原创内容,转载请注明: [http://www.ssdfans.com] 谢谢!
作者 Modder
给SSD Fans原创投稿,拿>=100元稿费
我们知道对于手机,物理分析相较逻辑分析可以提供更多数据给取证人员。这是海外关于手机取证的7个层级的表述,物理分析(橙色)部分提到了四项内容。
其中JTAG和ISP分析方法,对操作手法要求高,在海外培训中,一般会建议先JTAG,后ISP(下图来自Teel Tech ),在该部分焊点如果出现问题会对移动终端造成严重后果。故建议由受过专业培训的人员进行操作。
拆焊获取是将存储芯片拆离手机,直接对芯片进行分析,获取镜像的方法。一般会通过精密焊台或热风枪将芯片拆下,然后清理表面,并通过植球,之后将芯片安到芯片读取设备上。芯片读取设备可通过淘宝购买(图taobao),如果焊工过关,芯片拆焊的成功率还是比较高的。不过由于对原设备具破坏性,且需设备投入,人员部分要求亦高。
DD命令可以精确制作存储数据的镜像,因此DD生成的镜像格式成为数据取证众所周知的镜像格式。在手机上进行镜像操作前,手机需要进行root操作;之后安装busybox;再配合取证操作系统即可进行镜像操作。
以下为操作示例
1.adb devices 查看连接手机
2.adb shell busybox 查看管道工具
3.adb shell mount 取得挂载点
4.adb forward tcp:5555 tcp:5555 设置端口映射
5.adb shell su 进入手机shell取得root权限
6.busybox nc -l -p 5555 -e dd if=data挂载点位置 手机开端口等待镜像
7.nc 127.0.0.1 5555 > data.img 将镜像拉回本地
8.后续可使用R-STUDIO等工具分析镜像文件
此外我们还用lsusb命令查看了连接手机的信息
同时进入手机查看了设备的信息
最后总结一下,首先应该先尝试简单.低风险的数据采集方式(比如逻辑分析方式);如果未达效果,再尝试更进一步的方法(比如dd方式等)。JTAG和ISP.以及芯片拆焊的操作应由经验丰富的人员操作,并且应始终非常小心。
喜欢就请分享转发!
怎么阅读ssdfans其他文章?进入www.ssdfans.com ,用搜索框搜索关键字即可。
不想错过后续精彩文章?长按或扫描下面二维码关注ssdfans就可以了!
ssdfans微信群介绍
技术讨论群 覆盖2000多位中国和世界华人圈SSD以及存储技术精英
固件、软件、测试群 固件、软件和测试技术讨论
异构计算群 讨论人工智能和GPU、FPGA、CPU异构计算
ASIC-FPGA群 芯片和FPGA硬件技术讨论群
闪存器件群 NAND、3D XPoint等固态存储介质技术讨论
企业级 企业级SSD、企业级存储
销售群 全国SSD供应商都在这里,砍砍价,会比某东便宜20%!
工作求职群 存储行业换工作,发招聘,要关注各大公司招聘信息,赶快来
高管群 各大SSD相关存储公司高管和创始人、投资人
想加入这些群,请微信扫描下面二维码或加nanoarch为微信好友,介绍你的姓名-单位-职务,注明群名,拉你进群。
| 企业级 | |
责任编辑:
