Bước 8: Các tập tin info.xml hiện diện trong cùng một thư mục cung cấp thông tin về
các thiết bị bao gồm số IMEI, IMSI, phiên bản Android, các thông tin về các ứng dụng được cài đặt, và nhiều hơn.
3.3.3 Trích xuất dữ liệu vật lý
Khai thác dữ liệu Android qua các kỹ thuật vật lý (dựa trên phần cứng) chủ yếu liên quan đến hai phương pháp: JTAG và Chip-off. Những kỹ thuật này thường khó thực
99
hiện và yêu cầu độ chính xác cao và kinh nghiệm để thử chúng trên các thiết bị thực tế trong quá trình điều tra. Các phần sau sẽ cung cấp một cái nhìn tổng quan về những kỹ thuật này.
3.3.3.1 Kỹ thuật JTAG
JTAG (Joint Test Action Group) đề cập đến việc sử dụng các phương pháp thu
thập dữ liệu tiên tiến, trong đó liên quan đến việc kết nối với cổng cụ thể trên các thiết bị và hướng dẫn xử lý để chuyển dữ liệu được lưu trữ trên thiết bị. Bằng cách sử dụng phương pháp này, một hình ảnh vật lý đầy đủ của một thiết bị có thể được trích xuất
Quá trình JTAG thường bao gồm các bước sau đây:
Bước 1:Trong JTAG, các cổng thiết bị thử nghiệm Access (TAPs) được sử dụng để
truy cập CPU của thiết bị. Xác định các TAPs là bước chính và quan trọng nhất. TAPs được xác định và kết nối được truy nguồn từ CPU để tìm ra các pad chịu trách nhiệm cho mỗi chức năng. Mặc dù nguồn lực sản xuất thiết bị tài liệu về sơ đồ JTAG của một thiết bị đặc biệt, họ không được phát hành cho xem chung. Một trang web tốt cho JTAG trên thiết bị Android là http://www.forensicswiki.org/wiki/JTAG_Forensics.
Bước 2: Dây dẫn sau đó được hàn vào chân connector thích hợp và đầu kia được kết
nối với các thiết bị có thể điều khiển CPU, như thể hiện trong hình dưới đây (xuất bản bởi www.binaryintel.com). Jigs JTAG có thể được sử dụng để bỏ hàn cho các thiết bị nhất định.
100