提取破损手机芯片获取电子数据证据的研究
2015-01-14苏洋
苏 洋
(北京瑞源文德科技有限公司,北京100176)
引言
当今,有的作案人的犯罪活动日趋隐蔽化、智能化、群体化、新型化、反侦查化等特点,尤其对手机中存储的关键线索数据都有较强的防范意识,主动销毁、故意损坏、提前删除等手段层出不穷[1]。2012年新修改的《刑事诉讼法》将电子数据首次规定为法定证据类型。手机芯片作为手机机身数据的载体,如何直接提取案中的破损手机及破损的密码保护手机、特殊系统手机芯片中的电子数据,已经在刑侦过程中凸现出来。
一、典型案例分析
(一)浸水手机案例
典型案例1。在某刑事案现场,找到几部浸水时间超过1月的手机,由于水泡时间过长,所有标签、手机电路板都遭到破坏,其中1部手机如下图所示(图1)。委托单位希望通过技术手段,得到手机机身IMEI,同时尽量获取机身存储数据,进行身份识别、线索分析。
图1某案现场浸水1月余的手机
该手机电路生锈严重,常规的手机开机检验已经不可能,只能将手机电路板上的主存储芯片与手机电路板分离后,通过专门手机芯片提取设备进行读取,然后再对得到的机身数据进行分析。
首先,将机身外围无效器件、锈蚀部分清理掉,露出主存储芯片。该手机采用存储为256Mb Nand存储芯片。在芯片读取设备的支持中确认可进行数据读取后,开始拆除芯片,即将热风枪调节到270℃加热60秒后,将芯片与主板电路剥离。
其次,对拆除的存储芯片进行预处理植球除胶后,放置在专用读取设备上读取,用时约1分钟。
最后,对读取手机芯片数据进行分析,通过分析系统,自动与手动结合进行分析,得到相关手机IMEI 2条,通话记录若干。最终通过运营商协助确认本案手机的真实IMEI,为本案提供了重要线索。
(二)破损手机案例
典型案例2。嫌疑人在抓捕过程中,故意将HTC G14手机损坏,机身屏幕粉碎,机身被折弯为90°角,导致手机无法开机。办案干警希望通过技术手段获取相关机身数据。
本案手机电路如下图所示(图2),由于主板电路集成度已经非常高,仅占据屏幕上方1/3的空间,因此,将手机电路拆下后发现,虽然机身变形严重,但主板电路完整度较高,而且存储芯片为新型三星EMMC 4G容量存储芯片。
图2 HTCG14手机存储芯片和电路
本案对应数据提取过程如下:
芯片拆除、准备过程同案例1。
芯片读取过程。由于EMMC芯片具有高速、控制算法集成等特点,4G容量仅需要10分钟左右即可全部读取完毕。
数据分析。利用现有成熟分析系统,以及开源硬盘镜像分析工具,即可快速整理本手机安卓系统中的EXT4文件系统分区,快速到用户数据目录,继而分析得到用户相关数据、电话簿、通话记录、短信若干条。由于安卓系统使用的Sqlite数据库,通过进一步分析,还可得到对应的部分删除数据。本案同时获取包含机身图片、视频、录音文件等多种格式,为侦查破案提供了大量基础数据和相关线索。
(三)加密手机案例
典型案例3。嫌疑人手机为moto XT910智能安卓手机,设置了开机屏幕保护锁,安全锁类型为9宫格,且相关系统开发者选项中,ADB调试模式关闭。
由于安卓手机本身硬件方案的不同,存在着很多软件硬件漏洞,可以方便破解及绕过开机屏幕保护锁。但是,Moto XT910手机使用了TI的一款CPU,硬件上没有相关破解方法,软件上由于安卓系统为2.3.6,也是当时最新的操作系统,也没有可以使用的任何软件漏洞。综上所述,最终同意通过拆卸存储芯片的检验手段进行数据提取。
本案对应数据提取过程如下:
芯片拆除、准备过程同案例1。
芯片读取。本案手机芯片为东芝 16G存储芯片,由于容量巨大,因此,整个读取过程耗时2小时。
数据分析。由于本手机系统为yaffs文件系统,因此,分析难度巨大,目前还没有好的方法可以分析,但由于手机本身电路完好,因此,通过技术手段,分析找到了安卓系统中存储 9宫格的密码文件 gesture.key。通过分析,首先破解得到了真正的开机密码;其次,通过手机芯片返修设备,将存储芯片重新安装到手机上;最后,输入破解得到的密码后,验证通过,手机正常进入,通过常规手段获取了大量数据,其中包含数量众多的微信聊天数据,为本案侦破提供了大量线索。
二、手机芯片提取
手机芯片提取技术,是基于手机及其他通用小型化数码设备的存储芯片,直接针对存储芯片进行提取,从而获取最终数据的方法。随着手机技术的快速发展和智能手机的高度普及,手机检验技术也不断细分,根据检验工具采集信息的渠道不同,共分为:人机交互界面直接检验;应用层接口检验;系统层接口检验;芯片级检验;微读技术等5个等级。第一级由于纯手工开机检验无需产品;第二、第三级目前都有相对成熟的产品(MPE+/UFED/Oxygen……);第五级由于仅仅存在理论支持,因此,商用产品还未出现;第四级的芯片检验,是目前正在逐渐成熟中的解决方案,该检验摆脱了手机硬件设计的束缚,直接通过对存储介质的读取获得检验数据,是存储芯片中的原始二进制数据。
(一)芯片提取的优势
手机芯片提取技术实施上,主要包括数据提取和数据分析两个阶段[2]。提取阶段主旨在保证芯片安全可追溯的前提下进行证据的固定。数据分析则是根据提取二进制数据进行编码转换、数据分析、数据挖掘的过程。
芯片提取优点:不受制于待检设备、软件系统、外围硬件、系统接口等众多限制,直接通过芯片接口,提取,从而简化因设备型号等外围条件设定下的障碍;提取复杂度低,可靠性高,速度快,绝对直读,可提取全部数据镜像;同时,针对本身损坏的检材,几乎是唯一的解决方案,又可称之为终极解决方案[3]。
(二)芯片提取的劣势
芯片提取的劣势和缺点:首先,它属于破坏性检验,芯片的拆除属于有损检验,拆除后,再重新安装到设备上恢复原始状态有很大的风险与难度。其次,提取的数据分析难度较高,因提取的文件系统,软件系统种类众多,数据的分析难度要求较高;对于一些芯片级别数据加密,由于硬件加密算法目前还没有解决方案。最后,芯片提取时,对芯片的拆除技术和动手能力要求也较高,不过,随着BGA返修设备的引入,高要求正在逐步降低过程中。
通过以上芯片提取技术实施的详细阐述,可见目前芯片数据提取技术已经相当成熟,可以保证提取过程对芯片数据的最大保护。而数据分析因商业工具对手机数据的支持还存在盲点,还难以完全实现自动分析,还需要很多手动分析挖掘过程。但总体上,手机芯片提取技术已经具备实际应用条件,已在侦查破案中发挥作用。
三、芯片提取技术的应用场景
(一)损坏手机数据恢复
人为物理损坏手机。包括人为暴力破坏手机和刀砍斧剁手机等。在案例1和2中,人为损坏手机情况很明显,破坏目标多为损坏手机机身。还有如车祸现场手机受到外力挤压,以及高处掉落手机等。由于手机物理损坏程度不同,对于当前主流手机,外壳的坚硬程度在快速提升,与此同时,手机电路板体积在不断下降,尤其是智能手机集成度越来越高,手机电路仅占手机机身容量1/3甚至更少,更多空间都被屏幕、电池等附件占据,手机电路上的存储芯片尺寸更是被控制在非常小的体积之内。因此,对于物理损坏手机,只要保证手机电路上的存储芯片本身完整,芯片提取的可行性就存在,并且成功率非常高。
水浸损坏手机。在长时间的水浸后,手机电路上的存储芯片早已转为BGA芯片,BGA芯片封装的焊锡接触位置在芯片下方,与电路板直接接触。而且目前主流手机厂商为了提高产品可靠度,都会在存储芯片周围进行涂抹胶水,在这层胶水的保护下,就能保证存储芯片焊接处与水隔绝。因此,即使长时间浸泡在水中,电路等外设备生锈,手机芯片仍可长时间维持原样,其中数据也会一并保留下来,案例1便是典型,成功提取并解析的几率非常高。
过火手机。由于 BGA芯片正常焊接温度为270℃~320℃,用时约需60~70秒。火灾现场过火的手机,因有外壳的保护与隔离,存储芯片温度很可能不会超过阈值,即使外壳熔毁,存储芯片本身还有可能保留并具备成功提取的可能。
(二)智能手机密码破解及密码绕过
对于密码保护的手机,在案件中出现的几率随着智能手机的普及,大众隐私的关注逐年提高,手机功能的增加等因素也在逐年上升过程中。因此,对于密码保护的手机数据进行提取、破解或绕过密码的手段,也在不断发展与完善过程之中。但无论密码破解技术与硬件后门技术多么强大,都会有盲区,因此,在某些特殊情况下如案例3,通过有损的芯片检验方式来进行密码破解与密码绕过提取数据,都非常有效且符合实际的实施方案。
安卓锁屏手机。目前常见安卓手机都有一些硬件后门,以及软件漏洞可以通过这些方式快速破解密码或移除密码。但是,有些特殊安卓手机,没有任何软硬件后门方式可破解,但由于机身BGA存储芯片对内部数据并不加密,因此,通过BGA芯片级别提取数据后,就可完全不受屏幕锁干扰,直接提取机身全部数据。提取数据为全部机身镜像,文件系统还原后即可得到文件数据,从而分析得到机身全部相关数据。
黑莓密码保护手机。黑莓手机的安全性始终非常高,尤其在数据传输过程中对数据的保密性很好。但是,由于黑莓手机存储芯片本身并不加密,依旧可以利用芯片提取技术,绕过开机密码进行数据获取。
(三)定制系统手机和无数据接口手机
定制系统手机,主要指早期淘汰的或市场占有率非常低的特殊系统手机。市场上目前还存在着大量简易手机,即无任何数据接口手机。这些手机,系统随意性高,功能简单,是传统电子取证商业产品不能覆盖支持的盲区。由于这些手机是使用较为通用的存储芯片进行存储,而且对存储数据并不加密,因此,利用芯片级提取技术,依旧可以绕过一切开机密码,直接得到机身全部镜像数据,通过数据解析即可得到机身的相关数据:电话簿、通话纪录和短信息等,甚至包含机身删除部分的数据。
四、结语
芯片提取技术,基于手机芯片的数据提取,特别是损坏手机的数据提取,从手机硬件底层的存储芯片,直接直读方式提取全部电子数据。具有数据完整度高,手机品牌型号差异性限制低等特点,是涉案手机尤其是损坏手机电子数据采集的终极解决方案。相关操作步骤,数据解析上的每个环节,都在跟随手机设备本身的发展而不断更新。可以预见未来,芯片级提取技术在密码破解,损坏手机数据恢复等领域,一定会得到更大的关注,必然会在未来的刑侦工作中起到更大的作用。
[1]王桂强.手机物证检验及其在刑事侦查中的应用[J].刑事技术,2006(1).
[2]Rick Ayers.Sam Brothers.Guidelineson Mobile Device Forensics,2013.
[3]丁红军.手机规范取证研究[J].信息网络安全,2012(5):88-91.