Методы извлечения данных из устройств Windows Phone

Содержание

  1. Безопасность устройств Windows Phone
  2. Логическое извлечение данных из Windows Phone
  3. Извлечение данных из резервных копий Windows Phone
  4. Извлечение данных из копий физической памяти устройств
  5. Заключение

В 2010 году на рынке появились мобильные устройства под управлением операционной системы Windows Phone. Основное количество подобных устройств было произведено  фирмой Nokia (Microsoft). Однако, встречаются модели, выпущенные такими компаниями, как: HTC, LG, Lenovo, Samsung и т.д. [1]. Чтобы не возникло путаницы, следует помнить, что старые версии (7 и 8) этой операционной системы назывались Windows Phone. Новейшая же операционная система этого семейства называется Windows 10 Mobile. В этой статье мы расскажем о методах извлечения данных и особенностях работы с этими устройствами.

 

Безопасность устройств Windows Phone

Наиболее полно методология и подходы к безопасности устройств Windows Phone описана в документе «Windows Phone 8.1 Security Overview» [2]. Мы же остановимся только на отдельных, важных для эксперта, моментах.

Шифрование данных

В устройствах Windows Phone зашифрованы могут быть как данные, находящиеся на внешнем носителе (карте памяти), так и данные находящиеся во внутренней памяти.

Шифрование устройств Windows Phone реализовано на базе технологии BitLocker с использованием алгоритма шифрования Advanced Encryption Standard (AES, 128-битное шифрование). Ключ шифрования сохраняется в отдельной микросхеме, что затрудняет его извлечение. Доступ к данным, находящимся в памяти устройства и на сменном носителе, дополнительно блокируется паролем на аппаратном уровне. Все это в совокупности делает извлечение данных из устройства очень сложным.

Используемые технологии не позволяют пользователю отключить шифрование или изменить алгоритм шифрования на более простой. Могут быть включены дополнительные опции, позволяющие, например, уничтожить данные пользователя в случае обнаружения попытки подбора пароля.

Большинство устройств Windows Phone имеет слот для установки карт памяти. В Windows Phone 8 появилась опция, позволяющая устанавливать приложения не только в память устройства, но и на карту памяти. При этом, приложения и их данные автоматически шифруются. Следует отметить, что медиа контент (фотографии, видеофайлы) на картах памяти не шифруется. Это позволяет владельцу устройства легко осуществлять обмен медиа контентом с другими пользователями.

Политики доступа к устройству

Для доступа к устройству Windows Phone может потребоваться пароль разблокировки. Использовать этот пароль пользователя, особенно корпоративного пользователя, заставляют правила, устанавливаемые администраторами Master Data Management (MDM) или Microsoft Exchange ActiveSync (EAS).

Windows Phone также поддерживает следующие методы управления устройствами:

  • Удаленная очистка. Технический персонал компании может инициировать удаленную очистку устройства с помощью своей системы MDM или консоли управления сервером Exchange Server. Пользователи могут инициировать удаленную очистку устройства с помощью Microsoft Outlook Web Access (OWA).
  • Частичное удаление данных. Если устройство ассоциировано с MDM, администратор системы может произвести частичную очистку устройства. При этом стираются корпоративные данные и настройки корпоративных аккаунтов. Но сохраняется личная информация владельца устройства.
  • Удаленная блокировка. Технический персонал компании может удаленно заблокировать устройство. В дальнейшем, устройство может быть разблокировано.
  • Удаленный сброс кода блокировки. Технический персонал компании может удаленно сбросить код блокировки экрана. Например, в случае если пользователь забыл его. При этом, корпоративные и личные данные пользователя сохраняются.
  • Удаленный звонок. Эта функция позволяет установить примерное местоположение устройства.

Выявление попыток обхода кода блокировки. В случае установки соответствующих настроек устройства, а также с помощью MDM и EAS, пользователь может стереть всю информацию в случае обнаружения попытки подбора пароля, которым заблокировано устройство.

 

Логическое извлечение данных из Windows Phone

Как правило, у экспертов не возникает проблем с подключением устройств Windows Phone к компьютеру и извлечению из них данных с помощью ПО «Мобильный Криминалист». Следует помнить, что подключаемое устройство должно быть разблокировано. Иначе оно может быть не опознано компьютером.

Если по каким-либо причинам устройство не было опознано, необходимо переустановить драйвер устройства, воспользовавшись инструкцией из статьи «Компьютер не определяет Windows Phone 8» [3] базы знаний Microsoft. В данной статье приводятся типовые проблемы, возникающие при подключении устройств Windows Phone и сведения по их устранению. Также эта статья содержит подробные инструкции по удалению драйвера Windows Phone, автоматической и ручной установке драйверов Windows Phone.

Илл. 1. Информация о Nokia Lumia 925 в окне Мастера извлечения данныx

Особенностью логического извлечения данных из устройств Windows Phone в ПО «Мобильный Криминалист» является то, что:

  • при извлеченных данных по кабелю извлекаются только общая информация об устройстве и данные, находящиеся на карте памяти;
  • при извлеченных данных по Bluetooth дополнительно можно получить информацию о контактах и звонках.

Илл. 2. Выбор метода извлечения данных

 

Извлечение данных из резервных копий Windows Phone

Резервные копии Windows Phone сохраняются в облачном хранилище OneDrive компании Microsoft. В зависимости от настроек аккаунта, в резервные копии могут быть сохранены:

  • фотографии;
  • СМС-сообщения;
  • приложения и их данные:
  • приложения, установленные на телефоне;
  • пароли учетных записей;
  • вызовы;
  • структура и цветовая тема рабочего стола;
  • учетные записи, настроенные на телефоне;
  • элементы списка «Избранное» Internet Explorer;
  • слова, добавленные в словарь телефона;
  • настройки компонентов телефона, включая фотографии, сообщения, электронную почту и связанные учетные записи, экран блокировки, настройки голосового ввода и т.д.

Извлечение данных из резервных копий Windows Phone производится с помощью Мастера извлечения данных.

Илл. 3. Окно Мастера извлечения данных

Илл. 4. Окно ввода имени пользователя и пароля учетной записи Windows Live

Резервные копии Windows Phone, находящиеся в облачном хранилище Microsoft, можно также скачать с помощью модуля «Облачные сервисы». Для доступа к облачному хранилищу эксперту понадобятся имя пользователя и пароль от учетной записи или токен, извлеченный из Windows Phone.

Илл. 5. Окно Облачные сервисы

 

Извлечение данных из копий физической памяти устройств

Наиболее полно извлечь данные из устройств Windows Phone можно с помощью анализа копии физической памяти устройства. При этом могут быть извлечены не только файлы, находящиеся в устройстве в явном виде, но и удаленные файлы.

Илл. 6. Окно Мастера извлечения данных.

Илл. 7. Отображение файловой системы физической копии устройства Windows Phone в ПО «Мобильный Криминалист»

Илл. 8. Внешний вид окна ПО «Мобильный Криминалист» со сведениями, извлеченными в ходе анализа копии физической памяти устройства Windows Phone

Из копий физической памяти устройств Windows Phone может быть извлечен  пароль блокировки. Об этом можно почитать в статье «Извлечение паролей из дампов устройств Windows Phone в ПО «Мобильный Криминалист»» [4].

Для создания полных копий памяти мобильных устройств под управлением операционной системы Windows Phone рекомендуется использовать следующие методы:

  • Создание копии памяти мобильного устройства путем загрузки специальной программы управления устройством в режиме DFU. Этот метод применим для мобильных устройств, выпущенных до 2014 года.
  • Извлечение данных из интегральной схемы памяти посредством отладочного интерфейса JTAG (Joint Test Action Group).

Илл. 9. Извлечение данных из смартфона Nokia Lumia 610 посредством отладочного интерфейса

  • Извлечение данных из интегральной схемы памяти посредством метода внутрисхемного программирования. Внутрисхемное программирование (In-System Programming, ISP) — технология программирования электронных компонентов (ПЛИС, микроконтроллеры и т. п.), позволяющая программировать компонент, уже установленный в устройство. До появления этой технологии компоненты программировались перед установкой в устройство, для их перепрограммирования требовалось их извлечение из устройства. [5]
  • Извлечение данных из интегральной схемы памяти («Chip-off»).

Также могут быть проанализированы копии физической памяти Windows Phone, полученные с помощью других криминалистических программ и программно-аппаратных комплексов. Как правило, ПО «Мобильный Криминалист» извлекает больше данных из установленных приложений, сохраненные пароли, лучше восстанавливает удаленные файлы.

Из опыта работы, стоит отметить, что извлечение физических копий памяти устройств Windows Phone 7, 8 позволяет получить из них максимальное количество данных и подобные извлечения всегда были успешными. Извлечение физических копий памяти устройств Windows Phone 10, бывает успешным примерно в 50% случаев. Это связано прежде всего с используемыми в данных устройствах технологиях защиты данных пользователя: шифрования, аппаратной блокировки функции чтения данных из микросхемы памяти паролем.

Илл. 10. Зашифрованный раздел с данными пользователя

 

Заключение

В данной статье были рассмотрены различные методы извлечения данных из устройств Windows Phone: логическое извлечение, извлечение из резервных копий, хранящихся в облаке,  извлечение из копий  физической памяти. Рассмотрены артефакты Windows Phone, которые могут быть извлечены при каждом типе извлечения, а также сложности, возникающие у эксперта при извлечении данных из таких устройств.

 

Источники:

  1. Windows Phone https://en.wikipedia.org/wiki/Windows_Phone
  2. Windows Phonе1 Security Overview http://download.microsoft.com/download/B/9/A/B9A00269-28D5-4ACA-9E8E-E2E722B35A7D/Windows-Phone-8-1-Security-Overview.pdf
  3. Компьютер не определяет Windows Phone 8 https://support.microsoft.com/ru-ru/help/2749484
  4. Извлечение паролей из дампов устройств Windows Phone в ПО «Мобильный Криминалист» https://support.oxygensoftware.ru/hc/ru/articles/115000083370-%D0%98%D0%B7%D0%B2%D0%BB%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9-%D0%B8%D0%B7-%D0%B4%D0%B0%D0%BC%D0%BF%D0%BE%D0%B2-%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2-Windows-Phone-%D0%B2-%D0%9F%D0%9E-%D0%9C%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9-%D0%9A%D1%80%D0%B8%D0%BC%D0%B8%D0%BD%D0%B0%D0%BB%D0%B8%D1%81%D1%82-
  5. Внутрисхемное программирование https://en.wikipedia.org/wiki/In-system_programming
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

0 Комментарии

Войдите в службу, чтобы оставить комментарий.