• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Извлечение физики с устройств на базе qualcomm с использованием Oxygen Forensic Detective и Cellebrite UFED touch 2

Имеем на руках Xiaomi Redmi 5 plus на базе Qualcomm Snapdragon 625 msm8953.

Для извлечения данных на уровне физики была использована уязвимость процессора, для ее реализации смартфон необходимо перевести в режим EDL (Emergency Download Mode – EDL).

Снимаем крышку смартфона, находим необходимые тест-поинты. На данной модели они расположены здесь:

1627806597519.png


Замыкаем тест-поинты (пинцетом, скрепкой и т.п.), подключаем девайс к ПК. Устройство должно определиться как Qualcomm HS-USB QDLoader 9008 (для этого предварительно устанавливаем необходимый драйвер).
Запускаем Мобильный криминалист, создаем дело, выбираем Extract device data.

1627807007277.png


Выбираем Qualcomm EDL dump.

1627806640203.png


Читаем инструкцию, подтверждаем, нажимаем далее.

1627806653451.png


На этом этапе выбираем firehose файл, либо выбираем автоматическое подключение.

1627806674097.png


Начинается процесс извлечения.

1627806685961.png


После извлечения дампа памяти, программа переходит к этапу извлечения ключей шифрования, ибо без данных ключей, при анализе дампа, мы получим только не шифрованные разделы, пример ниже:

1627806703728.png


После извлечения дампа устройство переходит в обычный режим. Переподключаем устройство в EDL режиме. Читаем инструкцию, нажимаем далее.

1627806728906.png


Первые три операции проходят без нашего участия, после которых отключаем устройство - откидываем батарею, тем самым устройство выйдет из EDL режима.

1627806745849.png


Одновременно зажимаем кнопку запуска и подключаем девайс к ПК, держим кнопку запуска до появления лого андроида.

1627806756771.png


Ждем, получаем положительный результат.

1627806770636.png

1627806781795.png


Открываем полученный образ, начинается анализ.

1627806795586.png


По итогу проделанных операций получаем вот такой результат:

1627806819084.png


Так же аналогичная задача была со смартфоном Xiaomi Redmi note 4 на базе Qualcomm Snapdragon 625 MSM8953. Что интересно, данный аппарат ни в какую не отдавал ключи шифрования, по аналогичной схеме, проблема была на этапе запуска аппарата во время извлечения ключей, сам аппарат не запускался и сигналил красным цветом светодиода на стороне экрана.

Поэтому я использовал селебрейт.

1627806849860.png


Запускаем Touch 2

1627806863101.png


Переходим по менюшкам Мобильное устройство — обзор — Generic Decrypting Qualcomm EDL.

1627806883097.png

1627806894091.png

1627806900734.png

1627806913535.png


Далее аппарат был подключен описанным выше способом, после чего была произведена попытка извлечения, которая потерпела неудачу.

В итоге был найден способ правильного подключения смартфона к Touch 2, а именно - подключение аппарата кабелем, после чего ждем, пока появится лого зарядки на экране смартфона, экран должен погаснуть. Замыкаем тест-поинты и нажимаем кнопку питания на телефоне - смартфон переходит в EDL режим.

1- Switch OFF the device
2- Connect the device to UFED
3- Wait for the LCD display the battery Logo charging and then LCD switch OFF
4- Shortcut the Test Points and press Power ON to get [Continue]

После чего начинается процесс извлечения.

1627806937956.png


Далее полученный образ был проанализирован оксигеном, в результате чего был получен аналогичный результат.
 

Вложения

  • 1627806618654.png
    1627806618654.png
    64,3 КБ · Просмотры: 356
Последнее редактирование модератором:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!