当前位置: 首页 > 新闻中心 > 技术分享 > 【美亚技术分享】第三十八期:手机芯片级取证原理及实践

【美亚技术分享】第三十八期:手机芯片级取证原理及实践

【美亚技术分享】第三十八期:手机芯片级取证原理及实践


编者按:本期技术分享感谢美亚柏科技术专家的支持,手机可以说我们日常使用最多的工具,而你对手机的了解总共有多少呢?本期,就让专家带我们认识手机芯片级取证原理及实践的相关知识。


背景

随着手机的发展与普及,犯罪分子的手机逐渐成为破案的重要线索。然而在实际办案的过程中,会经常碰到非常态的手机:因被摔、被浸泡、被烧毁等导致硬件损坏的手机,无法开机、死机等系统存在问题的手机,root权限、开机密码等无法突破而不能提取数据的手机。普通的取证软件对这些手机无能为力,无法获取隐藏在手机里的线索。而美亚柏科推出的FL-910 手机芯片取证勘查箱,一款手机芯片级的取证设备,通过Chip-off技术可对上述手机的数据进行提取、分析和恢复,帮助办案人员有效地掌握关键证据。

手机芯片的封装具有抗高温、密封好、耐腐蚀和硬度高等特点,即使手机自身遭到了严重的破坏,手机芯片仍有很大可能保存完好,而且Chip-off技术可以绕过口令保护,因此FL-910 手机芯片取证勘查箱能快速解决非常态手机取证的问题。


图1 被摔坏的手机


知识

1.手机FLASH芯片

FLASH芯片作为目前市面上手机应用非常广泛的存储介质,不仅具有电子可擦除可编程的性能,还不会因为断电而丢失数据,具有快速读取数据的特点。随着手机配置逐渐提升,数据存储容量也不断增大,主流的芯片主要分为MCP、EMCP及EMMC三种。

1)MCP芯片

MCP是早期WM智能机、Android智能机、电信定制机等广泛使用的存储芯片。手机芯片镜像提取终端支持三星、美光、东芝、闪迪等品牌的MCP芯片,并支持64M、128M、256M、512M不同容量的芯片。

2)EMCP芯片

EMCP是MCP和EMMC的过渡产品,主流封装为M型。它的读取方式和其他两种芯片相同。

3)EMMC芯片

EMMC 是一种新型存储芯片,其具有容量大、读写速度快的特点,目前三星、索尼、LG 、HTC 、小米、摩托罗拉、华为、中兴、联想、酷派等多数新型号智能手机,均采用EMMC 芯片进行数据存储。

FL-910手机芯片取证勘查箱配备了6款芯片适配器,覆盖市面上95%芯片类型。适配器采用自适应方式,一般情况下,无需对手机芯片做进一步处理。



图2 芯片适配器


2.手机芯片镜像获取原理

手机FLASH芯片负责存储两部分数据,首先是手机操作系统及数据,负责系统运行,开关机,与基站通讯等。另外是应用软件和用户数据,包括QQ、微信等应用软件聊天记录,好友信息,图片语音视频等多媒体文件。

实际办案过程中不管遇到哪种手机,哪种存储芯片,采用的是哪种操作系统,只要手机FLASH芯片没有被损坏,都能获取到完整的镜像文件。

FL-910手机芯片取证勘查箱由芯片镜像提取终端、芯片适配器及对应的提取系统组成,并配备常用拆机及清洗工具。手机芯片通过适配器与镜像提取终端连接,镜像提取终端上电后,接收到PC端发来的初始化指令,并通过接口和FPGA相连,控制FPGA工作。FPGA控制提取芯片并进行初始化,使得芯片进入Ready状态,根据接收到读取数据的指令,对待提取的芯片进行数据的读取和保存。


实战

1.如何判断手机芯片

1)通过手机型号,从网上搜索相关拆机文章,进而得到相关手机参数配置,获取手机芯片类型。



图3 小米手机


2)如果网上搜索不到相关型号手机芯片类型,需要进行拆解手机,查看手机芯片上丝印信息,从而获取芯片类型等信息。



图4 手机主板及芯片位置


2.如何拆手机芯片

步骤一:拆机

1)拿到手机后,确认手机型号及厂家等信息

2)情况一:有电池盖手机

将电池盖打开后,卸下电池,选择对应的螺丝刀卸下全部螺丝。接着使用三角拆机片分离手机前壳和中壳,分离后卸下主板螺丝,FPC连接线、天线、摄像头等配件后取出主板。

2)情况二:电池内置手机

从手机正面开始,拆卸所有固定的螺丝,接着使用手机双面吸屏器将屏幕吸住,慢慢翘起。分离后卸下主板螺丝,FPC连接线、天线、摄像头等配件后取出主板。


步骤二:拆芯片

1)将主板固定在电路板维修卡具上,含有芯片那面朝上



图5 芯片摘取


2)取下屏蔽盖,如果屏蔽罩是焊接到主板上的,需要使用热风枪将屏蔽盖吹下。

3)情况一:不打胶芯片

▶使用热风枪调节到380℃,风力适中,在芯片四周加助焊剂,开始均匀加热。

▶加热1分钟后,使用镊子轻微地拨动芯片,如果芯片处于晃动,说明芯片锡球已经加热到融化状态,用镊子及时夹住芯片取下。

▶芯片取下后,使用电烙铁将芯片不平整的锡球抹平,最后放入超声波清洗机将芯片清洁干净。

3)情况二:打胶芯片

▶使用热风枪调节到150℃,加热芯片四周胶体,使用镊子将芯片周围胶体抠除。

▶热风枪再调节到380℃,风力适中,在芯片四周加助焊剂,开始均匀加热。

▶加热1分钟后,使用镊子轻微地拨动芯片,如果芯片处于晃动,说明芯片锡球已经加热到融化状态,用镊子及时夹住芯片取下。

▶芯片取下后,锡球周围还布满胶体,热风枪调节到150°,加热芯片锡球四周胶体,使用镊子将芯片锡球周围胶体抠除。

▶使用电烙铁将芯片不平整的锡球抹平,最后放入超声波清洗机将芯片清洁干净。


友情提示:

对于拆机不熟练的情况,避免对手机造成二次损坏,建议联系当地维修店进行拆机处理。

拆机过程工具及读取芯片镜像所需设备在FL-910产品中均有配备。


3.如何提取芯片镜像并进行解析、恢复及仿真

接下来我们以FL-910 手机芯片提取系统连接芯片镜像提取终端为例,介绍整个提取、解析及仿真过程。

步骤一:连接设备

▶使用镊子取出待获取手机芯片

▶使用放大镜确认芯片背面的圆点标识

▶垂直按下芯片夹具

▶圆点标识对应芯片夹具左上角●标识,芯片正面朝下放置

▶将芯片适配器安装在镜像提取终端上

▶将镜像提取终端通过电源线连接电源,通过数据线连接主机


友情提示:

可根据适配器上的操作提示,进行芯片类型识别及连接操作


步骤二:获取镜像

FL-910 手机芯片提取系统提供取证向导,用户根据提示操作即可,全程只需要单击左边左键,具体过程如下:

▶设备连接完毕后,双击桌面“手机取证向导”,单机“芯片提取”,程序自动连接设备,连接成功后进入系统界面,如下图:



图6 手机芯片取证向导


图7 连接设备


图8 芯片提取主界面


▶选择芯片类型,设置芯片镜像文件保存路径,点击“开始读取”下载芯片镜像



图9 芯片下载进度提示


▶下载完成后提示提取完成,并引导进行下一步操作,如取证分析、数据恢复及镜像仿真



图10 芯片提取完成向导


步骤三:镜像解析、恢复及仿真

镜像解析

▶芯片镜像提取完成后,根据向导提示,使用“取证分析”功能,对下载的镜像进行解析,主要对手机短信、通话记录、微信及QQ等数据进行解析提取。

详细步骤如下:

1)在【案例管理】页面新建案例或选择已有案例,进入【添加证据】-【文件取证】,文件类型选择镜像,手机平台根据实际选择,浏览打开步骤2中的得到的镜像,完成文件选择。



图11 选择芯片镜像文件


2)勾选要获取的信息项,点击【开始取证】,耐心等待芯片数据提取完毕。



图12 芯片镜像解析


3)数据提取完成后,对数据进行浏览,点击左侧的证据列表,查看关心的内容。



图13 芯片镜像微信数据展示


镜像恢复

▶芯片镜像提取完成后,也可以使用“数据恢复”功能,对下载的镜像进行数据恢复,主要对手机已删除数据进行恢复,还包括文件恢复、碎片修复等

详细步骤如下:

点击【手机恢复】-【镜像】,添加步骤2中得到的镜像文件,进行快速恢复或深度恢复。



图14 芯片镜像图片恢复展示


镜像仿真

使用“手机仿真”功能,对下载的镜像进行镜像仿真,真实再现手机运行环境,可以对手机应用程序进行在线操作,截图辅助取证,如查看微信红包、公众号等信息。

详细步骤如下:

1)点击【离线仿真】,选择步骤2中得到的镜像文件。



图15 芯片镜像仿真启动界面


2)根据实际需要选择要仿真的程序,点击开始仿真,等待系统模拟手机实际的运行环境。



图16 勾选需要仿真的应用程序列表


3)仿真完成后,鼠标点击模拟窗口中的应用,查看具体情况。下图是点开微信红包的截图。



图17 微信红包仿真展示


小结

因人为破坏、掩埋和水浸等导致无法正常使用的手机,其中的手机数据无法被常规的手机取证产品提取出来,但只要手机中的FLASH芯片没有损坏,使用FL-910手机芯片取证勘查箱通过拆机、读取芯片数据,就能够获取到手机中关键信息。FL-910手机取证勘查箱,配备手机拆机套件、芯片提取终端以及芯片提取系统,提供取证分析、数据恢复和手机仿真等取证方案,真正意义上解决了非正常手机调查取证的难题。

一起看看FL-910 手机芯片取证勘查箱是如何提取芯片里的秘密的吧~


↓↓↓



拓展阅读 》》》我们不修手机,我们是“拆”手机的!