В приведенной статье описан способ получения информации с мобильного устройства при помощи самого сложного с технологической точки зрения метода — Chip-off. На конкретном примере рассмотрены достоинства и недостатки данного метода.
2. Извлечение информации с мобильного устройства методом Donator
4. Извлечение данных из чипа памяти
Введение
В предыдущей статье («Получение данных с мобильных устройств с помощью интерфейса отладки JTAG») мы остановились на методе извлечения данных из памяти мобильных устройств Chip-off.
Данный метод основан на выпаивании чипа памяти из мобильного устройства, после чего с помощью специального оборудования и программного обеспечения считываются данные. Полученные данные в последующем нужно обработать.
Chip-off является самым сложным методом извлечения данных из мобильных устройств. Но с его помощью возможно извлечь данные даже из таких устройств, откуда это сделать, кажется, невозможно.
Чипы памяти телефонов (eMMC) имеют такой же интерфейс, как и у карты памяти SD (только у eMMC шина данных 8-bit, а у SD-карты максимум 4-bit).
Все eMMC могут работать и на шине 1-bit. Однако в таком случае извлечение данных занимает много времени. Поэтому для извлечения данных из eMMC-чипов необходимо оборудование, как и для извлечения данных с SD-карт.
Рисунок 1. Чип памяти
Плюсы данного метода заключаются в возможности восстановления данных при сильном повреждении мобильного устройства. Стоит отметить, что у данного метода есть и минусы:
- для извлечения чипа требуется полная разборка устройства: это долго, а также зачастую приводит к потере работоспособности устройства;
- требуется дорогостоящее оборудование и достаточно дорогое ПО;
- отечественная практика при проведении КТЭ показывает, что должностные лица, осуществляющие следствие в рамках уголовного дела или проверки, скептически относятся к методу Chip-Off и редко идут на разрешение эксперту подобных мер;.
Извлечение информации с мобильного устройства методом Donator
Метод заключается в том, что из поврежденного мобильного устройства извлекается чип памяти и устанавливается в точно такое же исправное мобильное устройство. При этом решается сразу несколько сложных задач, с которыми пришлось бы столкнуться, используя метод Chip-off.
Перепайка чипа — очень сложная и трудоемкая работа. Существует вероятность стирания данных из-за воздействия высоких температур на чип или его механическое повреждение. Также нельзя исключать, что производитель мобильного устройства использует аппаратную защиту, которая при замене чипа памяти в устройстве сотрет все данные.
Перед тем как проводить исследование поврежденного мобильного устройства, целесообразно использовать аналогичное устройство, для этого необходимо поменять их чипы памяти местами и посмотреть на реакцию устройств. При использовании данного метода необходимо оборудование для реболлинга (инфракрасная паяльная станция) — это процесс восстановления шариковых выводов электронных BGA-компонентов. BGA — это разновидность корпуса интегральных микросхем, поверхностно монтируемых на электронной плате. BGA-выводы представляют собой шарики из припоя, нанесенные на контактные площадки с обратной стороны микросхемы.
Рисунок 2. Чип с шариковыми выводами для BGA
При исследовании поврежденного мобильного устройства следует обращать внимание на конструкцию его системной платы.
Например, известен случай, когда перед специалистами стояла задача исследования памяти телефона Samsung i9300, в который попала вода. Мобильный телефон с признаками окисления. Однако после демонтажа телефона было установлено, что системная плата состоит из нескольких частей. Часть системной платы с микросхемой памяти пострадала от воздействия среды меньше всего.
Для извлечения данных из телефона нужно использовать такой же экспериментальный телефон: заменить в экспериментальном телефоне часть системной платы с чипом памяти на часть, извлеченную из поврежденного телефона, и считать данные.
Специалист, собирающийся извлечь данные из чипа памяти мобильного устройства, должен пройти четыре этапа:
- Извлечение чипа.
- Извлечение данных из чипа памяти.
- «Сборка» дампа (корректная стыковка страниц памяти и исключение из дампа служебных областей).
- Декодирование дампа.
Извлечение чипа
Извлечь чип относительно просто: в большинстве случаев достаточно нагреть чип потоком горячего воздуха из паяльной станции и отделить чип от системной платы. На этом этапе очень важно не перегреть чип (это приведет к стиранию данных) и не повредить его механически. Повышать температуру горячего воздуха необходимо постепенно. Максимально допустимый порог — 380° С.
Рисунок 3. Нагрев чипа памяти при помощи паяльной станции
Если чип залит смолой, то для ее отделения можно использовать два метода:
- Химический: удаление смолы нагретым до 50° С ацетоном или диметилфомамидом.
- Термический: потоком горячего воздуха системная плата разогревается до 200° С, механически счищается максимальное количество смолы.
После этого чип разогревается до 255-260° С и механически отделяется от платы.
Рисунок 4. Извлечение чипа памяти после предварительного нагрева
Извлечение данных из чипа памяти
Данный этап не сложен при условии, что в распоряжении есть программатор с адаптером под нужный тип форм-фактора BGA-чипа. Хороший программатор с большим количеством адаптеров под различные BGA-чипы стоит около 70 тыс. руб.
На Aliexpress можно найти комплекты адаптеров для вычитывания данных из BGA-микросхем. Основное достоинство данных комплектов — это низкая цена. Из недостатков — возможность изменения данных в чипе в момент подключения или в процессе извлечения данных, а также отсутствие технической поддержки. Пример адаптера можно посмотреть тут.
Рисунок 5. Пример дешевого адаптера на Aliexpress
«Сборка» дампа
«Сборка» дампа сводится к исключению из страниц памяти служебных областей и корректной стыковке страниц памяти. В решении задач этого этапа хорошо помогают продукты ACE Laboratory. Они имеют большие базы знаний по структуре хранения данных в различных типах микросхем памяти и о разных контроллерах, используемых для управления данными, сохраненными на чипах. Также с их помощью удобно производить «сборку» дампа в ручном и автоматическом режиме.
Для оценки дампа, полученного на данном этапе, зачастую используют следующий тест:
Любое мобильное устройство содержит графические файлы. Это могут быть файлы, созданные пользователем, или графические файлы программного обеспечения. Принято считать, что данный этап был выполнен неправильно, если из полученного дампа нельзя восстановить графические файлы (или фрагменты изображений) размером более 2 Кбайт.
Наиболее мощной утилитой для анализа дампов микросхем памяти является UFED Physical Analyzer. Данное программное обеспечение содержит большое число готовых решений для анализа дампов памяти мобильных устройств. Также можно самостоятельно формировать алгоритм исследования дампа, используя готовые модули этой программы.
Выводы
В статье описан способ использования метода Chip-off на примере мобильного устройства. Применение данного метода позволит специалисту получать информацию с мобильного устройства в случае если использование интерфейса отладки JTAG не дало нужный результат.
Однако стоит отметить, что данный способ является сложным и требует от специалиста определенных навыков.