点连机进行数据提取和解析此种技术对于无法正常开机、未获得root权限或者存在开机密码的取证很有帮助但数据被覆盖或是被检进行过全盘加密,那么JTAG/ISP也仅仅获得是的全盘加密的镜像文件�一.取证的技术手段1.5物理提取chip-off技术是最复杂且最底层的数据获取技术这种方法需要将移动终端中的存储芯片通过热风枪或拆焊台与主板剥离,清理芯片表面的焊锡,然后将芯片安装到芯片读取设备上,直接对芯片本身的电路和协议进行分析,获取其原始镜像或相关数据。
常见的存储芯片如图�二.LED显示屏的常用术语一.取证的技术手段1.5.1功能机芯片布局实物图�一.取证的技术手段1.5.2智能机芯片布局实物图�一.取证的技术手段1.5.3chipp-off技术特点FLASH芯片为陶瓷密封封装,在极端情况下(如被摔裂、破坏、进水、腐蚀),仍可通过对FLASH芯片的数据提取来获得所需信息;脱离操作环境直接读取FLASH存储芯片内容提取最原始数据;不受好坏限制、不受操作系统限制、不受是否有锁限制;不区分脱离操作环境,直接读取FLASH存储芯片内容,提取最原始数据;型号,只针对FLASH型号,产品适用范围广泛;加密数据、未加密数据、已删除数据、未删除数据,均可完整提取,生成镜像文件兼容其他厂家分析工具软件,进行数据分析及数据恢复工作;12345�一.取证的技术手段1.5.4chip-off取证方法配套设备示例芯片提取设备+芯片底座及数据线+分析软件�一.取证的技术手段1.6微读微读技术是指在电子显微镜下对NAND或NOR芯片存储层进行微观状态的观察,并借助均衡磨损原理等固态介质存储理论进行数据还原这种技术已经上升到电子取证领域的最尖端领域,而且目前也没有商业微读技术设备。
�一.取证的技术手段1.7取证技术手段的优先级目前的人工、逻辑、JTAG/ISP及chip-off的技术应用分析,无论是从取证的难易程度、电子数据的深度,还是取证固定的司法规范,普遍遵循着这4个取证手段(由于微读手段只是行业发展的预测,不做为应用现状的讨论)的应用优先级:3.JTAG/ISP1.人工提取人工提取2.逻辑提取逻辑提取4.chip-off�二.取证的技术难点2.1取证的技术现状随着人们智能不断地技术革新和APP应用普及,电子数据安全与备份也不断地随之变化,同时我国电子取证标准与规范不断完善中,这些都给取证带来新的机遇和挑战目前我国取证技术仍然存在些瓶颈难点,总的来说归纳如下:解锁、文件加密的解析历史浏览及聊天删除记录的恢复投资、交易及支付等金融交易记录解析安卓root获取及无损检材与解析�二.取证的技术难点2.1.1解锁与文件加密解析现在用户的智能关系到太多的个人隐私信息,那么的图形和数字锁、SIM卡PIN及PUK锁,指纹锁甚至存储芯片的文件加密、声纹及虹膜识别技术都是用户加密的实现方式,而这些恰恰给取证带来一定技术障碍�二.取证的技术难点目前常用的解决办法是都是recovery模式下清锁或者物理方式绕过解锁限制,或许国产OPPO等机型简锁进行一定的软件破解,这些都可能会面临获取root权限或者解锁中对检测数据取证固定带来一定的影响。
�1.苹果从4S以后都采用了全盘加密、如果需要进行物理芯片数据获取,除了要先破解密码以外,还需要对越狱,同时需要安装SSH,目前的技术手段还是无解的虽然曾经的FBI通过cellebrite对苹果5C进行密码破解,这也是仅仅是利用苹果开机密码次数漏洞;2.从Android5.0开始,谷歌已经引入了全盘加密的设置,但并未强制要求开启,但在一定算法上要突破,还是需要很长的路要走;同时安卓最新版的的声音识别解锁都是目前面临的解锁挑战二.取证的技术难点�二.取证的技术难点2.1.2历史浏览及聊天删除记录的恢复目前智能上的浏览器历史记录和聊天记录对于司法取证人员来说可能存在很有价值的线索信息,然而伴随高智商的网络犯罪,一些用户可能会定期的清除历史缓存或者删除历史聊天记录,这给取证工作带来一定的麻烦1.苹果操作系统对用户只读模式无法对其历史浏览及聊天删除记录恢复也是无法镜像解析,而且系统本身为保持操作流畅性能也会定期对应用缓存和垃圾清理;2.即使我们获得全部镜像文件,但是对于高版本的聊天记录本身就有加密,这就存在破解难题�2.1.3投资、交易及支付等金融交易记录解析智能在满足用户基本通话、聊天和娱乐的同时,也方便了用户一些投资理财和交易支付,可谓真正的足不出户。
然而涉及用户金融安全的加密更是重中之重,司法取证对于金融交易更是一筹莫展,即便是我们通过层层方式获取了类似支付宝、京东及淘宝网购等其他APP镜像文件,目前软件也是无法解析其交易记录和密码据业内人士说智能支付和交易平台的公司进行协助获悉二.取证的技术难点�二.取证的技术难点2.1.4安卓root获取及无损检材与解析司法取证中对于电子数据的有效性有严格DM5校验规定,这就限制了提取的镜像文件必须是原始数据但是现在升级版本的安卓系统都有root,无论是通过第三方代理软件,或者直接物理方式提取,都难免存在有损检材的风险,无法严格进行存储芯片的数据读写保护在安卓2.3.4版本以前都是可以一键root,但是从6.0以后,以下几点都是需要突破的:�二.取证的技术难点1、难以root,存在很大的风险变砖;2、备份,可以获取部分逻辑数据,对于删除数据,甚至中能看到的、支付宝,但是都无法提取;3、3rdrecovery,data分区加密即使我们拿到无法解析,而且从安卓5.0时代开始,3rdrecovery的备份能力明显不足,不少数据已无法获取;4、基于chipoff的芯片提取第一步,针对UFS2.0架构,尚无支持的配套硬件设备,第二步,镜像获取之后,全盘数据加密,无法解析。
�三.取证工具简介3.1UFEDTouch以色列Cellebrite公司是国际上最早生产的取证工具的厂商之一,其设备代表着移动终端取证设备的最高水平UFEDTouch是其生产的新一代、高性能的独立便携式司法分析工具设备,也是目前国际主流的取证工具它支持以“位对位”的形式对、GPS、平板电脑以及中国山寨等大部分移动设备中的数据进行物理获取和深度分析�3.2厦门美亚柏科DC-4501取证系统是厦门美亚柏科信息股份有限公司自主研制生产的、用于数据提取和恢复并进行深度分析及数据检索的调查取证产品该产品作为三.取证工具简介DC-4500取证系统的升级换代产品,集成了更高性能的主机设备,采集速度更快�3.3大连睿海RH-6900是一套可应用于国产山寨、品牌功能、新型智能等全品牌、各种操作系统的数据综合提取分析系统系统内置通用型芯片物理数据提取模块、EMMC物理数据提取模块、JTAG物理数据提取模块、智能终端数据分析模块、SIM卡/存储卡数据分析模块等多个功能模块,该产品是一款集成了软件提取手段、JTAG方式、底层芯片级数据提取方式等多种方式的、可全面应对各种复杂需求的综合型数据提取分析系统。
三.取证工具简介�三.取证工具简介3.4北京瑞源2016年新款EDEC狼蛛6100检验系统,涵盖主流品牌智能、功能机的数据提取、数据恢复、APP解析能力,系统配置国际检验工具和EDEC狼蛛系列软件及工具,是目前常规检验中手段最丰富,支持种类数量最多,删除数据恢复能力最强的产品�三.取证工具简介3.5上海盘石SafeMobileLab盘石取证分析系统试验室版是盘石公司面向实验室等专业级用户开发的针对移动设备电子数据的取证获取和分析工具,通过专用的硬件工具获取内存镜像和内存卡镜像,对镜像进行数据分析和数据恢复�The end�。