Извлечение паролей из дампов устройств Windows Phone в ПО «Мобильный Криминалист»

Содержание 

  1. Создание дампа устройства Windows Phone
  2. Извлечение паролей в ПО «Мобильный Криминалист»
  3. Заключение

При исследовании мобильных телефонов с операционной системой Windows Phone могут возникнуть ситуации, когда необходимо посмотреть данные в работающем устройстве. Например, это необходимо для того чтобы удостовериться, что извлечение содержимого устройства произведено в полном объеме, или для копирования данных с помощью фотографирования экрана устройства, если их извлечение не поддерживается существующим программным обеспечением. В программе «Мобильный Криминалист» появился функционал по извлечению паролей из дампов устройств Windows Phone. Это поможет экспертам получить доступ к информации, находящейся в заблокированных  устройствах Windows Phone.  В этой статье мы расскажем об этой функции.

  

1. Создание дампа устройства Windows Phone

Для создания полных копий памяти мобильных устройств под управлением операционной системы Windows Phone рекомендуется использовать следующие методы:

  1. Создание копии памяти мобильного устройства путем загрузки специальной программы управления устройством в режиме DFU. Этот метод применим для мобильных устройств, выпущенных до 2014 года.
  2. Извлечение данных из интегральной схемы памяти посредством отладочного интерфейса JTAG (Joint Test Action Group).
  3. Извлечение данных из интегральной схемы памяти посредством метода внутрисхемного программирования. Внутрисхемное программирование (In-System Programming, ISP) — технология программирования электронных компонентов (ПЛИС, микроконтроллеры и т. п.), позволяющая программировать компонент, уже установленный в устройство. До появления этой технологии компоненты программировались перед установкой в устройство, для их перепрограммирования требовалось их извлечение из устройства. [1]
  4. Извлечение данных из интегральной схемы памяти («Chip-off»).

 Следует отметить, что:

  •  для устройств Windows Phone, начиная с серии x30, метод извлечения данных посредством отладочного интерфейса (JTAG) недоступен, так как тестовые точки были убраны с их системных плат. С другой стороны, широко стал использоваться подход извлечения данных из интегральной схемы памяти посредством метода внутрисхемного программирования, который позволяет подпаять проводники напрямую к микросхеме памяти на системной плате мобильного устройства и производить извлечение данных с гораздо большей скоростью, чем в случае использования метода извлечения данных посредством отладочного интерфейса (JTAG).
  • использование метода извлечения данных из интегральной схемы памяти («Chip-off») является исключительным методом, применяемым в том случае, когда другие методы извлечения данных не дали нужного результата, так как в мобильных устройствах под управлением операционной системы Windows Phone часто применяются такие приемы, как шифрование данных пользовательского раздела или установка на интегральную микросхему памяти кода блокировки, не зная которого, невозможно получить доступ к данным, находящимся в интегральной микросхеме памяти.

Илл. 1. Лог анализа заблокированной интегральной микросхемы памяти

  

2. Извлечение паролей в ПО «Мобильный Криминалист»

Для извлечения пароля блокировки необходимо запустить «Мастер извлечения данных» и выбрать опцию «JTAG образ Windows Phone 8».

Илл. 2. Основное окно «Мастера извлечения данных»

Затем нужно указать путь до дампа мобильного устройства и кликнуть кнопку «Далее».

Илл.3. Выбор полной копии памяти мобильного устройства

В следующем окне необходимо проверить корректность введенных данных, и, если данные введены правильно, кликнуть кнопку «Извлечь».

Илл. 4. Окно проверки введенных данных

После этого  начнется процесс извлечения данных из указанного дампа.

Илл. 5. Процесс извлечения дампа

Далее программа начинает поиск пароля на блокировку экрана в извлеченном хэше устройства и передает расшифрованный пароль в программу «Мобильный Криминалист». После окончания извлечения данных пароль блокировки экрана будет показан в секции «Информация об устройстве».

Илл. 6. Информация об обнаруженном пароле блокировки экрана

  

3. Заключение

Получение доступа к «живым» данным, находящимся в памяти мобильного устройства, может иметь большое значение в ходе проведения его исследования. В данной статье был рассмотрен функционал программы «Мобильный Криминалист», позволяющий извлекать пароль блокировки экрана из физического дампа устройства Windows Phone.

 

Источники:

  1. Внутрисхемное программирование - https://en.wikipedia.org/wiki/In-system_programming
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 1
Еще есть вопросы? Отправить запрос

0 Комментарии

Статья закрыта для комментариев.