Статья Криминалистическая экспертиза мобильных устройств - порядок проведения

Voron

Voron

Grey Team
26.02.2019
82
236
Содержание статьи:
  1. Представление объекта на экспертизу
  2. Идентификация объекта
  3. Подготовка к исследованию
  4. Изоляция объекта
  5. Извлечение данных
    • Ручное извлечение данных
    • Извлечение данных на логическом уровне
    • Извлечение данных на физическом уровне
    • Извлечение данных из интегральной схемы памяти или «Chip-off»
    • Извлечение данных на микроуровне
  6. Верификация полученных результатов
  7. Составление заключения
Трудно переоценить значимость криминалистического исследования мобильных устройств. Буквально каждые полгода на рынок выходят всё новые и новые модели, многие из которых хранят массу данных о пользователе и его действиях. Эти данные могут представлять интерес для следственных органов, органов дознания и суда при расследовании самых разнообразных правонарушений.

Мобильные устройства, в частности сотовые телефоны, используются при совершении преступлений достаточно давно. Однако криминалистический анализ данных, которые они содержат, является сравнительно молодым направлением компьютерной криминалистики или форензики. Это ответвление обусловлено тем, что традиционные методы форензики не всегда могли быть применены к мобильным устройствам, что обусловило необходимость разработки новых методик для их исследования и изучения.

Форензика – это прикладная наука о раскрытии преступлений, связанных с компьютерной информацией. Об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. А криминалистическое исследование мобильных устройств или мобильная криминалистика – это подраздел форензики, занимающийся поиском, извлечением и фиксацией цифровых доказательств, имеющихся в мобильных устройствах, таких как сотовые телефоны, смартфоны, планшеты и др.

Необходимо отметить, что подавляющее количество цифровых носителей информации, поступающих в судебные лаборатории, составляют именно мобильные устройства - более 70% от общего числа поступивших устройств, а в отдельных лабораториях, более 95% от общего числа. К тому же, с течением времени, значительно меняются требования сотрудников следственных органов к качеству и количеству извлекаемой из мобильных устройств информации. К примеру, если десять-пятнадцать лет назад следователя устраивало, что эксперт извлекал из мобильного устройства: вызовы, контакты, SMS-сообщения, то сейчас, обязательным условием экспертного исследования мобильного устройства является поэтапное восстановление удаленной информации, извлечение истории обмена сообщениями в различных мессенджерах, истории совершения платежей в различных платежных приложениях, извлечение геоданных и т.п. К большому сожалению не все категории этих данных, даже при условии наличия их в мобильном устройстве, доступны для извлечения. Прежде всего, это связано с аппаратными и программными особенностями хранения данных в конкретном мобильном устройстве конкретного производителя.

Профессиональные аппаратно-программные комплексы для проведения исследований очень дороги, однако существуют и бесплатные инструменты, сведения о которых будут приложены в конце статьи.

Сам процесс получения цифровых доказательств из мобильных устройств состоит из семи стадий:

1. Представление объекта на экспертизу

На данном этапе следственным органом (органом дознания, судом) готовится постановление о назначении компьютерной (компьютерно-технической) экспертизы, которое впоследствии поступает в экспертное учреждение вместе с объектом исследования. Необходимо отметить важность предварительного согласования вопросов, ставящихся на разрешение эксперту, следственным органом. Кроме того, необходимо удостовериться в отсутствии повреждений упаковки объекта, а также соответствии представляемых на экспертизу объектов тем, что указаны в постановлении о назначении экспертизы.

2. Идентификация объекта

Эксперт, которому поручено производство экспертизы, предварительно сфотографировав упаковку, извлекает из нее поступивший на исследование объект. Производится сопоставление извлеченного из пакета устройства с устройством, указанным в постановлении о назначении экспертизы. Фиксируется производитель, модель и серийный номер устройства, IMEI, а также иные индивидуальные особенности - цвет, тип корпуса, повреждения и т.д. Устанавливается наличие в корпусе мобильного устройства SIM-карт и карт памяти.

3. Подготовка к исследованию

Необходимая для этой стадии информация уже собрана экспертом при идентификации объекта. Получив сведения о производителе и модели, криминалист может найти и изучить документацию на устройство, подобрать соответствующий кабель, программное обеспечение, необходимое для проведения исследования, в том числе драйверы, необходимые для взаимодействия мобильного устройства с рабочей станцией эксперта. При выборе программного обеспечения необходимо руководствоваться задачами исследования, ресурсами, находящимися в распоряжении экспертно-криминалистического подразделения, типом мобильного устройства, а также наличием в нем сменных носителей информации.

4. Изоляция объекта

Большинство мобильных устройств взаимодействуют с сетями сотовой связи и иными через «Bluetooth», ИК-порт и Wi-Fi-модуль. На данной стадии эксперт изолирует устройство от всех этих сетей. Это позволяет избежать внесения изменений в данные, имеющиеся в памяти устройства, например, входящими вызовами, SMS-сообщениями и т.п. Кроме того, некоторые устройства поддерживают удаленный доступ, воспользовавшись которым подозреваемый может уничтожить цифровые доказательства. Для этих целей может быть использована, например, клетка Фарадея, которая экранирует устройство от внешних электромагнитных полей. Кроме того, большинство смартфонов и планшетных компьютеров имеют встроенный режим «В самолете», который также позволяет отключить устройство от всех сетей.

5. Извлечение данных

Изолировав мобильное устройство от сетей, эксперт приступает к непосредственному извлечению и анализу данных посредством избранного программного обеспечения (и аппаратно-программных комплексов). Необходимо отметить, что внешние носители информации (карты памяти) должны исследоваться отдельно, так как существует вероятность внесения изменений в данные, хранящиеся на ней, во время исследования мобильного устройства. При исследовании карт памяти необходимо применять традиционные методы компьютерной криминалистики, которые позволяют сохранить исследуемую компьютерную информацию в первозданном виде.

Разберемся более подробно с уровнями извлечения данных. Существует пять основных уровней извлечения данных из мобильных устройств, каждый из которых имеет свои недостатки и преимущества. Данные уровни были представлены Сэмом Бразерсом, в 2009 году, в виде пирамиды, по мере приближения к вершине которой методы становятся более сложными с технической стороны, правильными с точки зрения криминалистики и наукоемкими. Пирамида, иллюстрирующая все пять уровней извлечения данных из мобильных устройств представлена на рисунке.

1.1.jpg


Рисунок. Уровни извлечения данных из мобильных устройств

Ручное извлечение данных

Данный уровень подразумевает обеспечение доступа к компьютерной информации, имеющейся в памяти мобильного устройства, посредством его клавиатуры или сенсорного экрана. Обнаруженная в ходе исследования информация документируется путем фотосъемки экрана телефона или планшета. Данные метод является наиболее простым и подходит для любого устройства. Важно отметить, что на данном уровне невозможно получить все данные, а также произвести восстановление удаленных файлов и записей. Несмотря на кажущуюся простоту данного метода, некоторые типы данных например, сведения об электронной почте, хранимой в мобильном устройстве фирмы Apple, возможно получить только данным способом.

Извлечение данных на логическом уровне

Данный уровень подразумевает подключение мобильного устройства к рабочей станции эксперта посредством USB-кабеля, ИК-порта или «Bluetooth». После этого производится побитовое копирование файлов и каталогов, находящихся на логических дисках мобильного устройства. При этом используется интерфейс прикладного программирования, разработанный производителем и предназначенный для синхронизации телефона или планшета с персональным компьютером. Тем не менее, данный уровень извлечения данных также обеспечивает ограниченный доступ к компьютерной информации, и не позволяет восстановить удаленные данные. Исключением могут служить удаленные записи из баз данных SQLite, использование которых характерно для операционных систем iOS и Android. Стертые записи в указанных базах данных не перезаписываются сразу, а помечаются как «удаленные» до тех пор, пока место, занимаемое ими, не понадобится для записи новых данных. Также, на этом уровне возможно извлечение баз миниатюр, содержащих миниатюры графических и видео файлов, содержащихся в устройстве, в том числе, и удаленных файлов данных типов.

Извлечение данных на физическом уровне

Этот уровень подразумевает получение побитовой копии всей внутренней памяти мобильного устройства, что позволяет, в том числе, восстановить удаленные записи и файлы. Несмотря на привлекательность данного метода, осуществить извлечение данных на этом уровне представляется возможным далеко не всегда: производители зачастую ограничивают возможность чтения внутренней памяти мобильного устройства в целях обеспечения максимальной безопасности. Чтобы обойти данные ограничения, разработчики программного обеспечения для криминалистического исследования мобильных устройств разрабатывают собственные загрузчики, которые позволяют не только получить доступ к внутренней памяти, но и, иногда, обойти пароли, установленные пользователями.

Извлечение данных из интегральной схемы памяти или «Chip-off»

Данный уровень подразумевает извлечение данных непосредственно из интегральной схемы памяти мобильного устройства. Интегральная схема извлекается из телефона или планшета и помещается в соответствующее устройство для чтения или аналогичное мобильное устройство. Использовать данный метод достаточно сложно, так как интегральные схемы памяти, используемые в производстве мобильных устройств, весьма разнообразны. Преимуществом же извлечения данных на этом уровне является возможность получить компьютерную информацию даже из памяти неисправных мобильных устройств.
Отдельного внимания заслуживает метод извлечения данных из интегральной схемы памяти посредством отладочного интерфейса JTAG - Joint Test Action Group. Устройство подключается через порт тестирования TAP и его процессор получает команду на копирование данных, имеющихся на интегральной схеме памяти.

Извлечение данных на микроуровне

Данный процесс подразумевает изучение интегральной схемы памяти посредством электронного микроскопа и последующее преобразование полученных данных сначала в последовательность нулей и единиц, затем – ASCII-символы. Данный метод не нашел широкого применения ввиду его высокой стоимости и наукоемкости.

6. Верификация полученных результатов

К сожалению, довольно часто программные продукты, предназначенные для криминалистического исследования мобильных устройств, извлекают данные не полностью. Поэтому верификация полученных в ходе исследования цифровых улик является неотъемлемой частью производства судебной экспертизы.

Существует несколько способов верификации полученных результатов. К наиболее распространенным относятся следующие:
  • сравнение полученных в ходе исследования данных с данными, отображающимися мобильным устройством;
  • сравнение полученных данных с данными в шестнадцатеричном представлении, имеющимися в побитовой копии внутренней памяти мобильного устройства;
  • использование нескольких программных продуктов при извлечении данных из мобильного устройства и последующее сравнение полученных результатов.
7. Составление заключения

Заключение должно содержать:
  • дату и время начала и окончания исследования;
  • сведения о физическом состоянии мобильного устройства, фотографии его внешнего вида, наклейки с идентифицирующей его информацией, а также SIM-карты и карты памяти (если имеются);
  • сведения о состоянии телефона, в котором он поступил на экспертизу (включен/выключен);
  • сведения о производителе, модели и других идентификационных данных устройства;
  • сведения об используемом при производстве экспертизы программном обеспечении;
  • сведения о методиках, используемых при производстве экспертизы;
  • сведения о категориях данных, обнаруженных в ходе исследования и их содержании.
Окончательные выводы, к которым эксперт пришел по итогам производства судебной экспертизы, должны быть краткими и однозначными, четко соответствовать поставленным вопросам.

ПРИЛОЖЕНИЕ: Бесплатные инструменты для проведения криминалистического исследования мобильных устройств: Ежегодный список, предоставлен cybersecurity & computer forensics company.

 
GlowFisch

GlowFisch

Well-known member
26.01.2019
75
70
Много теории - это хорошо. А есть практика?
Работали с UFED? Какие экспертизы назначаются? Вопросы на экспертизу какие? Какое ПО используют эксперты? Какие железяки?

Уважаемый, Автор! Хочу отметить, что в моем сообщении не было смысла на унижение либо иное оскорбление вашего труда. У вас интересная работа, но ее можно сделать еще более полезной, рассмотрев данные вопросы. Рекомендую вам почитать информацию в интернете и ее систематизировать. Не советую читать криминалистическую литературу. Зачастую там (если рассматривать ученых-криминалистов) неграмотная гуманитарная ерунда, неправильные классификации программ и.т.д.
Можете для разнообразия добавить нормативных актов, дабы расписать процессуальную составляющую механизма криминалистического исследования.


Хочу добавить:
При производстве предварительного расследования (будь то или ) следует отличать и .
Специалист - обладает специальными знаниями и делает заключение специалиста.
Эксперт - тоже обладает специальными знаниями и делает экспертное заключение.

Каждый из них подлежит уголовной ответственности по за ложное заключение.
нам разъясняет разницу между заключением специалиста и эксперта.

Заключение эксперта - представленные в письменном виде содержание исследования и выводы по вопросам, поставленным перед экспертом лицом, ведущим производство по уголовному делу, или сторонами.
Заключение специалиста - представленное в письменном виде суждение по вопросам, поставленным перед специалистом сторонами.

Таким образом, 1) эксперт объективен, специалист - субъективен. 2) По юридическому весу - эксперт круче. 3) эксперт более связан в рамках инструментов - каждое ПО указывается при исследовании, необходимо лишь лицензионное обеспечение. Также эксперт указывает как, где и что он нашел. 4) выше головы эксперт не прыгнет, если нельзя ВЗЛОМАТЬ IOS 12 или WINDOWS 202020202, то он этого не сделает!!!

Эксперт - это не обязательно программист! Это возможно всего лишь человек, знакомый с computer science.
Присоединяюсь к остальным участникам - где конкретика? Примеры? Совершенно очевидно для всех более менее знакомых с данным вопросом, что современные аппараты с подобным подходом не обработать. Чип оф? Ну допустим удалось корректно снять микросхему памяти и смонтировать её на ридер, и что? Все данные давным давно аппараты шифруют. Подключить к некой железяки, которая заменит загрузчик? Пожалуй все брендовые, да и большинство современного китайского хлама идут с заблокированными загрузчиками. Если обратиться к зарубежным форумам пользователей ufed и подобным комплексам, то окажется, что даже при космической стоимости данных агрегатов, они по сути делают то, что делает ручками рядовой труженник сервисного центра с помощью magicbox, и аналогичных приблуд. А то, что не поддается, то и дорогущие системы не берутся вскрыть. Но, вопрос у меня в другом. Известно, что в реальных условиях, есть, скажем так некоторые службы, которые данный вопрос решают иначе, и при этом быстро, любые аппараты и без перечисленных сложностей, дороговизне и т.д. Речь идет о фейковой вай фай точке, с запущенным сервером иммитирующим гугл(эйпл), откуда поступает команда на разблокировку аппарата. И далее им уже работают без каких либо ограничений. Детали софта не скажу, но суть предельно проста и многим понятно, я думаю. Всё делается на базе любого ноута или нетбука.
Идея с гугл плэй интересна. Но где взять сертификаты? самоподписанные не прокатят... Соединения же ssl.
Кстати, что более интересно для изучения - фейковое обновление (замена) приложения Android на приложение с отключенной проверкой сертификатов - тогда можно будет прослушать трафик.
 
Последнее редактирование модератором:
  • Нравится
Реакции: Flyga и Voron
mrOkey

mrOkey

Red Team
14.11.2017
678
739
Что хорошего в теории написанной максимально сухо, нуднее чем в учебнике? Я бросил читать на втором абзаце.
 
W

westman

New member
20.07.2018
2
8
Присоединяюсь к остальным участникам - где конкретика? Примеры? Совершенно очевидно для всех более менее знакомых с данным вопросом, что современные аппараты с подобным подходом не обработать. Чип оф? Ну допустим удалось корректно снять микросхему памяти и смонтировать её на ридер, и что? Все данные давным давно аппараты шифруют. Подключить к некой железяки, которая заменит загрузчик? Пожалуй все брендовые, да и большинство современного китайского хлама идут с заблокированными загрузчиками. Если обратиться к зарубежным форумам пользователей ufed и подобным комплексам, то окажется, что даже при космической стоимости данных агрегатов, они по сути делают то, что делает ручками рядовой труженник сервисного центра с помощью magicbox, и аналогичных приблуд. А то, что не поддается, то и дорогущие системы не берутся вскрыть. Но, вопрос у меня в другом. Известно, что в реальных условиях, есть, скажем так некоторые службы, которые данный вопрос решают иначе, и при этом быстро, любые аппараты и без перечисленных сложностей, дороговизне и т.д. Речь идет о фейковой вай фай точке, с запущенным сервером иммитирующим гугл(эйпл), откуда поступает команда на разблокировку аппарата. И далее им уже работают без каких либо ограничений. Детали софта не скажу, но суть предельно проста и многим понятно, я думаю. Всё делается на базе любого ноута или нетбука.

Все эти боксы, ящики и чемоданы по цене доходят до 100 к уе, но эффективность смешная, а рассчитаны они на следственные органы. Спецслужбы если будут так тыкаться, то ничего не получат. А история про айфон - комплекс селебрите им не помог тогда, и эйпл якобы пошла на сотрудничество, хотя мы то знаем, что всё это не более чем рекламный ход, мол эйпл не делится инфой! Бред для детей и наивных америкосов. Все, всем делятся, иначе их прикроют моментально. Сертификаты? Их продают, покупают, используют уязвимости. Опять же, если исходить из того, что абслютно любой метод сокрытия или шифрования информации в обязательном порядке подлежит сертификации, то внедрение бэкдоров является само собой разумеешемся делом. Таким образом, сертификаты, сквозное шифрование и т.д, всё это не более чем пи ар ход и защита от детишек.

Где-то видел статью про UFET, была ссылка на контракт, на несколько миллионов на закупку UFET СК России
Да, было где-то такое, но это лишь красивый кейс с набором кабелей и ноутбуком, по цене хорошего автомобиля.

Касаемо этой темы в целом, то следует разграничивать методы доступа к аппаратам, исходя из целей. К примеру, следственным органам нужно получить инфу в рамках действующего законодательства, с соблюдением процедуры предусмотренной процессуальным правом и иными инструкциями. Для этих целей и создаются всяческие уфед, селебрити, мобильный детектив и ещё ряд комплексов. По сути они лишь автоматизируют и систематизируют извлечение информации из добытых устройств. Но получить доступ к заблокированному и зашифрованному устройству они никак не помогут(а блокировка и шифрование уже давно стало фукцией по умолчанию). В тоже время, спецслужбам неважно соблюдение процессуальных норм, их цель как можно скорее получить информацию и среагировать, а для этого используются иные ресурсы, к примеру метод о котором я сказал в предыдущем сообщении. Это не является тайной и на тематических форумах можно встретить обсуждение в том числе этих методов. Суть всех дорогущих кейсов в том, чтобы подключить разблокированный телефон, нажать на кнопочку в кейсе и ловить в принтере красочные отчеты о деятельности пользователя. А когда в сми говорят о том, что органы не могут вскрыть айфон, потому что пароль не говорят. Ну это вызывает улыбку у любого адекватного человека. Даже если не заморачиваться с технической стороной вопроса, у америкосов существует привентивное заключение, когда без вины и приговора можно любого поместить пожизненно в гуантаномо подобное заведение. Дабы стимулировать память на пароль к айфону, и платить ничего не надо.

В качестве дополнения всех слов изложенных выше, было бы справедливо упомянуть о том, что чудес не существует, а деньги рулят многими процессами в нашем мире. И касаемо обсуждаемой темы тоже. Сам был неоднократно очевидцем ситуации, когда владельцы телефона озвучивали круглые суммы, сопоставимые с ценой квартиры, только за то, чтобы выудить всю инфу из разбитого но частично работающего телефона. И никакие способы не помогали. Плюс к этому нельзя забывать, что огромные деньги фигурируют в бизнесе по продаже всяких китайских приблуд, боксов, подписок на обновление. И если бы существовали бы технические способы тупого подключения аппарата и извлечения инфы, то наши китайские товарищи давно ими бы торговали, но пока те же китайцы выпускают те же боксы в ином оформлении под брендами уфед'ов, селебрити.. А серьезные конторы идут по пути - кто нагнул гугл(эйпл), тот поимел все устройства. А методы уже зависит от серьезности этих контор.

Что старая, что новая селебрит чудо бокс, а конкретика отсутствует. Где демонстрация того, как берется аппарат заблокированный с андроид 7+ и с помощью подключения к чудо машине вдруг вся блокировка и шифрование преклоняются, превращаясь в чудесные отчеты? Это не более чем рекламный ролик, к действительности не имеющий никакого отношения, а существует лишь потому что агрегат не очень распространён в народе. Особенно интересная реакция подобных боксов, когда к ним подключают no name китайские аппараты. Вот если бы где показали, скажем тест линейки подобных боксов, в реальных полевых условиях. Неделя в обычном сервисном центре, на примере работы с реальными аппаратами.

Да, я в курсе не по наслышке о подобных устройствах. И опять повторюсь - далой рекламу! Примеры в студию! Простейший тест, на видео, буквально 15 минут. Допустим 10 современных моделей смартфонов, зашифрованы, на пин коде. Китайцев (например xiaomi), no name, iphone10, samsung, nokia. Типа таких. И на видео демонстрация их подключения и результат. Это будет лучше всяких слов. А вверху видеоряда, хорошо бы указать цену на сие устройство.
 
  • Нравится
Реакции: Andhacker
Voron

Voron

Grey Team
26.02.2019
82
236
Что хорошего в теории написанной максимально сухо, нуднее чем в учебнике? Я бросил читать на втором абзаце.
Вы же знаете, что доступ к продуктам Сellebrite могут позволить себе только государственные структуры - камень преткновения цена - от 6000 $ и не только. Cellebrite помогла взломать iPhone 5c, принадлежащий Сайеду Ризвану Фаруку, одному из стрелков теракта 2015 года в Сан-Бернардино - ФБР заплатило 900 000 долларов за помощь. Однако списанные правоохранительными органами, но не уничтоженные продукты этой израильской фирмы появились на eBay всего за 100 долларов - в общем мечта хакера- не дорого - ужас, что творится .
Касаемо этой темы в целом, то следует разграничивать методы доступа к аппаратам, исходя из целей. К примеру, следственным органам нужно получить инфу в рамках действующего законодательства, с соблюдением процедуры предусмотренной процессуальным правом и иными инструкциями. Для этих целей и создаются всяческие уфед, селебрити, мобильный детектив и ещё ряд комплексов. По сути они лишь автоматизируют и систематизируют извлечение информации из добытых устройств. Но получить доступ к заблокированному и зашифрованному устройству они никак не помогут(а блокировка и шифрование уже давно стало фукцией по умолчанию). В тоже время, спецслужбам неважно соблюдение процессуальных норм, их цель как можно скорее получить информацию и среагировать, а для этого используются иные ресурсы, к примеру метод о котором я сказал в предыдущем сообщении. Это не является тайной и на тематических форумах можно встретить обсуждение в том числе этих методов. Суть всех дорогущих кейсов в том, чтобы подключить разблокированный телефон, нажать на кнопочку в кейсе и ловить в принтере красочные отчеты о деятельности пользователя. А когда в сми говорят о том, что органы не могут вскрыть айфон, потому что пароль не говорят. Ну это вызывает улыбку у любого адекватного человека. Даже если не заморачиваться с технической стороной вопроса, у америкосов существует привентивное заключение, когда без вины и приговора можно любого поместить пожизненно в гуантаномо подобное заведение. Дабы стимулировать память на пароль к айфону, и платить ничего не надо.
Вы смотрите в самый корень - работайте ребята, но в рамках закона - далее идет непереводимая игра слов (((
Видео с ютуба как работает эта шайтан-машина
 
Последнее редактирование модератором:
Алона

Алона

New member
02.02.2019
1
0
Абсолютно в точку!!! - вы смотрите в самый корень - работайте ребята, но в рамках законодательства - а если что - то вы у нас не работаете - далее идет непереводимая игра слов (((
Американец забавляется - видео с ютуба как работает эта шайтан-машина
Ну очень уж старая версия UFED в видео тут. Вот поновее.
Что старая, что новая селебрит чудо бокс, а конкретика отсутствует. Где демонстрация того, как берется аппарат заблокированный с андроид 7+ и с помощью подключения к чудо машине вдруг вся блокировка и шифрование преклоняются, превращаясь в чудесные отчеты? Это не более чем рекламный ролик, к действительности не имеющий никакого отношения, а существует лишь потому что агрегат не очень распространён в народе. Особенно интересная реакция подобных боксов, когда к ним подключают no name китайские аппараты. Вот если бы где показали, скажем тест линейки подобных боксов, в реальных полевых условиях. Неделя в обычном сервисном центре, на примере работы с реальными аппаратами.
Это рекламный ролик рассказывающий какие именно вещи добавлены в версии 7.15.
Да, не все телефоны можно открыть с помощью этой чудокоробочки (удобнее использовать UFED4PC), но очень многие андроиды и айфоны. Кроме обычного UFED есть чудокомпьютер UFED Premium, ещё дороже и с поддержкой большего количества телефонов новых и есть услуги, когда вы посылаете свой телефон и дамп делают работники селебрайт
 
Последнее редактирование модератором:
GlowFisch

GlowFisch

Well-known member
26.01.2019
75
70
Добавлю.
Как-то раз нашел телефон на Андроиде. Во мне боролись ангелы и демоны: оставить или найти владельца. В итоге, включаю телефон - там пароль графический. (сторонее приложение) Смотрю, есть CWM. Загрузился. Сбросил пароль. Зашел в ВК чувака. Написал знакомым как со мной связаться, а потом получил шоколадку и удивленное выражение лица "потерялы" с вопросом "А как так, там же пароль стоял?"
Вся эта экспертиза сломается о два пункта, зашированный телефон и сброс данных.
А вы слышали о терморектальном методе ивлечения информации?
 
Последнее редактирование модератором:
Tester29036

Tester29036

Member
14.05.2019
17
6
Вся эта экспертиза сломается о два пункта, зашированный телефон и сброс данных.
А вы слышали о терморектальном методе ивлечения информации?
Заезженная байка, как она поможет вытащить инфу которой уже нет?
Пожалуйста поподробнее с момента "обход графического ключа"
Стороннее приложение, так понимаю имеется ввиду пароль ставился на конкретные приложения, такое обходиться за пару минут если знаешь метод. Так же он сообщил, что стоит CWM - тоесть стороннее рекавери, которое облегчает получение доступа к аппарату. Многие идиоты ставят сторонне рекавери и рут, считая так защитить телефон, но на самом деле просто открывают более легкий способ взлома.
 
Последнее редактирование модератором:
  • Нравится
Реакции: Flyga, GlowFisch и westman
I

Igor_Mich

Member
13.05.2019
13
5
не UFET а UFED (Universal Forensic Extraction Device )
 
GlowFisch

GlowFisch

Well-known member
26.01.2019
75
70
Вся эта экспертиза сломается о два пункта, зашированный телефон и сброс данных.
Заезженная байка, как она поможет вытащить инфу которой уже нет?
Стороннее приложение, так понимаю имеется ввиду пароль ставился на конкретные приложения, такое обходиться за пару минут если знаешь метод. Так же он сообщил, что стоит CWM - тоесть стороннее рекавери, которое облегчает получение доступа к аппарату. Многие идиоты ставят стороннее рекавери и рут, считая так защитить телефон, но на самом деле просто открывают более легкий способ взлома.
Нет, графический пароль был на запуск. Там оболочка CM была. Решалась простым удалением файла с жестом (смотреть в интернете) через рутExplorer CWM
Поверьте мне, терморектальный метод работает =D
 
Последнее редактирование модератором:
  • Нравится
Реакции: Voron и westman
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Хватит разводить ФЛУД!
Я понимаю что оборудование и ПО решает многое, но есть еще методы решений для определенных задач и UFED не панацея!
Пример: UFED не смог обработать одну железку с Android 6.0.1, а Вот руками получить Root довольно таки реально.

29753
 
GlowFisch

GlowFisch

Well-known member
26.01.2019
75
70
рабочий
Хватит разводить ФЛУД!
Я понимаю что оборудование и ПО решает многое, но есть еще методы решений для определенных задач и UFED не панацея!
Пример: UFED не смог обработать одну железку с Android 6.0.1, а Вот руками получить Root довольно таки реально.
Ваш личный UFED?
 
Мы в соцсетях: