Tài liệu CHFI 2024 (EC Council) Module 13 Điều Tra Thiết Bị Di Động

Tài liệu biên soạn theo outline Module 13 CHFI v11 của EC Council.

Lịch Khai Giảng Khóa Đào Tạo CHFI v10 + v11 Online CHFI 2024 – Khóa mới vào chủ nhật hàng tuần !

Trong quá trình khởi động bình thường, BootRom là giai đoạn đầu tiên trong iPhone, có tất cả các chứng chỉ gốc kiểm tra giai đoạn tiếp theo. BootRom khởi tạo một số thành phần và sau đó kiểm tra chữ ký của bộ tải khởi động cấp thấp (LLB). Khi xác minh thành công, BootRom tải LLB. Tương tự như vậy, LLB kiểm tra chữ ký của iBoot (bộ tải khởi động giai đoạn 2) và tải nó khi xác minh thành công. Quy trình tương tự áp dụng cho các giai đoạn tiếp theo trong chuỗi, trong đó iBoot kiểm tra chữ ký của kernel và cây thiết bị, trong khi kernel kiểm tra chữ ký của tất cả các ứng dụng người dùng.

Không giống như quá trình khởi động bình thường, các điều tra viên điều tra số sử dụng chế độ Nâng cấp Firmware Thiết bị (DFU) để có quyền truy cập cấp thấp hơn vào thiết bị. Sử dụng chế độ này, điều tra viên có thể thay đổi chuỗi khởi động và thực hiện kiểm tra điều tra số trên thiết bị.

Quy trình Khởi động Bình thường và Chế độ DFU:

Khởi động Bình thường: BootRom bắt đầu quá trình khởi động LLB, bộ tải khởi động cấp đầu tiên, được tải sau khi xác minh tính toàn vẹn và xác thực Bộ tải khởi động giai đoạn 2 iBoot bắt đầu sau khi xác minh tính toàn vẹn và xác thực
Kernel và NAND flash cũng được tải sau khi xác minh tính toàn vẹn và xác thực

Chế độ DFU: iBoot không được khởi động trong chuỗi khởi động chế độ DFU

BootRom -> LLB -> iBoot -> Kernel + NAND Flash + NAND Flash

BootRom -> iBSS -> iBEC -> Kernel + RamDisk

iPhone hoạt động ở hai chế độ, cụ thể là chế độ bình thường và chế độ DFU.

Trong quá trình khởi động bình thường, thiết bị tải Ramdisk vào RAM cùng với các thành phần OS cần thiết khác. Toàn bộ quá trình tuân theo chuỗi tin cậy: nếu kiểm tra chữ ký đầu tiên cho phép tải đĩa, thì các giai đoạn còn lại cũng cho phép tải vì nó chỉ kiểm tra chữ ký của giai đoạn trước đó thay vì kiểm tra chữ ký Ramdisk.

Trong chế độ DFU (Nâng cấp Firmware Thiết bị), iPhone trải qua chuỗi khởi động với kiểm tra chữ ký. Ban đầu, BootROM kiểm tra chữ ký iBSS/iBEC và kernel. Đến lượt nó, kernel kiểm tra Ramdisk. Trong khi quá trình cập nhật iOS, Ramdisk tải vào RAM và các thành phần OS khác.

Các chuyên gia Blackhat đã phát hiện ra lỗ hổng trong BootROM. Sử dụng một số công cụ, chữ ký BootROM và do đó tất cả các giai đoạn xác minh chữ ký tiếp theo, có thể bị bỏ qua. Rào cản thứ hai trong quá trình khởi động iOS là mã hóa. Các khóa mã hóa có thể được lấy bằng cách sử dụng một số công cụ jailbreak.

Khởi động iPhone ở Chế độ DFU

1. Tắt iPhone
2. Kết nối iPhone với máy tính và khởi chạy iTunes
3. Tiếp tục giữ nút Home cho đến khi một thông báo xuất hiện trong iTunes nói rằng “iTunes đã phát hiện một iPhone ở chế độ khôi phục”
4. Giữ nút ngủ/nguồn và nút home cùng lúc trong đúng 10 giây, sau đó nhả nút nguồn

Lý do chính để kết nối thiết bị ở chế độ DFU là để thay đổi firmware của điện thoại di động. Sử dụng chế độ DFU, người dùng có thể hạ cấp OS và firmware hoặc sử dụng firmware tùy chỉnh. Nói chung, các thiết bị jailbreak hoặc mở khóa SIM sử dụng quy trình này.

Màn hình hoàn toàn TẮT khi chạy ở chế độ DFU; điều này xác nhận rằng điện thoại di động được kết nối ở chế độ DFU. Nếu nó hiển thị bất kỳ logo nào trên màn hình, điều đó có nghĩa là điện thoại di động được kết nối ở chế độ khôi phục tiêu chuẩn; sau đó, lặp lại các bước một lần nữa để kết nối thiết bị ở chế độ DFU. Để thoát khỏi chế độ DFU, người dùng phải nhấn và giữ cùng lúc các nút Home và ngủ/nguồn trên thiết bị khi được kết nối.

Lưu trữ Di động và Vị trí Bằng chứng

Bộ nhớ Trong: Lưu trữ thông tin cá nhân, sổ địa chỉ, tin nhắn và thông tin liên quan đến dịch vụ

Thẻ SIM: Lưu trữ thông tin cá nhân, sổ địa chỉ, tin nhắn và thông tin liên quan đến dịch vụ

Bộ nhớ Ngoài: Lưu trữ thông tin cá nhân như âm thanh, video, hình ảnh, v.v.

RAM, ROM hoặc bộ nhớ flash (NAND / NOR) được sử dụng để lưu trữ hệ điều hành, ứng dụng và dữ liệu của điện thoại di động

Các vị trí có thể trong điện thoại di động mà các điều tra viên có thể tìm thấy bằng chứng được phân loại thành ba loại lưu trữ bộ nhớ. Trong những ngày đầu của điều tra số di động, bằng chứng chỉ liên quan đến SMS, MMS, danh sách liên hệ, nhật ký cuộc gọi, thông tin IMEI/ESN, nhưng hiện tại, nó cũng liên quan đến dữ liệu được lưu trữ trong các bộ nhớ di động sau. Điều tra viên tìm thấy bộ nhớ di động của điện thoại di động ở ba vị trí:

Bộ nhớ Điện thoại Trong: Bao gồm dữ liệu được lưu trữ trong RAM, ROM hoặc bộ nhớ flash. Nó lưu trữ hệ điều hành, ứng dụng và dữ liệu của điện thoại di động. Điều tra viên có thể trích xuất thông tin từ bộ nhớ điện thoại trong bằng cách sử dụng các lệnh AT với sự trợ giúp của cáp USB, hồng ngoại hoặc Bluetooth.

Bộ nhớ Thẻ SIM: Bao gồm dữ liệu được lưu trữ trong bộ nhớ thẻ SIM. SIM lưu trữ thông tin cá nhân, sổ địa chỉ, tin nhắn và thông tin liên quan đến dịch vụ.

Bộ nhớ Ngoài: Bao gồm dữ liệu được lưu trữ trong thẻ SD, thẻ MiniSD, MicroSD, v.v. Nó lưu trữ thông tin cá nhân như âm thanh, video và hình ảnh.

Những việc cần làm trước khi Điều tra

1. Xây dựng Trạm làm việc Điều tra số
2. Xây dựng Đội Điều tra
3. Xem xét Chính sách và Luật pháp
4. Đánh giá Rủi ro
5. Thông báo cho Người ra quyết định và Xin Ủy quyền
6. Xây dựng Bộ công cụ Điều tra số Di động

Chuẩn bị cần nhiều bước trước khi bắt đầu một cuộc điều tra điều tra số thực sự. Điều tra viên cần chuẩn bị và kiểm tra một số điều kiện tiên quyết như sự sẵn có của các công cụ, yêu cầu báo cáo và giấy phép điều tra số để tiến hành một cuộc điều tra thành công. Cần thiết phải lập kế hoạch và tham khảo ý kiến với những người liên quan, điều này là cần thiết trước, trong và sau cuộc điều tra.

Điều tra viên phải tuân theo các bước sau trước khi thực hiện điều tra điều tra số:

1. Xây dựng Trạm làm việc Điều tra số Các điều tra viên xây dựng các trạm làm việc điều tra số để thực hiện điều tra điều tra số trên các thiết bị di động. Trạm làm việc bao gồm các công cụ phần cứng và phần mềm trong phòng thí nghiệm như máy tính xách tay hoặc máy tính để bàn, đầu nối USB, FireWire, bộ công cụ điều tra số di động, cáp (bao gồm Bluetooth và IR), đầu đọc thẻ SIM và đầu đọc thẻ nhớ micro-SD.
2. Xây dựng Đội Điều tra Đội điều tra bao gồm những người có chuyên môn trong việc phản hồi, thu giữ, thu thập và báo cáo bằng chứng từ các thiết bị di động.
3. Xem xét Chính sách và Luật pháp Trước khi bắt đầu quá trình điều tra, các điều tra viên cần hiểu rõ luật pháp liên quan đến cuộc điều tra. Họ cũng phải nhận thức được các mối quan tâm tiềm ẩn liên quan đến Luật Liên bang, Quy chế Tiểu bang và chính sách và luật địa phương trước khi bắt đầu cuộc điều tra.
4. Thông báo cho Người ra quyết định và Xin Ủy quyền Người ra quyết định là những người thực hiện các chính sách và thủ tục để xử lý một sự cố. Người ra quyết định phải được thông báo để xin ủy quyền khi không có chính sách và thủ tục ứng phó sự cố bằng văn bản.
5. Đánh giá Rủi ro Đánh giá rủi ro đo lường rủi ro liên quan đến dữ liệu di động, ước tính khả năng xảy ra và tác động của rủi ro. Đánh giá rủi ro là một quá trình lặp đi lặp lại và nó gán ưu tiên cho việc giảm thiểu rủi ro và kế hoạch thực hiện.
6. Xây dựng Bộ công cụ Điều tra số Di động Các điều tra viên yêu cầu một bộ sưu tập các công cụ phần cứng và phần mềm để thu thập dữ liệu trong quá trình điều tra. Điều tra viên cần sử dụng các công cụ khác nhau để trích xuất và phân tích dữ liệu, tùy thuộc vào nhãn hiệu và mẫu mã của điện thoại bị thu giữ.

Xây dựng Trạm làm việc Điều tra số

Xây dựng trạm làm việc điều tra số di động với các thiết bị sau:

• Máy tính xách tay hoặc máy tính để bàn
• Đầu nối USB (universal serial bus)
• Bộ công cụ điều tra số di động
• Cáp (bao gồm FireWire, Bluetooth và IR)
• Đầu đọc thẻ nhớ Micro SD
• Đầu đọc thẻ SIM
• Bộ công cụ phần cứng di động (Ví dụ: Pro Tech Toolkit)

• Bộ công cụ phần cứng di động (Ví dụ: Pro Tech Toolkit)

Các điều tra viên nên xác định rõ ràng phương pháp điều tra số trước khi xây dựng trạm làm việc điều tra số. Trạm làm việc bao gồm các công cụ phần cứng và phần mềm trong phòng thí nghiệm.

Một trạm làm việc điều tra số di động được xây dựng với các thiết bị sau:

• Máy tính xách tay hoặc máy tính để bàn Điều tra viên điều tra số cần một máy tính để truy xuất, lưu trữ và xử lý thông tin từ điện thoại di động.
• Đầu nối USB Đầu nối USB thiết lập giao tiếp giữa máy tính và điện thoại di động, đầu đọc thẻ nhớ, v.v.
• FireWire Kết nối FireWire cho phép truyền dữ liệu từ các thiết bị kỹ thuật số băng thông cao như máy quay phim kỹ thuật số.
• Bộ công cụ điều tra số di động Các bộ công cụ điều tra số di động như EnCase, FTK, v.v. tạo điều kiện cho việc điều tra điều tra số và khôi phục dữ liệu từ các thiết bị di động.
• Cáp (bao gồm Bluetooth và IR) Điều tra viên cần các cáp và dây hỗ trợ cung cấp giao tiếp giữa các thiết bị.
• Đầu đọc thẻ nhớ Micro SD
  Điều tra viên điều tra số cần một đầu đọc thẻ nhớ SD (với tùy chọn micro) để truy cập dữ liệu từ thẻ nhớ.
• Đầu đọc thẻ SIM Đầu đọc thẻ SIM là một thiết bị nhỏ được sử dụng để truy cập thông tin trên thẻ SIM. Điều tra viên cẩn thận bảo vệ thẻ SIM được tìm thấy tại hiện trường tội phạm và sử dụng đầu đọc thẻ SIM để truy cập thông tin trên thẻ SIM.

Xây dựng Đội Điều tra

Đội điều tra nên bao gồm những người có chuyên môn trong việc phản hồi, thu giữ, thu thập và báo cáo bằng chứng từ các thiết bị di động. Đội điều tra bao gồm chuyên gia chứng thực, quản lý bằng chứng, người ghi chép bằng chứng, điều tra viên/người kiểm tra bằng chứng, luật sư, nhiếp ảnh gia, người phản hồi sự cố, người ra quyết định và người phân tích sự cố. Đội này chịu trách nhiệm đánh giá tội phạm, bằng chứng và tội phạm. Mỗi thành viên trong đội được giao một số nhiệm vụ cụ thể (vai trò và trách nhiệm), cho phép đội phân tích sự cố một cách hiệu quả.

Sau đây là các yếu tố chính cần xem xét khi xây dựng một đội điều tra hiệu quả:

1. Có rất nhiều loại thiết bị di động đang được sử dụng. Do đó, mỗi thành viên trong đội nên có kiến thức sâu rộng về từng thiết bị di động, kiến trúc phần cứng, hệ điều hành và ứng dụng di động của nó, để thực hiện điều tra điều tra số trên thiết bị.
2. Đội điều tra nên nhận thức được luật pháp địa phương và các vấn đề pháp lý liên quan đến tội phạm liên quan đến di động.
3. Một điều tra viên điều tra số nên có sự chấp thuận và ủy quyền cần thiết để thực hiện các nhiệm vụ được giao.
4. Đội điều tra nên càng nhỏ càng tốt để đảm bảo tính bảo mật.
5. Các thành viên trong đội nên được xác định và mỗi thành viên trong đội nên được giao một trách nhiệm.
6. Một thành viên trong đội nên được chỉ định làm người dẫn đầu kỹ thuật cho cuộc điều tra.

Xem xét Chính sách và Luật pháp

• Xem xét luật pháp địa phương có thể ảnh hưởng đến cuộc điều tra điều tra số; các điều tra viên phải tuân theo quy trình điều tra điều tra số được chấp nhận hợp pháp và tạo tài liệu phù hợp
• Xem xét cẩn thận các chính sách Bring Your Own Device (BYOD) và bảo mật thông tin nội bộ của tổ chức trong các trường hợp điều tra điều tra số liên quan đến điện thoại di động do tổ chức cấp

Trước khi bắt đầu quá trình điều tra, điều cần thiết là phải hiểu rõ luật pháp liên quan đến cuộc điều tra. Những điều này thường được chứa trong các chính sách nội bộ của tổ chức. Các điều tra viên cũng phải hiểu rõ các mối quan tâm tiềm ẩn liên quan đến Luật Liên bang, Quy chế Tiểu bang và chính sách và luật địa phương.

Các phương pháp tốt nhất trong việc xem xét chính sách và luật pháp bao gồm những điều sau:

• Xác định phạm vi thẩm quyền tìm kiếm: Vì sự cố có thể liên quan đến bất kỳ thông tin bí mật nào, nên cần thiết phải xác định giới hạn/phạm vi thẩm quyền của đội điều tra để tìm kiếm bằng chứng.
• Xác định các cơ quan pháp luật thực hiện điều tra: Cần thiết phải thiết lập các chính sách và thủ tục giải quyết quyền riêng tư của nhân viên, nhà thầu hoặc bất kỳ nhân viên nào khác trong việc xác định các cơ quan pháp luật.
• Tham khảo ý kiến cố vấn pháp lý về các vấn đề phát sinh do xử lý không đúng cách cuộc điều tra: Không phải tất cả các hành động được thực hiện trong quá trình điều tra đều có thể phù hợp. Đôi khi, ai đó có thể xử lý bằng chứng không đúng cách; trong tình huống này, điều cần thiết là phải tham khảo ý kiến cố vấn pháp lý.
• Đảm bảo quyền riêng tư và bảo mật của khách hàng: Các tổ chức cần kiểm tra hoặc phát triển các chính sách đảm bảo quyền riêng tư và bảo mật của khách hàng.

Thông báo cho Người ra quyết định và Xin Ủy quyền

• Thông báo cho người ra quyết định về nhu cầu thực hiện điều tra điều tra số, và xin ủy quyền bằng văn bản
• Nói chung, các chính sách và thủ tục ứng phó sự cố xác định thẩm quyền ra quyết định và quy trình xin ủy quyền
• Sau khi có ủy quyền, đánh giá tình hình và xác định hướng hành động

Người ra quyết định là những người thực hiện các chính sách và thủ tục để xử lý một sự cố. Người ra quyết định nên được thông báo để xin ủy quyền khi không có chính sách và thủ tục ứng phó sự cố bằng văn bản. Ủy quyền là quan trọng đối với các điều tra viên để tránh các vấn đề pháp lý phát sinh trong quá trình điều tra. Sau khi có ủy quyền, tình hình nên được đánh giá và phải xác định hướng hành động.

Các phương pháp tốt nhất để có được ủy quyền và xác định hướng hành động như sau:

• Nên chọn một người ra quyết định được ủy quyền để xin phép tiến hành cuộc điều tra.
• Tất cả các sự kiện xảy ra và quyết định được đưa ra tại thời điểm xảy ra sự cố và ứng phó sự cố nên được ghi lại. Các điều tra viên có thể sử dụng các tài liệu này trong các thủ tục tố tụng để xác định hướng hành động.
• Tùy thuộc vào phạm vi của sự cố và không có bất kỳ vấn đề an ninh quốc gia hoặc vấn đề an toàn tính mạng nào, ưu tiên hàng đầu là bảo vệ tổ chức khỏi thiệt hại thêm.
• Sau khi bảo đảm tổ chức, các dịch vụ được khôi phục và cuộc điều tra được tiến hành cho sự cố.

Đánh giá Rủi ro

Để ngăn chặn dữ liệu mới làm nhiễm bằng chứng, niêm phong thiết bị đúng cách trong hộp cách ly

Không sử dụng túi nhựa để mang thiết bị di động bị thu giữ. Sử dụng các hộp cách ly được khuyến nghị

Xem xét trạng thái nguồn của thiết bị di động bị thu giữ. Việc pin hết sẽ là thảm họa vì dữ liệu quan trọng có thể nằm trong bộ nhớ dễ bay hơi phụ thuộc vào pin

Xử lý và vận chuyển các thiết bị di động cẩn thận vì chúng dễ vỡ và có thể bị hỏng dễ dàng

Đánh giá rủi ro đo lường rủi ro liên quan đến dữ liệu di động và ước tính khả năng xảy ra và tác động của rủi ro. Đánh giá rủi ro là một quá trình lặp đi lặp lại gán ưu tiên cho việc giảm thiểu rủi ro và kế hoạch thực hiện. Điều này giúp xác định giá trị định lượng và định tính của rủi ro liên quan đến thiết bị di động và dữ liệu của nó. Đánh giá rủi ro xác định loại rủi ro hiện có, khả năng xảy ra và mức độ nghiêm trọng của rủi ro, ưu tiên và kế hoạch kiểm soát rủi ro. Các chuyên gia an ninh tiến hành đánh giá rủi ro khi xác định các mối nguy hiểm và, trong trường hợp thất bại, trong việc kiểm soát rủi ro ngay lập tức. Đánh giá rủi ro giúp ban quản lý cấp cao và người ra quyết định trong tổ chức đưa ra các chiến lược giảm thiểu rủi ro phù hợp. Đánh giá rủi ro đúng cách cũng giúp giảm thiểu tác động của một sự cố.

Xây dựng Bộ công cụ Điều tra số Di động

Công cụ Phần cứng:

• Hệ thống Cellebrite UFED
• Bộ công cụ Secure ViewKit cho Điều tra số
• DS-Device Seizure & Toolbox
• Đầu đọc USB cho thẻ SIM
• iGo
• Nguồn cấp điện DC Lab 0-15V/3A
• Màn hình Kỹ thuật số với Đèn nền
• Paraben’s Phone Recovery Stick

Công cụ Phần mềm:

• Thanh công cụ Điều tra SEARCH
• BitPim
• Oxygen Forensics Analyst
• Paraben’s Sim Card Seizure
• MOBILedit! Forensic
• TULP2G
• iDEN Phonebook Manager
• SUMURI’s PALADIN
• floAt’s Mobile Agent
• XRY Logical & XRY Physical

Các điều tra viên điều tra số nên được trang bị bộ công cụ phù hợp

Bộ công cụ điều tra số di động bao gồm cả công cụ phần cứng và phần mềm cần thiết để khôi phục và phân tích dữ liệu từ các thiết bị di động

Các điều tra viên cần một loạt các công cụ phần cứng và phần mềm để thu thập dữ liệu trong quá trình điều tra. Tùy thuộc vào nhãn hiệu và mẫu mã của điện thoại bị thu giữ, cần có các công cụ khác nhau để trích xuất và phân tích dữ liệu. Bộ công cụ điều tra số di động thay đổi tùy thuộc vào nhãn hiệu và mẫu mã của điện thoại. Bộ công cụ bao gồm các công cụ hỗ trợ các loại điện thoại di động khác nhau. Nếu các điều tra viên quen thuộc với các công cụ trong bộ công cụ, họ có thể phản ứng nhanh chóng khi điều tra sự cố. Một bộ công cụ điều tra tinh vi không chỉ giảm nguy cơ mất dữ liệu hoặc hư hỏng mà còn tăng cơ hội thành công.

Sau đây là một số công cụ mà điều tra viên điều tra số cần có như một phần của bộ công cụ điều tra số của họ:

Công cụ Phần cứng:

• Hệ thống Cellebrite UFED
• Bộ công cụ Secure ViewKit cho Điều tra số
• DS-Device Seizure & Toolbox
• Đầu đọc USB cho thẻ SIM
• iGo
• Nguồn cấp điện DC Lab 0-15V/3A
• Màn hình Kỹ thuật số với Đèn nền
• Paraben’s Phone Recovery Stick

Công cụ Phần mềm:

• Thanh công cụ Điều tra SEARCH
• BitPim
• Oxygen Forensics Analyst
• Paraben’s Sim Card Seizure
• MOBILedit! Forensic
• TULP2G
• iDEN Phonebook Manager
• SUMURI’s PALADIN
• floAt’s Mobile Agent
• XRY Logical & XRY Physical

Phân tích Bằng chứng Điện thoại Di động

Dữ liệu SIM Dữ liệu Nhà cung cấp Dịch vụ Dữ liệu Bộ nhớ Điện thoại Trạm làm việc Điều tra số Báo cáo

Một quá trình thu thập và phân tích điện thoại di động hoàn chỉnh nên bao gồm việc trích xuất và phân tích dữ liệu từ các vị trí khác nhau như bộ nhớ và hệ thống tệp điện thoại di động, thẻ SIM và dữ liệu nhà cung cấp dịch vụ. Mỗi vị trí này có thể chứa thông tin có giá trị mà điều tra viên có thể truy xuất. Phân tích dữ liệu thu thập được từ tất cả các vị trí này rất hữu ích theo nhiều cách.

Ví dụ, nếu người dùng xóa một số dữ liệu, chẳng hạn như SMS hoặc nhật ký cuộc gọi, khỏi thiết bị di động để xóa bỏ bằng chứng và không thể khôi phục bằng chứng từ thiết bị, thì điều tra viên cũng có thể truy xuất cùng thông tin đó từ dữ liệu của nhà cung cấp dịch vụ.

Quy trình Điều tra số Di động

1. Ghi lại Hiện trường
2. Thu thập và Bảo quản Bằng chứng
3. Tạo ảnh và Lập hồ sơ
4. Thu thập và Phân tích Thông tin
5. Tạo Báo cáo

Một điều tra viên điều tra số cần tuân theo quy trình điều tra số phù hợp để kiểm tra thành công bằng chứng và truy xuất dữ liệu đã xóa. Quy trình bao gồm các bước sau:

Thu thập và Bảo quản Bằng chứng: Khi một điều tra viên điều tra số tìm thấy bằng chứng tại hiện trường tội phạm, nhiệm vụ chính của họ là thu thập bằng chứng và bảo quản nó, để tiến hành điều tra.

Thiết bị di động và bất kỳ vật phẩm bằng chứng nào khác trong hoặc xung quanh khu vực hiện trường tội phạm nên được thu thập. Nhãn hiệu và mẫu mã của điện thoại nên được xác định. Điều này giúp xác định các công cụ và kỹ thuật được sử dụng trong phân tích điều tra số của thiết bị đó. Sau khi thu giữ thiết bị, điều tra viên phải bảo quản nó để duy trì tính toàn vẹn của bằng chứng. Một trong những bước bảo quản di động là cô lập thiết bị bị thu giữ khỏi mạng di động, bảo vệ tính toàn vẹn của bằng chứng.

Ghi lại Hiện trường: Việc ghi lại hiện trường đóng vai trò quan trọng trong cuộc điều tra điều tra số, vì nó tạo ra một bản ghi của hiện trường tội phạm. Ghi lại hiện trường đề cập đến việc ghi lại các chi tiết sau:

1. Vị trí tội phạm
2. Trạng thái nguồn của bằng chứng (BẬT/TẮT)
3. Tình trạng của thiết bị (Hoạt động/hư hỏng)

Tạo ảnh và Lập hồ sơ: Một điều tra viên điều tra số không bao giờ nên thực hiện điều tra trực tiếp trên chính thiết bị. Họ phải tạo một ảnh điều tra số của thiết bị, sau đó phân tích ảnh, như một phần của cuộc điều tra. Tạo ảnh là quá trình tạo một bản sao bit-to-bit của thiết bị di động. Sau khi tạo ảnh, cuộc điều tra điều tra số kiểm tra ảnh và khôi phục dữ liệu được lưu trữ trong ảnh.

Thu thập và phân tích Thông tin: Sau khi tạo ảnh điều tra số, nhiệm vụ tiếp theo của điều tra viên là phân tích ảnh bằng các công cụ như Forensic Explorer và Autopsy. Ảnh chứa tất cả dữ liệu được lưu trữ trên thiết bị di động. Trong một hiện trường tội phạm mà bị cáo đã xóa tất cả các tệp trong thiết bị, các công cụ điều tra điều tra số kiểm tra tệp ảnh và có thể khôi phục các tệp đã xóa (carving tệp), do đó giúp tiến hành cuộc điều tra.

Tạo Báo cáo: Đây là giai đoạn cuối cùng trong quy trình điều tra số di động. Điều tra viên phải ghi lại tất cả các bằng chứng và phát hiện thu được trong quá trình điều tra và trình bày các báo cáo này trong tòa án.

Thu thập Bằng chứng

• Bảo vệ tính toàn vẹn của bằng chứng truyền thống và điện tử
• Ngăn chặn người dùng trái phép vào hiện trường và chạm vào bằng chứng
• Thu thập tất cả các thiết bị điện tử được tìm thấy tại hiện trường tội phạm
• Kiểm tra xem thiết bị di động có được kết nối với máy tính hay không
• Xác nhận trạng thái nguồn của thiết bị bằng cách kiểm tra đèn nhấp nháy
• Thu thập bằng chứng không điện tử như mật khẩu viết tay, ghi chú viết tay và bản in máy tính

Bằng chứng đóng vai trò quan trọng trong quá trình điều tra điều tra số di động. Nó phải được thu thập cẩn thận để không mất hoặc hư hỏng bằng chứng nào. Bằng chứng kỹ thuật số trên các thiết bị di động có thể dễ dàng bị thay đổi, xóa hoặc phá hủy. Điều tra viên nên thu thập dữ liệu mà không làm mất hoặc giả mạo dữ liệu.

Sau đây là hướng dẫn để thu thập bằng chứng của một hiện trường tội phạm:

• Bảo vệ tính toàn vẹn của bằng chứng truyền thống và điện tử
• Ngăn chặn người dùng trái phép vào hiện trường và chạm vào bằng chứng
• Thu thập tất cả các thiết bị điện tử được tìm thấy tại hiện trường tội phạm
• Kiểm tra xem thiết bị di động có được kết nối với máy tính hay không
• Xác nhận trạng thái nguồn của (các) thiết bị bằng cách kiểm tra đèn nhấp nháy
• Thu thập bằng chứng không điện tử như mật khẩu viết tay, ghi chú viết tay và bản in máy tính

Ghi lại Hiện trường

1. Ghi lại tất cả các thiết bị điện tử được tìm thấy tại hiện trường tội phạm
2. Chụp ảnh tất cả bằng chứng tại hiện trường, và ghi chú những gì bạn đã thấy trên màn hình
3. Ghi lại trạng thái của thiết bị trong quá trình thu giữ
4. Ghi lại mọi hoạt động trên các thiết bị điện tử được tìm thấy tại hiện trường tội phạm

Điều tra viên nên ghi lại hiện trường sau khi điều tra, để phân tích và tham khảo trong tương lai. Họ phải bảo quản bằng chứng để bảo vệ tính toàn vẹn của nó. Sau đây là hướng dẫn giúp điều tra viên thực hiện nhiệm vụ ghi lại hiện trường và bảo quản bằng chứng một cách thích hợp:

1. Ghi lại tất cả các thiết bị điện tử được tìm thấy tại hiện trường tội phạm
2. Chụp ảnh tất cả bằng chứng tại hiện trường và ghi chú những gì thấy trên màn hình
3. Ghi lại trạng thái của thiết bị trong quá trình thu giữ
4. Ghi lại mọi hoạt động trên các thiết bị điện tử được tìm thấy tại hiện trường tội phạm

Ghi lại Bằng chứng

Nhận dạng Điện thoại: Xác định nhãn hiệu, mẫu mã, hệ điều hành và nhà cung cấp dịch vụ mạng Điều này giúp chọn công cụ điều tra số thích hợp cho việc thu thập dữ liệu

Nhận dạng Kết nối: Xác định loại kết nối được sử dụng để kết nối với trạm làm việc điều tra số Nó có thể là cáp, hồng ngoại hoặc Bluetooth Điều này phụ thuộc vào điện thoại, công cụ điều tra số và điều kiện thu thập

Lựa chọn Công cụ: Dựa trên mẫu thiết bị di động và kết nối, chọn một công cụ điều tra số có các khả năng sau:

• Có thể sử dụng
• Toàn diện
• Chính xác
• Xác định
• Có thể xác minh

Thu thập gồm các bước sau:

1. Nhận dạng Điện thoại: Xác định điện thoại theo nhãn hiệu, mẫu mã và nhà cung cấp dịch vụ. Điều này giúp điều tra viên chọn công cụ thích hợp cho quá trình thu thập. Điều tra viên có thể lấy thông tin này từ khoang pin hoặc thẻ SIM hoặc từ bo mạch điện thoại di động dưới pin. Nhãn dưới pin chứa mẫu điện thoại di động, loại, mã, IMEI và FCC ID.
2. Nhận dạng Kết nối: Kết nối điện thoại di động với trạm điều tra số thông qua cáp, hồng ngoại hoặc Bluetooth. Lựa chọn loại kết nối phụ thuộc vào điện thoại, công cụ được sử dụng và điều kiện thu thập.
3. Lựa chọn Công cụ: Lựa chọn công cụ là một phần quan trọng của giai đoạn thu thập vì việc chọn sai công cụ có thể có hậu quả nghiêm trọng. Công cụ nên được chọn với các cân nhắc sau:

• Khả năng sử dụng: Trình bày dữ liệu hữu ích cho điều tra viên
• Toàn diện: Trình bày tất cả dữ liệu trên thiết bị mà không bỏ sót bất kỳ phần nào
• Chính xác: Trình bày đầu ra chất lượng cao nhất cho điều tra viên
• Xác định: Cung cấp cùng một đầu ra cho một đầu vào và hướng dẫn nhất định
• Có thể xác minh: Đảm bảo độ chính xác của đầu ra

Bảo quản Bằng chứng

Mục đích của bước bảo quản là thu giữ điện thoại di động đáng ngờ và các thiết bị ngoại vi liên quan mà không làm thay đổi dữ liệu trong đó

Đây là bước đầu tiên được thực hiện trước khi điều tra thực tế

Nó liên quan đến việc phát hiện, nhận dạng, ghi lại và thu thập bằng chứng kỹ thuật số thu được tại hiện trường tội phạm

Một điều tra viên điều tra số nên bảo quản thiết bị đúng cách, để duy trì tính toàn vẹn của thiết bị. Sau đây là hướng dẫn để bảo quản bằng chứng:

• Bảo quản tất cả các bằng chứng và tài liệu ở một vị trí an toàn.
• Tập trung vào bằng chứng ẩn hoặc dấu vết và thực hiện các hành động cần thiết để bảo quản nó
• Đóng gói các thiết bị điện tử trong bao bì chống tĩnh điện
• Đảm bảo rằng tất cả các hộp chứa bằng chứng được dán nhãn đúng cách
• Giữ bằng chứng điện tử tránh xa các nguồn từ tính khi vận chuyển
• Lưu trữ bằng chứng trong khu vực an toàn và môi trường kiểm soát thời tiết tránh xa nhiệt độ và độ ẩm cực đoan
• Duy trì các tài liệu chuỗi hành trình

Bộ quy tắc cho việc BẬT/TẮT Điện thoại Di động

Trạng thái BẬT:

• Không tắt thiết bị khi đang ở trạng thái bật

Trạng thái TẮT:

• Nếu thiết bị đang “TẮT”, hãy để nguyên “TẮT”
• Bật nó lên có thể thay đổi bằng chứng trên thiết bị (giống như máy tính)

Khi điện thoại được tìm thấy tại vị trí tội phạm ở trạng thái bật hoặc tắt và liệu có nên bật hay tắt thiết bị là vấn đề gây tranh cãi. Theo quy tắc điều tra số, thiết bị phải được xử lý đúng cách vì toàn bộ cuộc điều tra phụ thuộc vào dữ liệu có trong thiết bị.

Tài liệu của Cơ quan Mật vụ Hoa Kỳ liệt kê một bộ quy tắc cần tuân theo dựa trên thiết bị và trạng thái của nó.

• Không tắt thiết bị khi đang ở trạng thái bật
• Tắt nó có thể kích hoạt tính năng khóa trong điện thoại di động
• Trong trường hợp thiết bị đã tắt, hãy để nguyên trạng thái đó
• Bật nó lên có thể thay đổi bằng chứng trên thiết bị như xóa các tệp tạm thời và tệp bộ nhớ đệm

Kiểm soát Tín hiệu Điện thoại Di động

Túi Faraday Túi Gây nhiễu Tín hiệu / Túi StrongHold Không dây Hộp Chắn RF Lon Chống cháy Vỏ Chắn RFID cho Điện thoại Di động

Thiết bị di động nên được bảo vệ khỏi sự gián đoạn tín hiệu và ghi đè dữ liệu Sử dụng các thiết bị và túi kiểm soát tín hiệu để đạt được và duy trì cách ly mạng

Thiết bị/Túi Kiểm soát Tín hiệu:

• Túi Faraday: Túi Faraday ngăn chặn bất kỳ tín hiệu nào được gửi đến hoặc đến điện thoại di động, điều này có thể ảnh hưởng đến bằng chứng điều tra số.
• Túi Gây nhiễu Tín hiệu / Túi StrongHold Không dây: Nó ngăn chặn mọi loại tín hiệu đến thiết bị di động. Nó cũng ngăn chặn những thay đổi xảy ra trong điện thoại do nhận tín hiệu.
• Lon Chống cháy: Lon chống cháy chủ yếu được sử dụng trong quá trình điều tra di động để ngăn chặn ai đó liên quan đến tội phạm tấn công điện thoại bằng một cuộc tấn công ‘bom’ tin nhắn văn bản hoặc email làm tràn ngập bộ nhớ của điện thoại với các tin nhắn che lấp tất cả các cuộc gọi trước đó khỏi nhật ký.
• Giấy Nhôm: Thiết bị di động được bọc với ba lớp giấy nhôm để ngăn chặn tín hiệu đến và làm cho dữ liệu di động an toàn.
• Hộp chắn RF: Nó bảo vệ thiết bị di động hiệu quả chống lại nhiễu tần số vô tuyến (RF) do môi trường ồn ào gây ra.
• Thiết bị Gây nhiễu Tín hiệu Điện thoại Di động: Mặc dù pháp luật rõ ràng cấm sử dụng thiết bị để gây nhiễu tín hiệu điện thoại di động, nhưng không có quy định nào chống lại việc chặn điện thoại di động thụ động.

Đóng gói, Vận chuyển và Lưu trữ Bằng chứng

Các yếu tố có thể ảnh hưởng đến thiết bị di động trong quá trình vận chuyển:

• Sốc
• Áp lực quá mức
• Độ ẩm
• Nhiệt độ
• Bức xạ điện từ
• Bụi
• Tiếp cận của Người không được ủy quyền

Đóng gói bằng chứng thu thập được trong túi chống tĩnh điện có chữ ký và ngày tháng của điều tra viên

Bằng chứng thu thập từ hiện trường tội phạm phải được vận chuyển cẩn thận đến xưởng điều tra số

Các biện pháp phòng ngừa mà điều tra viên nên thực hiện khi vận chuyển bằng chứng:

• Tránh xử lý thô bạo trong quá trình vận chuyển.
• Khi vận chuyển điện thoại di động hoặc các loại thiết bị điện tử khác, chúng không nên được đặt trong cốp xe hoặc bất kỳ nơi nào khác có khả năng thay đổi nhiệt độ và độ ẩm đột ngột.
• Trong xe, vị trí lý tưởng để vận chuyển sẽ là trên ghế trước, đặt theo cách mà điện thoại di động và các phụ kiện khác của nó sẽ không rơi trong trường hợp dừng đột ngột.
• Tất cả bằng chứng phải được giữ tránh xa khỏi tiếp xúc với bất kỳ nguồn từ tính hoặc nguồn điện tương tự nào có thể ảnh hưởng đến tính toàn vẹn của bằng chứng điện tử.

Tạo ảnh Điều tra số

Một điều tra viên điều tra số không nên làm việc trực tiếp trên bằng chứng gốc. Thay vào đó, họ nên tạo một ảnh điều tra số của thiết bị di động thu được tại hiện trường tội phạm

Việc carving tệp và phân tích điều tra số được thực hiện trên ảnh điều tra số để giữ nguyên bằng chứng thực tế

Bộ nhớ điện thoại di động có thể tạo ảnh:

• Bộ nhớ thẻ SIM
• Bộ nhớ điện thoại di động
• Bộ nhớ thẻ SD

Tạo ảnh Điều tra số là một tiêu chuẩn được chấp nhận của mọi công ty để bảo quản bằng chứng dựa trên di động. Điều tra viên điều tra số không nên làm việc trực tiếp trên bằng chứng thực tế; thay vào đó, họ cần tạo một ảnh điều tra số trước và sau đó thực hiện kiểm tra điều tra số với sự trợ giúp của ảnh điều tra số. Trong quá trình tạo ảnh, điều tra viên nên chú ý rằng vật liệu chứng cứ gốc không thay đổi theo bất kỳ cách nào. Để giữ nguyên bằng chứng thực tế, họ cần thực hiện carving tệp và phân tích điều tra số trên ảnh điều tra số. Để tiến hành điều tra điều tra số di động, người kiểm tra cần tạo một ảnh điều tra số của bộ nhớ trong và ngoài của điện thoại di động với sự trợ giúp của một công cụ tạo ảnh điều tra số. Tuy nhiên, việc tạo ảnh điều tra số của điện thoại di động là khó khăn vì dữ liệu có thể thay đổi do cập nhật liên tục của điện thoại di động. Đôi khi, cũng có thể cần thiết phải làm việc trên bằng chứng thực tế để thực hiện trích xuất dữ liệu.

Trong quá trình tạo ảnh điều tra số, điều tra viên sao chép tất cả nội dung liên quan đến ảnh điều tra số của thiết bị di động vào một ổ cứng riêng biệt. Các điều tra viên có thể sử dụng các công cụ tạo ảnh như FTK Imager, EnCase và Smart để tạo ảnh điều tra số.

Tạo ảnh Điều tra số của Thiết bị Android Sử dụng FTK Imager

Tạo ảnh Điều tra số của Bộ nhớ Điện thoại:

• Kết nối điện thoại di động với trạm làm việc điều tra số
• Khởi chạy FTK Imager
• Chọn ổ đĩa đại diện cho điện thoại di động được kết nối
• Tạo một ảnh điều tra số của ổ đĩa đã chọn

Nguồn: http://accessdata.com

FTK Imager là một chương trình tạo ảnh đĩa độc lập được phân phối bởi AccessData, có khả năng tạo và lưu ảnh điều tra số của ổ đĩa trong một tệp hoặc trong các phân đoạn mà bạn có thể tái tạo sau. Công cụ quét toàn bộ ổ cứng để tìm thông tin cần thiết. Nó cũng định vị các tệp đã xóa. FTK Imager là một công cụ đơn giản nhưng súc tích. Nó có thể tính giá trị băm MD5 và đảm bảo tính toàn vẹn của dữ liệu trước khi đóng các tệp, dẫn đến một tệp ảnh. Bạn có thể lưu các tệp ảnh này ở nhiều định dạng khác nhau.

Tạo ảnh Điều tra số của Thẻ SD:

• Tháo an toàn thẻ SD khỏi điện thoại di động
• Kết nối thẻ SD với trạm làm việc bằng đầu đọc thẻ SD
• Khởi chạy công cụ FTK Imager
• Chọn ổ đĩa đại diện cho bộ nhớ thẻ SD
• Tạo một ảnh điều tra số của thẻ SD

Tương tự, cũng có thể tạo ảnh điều tra số của thẻ nhớ ngoài điện thoại bằng FTK imager. Điều tra viên có thể tạo ảnh điều tra số của thẻ nhớ ngoài với sự trợ giúp của bộ chuyển đổi thẻ nhớ, và sau đó, bằng cách sử dụng phần mềm tạo ảnh điều tra số tạo một ảnh điều tra số của dữ liệu thu được từ bộ chuyển đổi thẻ nhớ. Trong quá trình điều tra, các điều tra viên cần có bản sao bit-by-bit của thẻ SD của điện thoại vì nó chứa dữ liệu có giá trị. Cần sử dụng một thiết bị chặn ghi để duy trì tính toàn vẹn của bằng chứng. Điều tra viên thu thập ảnh của thẻ SD bằng các công cụ tạo ảnh truyền thống.

Tạo Ảnh Đĩa của iPhone Sử dụng SSH

Chạy lệnh sau trên Linux:

Cú pháp: ssh -l <tên người dùng> <địa chỉ máy chủ Linux của bạn> dd if=/dev/disk0 | dd of=~/myiphoneback.img

Những gì bạn cần trước khi tạo ảnh:

• Địa chỉ IP của iPhone
• Địa chỉ IP của máy tính
• iPhone phải được jailbreak
• SSH phải được cài đặt trên cả iPhone và trạm làm việc chạy hệ điều hành Linux

Ảnh đĩa là bản sao theo từ ng sector của dữ liệu trên bất kỳ thiết bị đĩa nào. Các điều tra viên có thể sử dụng SSH để tạo ảnh đĩa và truyền dữ liệu qua iPhone. Để truyền ảnh đĩa của iPhone, các điều tra viên cần đảm bảo rằng trạm làm việc của họ đang chạy Linux và iPhone chia sẻ cùng một mạng. Để kiểm tra kết nối, điều tra viên nên ping iPhone từ trạm làm việc hoặc ngược lại. Nếu nó hoạt động đúng, thì điều tra viên có thể SSH vào trạm làm việc từ iPhone đang được điều tra, sử dụng lệnh được đề cập ở trên. Trạm làm việc sẽ nhắc một mật khẩu để truyền dữ liệu qua kết nối SSH. Nếu xảy ra lỗi hết thời gian kết nối, các điều tra viên cần kiểm tra xem máy chủ SSH có đang chạy trên trạm làm việc của họ trên cổng 22 hay không hoặc có bị tường lửa chặn không.

Khóa điện thoại

Điện thoại di động sử dụng ba loại sơ đồ khóa điện thoại để ngăn chặn truy cập người dùng trái phép

Nếu thiết bị điện thoại thu được tại hiện trường tội phạm đang ở trạng thái khóa, thách thức mở khóa nó sẽ phát sinh

Điều tra viên điều tra số cần phải bỏ qua khóa điện thoại để điều tra điều tra số điện thoại di động

Khóa PIN Khóa Mẫu hình
Khóa Mật khẩu

Khóa điện thoại là một tính năng bảo mật cơ bản được nhà sản xuất thiết bị di động cung cấp để ngăn chặn truy cập trái phép vào điện thoại. Điện thoại di động Android sử dụng ba loại sơ đồ khóa điện thoại để ngăn chặn truy cập người dùng trái phép, chẳng hạn như khóa PIN, khóa MẪU HÌNH và khóa MẬT KHẨU. Thiết bị Android có một số tùy chọn để ngăn người khác truy cập thiết bị so với thiết bị iPhone. Khóa điện thoại này tạo thêm một lớp bảo mật trên các thiết bị di động.

Khóa PIN: Số nhận dạng cá nhân (PIN) là cách dễ nhất để khóa điện thoại di động cho bảo mật cục bộ. PIN được chọn phải có ít nhất bốn chữ số, trong khi bạn cũng có thể chọn mật khẩu dài hơn, phức tạp hơn kết hợp cả chữ và số.

Khóa mẫu hình: Đây là một lựa chọn thay thế cho khóa PIN. Nó cho phép người dùng thiết bị vẽ một mẫu hình duy nhất bằng ngón tay trên lưới 3 x 3 điểm để mở khóa thiết bị di động của họ. Khóa mẫu hình thuận tiện hơn; người dùng có thể nhanh chóng vuốt theo đường dẫn cụ thể để mở khóa thiết bị. Tùy chọn này an toàn, nhưng quá trình vuốt một mẫu hình rất chính xác mỗi lần để mở khóa điện thoại có thể gây mệt mỏi và không an toàn bằng khóa PIN.

Khóa mật khẩu: Khóa mật khẩu có chức năng tương tự như khóa PIN, ngoại trừ mã truy cập 4 đến 16 chữ số chứa các chữ cái và dấu chấm câu cùng với các số.

Nếu thiết bị được tìm thấy ở trạng thái khóa, nhiệm vụ đầu tiên của điều tra viên điều tra số tại trạm làm việc sẽ là mở khóa điện thoại để truy cập vào nó. Các điều tra viên sử dụng các công cụ và kỹ thuật khác nhau để bỏ qua tính năng bảo mật này.

Bỏ qua Khóa Điện thoại Android Bằng ADB

• Kết nối thiết bị với trạm làm việc điều tra số qua USB
• Khởi chạy adb shell bằng ViaExtract
• Xóa tệp password.key khỏi thư mục Android

Điều tra viên có thể sử dụng ViaExtract để bỏ qua cơ chế khóa điện thoại do các thiết bị di động áp đặt. Công cụ này giúp điều tra viên giải mã các mẫu hình khóa cũng như xóa các mật khẩu được đặt trong thiết bị di động. Rất dễ dàng để bỏ qua mẫu hình khóa hoặc mật khẩu bằng ViaExtract. Các điều tra viên có thể crack hoặc giải mã mẫu hình khóa trong một vài bước được đề cập ở trên.

Mã khóa iPhone

Loại Mật khẩu: Chỉ Số Độ dài: 4

Loại Mật khẩu: Chỉ Số
Độ dài: không bằng 4

Loại Mật khẩu: Chữ và Số Độ dài: Bất kỳ độ dài nào

Thiết lập mã khóa trên thiết bị iOS là một phần quan trọng của việc bảo mật dữ liệu khỏi người không được ủy quyền. Thiết bị iOS nhắc người dùng nhập mã khóa mỗi lần trước khi sử dụng thiết bị.

Loại mã khóa trên iPhone có thể là một trong những loại sau:

• Mã khóa 4 chữ số: Tính năng này có mã khóa đơn giản bảo mật thiết bị bằng cách yêu cầu PIN 4 chữ số để mở khóa iPhone của bạn.
• Mã khóa không giới hạn độ dài: Mã khóa này an toàn hơn mã khóa số gồm bốn ký tự vì khá khó đoán.
• Mã khóa chữ và số: Mã khóa có thể phức tạp hơn nếu nó chứa hỗn hợp các số, chữ cái và ký tự đặc biệt. Mã khóa phức tạp này có thể tăng cường bảo mật cho điện thoại.

Bỏ qua Mã khóa iPhone Bằng IExplorer

• Kết nối thiết bị với trạm làm việc
• Duyệt hệ thống tệp iPhone với IExplorer
• Điều hướng đến thư mục /var/mobile/Library/Preferences/ và xóa com.apple.springboard.plist
• Điều hướng đến thư mục /var/Keychains/ và xóa keychain-2.db
• Khởi động lại iPhone

Lưu ý: Kỹ thuật này chỉ hoạt động cho các thiết bị đã jailbreak

Ngoài ra, các công cụ như iPhoneBrowser, iFunBox, OpenSSHSSH và iMazing cũng giúp bỏ qua mã khóa

Nguồn: http://www.macroplant.com

IExplorer giúp điều tra viên bỏ qua mã khóa của iPhone. Quá trình này giúp điều tra viên truy cập vào thư mục gốc var/KeyChains và giúp xóa chuỗi khóa có thông tin về mã khóa. IExplorer cũng giúp khám phá thêm các tệp và thư mục từ hệ thống tệp, nếu thiết bị đã được jailbreak.

Bật Gỡ lỗi USB

Đi tới Cài đặt -> Tùy chọn nhà phát triển, và chọn Gỡ lỗi USB

Chế độ gỡ lỗi USB có sẵn trên các thiết bị di động Android. Người dùng Android có thể sử dụng gỡ lỗi USB để kết nối thiết bị trực tiếp với máy tính bằng cáp USB sử dụng Android SDK (bộ công cụ phát triển phần mềm).

Chế độ gỡ lỗi USB cho phép một số quyền truy cập cấp cao hơn vào thiết bị như chế độ nhà phát triển. Điều tra viên cần chạy terminal lệnh với ADB. Điều tra viên có thể truy cập và trích xuất nội dung thư mục gốc bằng terminal lệnh.

Trong một số phiên bản Android sau này, tùy chọn “chế độ gỡ lỗi USB” có thể có sẵn dưới dạng “Chế độ nhà phát triển”.

Để bật chế độ Gỡ lỗi USB, điều tra viên phải thực hiện các bước sau: Đi tới Cài đặt -> Tùy chọn nhà phát triển -> Gỡ lỗi USB. Trên cửa sổ bật lên, chọn hộp kiểm bên cạnh Luôn cho phép từ máy tính này.

Kỹ thuật Loại bỏ Bảo mật Nền tảng: Jailbreak/Root

Các điều tra viên điều tra số sử dụng root/jailbreak để đạt được quyền kiểm soát đặc quyền (được gọi là “quyền truy cập root”) trong hệ thống con của thiết bị, để thực hiện thu thập dữ liệu

Công cụ Root Android:

• One Click Root
• Kingo Android ROOT
• RescueRoot
• Towelroot

Công cụ Jailbreak iOS:

• PANGU JAIL BREAK
• Redsn0w
• Sn0wbreeze
• GeekSn0w

Các nhà sản xuất đặt khóa tích hợp trên điện thoại di động và máy tính bảng của họ theo luật pháp của quốc gia. Tuy nhiên, người dùng áp dụng các kỹ thuật như jailbreak, root và mở khóa để vượt qua các hạn chế được thiết lập trước.

Các điều tra viên có thể sử dụng các kỹ thuật này để truy cập vào các thiết bị trong quá trình tìm kiếm bằng chứng bằng cách tạo ảnh của thiết bị thực tế.

Công cụ Root Android

One Click Root Nguồn: https://www.oneclickroot.com Tiện ích này cho phép người dùng root thiết bị di động Android của họ mà không cần hiểu biết tốt về firmware và kernel của nó.

Tính năng:

1. Truy cập tiềm năng đầy đủ của thiết bị của bạn
2. Cài đặt firmware tùy chỉnh tương thích
3. Truy cập các tính năng bị chặn của quản trị thiết bị
4. Bảo toàn tuổi thọ pin bằng cách đóng băng các ứng dụng không cần thiết chạy trong nền
5. Nâng cao hiệu suất của thiết bị

Kingo Android ROOT
Nguồn: https://www.kingoapp.com Đây là một tiện ích đơn giản và trực tiếp để root thiết bị android và phù hợp cho người dùng mới.

Các tính năng như sau:

1. Hiệu suất được nâng cao
2. Tiết kiệm tuổi thọ pin
3. Cung cấp quyền truy cập vào các ứng dụng root và có thể gỡ cài đặt chúng
4. Giao diện tùy chỉnh
5. Có quyền quản trị thiết bị

Towelroot Nguồn: http://towelroot.org Ứng dụng Towelroot cung cấp root một cú nhấp chuột cho hầu hết các điện thoại thông minh Android hiện có và phổ biến. Towelroot.apk là một apk root dễ dàng và thuận tiện cho các thiết bị Android như nexus 5. Bạn có thể tải tệp towelroot.apk về máy tính và chuyển nó sang di động để có phần mềm tải xuống towel root Android cho di động.

RescueRoot Nguồn: http://rescueroot.com Đây là một tiện ích một cú nhấp chuột để root hầu hết các thiết bị di động Android từ các thương hiệu Samsung, HTC, Motorola, LG và Sony Ericsson.

Các tính năng là:

1. Đơn giản để sử dụng
2. Hỗ trợ gần như mọi thiết bị android
3. Cung cấp chức năng Sao lưu và Khôi phục dữ liệu
4. Hỗ trợ nâng cao

Công cụ Jailbreak iOS

PANGU JAIL BREAK Nguồn: http://en.pangu.io Công cụ jailbreak Pangu cho phép người dùng jailbreak thiết bị iOS bằng cách chạy ứng dụng jailbreak một cú nhấp chuột và loại bỏ jailbreak bằng cách khởi động lại các thiết bị iOS.

Redsn0w Nguồn: http://www.redsn0w.us RedSn0w cho phép điều tra viên jailbreak iPhone, iPod Touch hoặc iPad bằng cách chạy nhiều phiên bản firmware khác nhau. Được duy trì và tạo ra bởi Dev-Team, RedSn0w đã trở thành một trong những công cụ jailbreak được sử dụng nhiều nhất để jailbreak firmware iOS.

Sn0wbreeze Nguồn: www.ih8sn0w.com
Sn0wbreeze là một ứng dụng jailbreak được phát triển bởi iH8sn0w cho các thiết bị Apple chạy iOS như iPhone, iPad và iPod Touch.

GeekSn0w
Nguồn: http://geeksn0w.it GeekSn0w là một công cụ miễn phí được phát triển bởi Andrea Bentivegna để jailbreak iPhone chạy iOS 7.1. Hiện tại nó chỉ có sẵn cho hệ điều hành Windows.

Thu thập Bằng chứng Di động

Thu thập dữ liệu và phân tích điều tra số yêu cầu:

• Mở khóa thiết bị
• Root hoặc Jailbreak thiết bị
• Bật chế độ gỡ lỗi USB trên thiết bị

Điện thoại di động bị thu giữ trải qua quá trình thu thập dữ liệu và tạo ảnh điều tra số tại trạm làm việc điều tra số

Trong quá trình thu thập, tất cả dữ liệu có thể có từ bộ nhớ trong và ngoài của điện thoại di động được trích xuất để phân tích điều tra số

Thu thập bằng chứng di động liên quan đến việc trích xuất tất cả bằng chứng có thể có từ điện thoại di động bằng cách sử dụng các kỹ thuật khác nhau. Thu thập bằng chứng di động khó khăn hơn để truy xuất so với bất kỳ bằng chứng kỹ thuật số nào khác vì điện thoại di động khác nhau về kiến trúc và phần cứng của chúng. Có nhiều phương pháp mà điều tra viên có thể áp dụng để thu thập bằng chứng từ điện thoại di động. Tuy nhiên, không có phương pháp nào là đủ để thu thập bằng chứng từ điện thoại di động. Sự thành công của quá trình thu thập bằng chứng cũng có thể phụ thuộc vào các kỹ thuật chống điều tra số và chống chống điều tra số được sử dụng để xóa bỏ bằng chứng khỏi các thiết bị di động.

Trích xuất bằng chứng khác nhau từ thiết bị di động này sang thiết bị di động khác. Không có quy trình tiêu chuẩn để thu thập bằng chứng kỹ thuật số trong điều tra số di động; tuy nhiên, các điều tra viên điều tra số nên áp dụng tất cả các kỹ thuật có thể để trích xuất, kiểm tra, phân tích và xác thực bằng chứng kỹ thuật số thu được từ điện thoại di động.

Phương pháp Thu thập Dữ liệu

1. Thu thập Logic
2. Thu thập Vật lý
3. Thu thập Hệ thống Tệp
4. Thu thập Hệ thống Tệp SIM
5. Thu thập Dữ liệu Di động

Thu thập dữ liệu hiệu quả là một bước quan trọng sớm trong quá trình điều tra số, vì nó đòi hỏi một cuộc điều tra kỹ lưỡng, cùng với việc ghi lại và lập bản đồ tất cả dữ liệu có thể liên quan. Có những phương pháp khác nhau được sử dụng để thu thập dữ liệu di động. Những phương pháp này là điều tra số hợp lệ, xâm nhập và kỹ thuật. Do đó, một điều tra viên chuyên gia cũng có thể cần nhiều thời gian hơn để tiến hành thu thập và phân tích dữ liệu. Việc lựa chọn phương pháp thu thập dữ liệu thích hợp phụ thuộc vào nhiều yếu tố:

• Các hạn chế thời gian để thực hiện trích xuất dữ liệu
• Các loại thu thập dữ liệu được thiết bị hỗ trợ
• Dữ liệu trực tiếp cần thiết
• Khôi phục dữ liệu đã xóa
• Dữ liệu ứng dụng của bên thứ ba
• Các công cụ có sẵn

Mạng Di động

Một mạng di động là một nhóm các vị trí ô hoặc trạm gốc được kết nối với nhau bằng tín hiệu vô tuyến được phục vụ bởi ít nhất một trong số chúng cho người dùng hoặc bộ thu phát. Những vị trí ô này cho phép các bộ thu phát di động như máy nhắn tin và điện thoại di động giao tiếp trong phạm vi của chúng, trên một khu vực địa lý rộng lớn.

Các thành phần của Mạng Di động

• Trung tâm Chuyển mạch Di động (MSC): Đây là hệ thống chuyển mạch cho mạng di động
• Trạm thu phát gốc (BTS): Đây là thiết bị thu phát vô tuyến giao tiếp với điện thoại di động
• Hệ thống con Trạm gốc (BSS): chịu trách nhiệm quản lý mạng vô tuyến và được điều khiển bởi Trung tâm Chuyển mạch Dịch vụ Di động (MSC). Nó bao gồm các phần tử Bộ điều khiển Trạm gốc (BSC), Trạm thu phát gốc (BTS) và Bộ chuyển mã (TC)
• Sổ Đăng ký Vị trí Khách (VLR): Đây là cơ sở dữ liệu được sử dụng kết hợp với HLR cho điện thoại di động chuyển vùng ngoài khu vực dịch vụ của chúng
• Sổ Đăng ký Vị trí Chủ (HLR): Đây là cơ sở dữ liệu tại MSC. Đây là hệ thống lưu trữ trung tâm cho dữ liệu và thông tin dịch vụ của thuê bao
• Bộ điều khiển Trạm gốc (BSC): Nó quản lý thiết bị thu phát và thực hiện phân công kênh

Một mạng di động là một mạng được tạo thành từ các ô được phục vụ bởi một bộ phát. Nó giúp người dùng kết nối và giao tiếp với người khác nơi nhà cung cấp mạng nắm giữ trách nhiệm về mạng di động. Đối với một mạng di động hoàn chỉnh, nhà cung cấp mạng yêu cầu một hệ thống con trạm gốc và một hệ thống con mạng. Những hệ thống con này sử dụng nội bộ một số thành phần. Những thành phần khác nhau đó như sau:

• Mô-đun Nhận dạng Thuê bao (SIM): Mô-đun Nhận dạng Thuê bao (SIM) có thể lưu trữ dữ liệu nhạy cảm như danh bạ của người dùng, tin nhắn và dấu thời gian liên quan đến chúng. Nó cũng chứa thông tin kỹ thuật như Mã Nhận dạng Thẻ Mạch Tích hợp (ICCID), Nhận dạng Thuê bao Di động Quốc tế (IMSI), số quay số cuối cùng (LDNs), tên nhà cung cấp dịch vụ (SPN), v.v., giúp điều tra viên điều tra số trong quá trình thu thập dữ liệu điện thoại di động.
• Trung tâm Chuyển mạch Di động (MSC): Trung tâm Chuyển mạch Dịch vụ Di động (MSC) xử lý các cuộc gọi và tin nhắn trong một mạng và định tuyến chúng giữa các mạng cố định và không dây.
• Trạm thu phát gốc (BTS): Đây là thiết bị thu phát vô tuyến tạo điều kiện cho người dùng giao tiếp không dây giữa điện thoại di động và một mạng.
• Bộ điều khiển Trạm gốc (BSC): Nó quản lý thiết bị thu phát và thực hiện phân công kênh. Nó là một phần của kiến trúc GSM, kiểm soát một hoặc nhiều trạm thu phát gốc và tín hiệu vô tuyến của vị trí ô để giảm tải trên bộ chuyển mạch.
• Hệ thống con Trạm gốc (BSS): Đây là một trong những phần chính của một mạng di động. Nó kiểm soát các đơn vị BSC và BTS. Nó chịu trách nhiệm cho những điều sau: o Xử lý lưu lượng o Hệ thống chuyển mạch và báo hiệu mạng giữa điện thoại di động
• Sổ Đăng ký Vị trí Chủ (HLR): Đây là cơ sở dữ liệu tại MSC. Đây là hệ thống lưu trữ trung tâm cho dữ liệu và thông tin dịch vụ của thuê bao.
• Sổ Đăng ký Vị trí Khách (VLR): Đây là cơ sở dữ liệu được sử dụng kết hợp với HLR cho điện thoại di động chuyển vùng ngoài khu vực dịch vụ của chúng. Nó chứa vị trí hiện tại của người dùng di động cũng như Nhận dạng Thuê bao Di động Tạm thời (TMSI).
• Trung tâm Xác thực (AuC): Một Trung tâm Xác thực (AuC) lưu trữ IMSI của người dùng, khóa mã hóa và xác thực.
• Sổ Đăng ký Nhận dạng Thiết bị (EIR): Sổ Đăng ký Nhận dạng Thiết bị (EIR) là một cơ sở dữ liệu chứa danh sách các thiết bị di động cùng với số IMEI của chúng. Một nhà khai thác mạng di động (MNO) có thể xem qua EIR để theo dõi IMEI của một thiết bị di động và kiểm tra xem nó có hợp lệ (danh sách trắng) hay bị nghi ngờ hoặc bị đánh cắp/chặn (danh sách đen) và thực hiện hành động nếu cần thiết.

Nguồn: http://csrc.nist.gov

Các Mạng Di động Khác nhau

1. Truy cập Đa Phân Chia Mã (CDMA)
2. Tốc độ Dữ liệu Nâng cao cho Sự phát triển GSM (EDGE)
3. Dịch vụ Vô tuyến Gói Tổng quát (GPRS)
4. Hệ thống Thông tin Di động Toàn cầu (GSM)
5. Mạng Kỹ thuật số Nâng cao Tích hợp (iDEN)
6. Truy cập Gói Đường xuống Tốc độ Cao (HSDPA)
7. Truy cập Đa Phân Chia Thời gian (TDMA)
8. Hệ thống Viễn thông Di động Toàn cầu (UMTS)
9. Truy cập Di động Không cấp phép (UMA)

Các mạng di động khác nhau tùy theo nhà cung cấp dịch vụ, vị trí địa lý và sự cải tiến về kỹ thuật. Sau đây là một số mạng di động:

• Mạng Kỹ thuật số Nâng cao Tích hợp (iDEN): iDEN, được phát triển bởi Motorola , là công nghệ thông tin di động cung cấp cho người dùng lợi ích của radio trunk và điện thoại di động.
• Truy cập Đa Phân Chia Mã (CDMA): Đây là một trong những loại mạng di động phổ biến được sử dụng. Nó sử dụng công nghệ phổ rộng trong đó các kênh giao tiếp được xác định bằng mã.
• Tốc độ Dữ liệu Nâng cao cho Sự phát triển GSM (EDGE): Có thể đạt được tốc độ truyền dữ liệu được cải thiện thông qua công nghệ điện thoại di động kỹ thuật số tương thích ngược. Nó cung cấp tốc độ bit cao trên mỗi kênh vô tuyến được sử dụng cho bất kỳ ứng dụng chuyển mạch gói nào.

• Dịch vụ Vô tuyến Gói Tổng quát (GPRS): Đây là dịch vụ dữ liệu di động định hướng gói. Nó có sẵn cho người dùng di động GSM và IS-136. Nó sử dụng công nghệ ghép kênh song công phân chia tần số và đa truy cập phân chia thời gian.
• Hệ thống Thông tin Di động Toàn cầu (GSM): Đây là mạng di động chính và được sử dụng phổ biến.
• Truy cập Gói Đường xuống Tốc độ Cao (HSDPA): Giao thức truyền thông điện thoại di động thế hệ thứ ba này cho phép tốc độ truyền dữ liệu cao cho các mạng dựa trên UMTS.
• Truy cập Đa Phân Chia Thời gian (TDMA): Trong giao tiếp này, một kênh tần số duy nhất được cung cấp cho nhiều người dùng qua khe thời gian được chia.
• Hệ thống Viễn thông Di động Toàn cầu (UMTS): Đây là công nghệ điện thoại di động 3-G (nâng cấp lên 4-G) sử dụng W-CDMA làm giao diện không khí cơ bản.
• Truy cập Di động Không cấp phép (UMA): UMA hoặc Mạng Truy cập Chung (GAN) cho phép các dịch vụ di động như thoại, ứng dụng IMS/SIP Đa phương tiện IP và dữ liệu truy cập các mạng IP.

Phân tích Vị trí Ô: Phân tích Dữ liệu Nhà cung cấp Dịch vụ

Dữ liệu nhà cung cấp dịch vụ có thể đóng vai trò là bằng chứng dự phòng cho điều tra viên điều tra số di động

Nó hữu ích khi kẻ tấn công hoặc chủ sở hữu điện thoại di động đã xóa lịch sử cuộc gọi và/hoặc tin nhắn văn bản khỏi thiết bị để xóa bỏ bằng chứng tiềm năng

Nó cũng có thể được yêu cầu trong các trường hợp sau:

• Khi không thể khôi phục dữ liệu đã xóa
• Khi dịch vụ dựa trên vị trí không được bật trên điện thoại

Dữ liệu nhà cung cấp dịch vụ chứa thông tin như lịch sử cuộc gọi và tin nhắn văn bản, bao gồm cả ngày và giờ. Nó có thể đóng vai trò là bằng chứng dự phòng khi người dùng xóa nội dung khỏi điện thoại di động của họ. Điều tra viên điều tra số di động nên yêu cầu nhà cung cấp dịch vụ cung cấp dữ liệu để phân tích điều tra số. Các nhà cung cấp dịch vụ cũng có thể cung cấp vị trí của thiết bị di động tại thời điểm xảy ra sự cố. Điều này giúp các điều tra viên xác định chính xác vị trí của thiết bị di động tại thời điểm xảy ra sự cố trong trường hợp người dùng tắt tính năng Định vị địa lý trên điện thoại di động.

Các điều tra viên nên điều tra cả dữ liệu nhà cung cấp dịch vụ và dữ liệu được tìm thấy trên điện thoại di động, để tìm bằng chứng tiềm năng. Để giảm nguy cơ mất dữ liệu, các cơ quan thực thi pháp luật nên gửi mẫu bảo quản cho nhà cung cấp dịch vụ.

Phân tích Vị trí Ô: Phân tích Dữ liệu Nhà cung cấp Dịch vụ (tiếp)

Bằng chứng tiềm năng có thể thu được từ Dữ liệu Nhà cung cấp Dịch vụ:

• Vị trí của chủ điện thoại
• Hồ sơ Chi tiết Cuộc gọi (CDR)
• Thông tin thanh toán
• Điện thoại di động có ở trạng thái tĩnh hay di chuyển tại một khoảng thời gian cụ thể
• CDR có thể cung cấp thông tin chi tiết về cuộc gọi cụ thể được thực hiện
• CDR có giá trị chứng minh cho mục đích điều tra hoặc pháp lý
• Điều tra viên nên điều tra cả dữ liệu thiết bị (nội bộ, bên ngoài và SIM) và dữ liệu nhà cung cấp dịch vụ để tìm ra bằng chứng tiềm năng

Hồ sơ dữ liệu cuộc gọi, còn được gọi là Hồ sơ chi tiết cuộc gọi, cung cấp thông tin về việc sử dụng điện thoại di động trong mạng và dịch vụ được truy cập bởi người dùng. Nhà cung cấp dịch vụ duy trì Hồ sơ dữ liệu cuộc gọi cho mỗi người dùng di động.

Một điều tra viên phân tích hồ sơ dữ liệu cuộc gọi để xác định bằng chứng tiềm năng chống lại người dùng di động. Nhà cung cấp dịch vụ hoặc nhà khai thác viễn thông tiết lộ thông tin bí mật của người dùng sau khi xác minh các tài liệu liên quan do điều tra viên điều tra số di động cung cấp, để tránh các vấn đề pháp lý.

Nội dung CDR

1. Số điện thoại của thuê bao từ nơi cuộc gọi bắt đầu (bên gọi, bên A)
2. Số điện thoại nhận cuộc gọi (bên được gọi, bên B)
3. Thời gian bắt đầu cuộc gọi (ngày và giờ)
4. Thời lượng cuộc gọi
5. Số điện thoại thanh toán bị tính phí cho cuộc gọi
6. Mã nhận dạng của tổng đài điện thoại hoặc thiết bị ghi lại bản ghi
7. Số thứ tự duy nhất xác định bản ghi
8. Các chữ số bổ sung trên số được gọi được sử dụng để định tuyến hoặc tính phí cuộc gọi
9. Tình trạng hoặc kết quả của cuộc gọi, cho biết, ví dụ, liệu cuộc gọi có được kết nối hay không
10. Tuyến đường mà cuộc gọi đi vào tổng đài
11. Tuyến đường mà cuộc gọi rời khỏi tổng đài
12. Loại cuộc gọi (thoại, SMS, v.v.)
13. Bất kỳ điều kiện lỗi nào gặp phải

Hồ sơ Chi tiết Cuộc gọi chứa thông tin về hoạt động của người dùng với điện thoại di động. Các nhà cung cấp dịch vụ ghi lại và lưu trữ thông tin này trong cơ sở dữ liệu của họ.

Hồ sơ dữ liệu cuộc gọi chứa một số danh mục thông tin như:

• Số điện thoại được gọi hoặc các số
• Tên và địa chỉ của các thuê bao hoặc người dùng đã đăng ký
• Ngày và giờ bắt đầu và kết thúc giao tiếp
• Dịch vụ điện thoại được sử dụng, ví dụ: thoại, cuộc gọi hội nghị, Dịch vụ Tin nhắn Ngắn (SMS), Dịch vụ Đa phương tiện (MMS)
• Nhận dạng Thuê bao Di động Quốc tế (IMSI) của bên gọi và bên được gọi
• Nhận dạng Thiết bị Di động Quốc tế (IMEI) của bên gọi và bên được gọi
• Nhãn vị trí (ID Ô) tại thời điểm bắt đầu và kết thúc giao tiếp
• Ánh xạ dữ liệu giữa ID Ô và vị trí địa lý của chúng tại thời điểm bắt đầu và kết thúc giao tiếp

Mẫu Tệp Nhật ký CDR

Hồ sơ Chi tiết Cuộc gọi Vĩ độ | Kinh độ | Ngày | Thời gian | Số | Tên | Thời lượng 44.50880 N 73.18223W 1/28/2008 0917 802-555-1024 Chittenden Bank 0:10:17 44.50880 N 73.18223W 1/28/2008 0942 802-555-8673 Poopsei LauRue 0:01:03 44.50880 N 73.18223W 1/28/2008 0945 802-555-9201 Hanley Strappman 0:05:32 44.27834 N 73.21263W 1/29/2008 2205 802-555-7758 Verizon voice mail 0:01:13 44.27834 N 73.21263W 1/29/2008 1532 802-555-4492 Widgets LCC 0:03:47 44.27834 N 73.21263W 1/29/2008 2209 802-555-7758 Verizon voice mail 0:00:36 44.50880 N 73.18223W 1/30/2008 0830 202-555-1818 British Embassy 0:18:12 44.27834 N 73.21263W 1/30/2008 2208 802-555-7758 Verizon voice mail 0:00:53 44.27834 N 73.21263W 1/30/2008 2211 802-555-8673 Poopsei LauRue 0:06:18 44.50880 N 73.18223W 1/31/2008 0903 202-555-1843 British Embassy 0:03:21 44.50880 N 73.18223W 1/31/2008 0908 416-555-9834 British Embassy 0:22:04 44.4143 N 73.03561W 1/31/2008 1047 802-555-9201 Hanley Strappman 0:01:02 44.4143 N 73.03561W 1/31/2008 1050 213-555-2761 M Fendell 0:09:06 44.25295 N 73.58229W 1/31/2008 1127 802-555-9201 Hanley Strappman 0:05:38

Trên đây là một mẫu tệp Nhật ký chứa các chi tiết như vĩ độ, kinh độ, ngày, thời gian, số, tên và thời lượng cuộc gọi.

Mô-đun Nhận dạng Thuê bao (SIM)

Chức năng chính của SIM liên quan đến việc xác thực người dùng điện thoại di động với mạng để có quyền truy cập vào các dịch vụ đã đăng ký

Hệ thống tệp của SIM nằm trong bộ nhớ không bay hơi

Nó có cả bộ nhớ bay hơi và không bay hơi

SIM là một thành phần có thể tháo rời chứa thông tin cần thiết về thuê bao

Mô-đun Nhận dạng Thuê bao, thường được gọi là thẻ SIM, là một thành phần cho phép người dùng kết nối hoặc giao tiếp với người dùng khác. Đó là một thành phần có thể tháo rời chứa thông tin cần thiết về thuê bao. SIM xác thực người dùng để kết nối với mạng và cho phép truy cập vào các dịch vụ đã đăng ký. Nó cung cấp cho người dùng một số nhận dạng.

SIM có hai kích thước:

• 85,60 mm × 53,98 mm x 0,76 mm: Đây là kích thước của thẻ SIM đầu tiên, có kích thước gần bằng thẻ tín dụng.
• 25 mm × 15 mm: Đây là thẻ SIM mới và hiện tại. Độ dày của nó cũng là 0,76 mm.

SIM cung cấp cho người dùng lợi ích của việc lưu trữ thông tin như số điện thoại và tin nhắn. Nó có cả bộ nhớ bay hơi và không bay hơi. Hệ thống tệp của SIM nằm trong bộ nhớ không bay hơi.

Nguồn: http://csrc.nist.gov

Hệ thống Tệp SIM

MF DF DCS 1800 DF Telecom EF EF EF EF EF EF EF DF GSM

M

F – Tệp Chủ DF – Tệp Chuyên dụng EF – Tệp Sơ cấp

Hệ thống tệp SIM được lưu trữ trong EEPROM và chứa ba thành phần chính.

Hệ thống tệp SIM có cấu trúc phân cấp, bao gồm ba phần:

• Tệp Chủ (MF)
• Tệp Chuyên dụng (DF)
• Tệp Sơ cấp (EF)

Tệp Chủ là gốc của hệ thống tệp và chứa một hoặc nhiều DF. Nó có thể chứa một hoặc nhiều EF. Một mã nhận dạng tệp 2 byte 3F00 xác định tệp chủ, được dành riêng hoàn toàn cho MF.

Tệp Chuyên dụng (DF) hoặc thư mục có sẵn tiếp theo MF trong hệ thống phân cấp, và chúng chỉ chứa tiêu đề chứa thông tin liên quan đến cấu trúc tệp và thông tin bảo mật. Giống như MF, một mã nhận dạng 2 byte hữu ích để xác định tệp chuyên dụng.

Tệp Sơ cấp nằm tiếp theo DF trong hệ thống phân cấp, và nó chứa cả tiêu đề và nội dung, chứa dữ liệu thực tế ở các dạng khác nhau, bao gồm trong suốt, cố định tuyến tính và chu kỳ. EF chứa số sê-ri duy nhất của thẻ SIM riêng lẻ và hữu ích trong việc cá nhân hóa ME cho SIM. Nó cũng chứa các loại dữ liệu khác nhau dưới dạng chuỗi byte dữ liệu, chuỗi bản ghi có kích thước cố định hoặc dưới dạng bản ghi có kích thước cố định. Các thông số kỹ thuật này giải thích định dạng của dữ liệu. Số sê-ri SIM và EF cùng nhau được sử dụng bởi một thanh tra để nhận ra nguồn gốc của SIM. Tùy thuộc vào cấu trúc của nội dung, có bốn loại EF có sẵn trong hệ thống tệp của thẻ SIM: EF Trong suốt, EF Cố định tuyến tính, EF Biến đổi tuyến tính và EF Chu kỳ.

Dữ liệu được Lưu trữ trong Mô-đun Nhận dạng Thuê bao

• Mã nhận dạng thẻ mạch tích hợp (ICCID)
• Nhận dạng thuê bao di động quốc tế (IMSI)
• Tên nhà cung cấp dịch vụ (SPN)
• Mã quốc gia di động (MCC)
• Mã mạng di động (MNC)
• Số nhận dạng thuê bao di động (MSIN)
• Số thư mục thuê bao di động quốc tế (MSISDN)
• Số quay số viết tắt (ADN)
• Số quay số cuối cùng (LDN)
• Dịch vụ tin nhắn ngắn (SMS)
• Tham số tin nhắn văn bản (SMSP)
• Trạng thái tin nhắn văn bản (SMSS)
• ID Pha (Phase)
• Bảng dịch vụ SIM (SST)
• Thời gian tìm kiếm HPLMN (HPLMNSP)
• Bộ chọn PLMN (PLMNsel)
• PLMN bị cấm (FPLMN)
• Tham số cấu hình khả năng (CCP)
• Lớp kiểm soát truy cập (ACC)
• Kênh điều khiển phát sóng (BCCH)
• Ưu tiên ngôn ngữ (LP)
• Xác minh chủ thẻ (CHV1 và CHV2)
• Khóa mã hóa (Kc)
• Số thứ tự khóa mã hóa
• Mã cuộc gọi khẩn cấp
• Số quay số cố định (FDN)
• Phần mở rộng quay số (EXT1 & EXT2)
• Nhóm (GID1 & GID2)
• Tin nhắn mạng ưu tiên (CBMI)
• Cuộc gọi trên đơn vị (PUCT)
• Đồng hồ Cuộc gọi Tích lũy (ACM)
• Giới hạn Cuộc gọi (ACMmax)
• Thông tin Vị trí (LOCI)
• Nhận dạng khu vực cục bộ (LAI)
• Số quay số riêng
• Nhận dạng thuê bao di động tạm thời (TMSI)
• Mã nhận dạng khu vực định tuyến (RIA)
• Số quay số dịch vụ (SDNs)
• Khóa Hủy cá nhân hóa

SIM là một thẻ thông minh dựa trên bộ vi điều khiển lưu trữ dữ liệu quan trọng bao gồm:

Điều tra số thiết bị di động là một lĩnh vực phát triển nhanh chóng, tạo ra cơ hội cho các điều tra viên trong môi trường doanh nghiệp, hình sự và quân sự. Chúng cung cấp dữ liệu phong phú và bằng chứng cho các cuộc điều tra pháp lý. Điều tra viên cũng có thể tìm thấy bằng chứng trên thiết bị truyền thông như SIM. SIM hoặc Thẻ Mạch Tích hợp (ICC) chứa chi tiết nhận dạng như chuỗi số IMSI (Nhận dạng Thuê bao Di động Quốc tế), trong đó ba chữ số đầu tiên cho biết quốc gia xuất xứ của SIM. Các chữ số tiếp theo cho biết nhà khai thác, và các chữ số khác cho biết danh tính trong mạng chủ của anh ta/cô ta, bộ nhớ điện thoại, thông tin thanh toán, tin nhắn SMS, mã PIN quốc tế roaming, v.v.

SIM là một thẻ thông minh dựa trên bộ vi điều khiển lưu trữ dữ liệu quan trọng bao gồm những điều sau:

1. Mã nhận dạng thẻ mạch tích hợp (ICCID): ICCID là một số nhận dạng duy nhất 19 chữ số được in trên SIM để xác định mỗi SIM quốc tế. Nó giúp điều tra viên trong việc truy tìm điện thoại di động bị mất.
2. Nhận dạng thuê bao di động quốc tế (IMSI): Đây là số nhận dạng thuê bao 15 chữ số giúp điều tra viên trong việc truy tìm điện thoại di động bị mất. Nó xác định một thuê bao trong thế giới không dây, bao gồm quốc gia và mạng di động mà thuê bao thuộc về.
3. Tên nhà cung cấp dịch vụ (SPN): Nó biểu thị nhà cung cấp dịch vụ thẻ SIM (ví dụ: Idea, Airtel, v.v.) Các điều tra viên phải chú ý hơn đến tính xác thực và khả năng xác minh của hồ sơ nhà cung cấp dịch vụ.
4. Mã quốc gia di động (MCC): MCC là số nhận dạng 2 đến 3 chữ số được in trên SIM đại diện cho mã quốc gia của người dùng SIM quốc tế trên mạng GSM. Nó hữu ích cùng với mã mạng di động (MNC) để xác định nhà khai thác điện thoại di động.
5. Mã mạng di động (MNC): MNC là số nhận dạng mạng hai chữ số được sử dụng cùng với MCC được in trên SIM. Nó được sử dụng để xác định người dùng SIM trên mạng điện thoại di động.
6. Số nhận dạng thuê bao di động (MSIN): Đây là số 10 chữ số MIN (số nhận dạng di động) giúp xác định nhà cung cấp dịch vụ điện thoại di động trong mạng của nhà cung cấp di động.
7. Số thư mục thuê bao di động quốc tế (MSISDN): Đây là số được sử dụng để nhận dạng quốc tế các số điện thoại di động, và nó chứa mã quốc gia và mã điểm đến toàn quốc. Số này có tối đa 15 chữ số sau khi loại trừ các tiền tố.
8. Số quay số viết tắt (ADN): Đây là các số quay số ba chữ số. Những số này giúp tạo ra giao tiếp trong trường hợp khẩn cấp cho các dịch vụ công cộng bởi chính phủ và cung cấp quay số nhanh. Số này có thể truy cập ngay cả khi điện thoại di động bị khóa. Chủ yếu người dùng tư nhân, chứ không phải là phổ biến và cho dịch vụ công cộng, thuê những số này.
9. Số quay số cuối cùng (LDN): Đây là số điện thoại được quay gần đây trên thiết bị di động. Để truy cập LDN này, chúng ta có tùy chọn quay số lại trong điện thoại di động.
10. Dịch vụ tin nhắn ngắn (SMS): SMS là dịch vụ tin nhắn văn bản được sử dụng trong điện thoại di động. Trong dịch vụ này, người gửi nhận được báo cáo gửi tin nhắn văn bản đến người nhận. Nó sử dụng các giao thức truyền thông tiêu chuẩn hóa cho các thiết bị điện thoại di động để trao đổi tin nhắn văn bản ngắn.
11. Tham số tin nhắn văn bản (SMSP): Tham số tin nhắn văn bản là các giao thức nhắn tin mà người gửi nên tuân theo và nhập dữ liệu như số người nhận, nội dung tin nhắn và định dạng tệp.
12. Trạng thái tin nhắn văn bản (SMSS): Trạng thái tin nhắn văn bản là trạng thái của tin nhắn mà người gửi nhận được. Trung tâm Tin nhắn Ngắn (SMC) gửi trạng thái gửi để làm rõ liệu nó có được gửi đến người nhận có liên quan hay không.
13. ID Pha (Phase): Đây là số nhận dạng SIM, hữu ích cho việc nhận dạng mỗi SIM, và nó được lưu trữ trong các byte trong SIM và các công cụ điều tra số giúp trích xuất dữ liệu này.
14. Bảng dịch vụ SIM (SST): Một thuê bao cung cấp dữ liệu dịch vụ được lưu trữ trong SIM, và dữ liệu này được lưu trữ dưới dạng bảng trong đó các dịch vụ liên quan là N27- LỰA CHỌN MENU, N38-GPRS, v.v.
15. Thời gian tìm kiếm HPLMN (HPLMNSP): Thời gian tìm kiếm mạng di động công cộng mặt đất chủ (HPLMNSP) là thông tin vị trí khu vực của điện thoại di động trên mạng. Nhà cung cấp dịch vụ cung cấp số nhận dạng duy nhất này.
16. Bộ chọn PLMN (PLMNsel): Mạng di động công cộng mặt đất PLMN (PLMN) là thông tin được sử dụng để xác định vị trí khu vực của điện thoại di động trên mạng và thông tin roaming của nó. NAS truy xuất dữ liệu này từ SIM nơi NAS cung cấp thông tin cho các lớp dưới của nó. PLMN cung cấp thông tin về dữ liệu roaming của một người dùng SIM cụ thể.
17. PLMN bị cấm (FPLMN): Khi một trạm di động (MS) nhận được thông báo ‘PLMN không được phép’ để đáp ứng yêu cầu đăng ký vị trí (LR) từ một VPLMN, VPLMN này được thêm vào danh sách PLMN bị cấm.
18. Tham số cấu hình khả năng (CCP): Điều này chứa các tham số liên quan đến thông tin về các cuộc gọi mạng cần thiết, cuộc gọi khẩn cấp; cuộc gọi cuối cùng được quay số và các số quay số bị từ chối trên điện thoại di động.
19. Lớp kiểm soát truy cập (ACC): Đây là hạn chế áp đặt cho người dùng truy cập vào mạng GSM. Đây là thông tin 2 byte được lưu trữ trong SIM/USIM. Có 15 lớp bên trong tệp này. 10 lớp đầu tiên dành cho các thuê bao thông thường, trong khi 5 lớp còn lại dành cho người dùng ưu tiên cao.
20. Kênh điều khiển phát sóng (BCCH): Đây là các kênh phát sóng điểm-đa điểm xuống. Trạm thu phát gốc phát sóng BCCH. Nó cung cấp cho thiết bị di động thông tin mạng, chẳng hạn như dịch vụ của nó, thông số truy cập và danh sách lân cận.
21. Ưu tiên ngôn ngữ (LP): Trong SIM, ưu tiên ngôn ngữ (LP) là ngôn ngữ ưa thích (tiếng Anh, tiếng Ả Rập, tiếng Trung, v.v.) mà người dùng chọn để hiểu và vận hành các dịch vụ SIM.
22. Xác minh chủ thẻ (CHV1 và CHV2): Mục đích của nó là kiểm tra xem chủ thẻ có phải là người được ủy quyền hay không. Điều kiện này chỉ cho phép truy cập vào các tệp sau khi xác minh thành công mã PIN của người dùng. Có nhiều cách để xác định người dùng được ủy quyền trong các phương pháp xác minh thẻ.
23. Khóa mã hóa (Kc): Khóa mã hóa được sử dụng để mã hóa hoặc giải mã dữ liệu vì các mối quan tâm bảo mật, cung cấp các thuật toán hash mã hóa để tuân theo, sau đó mã hóa dữ liệu và giải mã nó trở lại trạng thái ban đầu.
24. Số thứ tự khóa mã hóa (CKSN): Mã hóa là một thủ tục bảo mật để bảo vệ danh tính và dữ liệu của thuê bao. Mục đích của nó là mã hóa và giải mã dữ liệu. Người dùng sử dụng các khóa mã hóa và CKSN đề cập đến các khóa mã hóa. Nếu cùng một người dùng truy cập lại, nó cải thiện tính nhất quán của khóa.
25. Mã cuộc gọi khẩn cấp: Đây là dịch vụ quay số nhanh được sử dụng trong trường hợp khẩn cấp. Người dùng có thể thực hiện cuộc gọi đến các dịch vụ khẩn cấp và quản lý dịch vụ nhận yêu cầu dưới dạng mã. Dựa trên ưu tiên của người dùng, tất cả các mã nhận được rơi vào các danh mục khác nhau.
26. Số quay số cố định (FDN): Khi FDN được BẬT; người dùng chỉ có thể gọi đến những số được liệt kê trong danh sách FDN. Các cuộc gọi đến không bị ảnh hưởng bởi tính năng này. Tuy nhiên, tính năng này không có sẵn trên tất cả các thẻ SIM.
27. Phần mở rộng quay số (EXT1 & EXT2): Phần mở rộng quay số là một số mở rộng được gán cho một người hoặc bộ phận trong một tổ chức hoặc công ty được sử dụng cùng với số điện thoại. Trên điện thoại cố định của tổ chức, chỉ các số mở rộng tham gia vào các cuộc gọi nội bộ trong tổ chức. Điều này tiết kiệm thời gian khi thực hiện cuộc gọi nội bộ trong tổ chức.
28. Nhóm (GID1 & GID2): Đây là các tệp trong SIM. Có hai nhóm, GID1 và GID2, và các tệp này có trong SIM. Khóa cho các tệp GID1 và GID2 này có thể thay đổi, nhưng không thể loại bỏ, và dữ liệu này hữu ích trong quá trình điều tra điều tra số. GID1 không cho phép người dùng đặt SIM từ mạng chính vào điện thoại trên mạng ảo. GID2 là khóa thông thường để người dùng không thể đặt bất kỳ SIM nào khác ngoài SIM của cùng một mạng.
29. Tin nhắn mạng ưu tiên (CBMI): Đây là các tin nhắn từ mạng được hiển thị trên điện thoại di động như mạng không đăng ký, đăng ký thẻ SIM không thành công và mạng không khả dụng trên thiết bị di động khi có một số vấn đề về khả năng truy cập với người dùng SIM.
30. Cuộc gọi trên đơn vị (PUCT): Giá trên đơn vị và bảng tiền tệ trong SIM cho phép điện thoại di động tính toán chi phí của một cuộc gọi bằng đơn vị tiền tệ được chọn hoặc thuê bao có thể thiết lập và các giá trị này sau đó được lưu trữ trong SIM.
31. Đồng hồ Cuộc gọi Tích lũy (ACM): ACM là một đồng hồ cuộc gọi, ghi lại các khoản phí cho cả cuộc gọi hiện tại và đang diễn ra và các cuộc gọi tiếp theo. MS thực hiện nhiệm vụ này, trình bày nó bằng đơn vị nội địa và lưu trữ nó trong SIM.
32. Giới hạn Cuộc gọi (ACMmax): Đây là giới hạn thời gian cuộc gọi bị hạn chế cho người gọi. Có nghĩa là thời lượng cuộc gọi của người dùng bị hạn chế trong một thời gian giới hạn và tự động ngắt kết nối khi hết thời gian. Khóa Giới hạn Cuộc gọi không được đảm bảo và nên được sử dụng theo các hướng dẫn do nhà cung cấp dịch vụ thiết lập.
33. Thông tin Vị trí (LOCI): LOCI chứa danh tính thuê bao di động tạm thời và trạng thái cập nhật vị trí. Đây là một bản cập nhật cho SIM khi điện thoại di chuyển đến các vị trí mới. MS sử dụng nó để theo dõi thông tin về vị trí của thiết bị di động và cung cấp thông tin về vị trí hiện tại và di chuyển của điện thoại di động, điều này hữu ích cho mục đích tình báo.
34. Nhận dạng khu vực cục bộ (LAI): Điều này hữu ích trong việc xác định điện thoại di động quốc tế bằng khu vực vị trí (LA) cụ thể của nó trong bất kỳ PLMN nào. Mã khu vực vị trí có cả MNC và MCC.
35. Số quay số riêng: Số quay số riêng là số của chính SIM. Nó là duy nhất trên mạng di động, và do đó, nó được gọi là số điện thoại. Nhà cung cấp dịch vụ cấp số này cho người dùng SIM.
36. Nhận dạng thuê bao di động tạm thời (TMSI): Thuê bao tạo số nhận dạng tạm thời ngẫu nhiên khi điện thoại di động được bật và hoạt động như một danh tính tạm thời giữa điện thoại di động và mạng. TMSI ngăn chặn việc theo dõi danh tính của một thuê bao di động bằng cách chặn lưu lượng truy cập.
37. Mã nhận dạng khu vực định tuyến (RAI) Mã Mạng: Trong một mạng, có các khu vực khác nhau và chúng có thể được xác định bằng mã nhận dạng gọi là RIA. RIA bao gồm mã khu vực vị trí (LA) và mã khu vực định tuyến (RAC). Mã mạng hữu ích để xác định một mạng trên một mạng lớn. Nó cũng hữu ích cho mục đích paging và đăng ký.
38. Số quay số dịch vụ (SDNs): Nhà cung cấp SIM cung cấp các số dịch vụ này và để xem các số này, các bước sau đây nên được thực hiện: Danh bạ > Phím Menu > Cài đặt. Trong cài đặt, chọn Số dịch vụ và tất cả các số của nhà cung cấp dịch vụ sẽ được hiển thị. Các số này có thể là số dịch vụ, số khẩn cấp hoặc thậm chí là số truy vấn danh bạ.
39. Khóa Hủy cá nhân hóa: Nhà cung cấp dịch vụ cung cấp mã này để mở khóa thiết bị điện thoại di động và truy cập mạng. Các khóa này còn được gọi là mã mở khóa.

Mã nhận dạng thẻ mạch tích hợp (ICCID)

ICCID của (U)SIM có thể dài tới 20 chữ số

Nó bao gồm tiền tố nhận dạng ngành (89 cho viễn thông), tiếp theo là mã quốc gia, số nhận dạng nhà phát hành và số nhận dạng tài khoản cá nhân

Mã này giúp xác định tên quốc gia và nhà khai thác mạng

Nếu ICCID không tồn tại trên SIM, hãy lấy nó bằng cách sử dụng công cụ thu thập (U)SIM như ForensicSIM Toolkit

ICCID 89 44 245252 001451 548 Tiền tố nhận dạng ngành (89 cho viễn thông) Mã quốc gia Số nhận dạng nhà phát hành Số nhận dạng tài khoản cá nhân

ICCID là số sê-ri 19 hoặc 20 chữ số của thẻ SIM, được xác định quốc tế. Nó bao gồm tiền tố nhận dạng ngành (89 cho viễn thông), tiếp theo là mã quốc gia, số nhận dạng nhà phát hành và số nhận dạng tài khoản cá nhân. Mã này giúp xác định quốc gia và tên nhà khai thác mạng.

Các ICCID này được in và lưu trữ trong thẻ SIM. Nếu ICCID không tồn tại trên SIM, hãy lấy nó bằng cách sử dụng công cụ thu thập (U)SIM như ForensicSIM Toolkit.

Mã nhận dạng thiết bị di động quốc tế (IMEI)

IMEI là một số 15 chữ số cho biết nhà sản xuất, loại mẫu và quốc gia phê duyệt cho các thiết bị GSM

Tám chữ số đầu tiên, được gọi là Mã Phân bổ Loại (TAC), cho biết mẫu và nguồn gốc

Đối với điện thoại GSM và UMTS đã bật nguồn, có thể lấy IMEI bằng cách nhập *#06#

Mã nhận dạng thiết bị di động quốc tế (IMEI) là một số duy nhất dựa trên GSM xác định thiết bị di động bằng 15 chữ số đại diện cho nhà sản xuất, loại mẫu và quốc gia được phê duyệt. Nó khác nhau đối với mọi điện thoại di động GSM, UMTS và iDEN và thường được in và tìm thấy trên pin của điện thoại di động.

Trong 15 chữ số của IMEI, tám chữ số đầu tiên được gọi là Mã Phân bổ Loại (TAC), cho biết thông tin về mẫu và nguồn gốc. Đối với điện thoại GSM và UMTS đã bật nguồn, có thể lấy IMEI bằng cách nhập *#06#. Số IMEI được sử dụng cho các lý do hợp lệ. Nó được GSM sử dụng để xác định thiết bị và thậm chí để ngăn chặn truy cập vào điện thoại di động nếu nó bị đánh cắp.

Số sê-ri điện tử (ESN)

ESN là một mã nhận dạng 32 bit duy nhất được ghi trên một chip an toàn trong điện thoại di động bởi nhà sản xuất

8-14 bit đầu tiên xác định nhà sản xuất, và các bit còn lại xác định số sê-ri được gán

ESN là một mã nhận dạng 32 bit duy nhất được gắn trên một chip an toàn bên trong các thiết bị CDMA bởi các nhà sản xuất di động. 8 đến 14 bit đầu tiên trong ESN đại diện cho mã nhà sản xuất, trong khi 24 đến 18 bit còn lại đại diện cho mã mà nhà sản xuất gán cho thiết bị.

Các công dụng của ESN là:

• Nó giúp xác định một điện thoại di động bị đánh cắp ngay cả khi điện thoại có một mã nhận dạng thuê bao mới.
• Nó chứng minh rằng một người dùng đã sử dụng một điện thoại di động cụ thể để thực hiện cuộc gọi (được sử dụng làm bằng chứng cho các thủ tục tố tụng).
• Nó được sử dụng làm đầu vào cho xác thực CAVE.
• Nó cung cấp xác thực ANSI-41 và thời gian thăm dò truy cập.

Nhân bản SIM

Sao chép một thẻ SIM để điều tra thêm nhằm tránh vô tình làm thay đổi dữ liệu SIM gốc

Điều kiện tiên quyết:

• Đầu đọc thẻ SIM
• Thẻ SIM trống hoặc Thẻ SIM Super
• Phần mềm nhân bản SIM

Công cụ Nhân bản SIM:

• SIMiFOR ASC – SIM Cloner (http://www.forensicts.co.uk)
• 001Micron Data Recovery (http://www.simrecovery.com/)
• SIM Cloning Tool – MOBILedit (http://www.mobiledit.com)

Nhân bản SIM là quá trình sao chép thẻ SIM được ủy quyền. Các điều tra viên sử dụng kỹ thuật nhân bản SIM để điều tra dữ liệu trên SIM. Thông tin nhận dạng SIM được chuyển đến một thẻ SIM thứ cấp riêng biệt sau khi hoàn thành quá trình nhân bản. Sau đó, điều tra viên có thể sử dụng SIM thứ cấp trên các thiết bị di động khác để phân tích tất cả các cuộc gọi và các khoản phí liên quan được xác nhận từ thẻ SIM gốc.

Các thẻ SIM chứa hai khóa được gọi là (IMSI và KI) cho phép nhà khai thác dịch vụ xác định số điện thoại di động và xác thực khách hàng. Số điện thoại di động của chúng ta liên quan đến các mã này. Các khóa bí mật này chịu trách nhiệm tính cước khách hàng. Hai mã này từ SIM được lập trình vào một thẻ thông minh trống mới được gọi là wafer. Vì nhà khai thác xác thực SIM dựa trên các giá trị này, nên dễ dàng lừa các nhà khai thác nghĩ rằng đó là SIM gốc.

Quá trình nhân bản diễn ra bằng cách thay đổi Số Sê-ri Điện tử (ESN) bằng các công cụ đặc biệt. Số Sê-ri Điện tử (ESN) được truyền đến công ty viễn thông để xác minh thiết bị di động trong mạng. Bằng cách thay đổi Số Sê-ri Điện tử (ESN), Danh sách Roaming Ưu tiên (PRL) và Số Nhận dạng Thuê bao Di động, hacker hoặc kẻ tấn công có thể thực hiện các cuộc gọi gian lận dưới tên của thuê bao gốc. Điện thoại di động GSM có số IMEI thay vì số ESN.

Công cụ Thu thập Dữ liệu SIM

MOBILedit (http://www.mobiledit.com) SIM Explorer (http://www.dekart.com)

Điều tra viên điều tra số sử dụng các công cụ sau để thu thập dữ liệu từ thẻ SIM trong quá trình điều tra số thẻ SIM của họ.

MOBILedit Nguồn: http://www.mobiledit.com Với MOBILedit Forensic, người phân tích có thể xem, kiểm tra hoặc khôi phục dữ liệu hoàn chỉnh từ điện thoại di động và SIM. Dữ liệu này bao gồm lịch sử cuộc gọi, danh bạ điện thoại, tin nhắn văn bản, tin nhắn đa phương tiện, tệp, lịch, ghi chú, nhắc nhở và dữ liệu ứng dụng như Skype, Dropbox và Evernote.

SIM Explorer Nguồn: http://www.dekart.com SIM Explorer là một công cụ xử lý, được thiết kế để xem và chỉnh sửa nội dung của thẻ SIM GSM, USIM 3G hoặc CDMA R-UIM. SIM Explorer cho phép bạn xem và chỉnh sửa dữ liệu thô. Nó cung cấp một cách thuận tiện để hiển thị thông tin và diễn giải nội dung của tệp để làm cho nó có thể đọc được cho con người. Ngoài việc xem và chỉnh sửa tệp, ứng dụng có thể quét thẻ SIM để tiết lộ các tệp không xác định.

Công cụ Thu thập Dữ liệu SIM (tiếp)

• AccessData Mobile Phone Examiner (MPE) Plus (http://accessdata.com)
• MOBILedit! Forensic (http://www.mobiledit.com)
• EnCase Forensic (https://www.guidancesoftware.com)
• Paraben’s SIM-Card Seizure (https://www.paraben.com)
• Cellebrite UFED Logical Analyzer (http://www.cellebrite.com)
• SIMiFOR (http://www.forensicts.co.uk)
• USIM Detective (http://www.quantaq.com)
• SIM Explorer (http://www.dekart.com)
• SIM Card Data Recovery (http://www.datadoctor.in)
• Data Pilot Secure View Kit (http://www.datapilot.com)

Điều tra viên điều tra số cũng có thể sử dụng danh sách các công cụ sau để thu thập dữ liệu từ thẻ SIM cho mục đích điều tra số thẻ SIM.

Cellebrite UFED Logical Analyzer Nguồn: http://www.cellebrite.com Cellebrite UFED Logical trích xuất và phân tích dữ liệu từ các thiết bị di động và có đầu đọc SIM tích hợp cho phép thiết bị thu thập dữ liệu như nhật ký cuộc gọi, danh bạ điện thoại, SMS, IMSI và ICCID. Thiết bị này thậm chí còn hỗ trợ nhân bản thẻ SIM.

AccessData Mobile Phone Examiner (MPE) Plus Nguồn: http://accessdata.com Mobile Phone Examiner Plus (MPE+) là một công cụ điều tra thiết bị di động thực hiện việc thu thập và phân tích thiết bị thông minh. Nó chứa các công cụ để thu thập, xác định và thu thập dữ liệu liên quan đến thiết bị di động hoặc thẻ SIM.

MOBILedit! Forensic Nguồn: http://www.mobiledit.com MOBILedit Forensic cho phép điều tra viên xem, tìm kiếm hoặc truy xuất dữ liệu từ thiết bị di động, bao gồm lịch sử cuộc gọi, danh bạ điện thoại, tin nhắn văn bản, tin nhắn đa phương tiện, tệp, lịch, ghi chú, nhắc nhở và dữ liệu ứng dụng thô. Nó cũng sẽ truy xuất thông tin thiết bị như IMEI, hệ điều hành, firmware bao gồm chi tiết SIM (IMSI), ICCID và thông tin khu vực vị trí.

Công cụ này tạo điều kiện truy cập vào thông tin trạng thái thẻ SIM (IMSI, ICCID, LAI, PIN, PUK và chi phí cuộc gọi) cũng như xem xét và xuất danh sách tất cả các ứng dụng thẻ SIM. Nó cũng có thể đọc các tin nhắn đã xóa từ thẻ SIM.

EnCase Forensic Nguồn: https://www.guidancesoftware.com EnCase Forensic thu thập dữ liệu, tạo báo cáo toàn diện và duy trì tính toàn vẹn của bằng chứng bằng cách sử dụng một quy trình có thể lặp lại và bảo vệ được.

Paraben’s SIM-Card Seizure Nguồn: https://www.paraben.com Paraben’s SIM-Card Seizure hữu ích trong việc khôi phục tin nhắn SMS/văn bản đã xóa. Nó cũng thực hiện phân tích toàn diện dữ liệu thẻ SIM.

Data Pilot Secure View Kit Nguồn: http://www.datapilot.com Data pilot secure view kit giúp phân tích dữ liệu, đồng bộ hóa và sao lưu dữ liệu. Nó cũng cho phép khôi phục dữ liệu đã xóa từ điện thoại di động.

SIMiFOR Nguồn: http://www.forensicts.co.uk Công cụ SIMiFOR giúp thu thập, phân tích và báo cáo dữ liệu. Nó cũng giúp khôi phục dữ liệu đã xóa từ điện thoại di động.

USIM Detective Nguồn: http://www.quantaq.com Nó cung cấp các tính năng như tính toàn vẹn dữ liệu, thông lượng nhanh và tạo ảnh dữ liệu nâng cao.

SIM Explorer Nguồn: http://www.dekart.com SIM Explorer là một công cụ điều tra số thẻ SIM được thiết kế để tìm, xem và chỉnh sửa tệp trên thẻ SIM GSM, USIM 3G hoặc CDMA R-UIM. SIM Explorer nhắm đến các nhà khai thác di động, nhà cung cấp nội dung, thám tử, nhà phát triển, kỹ sư đảo ngược và những người khác cần truy cập linh hoạt vào cấu trúc của thẻ SIM.

SIM Card Data Recovery Nguồn: http://www.datadoctor.in Nó khôi phục tin nhắn văn bản và số liên lạc đã mất hoặc bị xóa từ thẻ SIM điện thoại di động.

Công cụ Phân tích Điều tra số SIM

• SIMIS 2.0 (http://www.crownhillmobile.com)
• Last SIM Details (http://lastsimdetails.blogspot.in)
• SIMIS 3G (http://www.crownhillmobile.com)
• SIM Brush (https://code.google.com)
• SIMulate (http://www.crownhillmobile.com)
• USIM detective (http://www.quantaq.com)
• SIMQuery (http://vidstrom.net)
• SIMXtractor (http://www.cyberforensics.in)

Dưới đây là danh sách các công cụ điều tra số di động mà các điều tra viên có thể sử dụng trong phân tích điều tra số SIM.

SIMIS 2.0 Nguồn: http://www.crownhillmobile.com SIMIS có khả năng trích xuất dữ liệu từ thẻ SIM một cách điều tra số và cung cấp dữ liệu đó trong một báo cáo HTML dễ đọc. SIMIS 2 chủ yếu nhắm đến việc thẩm vấn điều tra số các Thẻ SIM GSM Phase 2, hiện được gọi phổ biến là 2G.

SIMIS 3G Nguồn: http://www.crownhillmobile.com SIMIS 3G cung cấp cho người kiểm tra các tính năng và tiện ích tương tự như SIMIS 2; tuy nhiên, SIM 3G chứa một lượng lớn thông tin người dùng và mạng. SIMIS 3G là một công cụ toàn diện để khôi phục và trình bày rõ ràng, chính xác dữ liệu. SIMIS 3G trình bày dữ liệu được khôi phục bằng ngôn ngữ gốc của nó và ở định dạng có thể duyệt dễ dàng.

SIMulate Nguồn: http://www.crownhillmobile.com SIMulate Mobile cung cấp các tính năng của SIMulate2G và SIMulate3G trên nền tảng di động, cho phép người kiểm tra tạo ra một bản sao của thẻ 2G hoặc 3G trong hoặc ngoài môi trường phòng thí nghiệm. Nó lý tưởng cho công việc tại hiện trường tội phạm hoặc tình báo.

SIMXtractor Nguồn: http://www.cyberforensics.in SIMXtractor 2.0 là một công cụ điều tra số được sử dụng để tạo ảnh và phân tích thẻ SIM. Bộ SIMXtractor chứa Đầu đọc Thẻ SIM, SIM Imager (Tạo ảnh của thẻ SIM) và SIM Analyzer (Phân tích thẻ SIM), có thể được sử dụng để tạo ảnh của SIM và đọc và phân tích dữ liệu chứa trong đó.

Last SIM Details Nguồn: http://lastsimdetails.blogspot.co.uk Last SIM Details cung cấp các tính năng sau:

• LSD phân tích các bản dump bộ nhớ flash vật lý và bản ghi PM Nokia để tìm chi tiết của các thẻ SIM được chèn trước đó.
• Có khả năng phân tích cả loại tệp .bin và .pm.
• Trình tùy chỉnh Regex cho phép các điều tra viên xác định các tham số quốc gia và mạng để loại bỏ kết quả dương tính giả.

SIM Brush Nguồn: https://code.google.com Đây là một triển khai mã nguồn mở của điều tra và phân tích (điều tra số) (U)SIM và cung cấp các tính năng sau:

• Khôi phục thông tin danh sách cuộc gọi
• Khôi phục thông tin tin nhắn văn bản
• Chuẩn bị báo cáo chi tiết ở định dạng HTML

USIM Detective Nguồn: http://www.quantaq.com USIM Detective có thể xem thông tin đã thu thập (bao gồm số liên lạc và số điện thoại trong danh bạ, tin nhắn SMS, tin nhắn văn bản đã xóa và bản ghi cuộc gọi) ở một số định dạng báo cáo.

SIMQuery Nguồn: http://vidstrom.net SIMQuery là một công cụ truy xuất ICCID và IMSI từ thẻ SIM GSM và cũng truy xuất thông tin người dùng được cung cấp trong quá trình mua điện thoại di động cùng với chi tiết chủ sở hữu thẻ SIM.

Thu thập Logic

Thu thập logic liên quan đến việc tạo một bản sao bit-by-bit của bộ nhớ logic của điện thoại di động

Bộ nhớ logic bao gồm dữ liệu được lưu trữ trong các tệp và thư mục điện thoại di động

Dữ liệu di động được trích xuất thông qua hệ điều hành của thiết bị di động, sử dụng một tập lệnh đã biết

Trong thu thập dữ liệu logic, điều tra viên trích xuất dữ liệu được lưu trữ logic từ thiết bị di động. Các đối tượng lưu trữ logic bao gồm các tệp và thư mục được lưu trữ logic trên hệ thống tệp trong thiết bị di động. Trích xuất logic truy xuất dữ liệu với sự trợ giúp của hệ điều hành thiết bị bằng cách sử dụng một số lệnh đã biết như lệnh AT.

Bằng cách sử dụng phương pháp thu thập dữ liệu logic, một điều tra viên có thể trích xuất một lượng lớn dữ liệu, bao gồm cấu trúc dữ liệu hệ thống tệp. Trích xuất logic không tạo ra một bản dump bộ nhớ. Một điều tra viên điều tra số chuyên gia có thể trích xuất nhiều thông tin hơn từ loại thu thập này. Điều tra viên sử dụng các công cụ tự động thích hợp để thực hiện trích xuất logic dữ liệu trên điện thoại di động.

Thu thập Logic Android Sử dụng MOBILedit

• Kết nối thiết bị di động với trạm làm việc điều tra số qua USB
• Khởi chạy MOBILedit
• Trích xuất logic dữ liệu sẽ được thực hiện tự động

Các điều tra viên cũng có thể sử dụng MOBILedit để thực hiện trích xuất logic trên điện thoại di động Android đang được điều tra. MOBILedit tạo điều kiện cho điều tra viên điều tra số xem, tìm kiếm hoặc truy xuất hầu hết thông tin từ điện thoại di động một cách dễ dàng như lịch sử cuộc gọi, danh bạ điện thoại, tin nhắn văn bản, tin nhắn đa phương tiện, tệp, lịch, ghi chú, nhắc nhở và dữ liệu ứng dụng như Skype, Dropbox và Evernote. Nó không chỉ thu thập thông tin hiển thị mà còn truy xuất dữ liệu đã xóa bằng cách bỏ qua mã khóa, PIN và mã hóa sao lưu điện thoại. Nó cũng truy xuất thông tin như IMEI, hệ điều hành và firmware, bao gồm cả chi tiết SIM (IMSI), ICCID và thông tin khu vực vị trí.

Nguồn: http://www.mobiledit.com

Các Công cụ Thu thập Logic Bổ sung

• UFED Logical Analyzer (www.cellebrite.com)
• XRY LOGICAL (www.msab.com)
• Paraben Device Seizure (www.paraben.com)
• Oxygen Forensic® Extractor (www.oxygen-forensic.com)
• DataPilot (www.datapilot.com)
• Mobile Phone Examiner Plus (www.accessdata.com)

Các điều tra viên điều tra số di động cũng có thể thực hiện trích xuất logic bằng các công cụ sau.

Cellebrite UFED Logical Analyzer Nguồn: http://www.cellebrite.com Cellebrite UFED Logical Analyzer trích xuất và phân tích dữ liệu từ các thiết bị di động và có đầu đọc SIM tích hợp cho phép thiết bị thu thập dữ liệu như nhật ký cuộc gọi, danh bạ điện thoại, SMS, IMSI và ICCID. Thiết bị này cũng hỗ trợ nhân bản thẻ SIM.

XRY LOGICAL Nguồn: http://www.msab.com XRY Logical là một giải pháp dựa trên phần mềm hoàn chỉnh với phần cứng cần thiết cho các cuộc điều tra điều tra số của các thiết bị di động. Nó phân tích nhiều loại điện thoại di động thông qua một quy trình kiểm tra an toàn để khôi phục dữ liệu theo cách điều tra số an toàn. Nó cho phép các điều tra viên thực hiện thu thập dữ liệu logic trên điện thoại di động.

Paraben Device Seizure Nguồn: http://www.paraben.com Device Seizure là một công cụ thu thập và phân tích điều tra số di động cho điện thoại di động, điện thoại thông minh, máy tính bảng, thiết bị GPS, v.v. Nó hỗ trợ thu thập logic và vật lý dữ liệu từ các thiết bị di động.

Oxygen Forensic Extractor Nguồn: http://www.oxygen-forensic.com Oxygen Forensic® Extractor cho phép thu thập dữ liệu có dây (USB) và không dây (Bluetooth) từ các thiết bị di động chạy trên nhiều nền tảng khác nhau.

DataPilot Nguồn: http://www.datapilot.com Các sản phẩm DataPilot hỗ trợ các chuyên gia điều tra số thực hiện các hành động sau:

• Công nghệ Phá khóa Mật khẩu iPhone
• Khôi phục Dữ liệu Đã xóa Logic và Vật lý
• Bảng điều khiển Phân tích Nâng cao Bao gồm
• Tìm kiếm Từ khóa qua Tin nhắn Văn bản và MMS
• Tham chiếu Chéo Danh bạ, Lịch sử Cuộc gọi và Lịch
• Giao diện Đồ họa để Khai thác Dữ liệu Thân thiện với Người dùng

Mobile Phone Examiner Plus Nguồn: http://www.accessdata.com Mobile Phone Examiner Plus là một giải pháp điều tra thiết bị di động bao gồm các khả năng thu thập và phân tích thiết bị thông minh nâng cao.

Thu thập Vật lý

Thu thập vật lý liên quan đến việc tạo một bản sao bit-by-bit của dữ liệu được lưu trữ trong bộ nhớ flash nội bộ của điện thoại di động

Thu thập vật lý sử dụng các công cụ điều tra số như: ViaExtract XRY Physical UFED Physical Analyzer

Kỹ thuật Trích xuất Vật lý:

• Nó trích xuất lượng dữ liệu tối đa trực tiếp từ (các) bộ nhớ flash của thiết bị di động
• Nó cũng có thể trích xuất dữ liệu ẩn hoặc đã xóa từ bộ nhớ flash
• Đây là phương pháp trích xuất khó khăn nhất vì các nhà sản xuất thiết bị di động thường không cho phép đọc tùy ý bộ nhớ của thiết bị

Trích xuất logic chỉ có thể trích xuất dữ liệu từ cấu trúc tệp của điện thoại di động. Tuy nhiên, nó không thể trích xuất dữ liệu được lưu trữ trên bộ nhớ flash nội bộ của điện thoại di động. Điện thoại di động lưu trữ dữ liệu quan trọng trong bộ nhớ flash nội bộ của chúng. Các điều tra viên cần sử dụng một kỹ thuật trích xuất dữ liệu khác để trích xuất dữ liệu từ bộ nhớ flash nội bộ. Kỹ thuật này được gọi là thu thập vật lý. Đây là phương pháp được ưa thích vì nó trích xuất dữ liệu bộ nhớ thô. Nó liên quan đến việc thu thập một ảnh vật lý của thiết bị, chứa dữ liệu hữu ích nhất trên điện thoại di động. Nó cũng liên quan đến việc trích xuất bản dump bộ nhớ của toàn bộ bộ nhớ vật lý của điện thoại di động. Sau đó, bản dump bộ nhớ này được giải mã để truy xuất dữ liệu từ điện thoại.

Nói chung, thu thập dữ liệu vật lý là khó khăn vì các nhà sản xuất sử dụng các cơ chế bảo mật chống lại việc đọc tùy ý bộ nhớ thiết bị. Tuy nhiên, với sự trợ giúp của các công cụ điều tra số, điều tra viên có thể truy cập bộ nhớ flash của thiết bị di động bằng cách bỏ qua khóa mẫu hình, mật khẩu và mã khóa.

Thu thập Vật lý Sử dụng Oxygen Forensic Detective

• Khởi chạy Oxygen Forensic Detective
• Kết nối thiết bị di động với trạm làm việc điều tra số qua USB
• Thực hiện thu thập vật lý sử dụng Oxygen Forensic Suite

Thu thập vật lý là phương pháp thu thập điều tra số ưa thích cho các thiết bị di động như điện thoại thông minh và máy tính bảng. Các điều tra viên ưu tiên thu thập vật lý, khi có sẵn, vì đây là phương pháp duy nhất để truy xuất toàn bộ nội dung của thiết bị cùng với không gian chưa phân bổ, chứa các phần còn lại của bằng chứng bị hủy. Với thu thập vật lý, các điều tra viên điều tra số có thể thu được nhiều thông tin hơn từ thiết bị so với bất kỳ phương pháp nào khác.

Nguồn: http://www.oxygen-forensic.com

Thu thập Hệ thống Tệp

Thu thập logic không thể giúp trích xuất dữ liệu đã xóa từ tệp và thư mục của điện thoại di động

Thu thập hệ thống tệp giúp khôi phục và trích xuất dữ liệu đã xóa

Hơn nữa, thu thập hệ thống tệp cho thấy cấu trúc tệp, dữ liệu ứng dụng và các hiện vật web có sẵn trong điện thoại di động

Các điều tra viên thực hiện thu thập hệ thống tệp trên điện thoại di động khi không thể thực hiện trích xuất dữ liệu vật lý hoặc thất bại. Điều này cho phép trích xuất dữ liệu logic tương tự như trích xuất logic. Ngoài trích xuất logic, thu thập hệ thống tệp cũng cho phép trích xuất dữ liệu đã xóa từ thiết bị di động, điều này không thể thực hiện được trong trường hợp trích xuất logic. Việc thu thập dữ liệu hệ thống tệp sử dụng giao diện đồng bộ hóa của thiết bị di động để khôi phục dữ liệu đã xóa từ điện thoại di động. Nó cũng có thể trích xuất dữ liệu đã xóa từ cơ sở dữ liệu SQLite.

Thu thập Hệ thống Tệp Sử dụng Oxygen Forensic Detective

• Khởi chạy Oxygen Forensic Detective
• Kết nối thiết bị di động với trạm làm việc điều tra số qua USB
• Thực hiện thu thập hệ thống tệp sử dụng Oxygen Forensic Suite

Oxygen Forensic Suite hỗ trợ trích xuất thông tin từ các thiết bị có hệ điều hành như Android, iOS, Blackberry, Symbian và Windows. Các điều tra viên có thể thực hiện root Android tạm thời bằng công cụ này để có được hệ thống tệp hoàn chỉnh bao gồm cả bản dump bộ nhớ hoàn chỉnh và dữ liệu đã xóa.

Các điều tra viên có thể truy cập dữ liệu như danh bạ, tin nhắn, cuộc gọi, lịch, hệ thống tệp, ứng dụng, mật khẩu và bản ghi đã xóa.

Công cụ này nhập và phân tích các ảnh Apple iOS và Android được tạo trong phần mềm điều tra số khác cũng như các bản sao lưu Android, iTunes và Blackberry được bảo vệ bằng mật khẩu.

Nguồn: http://www.oxygen-forensic.com

Carving Tệp

Carving tệp liên quan đến việc khôi phục dữ liệu đã xóa hoặc ẩn từ điện thoại di động

Những người liên quan đến sự cố có thể đã xóa một số dữ liệu nhất định và xóa bỏ bằng chứng tiềm năng khỏi điện thoại di động

Bạn nên cố gắng khôi phục dữ liệu đã xóa đó để phân tích điều tra số

Sử dụng các công cụ carving tệp để khôi phục:

• Bộ nhớ cache bàn phím
• Ảnh đã xóa
• Các mục bộ nhớ cache trình duyệt và dữ liệu cá nhân khác
• Dữ liệu lịch sử cuộc gọi
• Tile bản đồ từ ứng dụng bản đồ
• Tin nhắn email đã lưu trong bộ nhớ cache và đã xóa
• Tin nhắn SMS với dữ liệu dấu thời gian
• Thư thoại đã xóa

Carving tệp là một phương pháp khôi phục các tệp đã xóa từ bộ nhớ của thiết bị. Đó là một kỹ thuật quan trọng trong quá trình điều tra điều tra số vì nó khôi phục các tệp từ cấu trúc tệp khi các tệp bị hỏng hoặc bị xóa. Tất cả điều này giúp điều tra viên khôi phục bằng chứng để phân tích điều tra số. Nhiều hệ thống tệp không loại bỏ hoàn toàn dữ liệu. Đó là phương pháp tái cấu trúc các tệp bằng cách tìm kiếm các byte thô trên toàn bộ đĩa và tái tạo chúng bằng cách kiểm tra tiêu đề và chân trang của tệp. Dữ liệu được khôi phục giúp điều tra viên tìm thấy bằng chứng tiềm năng từ các tệp đã xóa. Do đó, quá trình này giúp điều tra viên trong việc điều tra tội phạm, ngay cả khi kẻ tấn công hoặc người dùng thiết bị đã xóa thông tin chứng minh rằng sự cố đã xảy ra.

Carving Tệp Sử dụng Forensic Explorer

Forensic Explorer khôi phục và phân tích các tệp hệ thống ẩn, tệp đã xóa, không gian trống tệp và cụm chưa phân bổ

Các loại carving dữ liệu được hỗ trợ:

• Carving tệp dựa trên cụm
• Carving tệp dựa trên sector
• Carving tệp dựa trên byte

Forensic Explorer khôi phục và phân tích các tệp hệ thống ẩn và đã xóa, không gian trống tệp và đĩa, và các cụm chưa phân bổ. Forensic Explorer là một công cụ để bảo quản, phân tích và trình bày bằng chứng điện tử. Người dùng chính của công cụ này là các cơ quan điều tra giúp thực hiện phân tích bằng chứng điện tử.

Nó cho phép các điều tra viên thực hiện những điều sau:

• Quản lý việc phân tích khối lượng lớn thông tin từ nhiều nguồn trong cấu trúc tệp vụ án
• Truy cập và kiểm tra tất cả dữ liệu có sẵn, bao gồm các tệp hệ thống và ẩn, tệp đã xóa, không gian trống tệp và đĩa, và các cụm chưa phân bổ
• Tự động hóa các nhiệm vụ điều tra phức tạp
• Tạo báo cáo chi tiết
• Cung cấp một nền tảng để các điều tra viên không phải điều tra số xem xét bằng chứng.

Nguồn: http://www.forensicexplorer.com

Carving Tệp iPhone Sử dụng Công cụ Scalpel

Scalpel là một ứng dụng carving và lập chỉ mục tệp chạy trên Linux và Windows

Scalpel là một ứng dụng carving và lập chỉ mục tệp chạy trên các máy dựa trên Linux và Windows. Đó là một gói mã nguồn mở để khôi phục dữ liệu đã xóa ban đầu dựa trên dẫn đầu, mặc dù hiệu quả hơn đáng kể. Scalpel nhanh hơn và hiệu quả hơn đáng kể trong khả năng đọc cơ sở dữ liệu các định nghĩa tiêu đề và chân trang và trích xuất các tệp hoặc phần dữ liệu phù hợp từ một tập hợp các tệp ảnh hoặc tệp thiết bị thô. Scalpel hoạt động độc lập với hệ thống tệp và có thể khôi phục các tệp từ các phân vùng FATx, NTFS, ext2/3, HFS+ hoặc thô. Nó hữu ích cho cả điều tra điều tra số và khôi phục tệp. Nó cho phép điều tra viên chỉ định một số tiêu đề và chân trang để khôi phục các loại tệp từ một phần phương tiện.

Nguồn: https://github.com

Công cụ Carving Tệp

Phone Image Carver (http://www.phoneimagecarver.com) Blade® Professional v1 (http://www.digital-detective.net)

Các điều tra viên cũng có thể sử dụng các công cụ sau để khôi phục dữ liệu từ điện thoại di động:

Phone Image Carver Nguồn: http://www.phoneimagecarver.com Phone Image Carver là một công cụ carving dữ liệu theo từng phân đoạn dễ sử dụng cho các tệp ảnh điện thoại di động. Phone image carver hiện hỗ trợ Hex, DD, Bin, RAW, DMG và XRY. Thiết kế của nó hữu ích trong điều tra điều tra số di động. Nó không tìm kiếm trên ranh giới sector, mà phân tích tệp ảnh điện thoại di động theo từng sector để tìm các loại tệp người dùng được chọn.

Blade® Professional v1 Nguồn: http://www.digital-detective.net Blade là công cụ hoàn hảo để truy xuất dữ liệu từ điện thoại di động. Được trang bị công nghệ mới nhất, phần mềm này cực kỳ hiệu quả trong việc khôi phục các tệp video MPEG-4/3GP/ISO Base. Blade hỗ trợ tất cả các định dạng ảnh điều tra số chính. Các mô-đun chuyên nghiệp có các quy trình xác thực và diễn giải Intelli-Carve tích hợp để tạo điều kiện khôi phục dữ liệu chính xác.

Trích xuất Cơ sở dữ liệu SQLite

Điện thoại di động sử dụng các tệp cơ sở dữ liệu SQLite để lưu trữ thông tin như danh bạ sổ địa chỉ, tin nhắn SMS, tin nhắn email và các thông tin nhạy cảm khác

Các tệp cơ sở dữ liệu SQLite này cần được trích xuất và phân tích điều tra số để tìm bằng chứng tiềm năng

Trích xuất các tệp cơ sở dữ liệu SQLite bằng các công cụ duyệt SQLite

Các cơ sở dữ liệu SQLite được trích xuất từ bản dump bộ nhớ thiết bị di động là mối quan tâm chính của các chuyên gia điều tra số. Phần mềm cơ sở dữ liệu SQLite là một gói cơ sở dữ liệu miền công cộng, mã nguồn mở. Điện thoại di động sử dụng các tệp cơ sở dữ liệu để lưu trữ thông tin quan trọng liên quan đến chủ sở hữu thiết bị. Thông tin có thể là danh bạ người dùng, tin nhắn văn bản, tin nhắn email web và dữ liệu nhạy cảm khác. Cơ sở dữ liệu SQLite thường có phần mở rộng tệp là “.sqlitedb”. Một số cơ sở dữ liệu cũng sử dụng các dạng phần mở rộng khác như .db. Điều tra viên cần trích xuất dữ liệu này từ cơ sở dữ liệu SQLite để thực hiện phân tích điều tra số dữ liệu.

Các điều tra viên sử dụng các lệnh sau để trích xuất thông tin cơ sở dữ liệu từ cơ sở dữ liệu SQLite:

• Để trích xuất dữ liệu hình ảnh, sử dụng lệnh .dump của SQLite, $ sqlite3 AddressBookImages.sqlitedb sqlite> .output AddressBookImages.txt sqlite> .dump ABFullSizeImage
• Để trích xuất tất cả các sự kiện lịch của mục tiêu trên iPhone, điều tra viên có thể xem \private\var\mobile\Library\Calendar\Calendar.sqlitedb.
• Danh bạ điện thoại \data\data\com.android.providers.contacts\databases\contacts2.db
• Tin nhắn SMS, MMS \data\data\com.android.providers.telephony\databases\mmssms.db
• Lịch \data\com.android.providers.calendar\databases\calendar.db
• Nhật ký \data\com.sec.android.provider.logsprovider\databases\logs.db
• Dữ liệu người dùng \data\system\users\accounts.db
• Lịch sử trình duyệt web \data\data\com.android.browser\databases\browser2.db
• Từ điển \data\user\comc.android.providers.userdictionary\databases\user_dict.db

Phân tích Điều tra số Cơ sở dữ liệu SQLite Sử dụng Andriller

• Kết nối thiết bị với trạm làm việc điều tra số
• Khám phá và phân tích các tệp SQLite từ điện thoại di động bằng Andriller

Andriller cho phép người dùng điện thoại thông minh Android truy xuất dữ liệu từ điện thoại thông minh của họ bằng cách sử dụng các công cụ điều tra số mạnh mẽ. Các công cụ này cung cấp phương tiện để trích xuất dữ liệu tự động từ các thiết bị chưa root bằng cách sử dụng một tập hợp các bộ giải mã. Andriller cho phép các điều tra viên nhập một số tệp cơ sở dữ liệu được xử lý bởi ứng dụng và được sử dụng để tạo báo cáo. Các điều tra viên có thể sử dụng các bộ giải mã cho các thiết bị Android có thể lấy thông tin tài khoản, tin nhắn, danh bạ, lịch sử cuộc gọi, dữ liệu trình duyệt và nhiều thông tin khác để điều tra.

Nguồn: https://andriller.com

Công cụ Duyệt Cơ sở dữ liệu SQLite: Oxygen Forensics SQLite Viewer

SQLite Viewer cho phép các điều tra viên điều tra số khám phá các tệp cơ sở dữ liệu có phần mở rộng sau: .sqlite, .sqlite3, .sqlitedb, .db và .db3

SQLite Viewer cho phép điều tra viên khám phá các tệp cơ sở dữ liệu. Các điều tra viên có thể truy cập dữ liệu thực tế và đã xóa được lưu trữ trong các cơ sở dữ liệu do hệ thống và ứng dụng người dùng tạo ra.

SQLite Viewer cho Oxygen Forensic Suite cung cấp khả năng phân tích dữ liệu thiết bị thuận tiện.

Các tính năng của SQLite viewer bao gồm:

• Hiển thị dữ liệu ở dạng bảng thuận tiện
• Trình bày các khối dữ liệu đã xóa để kiểm tra
• Cho phép phân tích dữ liệu đã xóa
• Cho phép khôi phục các cụm bản ghi đã xóa
• Cho phép xuất dữ liệu sang các định dạng tệp RTF, PDF, XML, XLS, CSV, TSV và HTML
• Có trình xem HEX tích hợp
• Có công cụ tìm kiếm tích hợp
• Có thể lưu các trường BLOB lớn vào tệp

Nguồn: http://www.oxygen-forensic.com

Công cụ Duyệt Cơ sở dữ liệu SQLite

• DB Browser cho SQLite (http://sqlitebrowser.org)
• SQLitePlus Explorer (http://www.eztools-software.com/Tools/sqliteplus/default.asp)
• X-plore (http://www.lonelycatgames.com/?app=xplore)
• SQLite Viewer (http://www.totalcmd.net/plugring/sqliteviewer.html)

Sau đây là một số công cụ duyệt được cung cấp bởi cơ sở dữ liệu SQLite mà điều tra viên có thể sử dụng để khám phá dữ liệu từ cơ sở dữ liệu SQLite của thiết bị di động.

DB Browser cho SQLite Nguồn: http://sqlitebrowser.org DB Browser cho SQLite là một công cụ mã nguồn mở để tạo, thiết kế và chỉnh sửa các tệp cơ sở dữ liệu tương thích với SQLite.

X-plore Nguồn: http://www.lonelycatgames.com X-plore cho phép điều tra viên xem xét thiết bị di động với quyền truy cập đầy đủ vào nó. Nó cung cấp chế độ xem cây hai ngăn, truy cập root, bản đồ đĩa, lưu trữ đám mây và trình quản lý ứng dụng.

SQLitePlus Explorer
Nguồn: http://www.eztools-software.com SQLitePlus cho phép truy cập dễ dàng vào các cơ sở dữ liệu SQLite. DLL COM này cung cấp quyền truy cập tốc độ cao vào các tệp cơ sở dữ liệu SQLite từ Windows.

SQLite Viewer Nguồn: http://www.totalcmd.net SQLite không thể so sánh trực tiếp với các công cụ cơ sở dữ liệu SQL khác như Oracle, PostgreSQL, MySQL hoặc SQL Server vì SQLite cố gắng giải quyết các vấn đề rất khác liên quan đến thiết bị di động để trích xuất tệp từ cơ sở dữ liệu di động.

Phân tích Điều tra số Android

Sau khi thu thập logic, vật lý và hệ thống tệp, việc kiểm tra và phân tích điều tra số được thực hiện trên dữ liệu đã trích xuất

Nó liên quan đến việc tìm ra nguồn bằng chứng từ thông tin thu được bằng cách trích xuất

Điều tra viên điều tra số nên điều tra:

• Các hiện vật dữ liệu điện thoại di động như danh bạ, lịch sử cuộc gọi, trình duyệt, SMS/MMS và định vị địa lý
• Các hiện vật dữ liệu thô
• Dòng thời gian các hoạt động

ViaExtract hỗ trợ rộng rãi phân tích điều tra số trên dữ liệu được khôi phục từ các thiết bị di động Android. Công cụ này hỗ trợ gần như 46 loại thiết bị khác nhau và bao gồm hầu hết các nhà sản xuất. ViaExtract sử dụng các phương pháp trích xuất dữ liệu logic và vật lý để truy xuất dữ liệu, và trong trường hợp xảy ra lỗi khi trích xuất dữ liệu bị mất, người dùng sau đó có thể sử dụng kỹ thuật thu thập hệ thống tệp để đi sâu hơn vào thiết bị di động để tìm kiếm dữ liệu.

ViaExtract có thể thực hiện các hoạt động sau:

• Thu thập: Chuẩn bị, mở khóa và root thiết bị
• Trích xuất: Chọn từ nhiều phương pháp trích xuất có sẵn cho thiết bị
• Phân tích: Duyệt và tìm kiếm trong kết quả
• Báo cáo: Tạo báo cáo chi tiết ở định dạng HTML hoặc PDF

Nguồn: https://www.nowsecure.com

Trích xuất Dữ liệu iPhone

Các điều tra viên có thể áp dụng ba cách để trích xuất dữ liệu iPhone để phân tích điều tra số

• Tạo ảnh bộ nhớ vật lý của dữ liệu iPhone bằng các công cụ điều tra số như Cellebrite, XRY, Lantern, Elcomsoft, MPE, Zdziarski, v.v.
• Tạo bản dump hệ thống tệp bằng các công cụ điều tra số như Cellebrite, Blacklight, Oxygen hoặc XRY
• Tạo bản sao lưu iPhone bằng iCloud hoặc iTunes

Nếu một iPhone bị thu giữ tại hiện trường tội phạm và được đưa đến trạm làm việc điều tra số để phân tích điều tra số, thì việc trích xuất dữ liệu từ iPhone đòi hỏi một cách tiếp cận khác, cũng như các công cụ và kỹ thuật khác nhau.

Có ba loại kỹ thuật được áp dụng trên iPhone để trích xuất dữ liệu:

Ảnh bộ nhớ vật lý: Điều này tạo ra ảnh vật lý hoàn chỉnh của dữ liệu có trong iPhone. Điều tra viên có thể trích xuất dữ liệu dưới dạng luồng bit hoặc tệp ảnh DMG bằng một số công cụ như

• Cellebrite
• XRY
• Lantern
• Elcomsoft
• MPE

Dump hệ thống tệp: Dump hệ thống tệp liên quan đến việc tạo một ảnh bộ nhớ vật lý một phần của thiết bị iPhone. Đó là một tập con của ảnh bộ nhớ vật lý. Điều tra viên có thể thực hiện dump hệ thống tệp bằng cách sử dụng các công cụ sau.

• Cellebrite
• Blacklight
• Oxygen hoặc XRY

Sao lưu iPhone: Các điều tra viên có thể sử dụng tính năng sao lưu iPhone bằng iTunes hoặc iCloud để thực hiện sao lưu dữ liệu được lưu trữ trên iPhone.

Công cụ Thu thập Dữ liệu iPhone

• Mobilyze (http://www.blackbagtech.com)
• Aceso (http://www.radio-tactics.com)
• SecureView (http://mobileforensics.susteen.com)
• Athena (http://www.radio-tactics.com)
• NowSecure Forensics (https://www.nowsecure.com/forensics)
• Elcomsoft iOS Forensic Toolkit (https://www.elcomsoft.com/eift.html)
• MOBILedit (http://www.mobiledit.com)
• iXAM (http://www.ixam-forensics.com)
• UFED Touch2 (http://www.cellebrite.com)
• Lantern (http://katanaforensics.com)

Các điều tra viên có thể sử dụng các công cụ sau để thực hiện trích xuất dữ liệu logic trên iPhone.

UFED Touch2 Nguồn: http://www.cellebrite.com UFED Touch2 là một thiết bị được sử dụng để thực hiện trích xuất vật lý, hệ thống tệp, mật khẩu và logic của dữ liệu chứng cứ.

Mobilyze Nguồn: http://www.blackbagtech.com Mobilyze là một công cụ phân loại dữ liệu di động, được thiết kế để cung cấp cho người dùng quyền truy cập ngay lập tức vào dữ liệu từ các thiết bị iOS và Android.

SecureView Nguồn: http://mobileforensics.susteen.com Secure View là một công cụ khôi phục dữ liệu điều tra số. Nó cũng giúp với các cuộc điều tra điều tra số và phân tích điều tra số.

NowSecure Forensics Nguồn: https://www.nowsecure.com/forensics NowSecure Forensics trích xuất, phân tích cú pháp và phân tích dữ liệu thiết bị và hỗ trợ các điều tra viên bằng cách cung cấp các giải pháp bảo mật di động.

MOBILedit Nguồn: http://www.mobiledit.com Với MOBILedit Forensic, điều tra viên có thể xem, tìm kiếm hoặc truy xuất tất cả dữ liệu từ điện thoại chỉ với vài cú nhấp chuột. Dữ liệu này bao gồm lịch sử cuộc gọi, danh bạ điện thoại, tin nhắn văn bản, tin nhắn đa phương tiện, tệp, lịch, ghi chú, nhắc nhở và dữ liệu ứng dụng như Skype, Dropbox và Evernote.

Lantern Nguồn: http://katanaforensics.com Lantern cho phép người dùng phân tích và phân loại một máy Mac chạy OSX hoặc một ảnh Mac OSX và cho phép trích xuất dữ liệu, phân tích và kiểm toán.

Aceso Nguồn: http://www.radio-tactics.com Aceso là một tiện ích trích xuất dữ liệu hợp lý cho điện thoại di động, thiết bị GPS, SIM và thẻ phương tiện

Athena Nguồn: http://www.radio-tactics.com Athena cho phép điều tra viên trích xuất và xử lý thông tin giao tiếp và định vị từ GPS, điện thoại vệ tinh, điện thoại và các thiết bị di động khác.

Elcomsoft iOS Forensic Toolkit Nguồn: https://www.elcomsoft.com Elcomsoft iOS Forensic Toolkit thực hiện việc thu thập điều tra số hoàn chỉnh dữ liệu người dùng được lưu trữ trên các thiết bị iPhone/iPad/iPod chạy bất kỳ phiên bản iOS nào.

iXAM Nguồn: http://www.ixam-forensics.com iXAM được sử dụng cho điều tra điều tra số di động để cung cấp bất kỳ thông tin nào từ một liên hệ hoặc tin nhắn văn bản được lưu trữ đến email, ảnh hoặc vị trí bản đồ cụ thể.

Phân tích Điều tra số iPhone Sử dụng Oxygen Forensics Detective

Thực hiện phân tích điều tra số iPhone bằng cách sử dụng trang web Oxygen Forensics

Nó có thể trích xuất thông tin thiết bị, danh bạ, sự kiện lịch, tin nhắn SMS, nhật ký sự kiện và tệp

Oxygen Forensic Detective giúp các điều tra viên điều tra số trong việc trích xuất dữ liệu từ các thiết bị di động iPhone. Điều tra viên không chỉ trích xuất dữ liệu mà còn có thể hoàn thành quá trình điều tra bằng cách sử dụng công cụ này. Các tính năng sau đây mô tả ngắn gọn các hành động được thực hiện bởi Oxygen Forensics Suite.

SQLite Viewer: SQLite Viewer cho phép khám phá các tệp cơ sở dữ liệu có phần mở rộng sau: .sqlite, .sqlite3, .sqlitedb, .db và .db3. Các chuyên gia có quyền truy cập vào dữ liệu thực tế và đã xóa được lưu trữ trong các cơ sở dữ liệu do hệ thống và ứng dụng người dùng tạo ra.

Plist Viewer: Các tệp Plist, được biết đến là Tệp XML Danh sách Thuộc tính, chứa một lượng lớn thông tin điều tra số có giá trị trong các thiết bị Apple. Dữ liệu có thể được trích xuất từ các tệp .plist như Lịch sử trình duyệt, Điểm truy cập Wi-Fi, Quay số nhanh, Cài đặt Bluetooth, cài đặt ứng dụng toàn cầu và cài đặt Apple Store.

Thông tin Thiết bị: Phần thông tin thiết bị hiển thị thông tin kỹ thuật đầy đủ về thiết bị. Điều này bao gồm chi tiết về nhà sản xuất, tên mẫu bán lẻ, nền tảng và phiên bản của nó, IMEI, địa chỉ MAC, IMSI, số sê-ri, số điện thoại và bất kỳ dữ liệu cụ thể mẫu nào khác.

Mật khẩu: Phần mật khẩu hiển thị tên đăng nhập và mật khẩu được trích xuất từ kho lưu trữ an toàn mặc định tương tự như cơ sở dữ liệu keychain. Các tệp ứng dụng cũng có thể chứa những dữ liệu có giá trị này. Oxygen Forensic Suite phân tích cú pháp chúng và hiển thị chúng ở gần đó.

Bằng chứng Chính: Phần Bằng chứng Chính cung cấp một chế độ xem rõ ràng, gọn gàng về bằng chứng được đánh dấu là thiết yếu bởi các điều tra viên. Các chuyên gia điều tra số có thể đánh dấu các mục nhất định thuộc về các phần khác nhau là bằng chứng thiết yếu và sau đó xem xét tất cả chúng cùng một lúc, bất kể vị trí ban đầu của chúng.

Nhập Bản sao lưu: Oxygen Forensic Suite Analyst cho phép nhập và phân tích cú pháp dữ liệu từ các bản sao lưu và ảnh thiết bị khác nhau được tạo bởi phần mềm đồng bộ hóa hoặc các sản phẩm điều tra số khác.

Trình xem Dữ liệu: Các trình xem dữ liệu khác nhau giúp các chuyên gia phân tích dữ liệu được trích xuất một cách thuận tiện. Oxygen Forensic Suite có trình xem HEX tích hợp, trình xem hình ảnh, trình phát nhạc và video, trình xem văn bản với bộ chuyển đổi trang mã, HTML, SQLite và Plist Viewers.

Liên kết và Thống kê: Các kết nối xã hội giữa người dùng các thiết bị di động đang được điều tra và danh bạ của họ có thể dễ dàng được xác định với tính năng này. Phần Liên kết và Thống kê cung cấp một công cụ thuận tiện để khám phá các kết nối xã hội giữa người dùng thiết bị bằng cách phân tích các cuộc gọi, tin nhắn văn bản, đa phương tiện cũng như tin nhắn e-mail và hoạt động Skype.

Tìm kiếm Toàn cục: Tìm kiếm Toàn cục cho phép khám phá dữ liệu người dùng trong mọi phần của thiết bị. Công cụ này cung cấp khả năng tìm kiếm văn bản, số điện thoại, email, tọa độ địa lý, địa chỉ IP, địa chỉ MAC và số thẻ tín dụng. Thư viện biểu thức chính quy có sẵn để tìm kiếm tùy chỉnh hơn.

Bản ghi Chi tiết Cuộc gọi: Oxygen Forensic Call Data Expert là một chương trình điều tra số cho phép nhập và phân tích các tệp Bản ghi Chi tiết Cuộc gọi (CDR) nhận được từ các nhà cung cấp dịch vụ di động, bất kể sự khác biệt trong định dạng cột và bố cục tệp của chúng.

Nguồn: http://www.oxygen-forensic.com

Kiểm tra và Phân tích

Trong quá trình phân tích điều tra số, điều tra viên nên cố gắng tìm tất cả thông tin có thể giúp giải quyết vụ án

Kiểm tra và phân tích điều tra số giúp tiết lộ bằng chứng tiềm năng và khám phá thông tin hữu ích liên quan đến tội phạm

Kiểm tra và phân tích một ảnh liên quan đến việc tìm dấu vết của bằng chứng tiềm năng liên quan đến vụ án. Điều tra viên nên nhận thức được tất cả các tham số liên quan đến tội phạm, tội phạm và bằng chứng trong ảnh điện thoại di động. Giai đoạn kiểm tra là một bước hữu ích trong quá trình thu thập vì nó tiết lộ bằng chứng tiềm năng.

Phân tích kỹ lưỡng dữ liệu đã thu thập để đưa ra kết luận liên quan đến vụ án. Các kỹ thuật phân tích dữ liệu phụ thuộc vào phạm vi của vụ án hoặc yêu cầu của khách hàng. Phân tích giúp lọc bằng chứng hữu ích từ một tập hợp lớn bằng chứng đã thu thập được.

Xác định và phân loại dữ liệu theo thứ tự liên quan đến vụ án sao cho dữ liệu liên quan nhất phục vụ như bằng chứng quan trọng nhất cho vụ án.

Tạo Báo cáo Điều tra

Kết quả thu được trong tất cả các bước của quá trình điều tra số cần được trình bày theo một định dạng tiêu chuẩn quy định

Một báo cáo điều tra số nên bao gồm quá trình điều tra điều tra số hoàn chỉnh đã thực hiện cùng với các tài liệu hỗ trợ như ảnh, ghi chú và chữ ký của các chuyên gia

Một công cụ điều tra số được sử dụng để chuẩn bị báo cáo để trình bày kết quả điều tra số theo một định dạng quy định

Mục đích của báo cáo điều tra số là truyền đạt kết quả của cuộc điều tra điều tra số. Sau đây là các bằng chứng liên quan đến báo cáo điều tra số di động:

• Ảnh hoặc sơ đồ
• Sơ yếu lý lịch của nhân chứng

Báo cáo điều tra nên chứa:

• Mô tả cách sự cố xảy ra
• Nội dung đúng về mặt kỹ thuật và dễ hiểu
• Định dạng đúng, đánh số trang và đoạn để dễ tham khảo
• Kết luận, ý kiến và khuyến nghị rõ ràng, không mơ hồ được hỗ trợ bởi số liệu và sự thật
• Tuân thủ luật pháp địa phương để có thể chấp nhận được trong tòa án

Mẫu Báo cáo Điều tra số Di động

Tóm tắt

Mục tiêu

Ngày và thời gian sự cố được cho là xảy ra

Ngày và thời gian sự cố được báo cáo cho nhân viên cơ quan

Tên của người hoặc những người báo cáo sự cố

Ngày và thời gian bắt đầu kiểm tra

Tình trạng vật lý của điện thoại

Ảnh của điện thoại và các thành phần riêng lẻ

Trạng thái điện thoại khi nhận được đã bật hay tắt

Nhãn hiệu và Mẫu mã

Số Thuê bao Di động Quốc tế ISDN (MSISDN)

Mã Nhận dạng Thẻ Mạch Tích hợp (ICCID)

Tên Nhà cung cấp Dịch vụ (SPN)

Số quay số viết tắt

Số cuối cùng nhận được

Số cuối cùng đã quay

Cuộc gọi nhỡ

Dịch vụ Tin nhắn Ngắn (SMS)

Mục nhập lịch

Ảnh được lưu trữ trong thiết bị cầm tay

Video được lưu trữ trong thiết bị cầm tay

Smart Media/ Compact Flash

MMS

Nhận dạng Thuê bao Di động Quốc tế (IMSI)

Mã Quốc gia Di động (MCC)

Mã Mạng Di động (MNC)

Số Nhận dạng Thuê bao Di động (MSIN)

Bảo quản bằng chứng

Kỹ thuật điều tra

Công cụ được sử dụng để thu thập

Công cụ được sử dụng để kiểm tra

Dữ liệu tìm thấy trong quá trình kiểm tra

Ghi chú từ đánh giá ngang hàng

Ý kiến chuyên gia hỗ trợ

Báo cáo điều tra số di động nên chứa:

Báo cáo điều tra số di động được tạo bằng cách sử dụng một định dạng quy định cụ thể. Mẫu báo cáo cho phép các điều tra viên tạo một báo cáo điều tra số chi tiết với một khuôn khổ đã được chứng minh và tiết kiệm thời gian. Việc tạo báo cáo điều tra số dựa trên mẫu báo cáo điều tra số giảm nguy cơ bỏ sót bất kỳ bằng chứng nào. Mẫu báo cáo điều tra số di động tiêu chuẩn bao gồm các loại thông tin khác nhau được mô tả ở trên. Tất cả thông tin trong báo cáo điều tra số nên rõ ràng và được cung cấp một cách chi tiết.

Mẫu Bảng công việc Phân tích Điều tra số Di động

Báo cáo điều tra số cũng nên bao gồm thông tin về nhà sản xuất điện thoại, số mẫu, nhà mạng và số điện thoại hiện tại liên kết với danh tính điện thoại. Bảng công việc Phân tích Điều tra số Di động thường bao gồm các thông tin sau:

• Thẩm quyền pháp lý để kiểm tra điện thoại: Người kiểm tra phải xác định xem có thẩm quyền pháp lý để tìm kiếm điện thoại di động hay không và đề cập điều đó trong bảng công việc.
• Mục tiêu của việc kiểm tra: Người kiểm tra phải đề cập mục tiêu của việc kiểm tra điện thoại di động để làm rõ lý do tại sao một nhiệm vụ được thực hiện trong quá trình điều tra.
• Xác định thông tin cho điện thoại di động: Bảng phân tích công việc chứa các thông tin sau về điện thoại di động: o Số Sê-ri Điện tử (ESN) và ID Thiết bị Di động (MEID)
  o Mô-đun Nhận dạng Thuê bao (SIM) o Nhận dạng Thiết bị Di động Quốc tế (IMEI) o Số Nhận dạng Di động (MIN) và Số Thư mục Di động (MDN) o Nhận dạng Thẻ Mạch Tích hợp (ICCID)

Nguồn: http://ccf.cs.uml.edu

Ảnh chụp Mẫu Báo cáo Điều tra số Di động Cellebrite UFED Touch

UFED Touch là một giải pháp điều tra số di động cho phép các điều tra viên trích xuất, giải mã và phân tích dữ liệu chứng cứ theo cách điều tra số hợp lệ từ một loạt các thiết bị di động

Các điều tra viên sử dụng công cụ để trích xuất bằng chứng từ các thiết bị di động. Đây là một ứng dụng điều tra số di động độc lập. Công cụ cho phép các điều tra viên thực hiện trích xuất vật lý, hệ thống tệp và logic của dữ liệu, mật khẩu và khôi phục dữ liệu đã xóa từ các thiết bị di động. Hình ảnh có thể được chụp và ghi lại bởi các điều tra viên sử dụng Camera UFED. UFED 4.0 là phiên bản hiện tại của ứng dụng.

Sử dụng thiết bị này, các điều tra viên có thể xác định nhãn hiệu và mẫu mã của thiết bị và các chi tiết bổ sung như Số IMEI, Số ICCID, Số IMSI, ngày và thời gian bắt đầu trích xuất, ngày và thời gian kết thúc trích xuất, dữ liệu điện thoại và loại kết nối. Kết quả có thể được xem ở định dạng HTML.

Nguồn: http://www.cellebrite.com/

Tóm tắt Module

Sự đa dạng trong kiến trúc hệ điều hành di động có thể ảnh hưởng đến quá trình phân tích điều tra số

• Kiến thức về quy trình khởi động hệ điều hành di động giúp các điều tra viên có quyền truy cập cấp thấp hơn
• Vị trí lưu trữ và bằng chứng di động bao gồm: bộ nhớ trong, thẻ SIM và bộ nhớ ngoài
• Việc xác định nhãn hiệu điện thoại, mẫu mã, hệ điều hành và nhà cung cấp dịch vụ mạng giúp chọn công cụ điều tra số thích hợp cho việc thu thập dữ liệu
• Root/Jailbreak cung cấp quyền kiểm soát đặc quyền (được gọi là “quyền truy cập root”) trong hệ thống con của thiết bị, cho phép thu thập dữ liệu
• Các công cụ tiêu chuẩn như Cellebrite UFED Touch có thể được sử dụng để chuẩn bị báo cáo điều tra số di động

Module này thảo luận về nhu cầu điều tra số di động và quy trình điều tra số để thu thập, phân tích và carving dữ liệu từ các thiết bị di động. Module này thảo luận về các kiến trúc và quy trình khởi động khác nhau của hệ điều hành trên các thiết bị di động mà các điều tra viên điều tra số cần tính đến khi tiến hành kiểm tra điều tra số. Bằng cách hiểu các khái niệm được đề cập trong module, bạn sẽ có thể học cách bỏ qua mã khóa của thiết bị Android và iOS, jailbreak thiết bị iOS và root thiết bị Android. Module này giúp hiểu quy trình điều tra số di động, bao gồm thu thập và bảo quản bằng chứng, ghi lại hiện trường, tạo ảnh và lập hồ sơ bằng chứng, thu thập và phân tích thông tin, và tạo báo cáo.