2016-01-21 11:37:47 570浏览
在目前生活中,随着移动设备在过去的几年里有了很大的发展。曾经手机只是简单地被用于打电话,随着技术的不断成熟,手机也具备了收发短信、创建日常事务提醒和保存联系人的功能。比如有人丢失手机,或手机损坏,这时对于移动手机用户取证审查者来说,最重要的是了解各种类型的移动取证T具以及它们能够恢复的数据。因此分级系统提供了一个框架,并能够帮助审查者识别不同工具间的区别。下面我们一起来一起看一下吧。
1、人工提取:人工提取的方法是指通过操作设备的键盘来浏览屏幕,直接查看手机上的数据内容。发现的信息需要手工记录(通常用数码相机)。在这个级别,不可能恢复已经被删除的信息。也有一些工具帮助研究人员更容易地将手工获取的信息记录下来。这些工具捕获设备上展示的内容,然后进行数字化处理,以便以后查找和存储。
2、逻辑提取:一般通过电缆线将移动设备与装有特殊软件的取证硬件或者取证工作站连接起来。审查者也可以选择用蓝牙代替电缆线。一旦连接上后,软件工具通过调用命令去请求并提取设备上的已分配文件。如Brothers解释的那样,计算机启动命令并发送到设备上,设备的处理器会解释这个指令,然后即可在设备的内存中检索所要获取的数据并发回给取证工作站由审查者审查。当前大多数iOS开发课程里都会对取证工具讲诉一遍。
3、十六进制转储:十六进制转储通常称为“物理提取”,相比较前面两个级别来说,它提供了更多的数据给研究人员。执行这种类型的取证时,一般通过电缆线将设备和取证工作站连接起来。有时,也通过设备的数据端口JTAG(内部测试连接)或者Wi-Fi将设备连接到电脑上。这种类型不再通过电脑启动命令,而是将未签名的代码植入到设备上(通常是植入到内存中),命令手机将用户数据复制到电脑上。生成的数据被复制、传输,并且作为原始磁盘映像存储起来。因为生成的映像是二进制格式,此级别要求分析者拥有这方面的专业技能知识。
4、芯片拆解:芯片拆解是指从设备的内存芯片中直接获取数据(鉴于iPhone采用的是NAND闪存内存)。将芯片通过物理手段从设备中拆卸下来,并且利用芯片读取器提取存储的数据。Brothers指出,这种提取类型类似于用传统的硬盘映像技术从计算机或笔记本电脑中映像硬件驱动器。如金字塔模型中描述的那样,这种方法比起人工提取、逻辑提取或者十六进制转储获取技术更具技术挑战。在这个级别,对研究者的技能知识要求非常广,取证获取的时间也非常长。如此高要求的原因,主要由于以下几个方面:多样化的芯片类型、大量原始的二进制数据格式,以及提取过程中导致芯片物理损坏的风险。
5、微码读取:此方法涉及人工查看数据以及解释内存芯片上的数据。通过分析芯片上的物理电平门限值,审查者可以将0和l翻译为ASCII字符。这个方法要花费大量的时间和成本,并且要求分析者对闪存内存和文件系统的所有方面都了如指掌。目前还没有商用工具支持对Apple设备进行微码读取。
全国免费咨询热线
邮箱:codingke@1000phone.com
官方群:148715490
15311698296
