Kỹ thuật khai thác vật lý

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu kỹ thuật khai thác dữ liệu trên thiết bị điện thoại di động thông minh (Smartphone) phục vụ công tác phòng, chống tội phạm công nghệ cao (Trang 46 - 51)

2.3. Kỹ THUậT KHAI THÁC Dữ LIệU TRÊN Bộ NHớ TRONG CủA SMARTPHONE

2.3.2 Kỹ thuật khai thác vật lý

Hiện nay các công cụ khai thác dữ liệu thƣơng mại ngày càng phát triển và đổi có những đổi mới và mở rộng hỗ trợ điện thoại tăng khả năng phục hồi dữ liệu. Nhƣng trên thực tế có một số lƣợng lớn các thiết bị cần khai thác dữ liệu phục vụ cho công tác điều tra vụ án, điều này tiếp tục thách thức các nhà sản xuất tạo ra công cụ giám định với các chức năng thay thế cho thiết bị khai thác dữ liệu. Để đáp ứng yêu cầu này cung cấp khai thác dữ liệu bit – by – bit từ công cụ khai thác thƣơng mại ngày càng tăng, trong nhiều trƣờng hợp kỹ thuật khai thác vật lý không thể thực hiện đƣợc nếu không truy cập trực tiếp vào bộ nhớ. Ngoài ra, đối với các thiết bị hƣ hỏng hoặc thiết bị bị khóa mà vƣợt quá khả năng của các công cụ khai thác dữ liệu hiện nay. Vì vậy, kỹ thuật khai thác vật lý là giải pháp đáp ứng đƣợc các yêu cầu đảm bảo cho quá trình khai thác dữ liệu trong các trƣờng hợp này.

Kỹ thuật khai thác vật lý là kỹ thuật khai thác bằng phƣơng pháp đọc trực tiếp bộ nhớ

Thiết bị di động đƣợc kết nối qua một thiết bị phần cứng đặc biệt. Các kỹ thuật phần cứng đƣợc áp dụng nhƣ chip-off và JTAG hoặc phƣơng pháp bộ nạp khởi động (bootloader)

Ưu điểm

- Toàn bộ dữ liệu đƣợc khai thác.

- Áp dụng phƣơng pháp này cho trƣờng hợp điện thoại bị hỏng hoặc thiết bị không có giao diện.

Nhược điểm

- Khó thực hiện, rất khó để phân tích dữ liệu,

- Phần mềm khai thác dữ liệu đắt, cần thiết bị phần cứng riêng biệt để khai thác dữ liệu.

- Không an toàn cho dữ liệu đang hoạt động. Thành công của phƣơng pháp này phụ thuộc vào kinh nghiệm điều tra của kỹ thuật viên, một thao tác không chính xác trong kỹ thuật điều tra có thể phá hủy toàn bộ thiết bị và dữ liệu trong thiết bị điện thoại di động.

Trong kỹ thuật khai thác vật lý gồm ba phƣơng pháp:

1. Phương pháp khai thác dữ liệu qua giao diện JTAG

JTAG (Joint Test Action Group) là một tiêu chuẩn đƣợc sử dụng rộng rãi và đƣợc phát triển bởi IEEE trong đầu những năm 1990. Các tiêu chuẩn JTAG xác định một giao diện và các lệnh có thể đƣợc sử dụng để kiểm thử và gỡ rối của các thành phần phần cứng trong các thiết bị điện tử. JTAG hoạt động bằng cách thực hiện quét nhánh cận trên một thành phần nhất định, nhằm kiểm tra đầu vào, đầu ra kết nối tới các thành phần. JTAG có thể kiểm tra hoạt động chính xác của một thành phần nào đó và mối liên kết và tƣơng tác giữa các thành phần. Các tín hiệu đƣợc cung cấp nhƣ chân cắm bên ngoài trên các mạch chủ.

Tín hiệu Mô tả

TCK Kiểm tra đồng hồ đầu vào

TMS Kiểm tra chế độ lựa chọn đầu vào TDI Kiểm tra dữ liệu đầu vào

TDO Kiểm tra dữ liệu đầu ra

Bảng 2.1 Các tín hiệu JTAG trên bộ mạch chủ

Hệ thống kiểm thử hoạt động bằng cách cho phép đồng hồ điều khiển dữ liệu trong hai thanh ghi dịch chuyển, thanh ghi lệnh và thanh ghi dữ liệu của bộ điều khiển TAP. Các lệnh có thể đƣợc đọc hoặc thiết lập các giá trị của thanh ghi quét nhánh cận. Vì mỗi bit trong thanh ghi quét nhanh cận đƣợc ghép với chân bên ngoài của mạch chủ, vì vậy có thể sử dụng để thiết lập và đọc các giá trị đến/từ hệ thống bus.

Ý tưởng

Ý tƣởng của phƣơng pháp khai thác dữ liệu sẽ đƣợc đảm bảo toàn bộ hình ảnh của bộ nhớ flash với kiểm soát tối ta các thông tin liên lạc đến và đi từ chip nhớ. Toàn bộ hình ảnh của bộ nhớ flash sẽ đƣợc cung cấp cho kỹ thuật khai thác vật lý, dữ liệu đƣợc khai thác ở đây có thể: dữ liệu đã bị xóa, dữ liệu còn trong máy, ô nhớ dữ liệu trống. Điều khiển tất cả các giao tiếp đến bộ nhớ chip sẽ đƣợc đảm bảo không có dữ liệu bị thay đổi. Để có kết quả này, truy cập trực tiếp và truy cập ở cấp độ thấp đến bộ nhớ chip đƣợc yêu cầu. Ngoài ra, một phƣơng pháp khai thác dữ liệu có thể đƣợc cung cấp khôi phục dữ liệu đã bị xóa. Thƣờng kỹ thuật khai thác dữ liệu này áp dụng trên thiết bị “không hoạt động”, hoặc đã bị ngắt kết nối, các cổng com tiết kiệm chi phí sản xuất.

Khai thác dữ liệu trên bộ nhớ flash bằng phƣơng pháp JTAG

Input: một điện thoại cần khai thác dữ liệu, một trình gỡ rối (JTAG debugger), một phần mềm giám định cho phép phân tích hình ảnh bộ nhớ.

Hình 2.1 Mô hình khai thác dữ liệu với JTAG.

Các bước thực hiện khai thác dữ liệu bằng phương pháp JTAG

Bƣớc 1: Xác định tín hiệu JTAG trên PCB

Xác định tín hiệu JTAG nhƣ TDI, TDO, và TCK trên PCB bằng cách sử dụng cáp JTAG để kết nối với một điện thoại cần khai thác dữ liệu và một trình gỡ lỗi JTAG.

Bƣớc 2: Thiết lập trình gỡ lỗi JTAG

Thƣc hiện thiết lập trình gỡ lỗi thích hợp cho chipset của điện thoại cần khai thác dữ liệu. Đặt điện áp nhận tín hiệu JTAG của điện thoại cần khai thác dữ liệu vào trình gỡ lỗi. Và sau đó kiểm tra trình gỡ lỗi đã nhận đƣợc tín hiệu của điện thoại và làm việc chính xác.

Bƣớc 3: Dump dữ liệu nhị phân của bộ nhớ flash

Thực hiện dump dữ liệu bộ nhớ flash từ địa chỉ đầu tiên đến địa chỉ bằng kích thƣớc bộ nhớ flash. Thiết lập lệnh của bộ điều khiển của bộ nhớ flash NAND và địa chỉ register cuối cùng cho chipset. Dữ liệu bộ nhớ NAND trên điện thoại cần khai thác dữ liệu sẽ đƣợc dump vào các trang.

Ưu điểm

Phƣơng pháp này không yêu cầu một cap dữ liệu cụ thể và một trình điều khiển thiết bị cụ thể cho mỗi loại thiết bị di động. So sánh với công cụ giám định phần mềm đã có với phƣơng pháp này cho kết quả hình ảnh hoàn thành giám định bộ nhớ. Vì vậy với phƣơng pháp này luôn tìm thấy đƣợc dữ liệu cả dữ liệu mà tội phạm cố tình che giấu.

Với phƣơng pháp này nếu dữ liệu không ghi đè vào vị trí dữ liệu đã bị xóa thì thực hiện khôi phục dữ liệu đã bị xóa. Với những công cụ giám định phần mềm đã có có thể không đảm bảo việc phục hồi các dữ liệu đã bị xóa cho mỗi điện thoại của các hãng sản xuất khác nhau và các loại bộ nhớ khác nhau.

2. Phương pháp khai thác dữ liệu qua chip nhớ

Đây là một phƣơng pháp khai thác dữ liệu trên điện thoại di động thực hiện ở mức độ thấp và phức tạp. Phƣơng pháp này liên quan đến khai thác dữ liệu trên chip nhớ từ

thiết bị và đọc cấu trúc bộ nhớ. Kỹ thuật này không nên đƣợc sử dụng với trƣờng hợp thiết bị khai thác dữ liệu yêu cầu phải còn có thể hoạt động đƣợc.

Phƣơng pháp khai thác dữ liệu qua các chip nhớ từ điện thoại bằng cách đọc trực tiếp chip đây là phƣơng pháp khai thác dữ liệu chính xác nhất, nhƣng đây cũng là ƣu điểm của hầu hết phƣơng pháp khai thác trực tiếp.

Kết quả của phƣơng pháp khai thác qua chip là giám định toàn bộ đƣợc dữ liệu trong điện thoại, dựa trên các hệ thống giao tiếp tầng trung gian hoặc trên thiết bị với các các cách khác nhau. Đọc trực tiếp chip trả về cấu trúc bộ nhớ cho quá trình phân tích. Tuy nhiên, các tiếp cận này cũng gặp vấn đề tƣơng tự nhƣ khai thác JTAG, và sẽ trả về chỉ là cấu trúc bộ nhớ. Ngoài ra, phƣơng pháp khai thác dữ liệu này khá phức tạp và tỷ lệ thất bại liên quan nhiều yếu tố. Các tiếp cận này đƣợc coi không thực tế trong nhiều trƣờng hợp mà kết quả của phƣơng pháp này là không có lỗi hoặc khi truy tố không xảy ra.

Trong quá trình khai thác dữ liệu, các chip flash đƣợc đọc để khai thác dữ liệu. Những chƣơng trình thiết bị đƣợc thiết kế nhằm ghi dữ liệu lên các chip nhớ có thể sử dụng khai thác dữ liệu từ chip cho mục đích giám định. Phƣơng pháp khai thác này yêu cầu thiết bị điện thoại phải đƣợc tháo và chip đƣợc lấy ra từ bộ mạch chủ và đôi khi nó đƣợc gọi là chip off xử lý. Nhƣ vậy để thực hiện khai thác dữ liệu trên chip cần phải thiêt lập một kết nối giữa chip chƣơng trình khai thác dành riêng.

Các bước thực hiện kỹ thuật khai thác dữ liệu trên chip nhớ

Bƣớc 1: Chip đƣợc tháo khỏi bộ mạch chủ

Bƣớc 2: Đọc dữ liệu từ chip nhớ, với mỗi loại chip tiến hành đọc dữ liệu khác nhau. Ví dụ, chip NAND loại TSOP thƣờng thấy đầu mỗi thiết bị, thẻ SD, máy ghi âm kỹ thuật số bằng giọng nói, máy trả lời kỹ thuật số, và một số thiết bị cần khai thác dữ liệu, thƣờng là thiết bị dễ dàng cho phép tháo chip nhớ và thiết bị đọc chip. Quá trình khai thác dữ liệu trên chip nhớ đòi khỏi độ chính xác trong quá trình khai thác, nhƣng so với BGA thì TSOP dễ dàng đọc và khai thác dữ liệu.

3. Phương pháp khai thác dữ liệu qua bộ nạp khởi động (bootloader)

Khi một thiết bị đƣợc khởi động, mã đầu tiên đƣợc gọi đến đó là bộ nạp khởi động. Mã này có chức năng cơ bản giống BIOS trên các máy tính Intel. Trong quá trình sử dụng bình thƣờng của một thiết bị điện thoại di động, bộ nạp khởi động có chức năng nạp hệ điều hành cho phép ngƣời sử dụng tƣơng tác với các thiết bị. Tuy nhiên, bộ nạp khởi động

có thể bị ngắt trong quá trình khởi động làm cản trở đến nạp hệ điều hành và có thể sau đó đƣợc chỉ dẫn để thực hiện các hoạt động tùy chỉnh. Bằng các này, các công cụ giám định có thể sử dụng bộ nạp khởi động để có thể truy cập vào bộ nhớ trên thiết bị di động.

Bộ nạp khởi động là một thành phần của điện thoại di động đƣợc nạp khi điện thoại đƣợc bật hoặc reset. Một số nhà sản xuất điện thoại WM đã tùy chỉnh bộ nạp khởi động đƣợc cài đặt để thiết bị có thể đƣợc cập nhật, kiểm thử, hoặc bảo trì. Hầu hết các bộ nạp khởi động hạn chế chức năng vì có nguy cơ cao trong việc tấn công và nguy cơ cao gây thiệt hai cho thiết bị. Một ví dụ, bộ nạp khởi động trên HTC smart phone chạy WM6, và một chƣơng trình từ HTC đƣợc thiết kế giao tiếp với bộ nạp khởi động và có thể chụp hình ảnh của ROM. Kỹ thuật khai thác bộ nạp khởi động đƣợc áp dụng khai thác dữ liệu trên thiết bị HTC, bộ nạp khởi động của các nhà sản xuất khác nhau sẽ khác nhau.

Phƣơng pháp bộ nạp khởi động đã thực nghiệm thành công trên một số điện thoại mới. Tuy nhiên phƣơng pháp bộ nạp khởi động không thể áp dụng với mô hình hoặc thƣơng hiệu khác của smart phone.

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu kỹ thuật khai thác dữ liệu trên thiết bị điện thoại di động thông minh (Smartphone) phục vụ công tác phòng, chống tội phạm công nghệ cao (Trang 46 - 51)

(85 trang)