Мобильные устройства

Модуль «Мастер Извлечения Данных» содержит метод «Qualcomm EDL дамп», позволяющий извлекать физический образ из устройств на чипсетах Qualcomm.

Для того, чтобы получить физический образ, необходимо:

1. Перевести устройство в EDL-режим, подключить его к ПК.

В общей сложности можно выделить две группы способов перевода устройства в EDL-режим – программные и аппаратные методы. К программным методам относятся перевод через Fastboot, через меню ADB и через FTM-режим. Среди аппаратных методов выделяют замыкание контактных точек, перевод кнопками и подключение через сервисный кабель. Каждому мобильному устройству на процессорах Qualcomm подбирается свой метод перехода в EDL-режим. Какой-то единой базы данных, содержащей эту информацию нет, поэтому, какой метод нужен именно в вашем случае, можно поискать в Интернете или узнать опытным путем.

2. Открыть «Мастер Извлечения Данных», выбрать инструмент «Qualcomm EDL дамп».

3. Внимательно прочесть инструкцию, подтвердить ее прочтение.

4. В появившемся окне, в зависимости от исследуемого устройства, выбрать метод подключения:

  • кликнуть по строке «Автоматическое подключение»;
  • просто выбрать необходимый процессор по его номеру (при подключении устройств на чипсетах MSM8909, MSM8916, MSM8939, MSM8952);
  • ввести номер процессора или название модели в поисковой строке, чтобы найти подходящий файл загрузчика, выбрать его;
  • использовать файл загрузчика для исследуемого устройства, найденный в сторонних источниках.

5. Перейти к подключению устройства и извлечению данных.

После завершения процесса извлечения в случае поддержки расшифровывания данных исследуемого гаджета (на процессорах MSM8909, MSM8916, MSM8917, MSM8937, MSM8939, MSM8940, MSM8952 и MSM8953), программа перейдет ко второму этапу работы с устройством – извлечению аппаратных ключей шифрования и расшифровке с их помощью полученного физического образа.

На данном этапе исследователю необходимо выполнить следующие действия:

1. Для устройств на чипсетах MSM8909

  • подождать, пока программа проанализирует полученный образ устройства;
  • переподключить устройство к ПК в EDL-режиме;
  • подождать некоторое время, пока программа извлечет аппаратные ключи;

В том случае, если аппаратные ключи извлеклись не все, необходимо перезапустить их извлечение, нажав на кнопку «Перечитать».

  • подобрать верный пароль для расшифровки;
  • перейти к анализу данных.

2. Для устройств на чипсетах MSM8916, MSM8917, MSM8937, MSM8939, MSM8940, MSM8952 и MSM8953

  • подождать, пока программа проанализирует полученный образ устройства;
  • переподключить устройство к ПК, отключив от него USB-кабель, зажав кнопку питания и снова подключив USB-кабель;

В некоторых случаях, необходимо также отсоединить шлейф аккумулятора телефона от его платы после отсоединения USB-кабеля.

  • подождать, пока программа переведет устройство в специальный режим и после его включения, если активна опция Secure Startup, ввести на экране телефона любую числовую комбинацию, по количеству символов не менее 4;

Для некоторых устройств свойственно автоматическое переподключение, не требующее дополнительных действий от исследователя.

  • подождать, пока программа выполнит извлечение аппаратных ключей шифрования;

Если извлечение прошло не совсем успешно, повторите попытку, нажав на кнопку «Перечитать».

Для каждого отдельного устройства, процесс извлечения из него ключей может несколько отличаться от инструкции, описанной нами выше. Все действия, необходимые от исследователя, всегда прописаны в программе, которая сама подстраивается под определенные сценарии работы, в зависимости от гаджета.

  • по окончании извлечения ключей, необходимо импортировать данные в программу для их последующего исследования.

В случае активного режима безопасной загрузки (экран Secure Startup), программа попросит исследователя ввести пароль, установленный пользователем. К сожалению, на данный момент подобрать пароль непосредственно при работе с методом «Qualcomm EDL дамп» не представляется возможным. Однако,  это можно сделать, если вы импортируете полученный физический образ в программу уже после окончания работы с выбранным методом извлечения.

В случае отсутствия возможности расшифровки физического образа исследуемого устройства, программа после его извлечения переходит к этапу анализа извлеченных данных. Так как образ зашифрован, может показаться, что в полученном результате нет никаких важных данных.  Однако это совсем не так. Если зайти в файловый браузер извлечения, можно заметить, что он содержит определенное количество информации, доступной к изучению без расшифровки. Это доказывает, что есть и другие данные, просто «Мобильный Криминалист» пока что не поддерживает шифрование устройств на процессоре, установленном на изучаемом гаджете.

В настоящее время специалисты компании работают над расширением спектра устройств Qualcomm, из которых «Мобильный Криминалист» сможет произвести извлечение физического образа и выполнить его расшифровку.

Выбор метода извлечения
Инструкция
Выбор файла загрузчика
Перевод устройства в EDL-режим перед извлечением аппаратных ключей шифрования
Извлечение аппаратных ключей MSM8909
Извлечение ключей на чипсетах с поддержкой аппаратного шифрования
Автоматическое переподключение
Ввод пользовательского пароля
Результаты извлечения