盘石推出全新版本SafeMobile手机芯片取证系统

目前,智能手机发展迅速,有时也是犯罪活动中一个重要的工具。手机取证的领域中,针对智能手机里面的信息提取成为破解案件思路和获取证据的一个重要的途径。但是智能手机信息的获取往往不是那么一帆风顺,由于种种客观原因,以及犯罪分子反取证意识的加强,案件分析过程中经常遇到手机有锁屏数字密码、图形密码、落水、破损等情况,这时传统逻辑提取手段往往无法提取手机里面的信息。这时候该怎么处理这些问题手机呢?
 
举例如下图:可以看出该华为手机已经被破坏的变形了,这时候通过ROOT或自备份等手段进行提取都无法正常进行。

拆开手机,观察手机主板如下图所示:

可以看到手机的存储芯片也同固态硬盘一样,使用固态电子存储芯片阵列制成,经过分析判断其中的KMQ310013M为字库存储芯片。那么是否可以通过直接对字库芯片进行读取呢?

 

答案是肯定的,这时候就轮到芯片取证设备大显身手了。我们以盘石软件(上海)有限公司推出的芯片采集仪为例,可以直接对字库进行读取和制作镜像。芯片采集仪如下图所示:

芯片采集仪主要功能如下:

1.    支持eMMC、eMCP芯片数据提取,通过镜像固定芯片数据;

2.    支持BGA封装的153、169、186、162、221、529芯片读取;

3.    支持SPI字库、EEPROM读取;

4.    支持MTK、展讯、高通、SPD、英伟达等十大芯片;

5.    支持苹果、多普达、酷派等3G手机;

6.    支持镜像断点续传;

7.    支持绕过芯片坏页面读取镜像;

8.    支持Windows系统下直接分析字库;

9.    支持字库分区读取;

10.  支持DD和E01格式镜像;

11.  支持提取芯片中的手机设备信息、安装应用、联系人、短信、通话记录等;

12.  支持芯片中已删除信息恢复。

 

我们以本例遇到的华为手机的KMQ310013M芯片为例,经过网上搜索,该芯片为SEC芯片,引脚是221-ball FBGA类,因此我们决定使用EMCP221芯片座来进行获取,如下图所示:

运行“盘石芯片获取工具”,如下图:


选择镜像格式为”dd”,输入保存路径,点击下面的“eMMC”按钮,获取过程如下图:

获取完成,生成0x3A3E00000字节的镜像文件
KMQ310013M.dd(MD5:012690897ce4f7dc0dee2d6dcc1c2ecb):


现在我们打开“盘石手机取证大黄蜂”对镜像进行数据解析和挖掘,如下图所示:

解析结果如下图:

经过分析,我们一共提取了292条通讯录、790条短信、500条通话记录、23947QQ记录、23837条微信记录。

 

结论:

在移动互联网应用越来越广泛的今天,对包括手机在内的移动终端的数据的提取和分析对于案件的侦破和证据固定的作用越来越大,传统手机取证方法对于各种异常手机(损坏、锁屏密码等)的取证力有未逮,盘石手机芯片采集仪可以配合手机取证大黄蜂对这些手机进行芯片级数据提取,更好的帮助调查人员进行数据分析和提取。

 

 

当然,近年来安卓、iOS等操作系统逐步采用的全盘数据加密的方式对手机芯片取证也提出了不小的挑战。盘石软件也在针对这类芯片数据的分析进行研究,一旦有成果也会集成到后续的产品升级中。在目前,芯片取证技术还是非常行之有效的手机取证技术,盘石手机芯片采集仪值得您拥有。

Copyright © 2002-2017 - 盘石软件(上海)有限公司 版权所有 沪ICP备11022836
返回顶部