Pháp chứng kỹ thuật số cung cấp cho sinh viên với một cách tiếp cận có hệ thống khi tiến hành một điều tra pháp chứng máy tính (cả hai loại điều tra công quyền và điều tra công ty), các yêu cầu của một phòng thí nghiệm pháp chứng máy tính bao gồm cả thiết bị phục hồi dữ liệu, phần cứng và phần mềm cần thiết để xác nhận pháp chứng kỹ thuật số trong phòng thí nghiệm.

1. Bài 10: Pháp chứng thiết bị di động
Giảng viên: TS. Đàm Quang Hồng Hải
PHÁP CHỨNG SỐ TRÊN MÁY TÍNH
VÀ MẠNG

2. Pháp chứng thiết bị di động
• Pháp chứng thiết bị di động là một lĩnh vực đặc biệt
phát triển trong lĩnh vực Pháp chứng kỹ thuật số
nhằm cung cấp các báo cáo điều tra chính xác về
thiết bị di động của nghi phạm.
• Mục tiêu của Pháp chứng thiết bị di động là thực
hành sử dụng phương pháp điều tra dữ liệu chứa
trong bộ nhớ trong của thiết bị di động và môi
trường mạng.
• Pháp chứng thiết bị di động là khoa học về phục hồi
bằng chứng kỹ thuật số từ các thiết bị di động sử
dụng các phương pháp được chấp nhận.

3. Pháp chứng kỹ thuật số và Pháp chứng thiết
bị di động

4. Sự phát triển của Mạng di động
• Điều tra viên kỹ thuật số phải đối mặt với một thách
thức liên tục để theo kịp các công nghệ mới nhất mà
có thể được sử dụng để tìm ra các manh mối có liên
quan trong điều tra.
• Thiết bị di động hiện rất phổ biến trong xã hội ngày
nay, chúng được sử dụng bởi nhiều cá nhân cho các
mục đích cá nhân và chuyên nghiệp.
• Các thiết bị di động rất khác nhau trong thiết kế và
chúng liên tục trải qua các thay đổi như cải thiện
công nghệ hiện có và giới thiệu công nghệ mới.

5. Mạng truyền thông di động

6. Điều tra một thiết bị di động
• Khi Điều tra viên gặp một thiết bị di động trong quá
trình điều tra, nhiều câu hỏi phát sinh:
• Phương pháp tốt nhất để bảo vệ các bằng chứng là
gì?
• Làm thế nào xử lý các thiết bị?
• Làm thế nào dữ liệu được trích xuất trên thiết bị có
khả năng có giá trị hoặc có liên quan?
• Chìa khóa để trả lời những câu hỏi bắt đầu với một sự
hiểu biết vững chắc đặc điểm của phần cứng và phần
mềm của thiết bị di động.

7. Bảo vệ toàn vẹn thiết bị di động
• Một trong những nguyên tắc đầu tiên của bất kì
cuộc pháp chứng nào cũng là tránh sự thay đổi của
thiết bị di động được điều tra trên bất kì phương
diện nào.
• Phần dung lượng lưu trữ trên một thiết bị không thể
dễ dàng lấy đi. Tuy nhiên nếu thiết bị di động được
điều tra đang được bật thì việc tắt máy hoặc tháo pin
sẽ làm thay đổi dữ liệu thiết bị.

8. Điều tra thông tin trên thiết bị di động

9. Thu thập các bằng chứng tiềm năng
• Các nhà sản xuất thiết bị di động thường cung cấp
một bộ xử lý thông tin tính năng và khả năng tương
tự nhau như: Quản lý Thông tin cá nhân (PIM), các
ứng dụng tin nhắn và e-mail, web và duyệt web.
• Điều tra viên cần hiểu rõ các tính năng và khả năng
dựa trên các yếu tố bao gồm: các thiết bị được sản
xuất, phiên bản của phần mềm đang chạy, những
thay đổi được thực hiện do một nhà cung cấp dịch
vụ cụ thể, các sửa đổi hoặc ứng dụng được cài đặt
bởi người sử dụng.

10. Các chứng cớ số cần thu thập

11. Đặc trưng các loại thiết bị di động

12. Đặc trưng phần mềm thiết bị di động

13. Bộ nhớ trong thiết bị di động
• Khi điện thoại thông minh được giới thiệu, cấu hình bộ
nhớ điện thoại bổ sung thêm bộ nhớ Flash.
• Bộ nhớ Flash được chia thành hai kiểu: NOR và
NAND. NOR (Not OR) thường sử dụng các cổng logic
NOR trong khi đó NAND (Not AND) lại sử dụng các
cổng logic NAND.
• Điện thoại thế hệ thứ hai sử dụng các bộ nhớ Flash
NOR, NAND và bộ nhớ RAM.
• Điện thoại thế hệ thứ hai trữ các tập tin hệ thống trong
NOR flash, tập tin người dùng trong NAND và bộ nhớ
RAM được sử dụng để thực thi mã lệnh.

14. Bộ nhớ trong điện thoại các thế hệ
Chip nhớ NAND Flash

15. Thẻ SIM
• Thẻ SIM (Subscriber Identity Module) là là thẻ nhớ
thông minh sử dụng trên điện ... thuê bao di động,
được sử dụng trong mạng điện thoại di động hệ
GSM Cellular.
• Trong khuôn khổ GSM, điện thoại di động được gọi
là một trạm di động và được phân chia thành hai
phần riêng biệt: Universal Integrated Circuit Card
(UICC) và các thiết bị di động (ME).

16. Đặc điểm mạng di động
• Hai hệ thống chi phối hầu hết các mạng di động kỹ thuật số
được gọi là Code Division Multiple Access (CDMA) và hệ
thống mạng toàn cầu cho thông tin di động (GSM).
• Các mạng di động phổ biến khác bao gồm Time Division
Multiple Access (TDMA) và mạng tích hợp kỹ thuật số
mạng nâng cao (iDEN).
• Mạng iDEN sử dụng một giao thức độc quyền thiết kế bởi
Motorola, trong khi những mạng di động khác theo tiêu
chuẩn giao thức mở.
• Một phiên bản kỹ thuật số của các tiêu chuẩn tương tự ban
đầu cho dịch vụ điện thoại di động điện thoại, được gọi là
kỹ thuật số dịch vụ điện thoại di động cao cấp (D-AMPS),
cũng tồn tại.

17. Các mạng di động tại Việt nam

18. Mô hình hoạt động của mạng di động

19. Điều tra với các thiết bị di động
• Các công cụ điều tra cho thiết bị di động khác đáng kể với
máy tính cá nhân. Trong khi máy tính cá nhân có thể khác
các thiết bị di động từ góc độ phần cứng và phần mềm
nhưng chức năng của chúng ngày càng trở nên tương tự.
• Hiện nhiều hệ thống điện thoại di động có hệ điều hành mở
(ví dụ, Android), một số hệ điều hành điện thông thường
vẫn còn đóng (iOS).
• Hệ điều hành đóng làm cho sự hiểu biết hệ thống liên kết
file và cấu trúc khó khăn. Nhiều thiết bị di động với cùng
cài đặt một hệ điều hành nhưng có thể thay đổi nhiều đưa
đến kết quả là một hệ thống tập tin có cấu trúc khác biệt.

20. Phân loại công cụ điều tra thiết bị di động
• Cấp 1, khai thác bằng tay, liên quan đến việc ghi lại thông tin
trong điện thoại và đưa lên trên một màn hình sử dụng bàn phím
hoặc touchscreen để xem.
• Cấp 2, khai thác luân lý, kết nối giữa điện thoại và máy tính qua
các cáp USB hoặc RS-232, hoặc kết nối không dây như IrDA,
WiFi, or Bluetooth. Điều tra viên chép thông tin để nghiên cứu.
• Cấp độ 3, Khai thác vật lý, cho phép truy cập vào bộ nhớ Flash
của điện thoại nhằm khai thác thông tin
• Cấp 4, Chip Off, cần tháo bộ nhớ Flash từ một thiết bị di động
để trực tiếp trích xuất dữ liệu. Điều tra viên nghiên cứu các dữ
liệu nhị phân từ bộ nhớ Flash
• Cấp 5, Một máy đọc Micro sử dụng một kính hiển vi điện tử.
ghi lại những quan sát vật lý của các cổng trong
NAND hoặc NOR chip.

21. Điều tra thiết bị di động

22. Các cấp công cụ pháp chứng di động

23. Các công cụ điều tra trên thiết bị di động

24. Các công cụ điều tra trên thiết bị di động

25. Điều tra trên thiết bị di động

26. Công cụ đọc thông tin từ điện thoại di động
• Điều tra viên sao chép
lại các thông tin của
điện thoại di động, bao
gồm các thông tin
trong bộ nhớ Flash.
• Điều tra viên làm việc
với các bản copy của
bộ nhớ Flash khi tìm
kiếm bằng chứng.

27. Công cụ đọc nội dung thẻ UICC
• Có các công cụ pháp chứng điện thoại di động đọc nội
dung UICCs.
• Những công cụ này thực hiện một đọc trực tiếp nội
dung của UICC ra một máy tính cá nhân/ máy đọc thẻ
thông minh (PC / SC)
• Phạm vi của dữ liệu thu được thay đổi theo khả năng và
các tính năng của công cụ.
• Đa số các công cụ khai thác UICC có được các số liệu
sau: thuê bao di động quốc tế Identity (IMSI), Vi mạch
thẻ ID (ICCID), số viết tắt quay số (ADN), số cuối
Cuộc gọi đi (LND), tin nhắn SMS, và Thông tin địa
điểm (locus)

28. Công cụ đọc nội dung thẻ SIM

29. Thiết bị bị khóa
• Một thiết bị di động bị khóa là thiết bị
có yêu cầu xác thực thành công bằng
cách sử dụng mật khẩu hoặc một số
phương tiện khác để có được quyền
truy cập vào thiết bị.
• Một số cách phục hồi dữ liệu từ các
thiết bị bị khóa. Có ba loại: dựa trên
phần mềm, dựa trên phần cứng và điều
tra.
• Thiết bị bị khóa bao gồm hệ thống
thiếu thiết bị nhận dạng, mã PIN cho
thẻ UICCs, hoặc khóa thiết bị di động
bị khóa cần kích hoạt.

30. Khóa bảo vệ dữ liệu
• Khóa Mật khẩu và thẻ nhớ được mã hóa cung cấp cho người
dùng với thêm phương tiện để bảo vệ dữ liệu. Bảo vệ này có
thể làm cho phục hồi dữ liệu như vậy là phức tạp hơn.
• Khả năng mã hóa nội dung được cung cấp như một tính
năng tiêu chuẩn trong nhiều thiết bị di động hoặc có thể có
sẵn thông qua một tiện ích ứng dụng.

31. Công cụ dựa trên phần mềm và phần cứng
• Công cụ dựa trên phần mềm được sử dụng để phá vỡ
hoặc bỏ qua cơ chế xác thực.
• Hiện có một số công cụ cung cấp một chức năng tự
động khôi phục mật khẩu từ các thiết bị di động bị
khóa.
• Công cụ dựa trên phần cứng liên quan đến một sự kết
hợp của phần mềm và phần cứng để phá vỡ hoặc bỏ qua
các cơ chế chứng thực và cho phép truy cập vào thiết bị.

32. Công cụ phá khóa iPhone 5

33. Các phương pháp điều tra không công cụ
• Hỏi nghi phạm - nếu một thiết bị được bảo vệ bằng mật khẩu,
mã PIN hoặc cơ chế xác thực khác liên quan đến xác thực dựa
trên tri thức, nghi phạm có thể được truy vấn thông tin này trong
cuộc phỏng vấn đầu tiên.
• Xem xét thu giữ tài liệu - Mật khẩu hoặc số PIN có thể được viết
trên một mảnh giấy và giữ hoặc gần điện thoại, tại một máy tính
để bàn sử dụng để đồng bộ hóa với thiết bị di động, hoặc mang
theo người nghi phạm, chẳng hạn như trong vòng một ví, và có
thể được phục hồi thông qua kiểm tra trực quan.
• Yêu cầu các nhà cung cấp dịch vụ - Nếu một thiết bị di động
GSM được bảo vệ bằng mã PIN, định danh (ví dụ, ICCID) có
thể thu được và sử dụng để yêu cầu mã PUK từ nhà cung cấp
dịch vụ và thiết lập lại mã PIN.

34. Khả năng các công cụ pháp chứng
• Công cụ phần mềm pháp y phấn đấu để xử lý nhu cầu điều
tra thông thường bằng biểu tại một loạt các thiết bị hiện
hành.
• Tình huống khó khăn hơn, chẳng hạn như phục hồi dữ liệu
bị xóa khỏi bộ nhớ của thiết bị, có thể yêu cầu các công cụ
chuyên ngành và chuyên môn và tháo lắp thiết bị.
• Phạm vi hỗ trợ cung cấp, bao gồm cáp điện thoại di động
thiết bị và trình điều khiển, tài liệu sản phẩm, độc giả PC /
SC, và tần số cập nhật, và có thể thay đổi đáng kể trong số
sản phẩm.
• Các tính năng được cung cấp như tìm kiếm, đánh dấu trang,
và khả năng báo cáo cũng có thể thay đổi đáng kể.

35. Bảo quản bằng chứng trên thiết bị di động
• Bằng chứng bảo quản là quá trình của việc duy trì an toàn
thiết bị mà không thay đổi hoặc thay đổi các nội dung của
dữ liệu nằm trên các thiết bị và phương tiện di động.
• Bảo quản bằng chứng là bước đầu tiên trong việc phục hồi
bằng chứng kỹ thuật số.
• Để sử dụng bằng chứng thành công, cho dù chưa có một tòa
án hoặc một thủ tục không chính thức, thiết bị di động phải
được bảo tồn.
• Thất bại trong việc bảo vệ chứng cứ trong trạng thái ban đầu
của nó có thể gây nguy hiểm cho toàn bộ nội dung điều tra,
có khả năng mất có giá trị thông tin liên quan.

36. Kỹ thuật cách ly mạng di động
• Thiết bị phải được sạc đầy trước khi kiểm tra, cần
xem xét để có một nguồn điện cố định hoặc di động
kèm theo.

37. Thùng bảo vệ
• Thùng bảo vệ - Một thùng
bảo vệ di động có thể cho
phép kiểm tra sẽ được tiến
hành một cách an toàn một
khi điện thoại nằm bên trong.
• Cáp kết nối với thùng phải
cách ly hoàn toàn để phòng
ngừa cuộc gọi mạng xảy ra.

38. Cách ly khu vực
• Khu vực làm việc được bảo vệ khỏi tín hiệu di động
là một cách tốn kém nhưng hiệu quả để tiến hành
kiểm tra một cách an toàn ở một vị trí cố định.
• Một " lều Faraday " là một thay thế rẻ hơn mà còn
cho phép di động.
• Nối cáp vào lều là một vấn đề vì không có cách ly
thích hợp nó trở thành một ăng-ten, đánh bại mục
đích của lều.

39. Lều Faraday ngăn tín hiệu Radio

40. Thiết bị gây nhiễu/giả mạo - bằng cách phá
sóng
• Thiết bị gây nhiễu / giả mạo - Phát ra một tín hiệu mạnh hơn
so với một điện thoại di động hay can thiệp vào tín hiệu có
thể làm cho một điện thoại di động không họạt động.
• Một kỹ thuật khác liên quan đến việc lừa điện thoại vào một
tín hiệu "không có dịch vụ“ đến từ các tháp di động gần
nhất.
• Bởi vì các thiết bị như vậy có thể ảnh hưởng đến truyền
thông trong không phận xung quanh công cần có giấy phép
sử dụng ở một số khu vực pháp lý.

41. Xe phá sóng

42. Điều tra với điện thoại di động iOS
• Từ iPhone 3G [s], Apple đã gắn các thiết bị iOS với một
chip mã hóa chuyên dụng, làm tăng tốc mã hóa phần cứng .
• Apple đã kết hợp mật hóa nâng cao vào hệ điều hành với
một tính năng có tên là Bảo vệ dữ liệu.
• Bảo vệ dữ liệu là sự kết hợp của tăng tốc mã hóa phần cứng
và một chương trình mật mã xác thực, cho phép bất kỳ tập
tin hoặc các mảnh thông tin được mã hóa hoặc giải mã với
khóa riêng biệt.
• File được bảo vệ với bảo vệ dữ liệu được mã hóa với một
khóa tập tin ngẫu nhiên, sau đó đó được mã hóa bằng một
khóa lớp cấp cao hơn, và được lưu trữ như một thẻ tập tin
với các tập tin.

43. Bảo vệ dữ liệu trong iOS
• Mật khẩu (và dữ liệu nhạy cảm khác) được lưu trữ trên
thiết bị iOS được mã hóa và được lưu trữ trong
keychain iOS, một thiết bị có cơ chế bảo mật quan trọng
được xây dựng trong hệ điều hành iOS.
• Các tập tin và các thành tố keychain iOS đều được bảo
vệ bởi một số phím điều khiển truy cập, nào cũng được
mã hóa trong thiết bị mật mã của người dùng.
• Mật mã phải được biết để giải mã Hệ thống Bảo vệ với
những tập tin chọn và các thành tố keychain iOS, và
cũng để vô hiệu hóa giao diện khóa của thiết bị.

44. Xử lý thiết bị iOS khi điều tra
• Các chương trình mã hóa đặt ra những thách thức đáng
kể đối với Điều tra viên. Các các mã hóa này có trên
thiết bị iOS như iPhone 3GS và iPhone 4, iPad, iPod
Touch.
• Điều tra viên cần tắt các thiết bị có tùy chọn thực hiện
xóa từ xa dữ liệu chứa trong chúng. Khi được kích hoạt,
UID bị phá hủy và khi 256 bit của khóa bị phá hủy thì
việc giải mã sẽ cực kỳ phức tạp.
• Để tránh kịch bản như vậy, cần đảm bảo rằng thông tin
vô tuyến bị chặn hoặc bị vô hiệu hóa trước khi xem xét
cũng như vận chuyển đến phòng thí nghiệm
để kiểm tra.

45. Tìm bằng chứng số trong IOS
• Khi bảo vệ dữ liệu đang hoạt động , khóa tập tin
được xóa sạch khi tập tin bị xóa , để lại nội dung tập
tin được mã hóa và thường là không thể phục hồi
trong không gian đĩa,
• Tuy nhiên một phần quan trọng của dữ liệu người
dùng được có thể được tìm thấy trong Bảng chứa dữ
liệu (như SQLite ) và Điều tra viên không nên hoặc
bỏ qua khi kiểm tra .
• Phục hồi dữ liệu khá khó khăn nhưng dùng phần
mềm phục hồi dữ liệu SQLite (ví dụ , Epilog ),
có thể là lựa chọn duy nhất .

46. Dữ liệu trên thẻ nhớ
• Hầu hết các thiết bị di động trên Android có thẻ nhớ
microSD tháo rời.
• Các dữ liệu trên thẻ nhớ microSD không nên bỏ qua
khi họ thường có chứa một lượng lớn dữ liệu không
được mã hóa và không được bảo vệ.
• Điều tra viên cần xem xét các thẻ nhớ microSD, nên
chống ghi và sao lại với kỹ thuật tiêu chuẩn.
• Các bản sao sau đó có thể được kiểm tra bằng cách
sử dụng các công cụ pháp chứng kỹ thuật số truyền
thống.

47. Điều tra với điện thoại di động Android
• Android là một hệ điều hành được thiết kế bởi Google
chủ yếu cho các thiết bị di động như điện thoại thông
minh và máy tính bảng.
• Android lần đầu tiên được phát hành trong năm 2007 và
các điện thoại dựa trên Android đầu tiên được phát hành
vào tháng Mười năm 2008.
• Hệ điều hành Android là một mã nguồn mở và Google
phát hành một phiên bản lớn khoảng một lần trong năm.
• Với thiết bị di động của mỗi hãng đều có những phiên
bản khác nhau của hệ điều hành với các sửa đổi nhỏ

48. Hệ điều hànhAndroid
• Android là một hệ điều hành mã nguồn mở dựa trên nền
tảng Linux được thiết kế dành cho các thiết bị di động và
được Google phát hành theo Giấy phép Apache.
• Hệ điều hành Android đã có số lượng thiết bị di động sử
dụng chiếm gần 50% trên thế giới và không ngừng tăng
trưởng.
Hiện nay Android có các version
• Cupcake (1.5), Donut (1.6)
• Eclair (2.0–2.1), Froyo (2.2–2.2.3),
Gingerbread (2.3–2.3.7)
• Honeycomb (3.0–3.2.6), Ice Cream Sandwich (4.0–4.0.4),
Jelly Bean (4.1–4.3), KitKat (4.4)

49. Phân loại kĩ thuật pháp chứng trên Android
• Kỹ thuật lôgic
• Khai thác dữ liệu và thường được thực hiện bằng cách
truy cập vào hệ thống tập tin .
• Có thể có được tất cả dữ liệu không xóa (nondeleted) trực
tiếp từ hệ thống tập tin. Một só File hay dữ liệu bị xóa có
thể khôi phục
• Kỹ thuật phần cứng
• Nhắm đến các thiết bị lưu trữ trực tiếp mà không phụ
thuộc vào hệ thống tập tin để truy cập dữ liệu.
• Có thể truy cập cả dữ liệu chưa xóa và đã xóa

50. Quy trình xử lý một thiết bị Android
Bảo vệ thiết bị Android khi bắt đầu điều tra
• Vượt qua các mã bảo mật, khi thiết bị còn đang bật
thì tránh cho thiết bị bị khóa
• Vào phần cài đặt để cô lập mạng
di động và Wifi
• Lựa chọn phương thức xử lý
theo yêu cầu quá trình điều tra
• Tìm nguồn và cáp phù hợp
• Tắt thiết bị sau khi xử lý

51. Công cụ sử dụng kỹ thuật logic
• MOBILedit
• Cellebrite UFED
• EnCase Neutrino
• Micro Systemation XRY

52. MOBILedit
• MOBILedit là phần mềm kết nối máy tính và thiết bị di
động của Phòng thí nghiệm Compelson
• MOBILedit cho phép thực hiện tất cả các thao tác: trao đổi
file (hình ảnh, nhạc, video), cài đặt game - phần mềm, soạn
và gửi tin nhắn, tra cứu – sao lưu danh bạ...
• Giao tiếp giữa máy tính với điện thoại có thể sử dụng công
nghệ không dây Bluetooth, cổng hồng ngoại hoặc cáp.

53. Giao diện MOBILedit

54. Cellebrite UFED
• Cellebrite UFED là một công cụ pháp chứng cho phép trích
xuất dữ liệu từ hàng ngàn loại thiết bị di động trong đó có
rất nhiều thiết bị Android
• Thiết bị Cellebrite UFED cho phép khai thác, giải mã, phân
tích và báo cáo dữ liệu với các điện thoại di động công nghệ
tiên tiến nhất.
• Thiết bị Cellebrite UFE thực
hiện khai thác vật lý, logic,
hệ thống tập tin và khai thác
mật khẩu của tất cả các dữ
liệu (ngay cả khi đã bị xóa)
của các thiết bị.

55. Cellebrite UFED

56. EnCase Neutrino
• EnCase là phần mềm pháp chứng chuyên nghiệp
tích hợp với thiết bị Neutrino cho phép khai thác các
thiết bị di động.

57. EnCase Neutrino

58. Giao diện EnCase

59. Micro Systemation XRY
 XRY là một công cụ pháp chứng thiết bị di động chuyên dụng được
phát triển bởi Micro Systemation (MSAB) có trụ sở tại Stockholm.
 XRY đã có từ năm 2002 và "XRY Complete" là một gói phần mềm có
chứa các phần mềm và phần cứng để cho phép phân tích logical và
physical với thiết bị di động. Sản phẩm bao gồm như sau:
• XRY Forensic: Gói phần mềm khóa bản quyền.
• Thiết bị kết nối thông tin với USB, Bluetooth, và kết nối hồng
ngoại.
• Thiết bị Cloner SIM ID .
• Gói thẻ nhân bản SIM .
•
• Ứng dụng phần mềm XACT Hex Viewer.
•

60. Micro Systemation XRY

61. Kỹ thuật vật lý trong điều tra thiết bị di động
• Kỹ thuật vật lý trong điều tra thiết bị di động là kỹ
thuật pháp chứng số nhằm thu được hình ảnh vật lý
của mục đích lưu trữ dữ liệu đặc trưng dẫn đến phục
hồi được nhiều dữ liệu theo cấp số nhân và qua
được mã bảo vệ.
• Kỹ thuật vật lý cung cấp truy cập không chỉ dữ liệu
bị xóa mà còn dữ liệu đã bị loại bỏ khi hệ thống
không còn cần nó. Ví dụ, một số hệ thống theo dõi
thời gian qua một trang web được truy cập và các
trường ngày được cập nhật mỗi khi trang web được
truy cập một lần nữa.

62. Kỹ thuật vật lý điều tra thiết bị Android
Kĩ thuật pháp chứng vật lý trên thiết bị Android được
chia làm 2 loại lớn:
•Sử dụng phần cứng: Phương pháp kết nối các thiết bị
phần cứng hoặc kết cấu vật lý các thành phần của thiết
bị.
•Sử dụng phần mềm: Sử dụng phần mềm trên các thiết
bị di động với quyền truy cập root và cung cấp một
hình ảnh vật lý đầy đủ của các phân vùng dữ liệu.

63. Kĩ thuật vật lý sử dụng phần cứng
Có hai kỹ thuật vật lý sử dụng phần cứng là:
• JTAG: sử dụng thiết bị cho phép kết nối với phần
cứng thiết bị di động để thực hiện thao tác xóa và ghi
flash, JTAG là công cụ dùng để thực hiện diagnostic
và debug, test thiết bị di động.
•Chip-off: là một kỹ thuật lấy các chip flash NAND ra
từ thiết bị đ động và kiểm tra bên ngoài. Kỹ thuật
Chip-off cho phép phục hồi thiết bị đi động hư hỏng
và xâm nhập vào các thiết bị có mã bảo mật.

64. Kỹ thuật JTAG
• Kỹ thuật JTAG hình thành trong những năm 1980 để phát
triển một tiêu chuẩn để thử nghiệm các hệ thống liên kết nối
trên bo mạch máy in (PCB).
• Năm 1990, các tiêu chuẩn đã được hoàn tất và đã trở thành
một tiêu chuẩn cho ngành điện tử, đặc biệt IEEE 1.149,1-
1990 (IEEE SA, nd), và sau đó một bản cập nhật sau đó vào
năm 2001 có tên là IEEE 1.149,1-2001.
• Tiêu chuẩn JTAG đã được chấp nhận rộng rãi và ngày nay
hầu hết các PCBs đều có cổng JTAG truy cập thử nghiệm
(TAPs) để tạo điều kiện truy cập vào các đơn vị xử lý trung
tâm (CPU).

65. Ba bước chính trong kỹ thuật chip-off
• Chip flash NAND được lấy các thiết bị bằng cách tháo
nó ra, hoặc dùng thiết bị đặc biệt sử dụng một luồng
không khí nóng và mội trường chân không để loại bỏ
mạch nội. Ngoài ra còn có các kỹ thuật đốt nóng chip
nhiệt độ xác định.
• Quá trình loại bỏ mạch nối thường thiệt hại các kết nối
ở phía dưới chip, vì vậy nó trước tiên phải được làm
sạch và sau đó sửa chữa.
• Chip NAND được đưa vào một thiết bị phần cứng
chuyên dụng, ở đó nó có thể được đọc. Các thiết bị này
thường phải được lập trình cho một chip NAND flash
cụ thể và hỗ trợ một số các chip phổ biến.

66. Kỹ thuật vật lý dựa trên phần mềm
Kỹ thuật vật lý dựa trên phần mềm có một số ưu điểm so với
các kỹ thuật dựa trên phần cứng. Kỹ thuật dựa trên phần mềm:
•Kỹ thuật vật lý dựa trên phần mềm cung cấp truy cập trực
tiếp vào hệ thống tập tin để cho phép một bản sao hoàn chỉnh
của tất cả các tập tin logic (đơn giản hóa một số phân tích).
•Kỹ thuật vật lý dựa trên phần mềm bị ít nguy cơ gây thiệt hại
cho thiết bị hoặc mất mát dữ liệu.
•Để thực hiện các kỹ thuật vật lý dựa trên phần mềm, trước
tiên điều tra viên phải có quyền root, sau đó chạy chương trình
khai thác

67. Kĩ thuật vật lý dựa trên phần mềm
Có ba loại chính của quyền root:
•Quyền root tạm thời được hình thành bằng 1 lần khai
thác, nó sẽ mất đi khi khởi động lại. Các chương trình
chạy nền Android debug bridge không chạy như root
trong trường hợp này.
•Quyền root đầy đủ được hình thành thông qua 1 ROM
tùy chỉnh hoặc khai thác root liên tục.ROM tùy chỉnh
thường chạy nên Android debug bridge như root dù không
được root chấp nhận.
•Chế độ phục hồi gốc đạt được bằng cách flash một phân
vùng phục hồi tùy chỉnh hoặc một phần của một ROM tùy
chỉnh. ROM tùy chỉnh thường chạy các chương trình nền
Android debug bridge như là root như hầu hết các phân
vùng phục hồi được sửa đổi.

68. Phương pháp AFPhysical
Phương pháp AFPhysical được phát triển bởi
viaForensics để cung cấp một đĩa vật lý hình ảnh của
phân vùng flash NAND trên Android.
Phương pháp này đòi hỏi phải có quyền root trên thiết
bị và nên hỗ trợ bất kỳ thiết bị Android nào.
Phương pháp này không phải là đơn giản và các nhà
phân tích pháp chứng phải có trình độ cao để điều tra
1 thiết bị cụ thể.

69. Phương pháp AFPhysical
Quá trình của phương pháp AFPhysical
•Có được quyền root trên thiết bị Android mục tiêu.
•Xác định phân vùng flash NAND cần phải được chụp
ảnh.
•Tải lên tập tin nhị phân pháp chứng cho các thiết bị
Android cần điều tra.
•Có được sao chép ảnh hóa vật lý của phân vùng flash
NAND.

70. Phương pháp AFPhysical

71. Hết bài 10