作者 Modder
在央视新闻频道侦破某案件过程中(图1和2,截图来自网上视频),可见警方使用了Cellebrite移动取证设备。
以下我们结合ACELAB最新推出的PC-3000 MOBILE(图3来自ACELAB),来近距离看看从移动设备提取数据的解决方案
1.如果移动设备工作正常,PC-3000 MOBILE能够通过移动设备的标准接口进行数据操作。PC-3000 MOBILE有3个内置USB 3.0端口(图3中橙色部分),具有独立的电源控制和错误控制。通过标准电缆连接即可访问智能手机上的用户数据。
2.对于部分损坏的设备:使用JTAG/UART协议等作为单独或组合的访问方法,借由移动设备PCB上的工厂接口进行数据操作(图3中粉色部分)。
图4为Cellebrite教程截图,提及JTAG的用途。现在的智能手机往往有诸如图形锁.密码锁的加密措施;如果手机进一步关闭”USB调试模式”,获取数据难度将更大。手机的硬件核心是CPU,以高通CPU和三星CPU为例,这类CPU的底层协议是JTAG协议,而部分MTK CPU和展讯CPU采用的是串行通讯协议(UART)。对采用高通或三星CPU的手机,可通过JTAG技术侦测手机主板定义,并根据CPU型号进行数据读取操作,进而获得手机的镜像数据。在JTAG操作模式下,手机的外围软硬件好坏已经无关紧要,只要电路板.CPU等核心硬件能正常工作即可;同时由于手机的CPU已经不受手机操作系统的控制,而直接受JTAG指令控制,因此,各种系统加密措施完全失效,从而可达到提取数据的目的。在具体的操作过程中,只需将手机外壳打开,将夹具夹(或焊接)在手机主板对应的JTAG焊点上,即可通过软件完成数据提取的过程。
3.当不可能通过标准接口或JTAG等访问数据内容时,对物理损坏的移动设备可以通过通用测试座以标准SD接口模式进行芯片直读(图3中绿色部分)。该方法包括以下功能:
通过支持SD 3.0/MMC4.41协议(高达150Mb/s)的2个内部独立SD/MMC COMBO端口实现eMMC /eMCP芯片的直读模式。SD/MMC接口的专用内核和专有设计可以实现正常芯片的高数据传输速率,并确保以工厂模式读取损坏的芯片。(图5来自ACELAB)
小贴士:eMMC / eMCP芯片解析
eMMC在智能手机中将主控与NAND Flash集成为一体,通过内在的主控管理Flash,这样CPU可不再为Flash不断更新制程而烦恼兼容性问题; eMCP是相较eMMC更高阶的存储器件,它将eMMC与LPDDR封装为一体,相当于把电脑的硬盘和内存整合在一起,在减小体积的同时还减少了电路连接设计。
其中eMMC 153/169.eMCP 162/186.eMCP 221和eMCP 529表示封装接口类型;9х11.10х11.11.5х13.12х16.12х18或14х18为不同尺寸。PC-3000 MOBILE附带的通用测试座中的IC限位框可根据IC选择不同大小限位框进行更换,实现不同大小IC能够通用.(图6来自ACELAB)
此外,PC-3000 MOBILE具有用于特定于设备的功能扩展端口和附加模块的连接,其中所有端口的电压通过内部可控电源单元提供(图3中红色部分)。至此硬件部分已经大致解析完毕,当然ACE实验室同样非常重视新系统的软件部分。这部分只有等上市后,实际测试之后才有机会评说,也是我们非常期待的部分。
结语:
由标准接口读取正常设备数据—JTAG等接口读取部分损坏设备数据—通用测试座芯片直读损坏严重设备数据,这是一个由易到难的逐步深入的处理过程。同时我们应该看到移动手机技术日新月益(比如eMMC之后的UFS等);ACE实验室在数据恢复等领域亦浸淫多年,所以对用户来说,PC-3000 MOBILE既值得期待同时前路又充满挑战。
附:智能手机数据恢复导图