Мобильные устройства

Spreadtrum-устройства — это гаджеты, основанные на чипсетах Spreadtrum, выпускаемых китайской корпорацией Unicos.

«Мобильный Криминалист» обладает поддержкой извлечения и расшифровки физического образа Spreadtrum-устройств, данные которых защищены как программным, так и аппаратным шифрованием (SC9850, SC9863, SC7731E, SC9832E).

Для того, чтобы извлечь данные из Spreadtrum-устройств необходимо:

  • открыть модуль «Мастер Извлечения Данных»;
  • выбрать метод «Spreadtrum Android дамп»;
  • прочитать инструкцию и подтвердить ее прочтение;
  • выбрать модель исследуемого устройства;
  • подключить к ПК USB-кабель;
  • перевести устройство в DFU-режим зажатием клавиши громкости вниз (иногда вверх) и подключением к устройству USB-кабеля.

В том случае, если смартфон базируется на чипсетах SC9850, SC9863, SC7731E, SC9832E, программа будет работать с ним по новому сценарию без модификации разделов загрузочных таблиц устройства. При наличии любых других чипсетов, «Мобильный Криминалист» для доступа к данным изменит таблицы разделов, что может привести к частичной потере работоспособности устройства. Восстановить ее можно, подключив устройство к ПК, выполнив действия выше и выбрав пункт «Восстановить исходные настройки».

При рассмотрении прошлого сценария после перевода устройства в DFU-режим, выполняется переход к окну подключения устройства, а затем к этапу извлечения и анализа полученных данных. 

Если же исследуемый телефон основан на чипсетах SC9850, SC9863, SC7731E или SC9832E, вы перейдете к новому сценарию работы метода, который позволяет не только извлекать физический образ устройства, но и расшифровывать его, даже в случае аппаратного шифрования. На этом этапе реализовано несколько сценариев работы.

Первый (при программном шифровании). Как и в случае со всеми остальными чипсетами, необходимо просто перевести устройство в DFU-режим и дождаться окончания процесса извлечения и анализа данных.

Второй (при аппаратном шифровании) требует от эксперта нескольких действий:

  • после перевода устройства в DFU-режим, дождитесь окончания процесса модификации загрузочного раздела;
  • переподключите устройство к ПК в DFU-режиме;
  • отключите включенное устройство от ПК;
  • дождитесь запуска загрузочного раздела на устройстве;
  • переподключите телефон к ПК во включенном состоянии по обычному USB-кабелю.

Далее программа определит подключенное устройство и перейдет к извлечению физического образа.

Затем ПО переходит к новому важному этапу работы со смартфоном - извлечению аппаратных ключей шифрования.

От исследователя ожидается выполнение следующих действий:

  • прочитать инструкцию в появившемся окне;
  • отключить телефон от ПК и выключить его;
  • подтвердить отключение устройства от ПК и перейти далее;
  • подключить смартфон к ПК в DFU-режиме;
  • дождаться запуска модифицированного загрузочного раздела;
  • подождать, пока программа автоматически переподключит устройство (если этого не происходит, просто выньте USB-кабель из телефона и вставьте его снова);
  • дождаться извлечения аппаратных ключей шифрования.

Если извлечения ключей или переподключения устройства не произошло, нажмите на кнопку «Повторить» в левом нижнем углу окна программы и выполните все необходимые действия еще раз.

После успешного извлечения ключей шифрования перейдите далее. «Мобильный Криминалист Детектив» продолжит работу в «Мастере Извлечения Данных» и попросит ввести известный пользовательский пароль режима безопасной загрузки, в случае, если этот режим активирован. «Мобильный Криминалист Эксперт» предложит импортировать информацию и в процессе импорта запросит введение пользовательского пароля.

Результатом извлечения станет расшифрованный физический образ исследуемого гаджета.

 

Рекомендации по подключению
Выбор устройства
Обнаружение устройства
Устройство подключено
Обработка физического образа
Извлечение аппаратных ключей
Извлечение аппаратных ключей
Ввод пароля для расшифровки
Итоги извлечения