广西防城港市互联网信息安全中心 广西防城港 538021
摘要:移动手机越来越深入民众的生活当中,已经成为必备的通信工具,因此手机中存储的大量个人信息、隐私数据是非常重要的。对于人为摔坏破损、无法开机、无数据接口等情况的手机想要恢复提取当中的电子数据,ISP物理技术、JTAG技术、芯片级数据提取技术能有效解决特殊的需求。
关键词:ISP物理技术;JTAG技术;芯片级数据提取技术
概述
随着技术的不断进步,手机功能日益强大,已经成为民众生活的好伙伴,也就说明了手机中存储的数据都有较强的隐私和无法或缺的价值,而手机芯片是用来存储电子数据的,对于如何提取破损手机芯片中的电子数据这一难题是值得深究的,并且具有极大的市场技术服务需求,研究该技术也有迫切的需要。
更深入从国家立法和执法层面来看,电子数据首次被新《刑事诉讼法》规定为法定证据,可见国家对电子数据的认可的重要性,而在国家执法过程中,手机难免会成为犯罪分子的作案工具,并且犯罪分子很有可能有防范意识,会想办法对手机中的涉案电子数据尽可能的毁灭,比如可能会主动损毁、掰断屏幕、故意破坏手机等暴力方式来逃避法律责任[1],所以掌握手机芯片电子数据获取技术具有极其重要和深远的意义。
浅谈以下几种手机电子数据获取技术
从目前主流技术看,电子数据获取的方式有:芯片数据提取、逻辑提取、提权逻辑提取、物理镜像提取、文件系统提取、备份数据提取[2]。
1.芯片数据提取:主要借助专门的平台提取芯片数据镜像,解决各类疑难杂症的最终技术手段,这种提取方式是不可逆的,要对手机芯片进行拆解,基本上很难恢复原装,一般都会用于手机被毁坏、无法开机等特殊情形之下。
2.逻辑提取:主要就是通过数据线、蓝牙等方式让PC计算机端或采集设备与手机建立通信连接,就是借助通信端口实现数据的实时传输的一种方式。
3.提权逻辑提取:通过第三方root软件或者在手机recovery模式下植入第三方获权的root刷包从而达到获取手机最高root权限的目的,获取了root权限对恢复电子数据有具大的帮助,但是并不是所有手机都可以获取root权限。
4.物理镜像提取:就是将手机芯片的电子数据全部转化克隆成一个镜像文件,行业称为全盘克隆,此方式下提取的电子数据,是最佳和最完整的,可以进行SQLite删除的恢复和存储芯片的全盘深度挖掘等等,但是难点在于并不是所有手机都支持物理镜像提取,并且不同类型的手机物理镜像提取的方法和要求也不一样。
5.文件系统提取:在没获取手机最高root权限情况下,直接提取手机系统文件SQL数据库的一种方式。
6.备份数据提取:通过官方或第三方工具,对手机现有数据进行打包备份整合,这种方式可以对手机数据的SQL数据库文件的记录进行恢复,在手机无法获得root权限下能提取数据的一种不错办法。
三、手机芯片电子数据获取技术探讨及案例应用
1.ISP物理技术(In-System Programming)
ISP物理技术,从英文名就可以知道,是在线编程的意思,在电子数据获取技术的领域中,一般能够采用ISP物理技术的是eMMC FLASH芯片的手机设备,并且不需对移动终端整体加电,只需给eMMC FLASH(移动终端存储芯片)单独供电。
因为eMMC FLASH芯片获取数据镜像非常方便,只需要6根数据线即可读取镜像,这6根数据线分别是:两条电源线和一根地线和D0、CMD、CLK。但是其他的存储FLASH,就不适用这种技术,因为NOR FLASH和NAND FLASH至少需要20根数据线来控制其读写,操作起来非常麻烦,所以其他的存储FLASH不适用ISP物理技术。
这个技术在某次送来的一部重刷过系统的三星N7000手机案例中得到了应用。由于手机被刷过系统,数据被清除,并且不能开机,没有JTAG接口,手机的存储芯片容量为 eMMC FLASH,拆除存储芯片有难度,只能采用ISP物理技术进行手机芯片电子数据获取,在手机芯片的端口引出6条数据线,然后通过专门的读取设备读取手机的全盘镜像,并用镜像解析软件读取镜像文件最终得到大量刷机前的电子数据。
2.JTAG技术(Joint Test Action Group)
JTAG技术主要应用在手机的主要部分(电源、存储芯片和CPU处理器三者间连接)相对完好时,也就是手机在半破损的状态下,一般获取技术无法满足需求的时候,JTAG技术可以弥补这个技术需求空缺。目前在移动终端市场中,高通、三星、TI等厂家生产的CPU占有绝对的统治地位,底层调试接口采用的都是JTAG模式。
JTAG技术获取手机芯片电子数据的原理主要是通过6根数据线,进行读写镜像控制,这6根数据线为:TCK、TRST、TMS、TDI、TDO及SYSTEM组成,是直接连接到手机的CPU[3]。利用这6根数据线的控制点给手机CPU发送对应的操作指令,然后就可以从TDI上的数据口获取存储芯片的电子数据。
JATG技术在目前很多实例中得到广泛的实践应用并取得了不错的效果。有一个案例,一台华为C8650手机,这款手机是可以正常开机,但是数据接口被人为损坏,只有JTAG技术方式才能对该手机芯片电子数据进行采集。镜像数据采集完毕之后,通过特定的镜像解析软件,解析出了大量的短信记录、通话记录、微信、QQ、微博等重要信息,效果非常好,信息也很全面,JTAG技术获取的手机电子数据镜像和其他方式获取的基本一致。
3、芯片级数据提取技术及实例应用
3.1芯片级数据提取技术优缺点
芯片级提取技术大致可以分为两个阶段,一是数据提取,二是数据分析[4]。
芯片级提取技术的优点:
对不同的手机检材型号、硬件、操作系统、软件应用和外围接口等几乎不受影响,只需要通过芯片接口就可以把数据获取出来,更大的优点是,对于完全损坏的手机,其他提取方式基本不可能解决,但是芯片级提取技术对于手机电子数据获取领域来说,是终极解决办法,也是唯一的解决方案[5]。
芯片级提取缺点:第一、芯片级提取属于不可逆的技术方法,拆除芯片之后很难在还原恢复;第二、对技术人员的考验和动手能力要求较高,一般人员无法进行芯片的拆除;第三、数据分析难度较大,对于提取的数据,因为文件系统软件种类众多,需求的解析软件也不一样,有时候甚至需要分析十六进制的代码。
3.2芯片级数据提取技术应用
在手机被摔、砸烂砸碎、火灾烧毁、浸泡水等情况下,就需要用到芯片级数据提取技术。
通过查阅上述各类存储芯片的文档资料,可以找出各类芯片的硬件电路设计图原理,芯片数据的端口,各类芯片的读取时序,再运用一些特定的软件,根据从文档资料知道的芯片读取时序从而进行操作,最后可以将手机芯片内部数据全部完整取出成镜像文件,这个方式获取的镜像文件也是很全面,最终通过解析软件进行数据分析。
上图是一个曾经接到的经典案例,是一台在水中浸泡了两年的手机,该手机是最常见的EMMC存储芯片,EMMC芯片有三种规格:BGA169E、BGA\162\182、BGA253,该手机是BGA253规格的。
首先将手机拆开,取出芯片主板,再将手机芯片通过工具从主板中分离出来,对芯片管脚再次直锡,然后将直锡好的芯片放进锁紧座,有一点必须要注意,就是保证芯片的管脚触点与锁紧座的针脚完好无缝隙对接,盖好锁紧座,最后通过专门的解析提取软件对芯片数据进行提取镜像和解析。
四、结语
手机芯片电子数据获取技术,主要是从手机硬件底层的存储芯片入手,通过芯片接口直接读取芯片内部的电子数据,并且读取出来的电子数据完整度高,对不同的手机品牌型号提取出的电子数据差异性不大,但是该技术后续需要关注的技术问题还有很多,比如需要时刻关注手机芯片的发展,遇到新的CPU或者存储芯片,要了解芯片的电路存储原理,要继续挖掘深层数据和各类手机APP应用的加解密算法,对各类已删除数据和文件要进一步解析,从未来看,手机芯片电子数据获取技术针对破损手机的电子数据恢复、密码破解等领域会更加崭露头角,并且也是一种针对移动终端获取数据值得研究的终极技术。
参考文献
[1]王桂强.手机物证检验及其在刑事侦查中的应用[J].刑事技术,2006(1)
[2]刘浩阳,李锦,刘晓宇.电子数据取证[M].北京:清华大学出版社,2015.
[3]ARM JTAG调试原理,OPEN-JTAG开发小组
[4]Rick Ayers.Sam Brothers.Guidelines on Mobile Device Forensics,2013.
[5]丁红军.手机规范取证研究[J].信息网络安全,2012(5):88-91.
作者简介:吴斌(1988-),男,广西北海人,本科,助理工程师。研究方向:计算机电子数据获取删除恢复、网络入侵防范和信息安全。
论文作者:吴斌
论文发表刊物:《探索科学》2016年7期
论文发表时间:2016/10/26
标签:数据论文; 三星论文; 技术论文; 手机论文; 芯片论文; 电子论文; 镜像论文; 《探索科学》2016年7期论文;