【技术视界】第31期:如何通过芯片提取获取有屏锁三星Galaxy S6数据
对于手机电子数据取证从业人员来说,手机屏幕锁往往是阻碍数据获取的一大难题,尤其是当手机有Bootloader锁的情况下。虽然可以各种办法来绕锁,但也受Android系统版本、手机设置、root权限等条件限制。本期,数据恢复四川省重点实验室科研人员将介绍如何通过芯片提取获取有屏锁三星Galaxy S6 手机数据,此种方法在国内属首创。
三星手机作为最主要的智能手机品牌,其市场占有率长期排在市场首位。根据信息技术研究和顾问公司Gartner发布的2016年第三季度全球手机市场份额数据,三星手机仍然以19.2℅的市场占有率高居首位,如图1。
在智能手机电子数据取证过中,经常会遇到三星手机有屏锁无法提取数据的情况。其中,由于三星Galaxy S6在存储芯片上采取了业内首款UFS 2.0标准闪存芯片,使其在数据提取上变得更为特殊和困难。为此,研究通过芯片提取三星Galaxy S6数据,对其他采用UFS闪存芯片的手机也有重要指导意义。
【图1】
备注:UFS(Universal Flash Storage)是2011年电子设备工程联合委员会发布的第一代通用闪存存储标准。目前,包括三星Galaxy S6 、三星Galaxy S7 、 魅族Pro5、小米5 、小米5S、联想zuk z2 pro等多个品牌的多款智能手机均采用UFS协议存储芯片。
对于有屏锁的三星Galaxy S6,提取的难点在于很难进行直接解锁。因为想要解屏幕锁,就需要有root权限,以及打开USB调试模式(Android 4.2.2以上还需要在手机上点击“允许USB调试”),这样才能访问密码文件解开屏幕锁。在手机有屏幕锁的情况下,一般都很难满足以上条件。
在不能对手机进行直接解锁的情况下,可以选择绕锁的办法来提取手机数据。对于三星Galaxy S6来说,绕锁又可以分为两种情况:
1. 手机只有屏幕锁,没有Bootloader锁
当手机只有屏幕锁,没有Bootloader锁时,我们可以将手机引导至自定义的recovery,这样可以绕开屏幕锁,直接对手机数据做镜像。这种方法与手机是否root,有没有打开USB调试模式都没有关系。目前,很多手机取证工具都支持该功能。
2.手机既有屏幕锁,又有Bootloader锁
当手机既有屏幕锁,又有Bootloader锁时,情况就变得相当复杂。因为有Bootloader锁的情况下,我们无法引导至自定义的recovery。而要解Bootloader锁,就需要在手机上安装三星手机解锁软件CROM Service。三星的CROM Service解锁目前不会清除数据,但在有屏幕锁的情况下无法进行借助CROM Service解锁这一步操作,这种情况下绝大多数取证工具都无法绕锁取得任何数据。
备注:虽然市面上某些软件号称可以绕过Bootloader锁,但其实这与手机固件版本,手机系统版本等有很大关系,仅能支持一两款三星手机,97%以上的三星手机无法完成绕锁。
Chip-off(芯片提取)是很好的绕锁方法,通过芯片提取,可以绕开所有锁,也不会受到固件版本的限制。由于三星Galaxy S6采用的是UFS协议芯片,目前行业内还缺乏针对此类手机的有效提取方法。
数据恢复四川省重点实验室科研人员研究发现,对于没有加密的三星Galaxy S6手机,可以通过芯片提取镜像出数据, 其具体步骤如下:
第一步
利用效率源专业手机芯片拆卸工具,拆卸下三星Galaxy S6存储芯片,如图2。
【图2:三星Galaxy S6存储芯片】
第二步
拆卸下手机芯片以后,接入效率源SCE9168系统中的手机芯片数据读取设备,通过技术服务获取手机芯片内容数据的镜像,并校验取得MD5值,如图3。
【图3:三星Galaxy S6芯片信息】
第三步
对三星Galaxy S6芯片进行物理镜像以后,将物理镜像文件导入SPF9139系统中,读取出的Galaxy S6芯片镜像中的数据,如图4。
【图:4:Galaxy S6数据】
在三星Galaxy S6手机无法绕锁,或者手机已损坏等情况下,都可以通过这种芯片提取方法获取手机里的数据。此方法也适用于其它采用UFS闪存芯片的智能手机。
备注: 如果芯片被加密,即使读取到数据也难以解析。三星Galaxy S6的设置中有加密选项,但默认是关闭的,除非用户手动打开。在新的Android 6.0及以上设备中,默认开启全盘加密(FDE)被谷歌作为一项强制要求。目前,此种手机加密数据的解密方案,数据恢复四川省重点实验室科研人员正在加紧做技术攻关,有望在近期将其加入效率源SPF9139智能手机数据恢复取证系统中。
小结:
手机在无法绕锁或被损坏等情况下,通过芯片提取获取手机数据是一种有效的方法。本期,数据恢复四川省重点实验室介绍了如何通过芯片提取获取有屏锁三星Galaxy S6数据,此种方法也适用于三星Galaxy S7 、魅族Pro5、小米5 、小米5S、联想zuk z2 pro等其他采用UFS协议存储芯片的智能手机。
【技术视界】系列推荐:
1、【技术视界】第1期:手机取证-手机音频文件恢复提取技术研究
2、【技术视界】第2期:精确读取 提高缺陷硬盘数据恢复成功率
3、【技术视界】第3期: 如何利用S.M.A.R.T.技术对硬盘进行健康体检?
4、【技术视界】第4期: 电子取证-WD硬盘固件损坏的文件恢复提取技术研究
5、【技术视界】第5期:电子取证——智能手机定位痕迹如何快速提取?
6、【技术视界】第6期:电子取证——日立硬盘BIOS加密无法访问的快速解密方法技术研究
7、【技术视界】第7期:手机取证-SQLite数据库文件恢复提取技术研究
9、【技术视界】第9期:视频侦查——不转码直接检索监控视频的方法探讨
10、【技术视界】第10期:电子取证— RAID 5、RAID 6崩溃的数据恢复取证提取技术研究
11、【技术视界】第11期:教你怎么编写智能手机APP的取证脚本
12、【技术视界】第12期:电子取证反向思维 防御手机APP偷窃破案机密的2个高招
13、【技术视界】第13期:希捷硬盘修复P表实现数据恢复的电子取证方法研究
14、【技术视界】第14期:手机取证——关于iPhone手机数据提取方式的探讨
15、【技术视界】第15期:智能手机APP取证脚本编写续—iPhone数据提取与解析
16、【技术视界】第16期:视侦检索技术(一)——视频解码研究
17、【技术视界】第17期:电子取证— 360浏览器历史记录数据恢复提取方法
18、【技术视界】第18期:手机取证— 手机解锁不清除数据研究
20、【技术视界】第20期:手机取证——安卓Radio日志基站数据提取
21、【技术视界】第21期:IOS/Android设备GPS定位点和基站原始数据解析
22、【技术视界】第22期:通过清除非常驻缺陷表解决希捷硬盘前好后坏故障的研究
24、【技术视界】第24期:一种基于Oracle数据库的数据恢复方法
26、【技术视界】第26期:手机如何在有屏幕锁情况下设置飞行模式
27、【技术视界】第27期:一种有效提取伪基站中短信内容的技术方案
29、【技术视界】第29期:一种利用密码强度判定WiFi安全等级的方法
30、【技术视界】第30期:重大技术突破:有屏锁高通芯片手机(小米、中兴、OPPO、VIVO等)支持不开机、不调试获取全盘镜像