Prowadząc analizy mobile forensics możemy spotkać się z sytuacją uszkodzenia urządzenia. Na dobrą sprawę działające urządzenie nie jest nam do niczego potrzebne, bo przecież interesują nas wyłącznie dane w nim zapisane. W takim wypadku można pokusić się o zrobienie tzw. chip-off, czyli wyizolowanie kości pamięci z układu.
Są dwie metody przeprowadzenia tej operacji. Pierwsza polega na użyciu specjalistycznego urządzenia generującego punktowo stałą temperaturę na płytkę co prowadzi do roztopienia lutowia i umożliwia sprawne odseparowanie chipa. Pełna automatyzacja. Ta metoda może być zastosowana jedynie przez tych specjalistów, którzy mają odpowiedni sprzęt. Cały proces dzieje się szybko, bezpiecznie i nie jest wyzwaniem dlatego nie będziemy tego opisywać w szczegółach. jeżeli jednak wątek Cię zainteresował skontaktuj się z Lab Mediarecovery. Mamy doświadczenie w projektowaniu tego typu stanowisk roboczych i praktycznych szkoleniach z obsługi poszczególnych narzędzi. W artykule skupimy się natomiast na drugiej z metod. Jest możliwa do realizacji z użyciem podstawowych narzędzi oraz pewnych umiejętności z zakresu elektroniki. Oto lista wymagań:
- umiejętność lutowania,
- obsługa boxów serwisowych,
- wiedza z zakresu elektroniki ze szczególnym uwzględnieniem znajomości częstotliwości pracy podzespołów,
- obsługa narzędzi mobile forensics.
Chip-off. Zagrożenia.
Z uwagi na fakt, iż opisywana metoda opiera się w dużej mierze na „czynniku ludzkim” nie w każdym przypadku, w warunkach poza laboratoryjnych, uda się cały proces przeprowadzić bezpiecznie dla danych. Przecenienie swoich umiejętności, nieostrożność czy drobne błędy w użyciu narzędzi prowadzą najczęściej do dwóch zagrożeń:
- Przegrzanie chipa – użycie zbyt wysokiej temperatury prowadzi do termalnego uszkodzenia kości, a co za tym idzie delikatna elektronika się poddaje i nie będziemy w stanie dostać się do danych.
- Niedogrzanie i zbyt duża siła – skończy się wyłamaniem „padów”, dzięki których chip jest podłączony do układu scalonego. W takim wypadu również nie dostaniemy się do danych.
Nie będziemy ukrywać, iż brak doświadczenia w tym zakresie skończy się utratą danych. Proces ten wymaga wielokrotnych ćwiczeń, a i tak zawsze może pójść coś nie tak. Pamiętajmy, iż mowa o elementach, których wymiary podajemy w milimetrach więc bardzo łatwo zrobić coś źle. No i warto dodać, iż po chip-off telefon nie będzie się już nadawał do użytku. Przestanie działać. Chyba, iż ktoś zdecyduje się na ponowne osadzenie kości pamięci w układzie czyli tzw. reballing. Zatem każdy ze specjalistów przed wykonaniem chip-off musi rozważyć wszelkie za i przeciw, a potem podjąć decyzję. Zawsze też możesz poprosić nas o wsparcie. Prawdopodobieństwo błędu w naszym Lab jest dużo mniejsze. Robiliśmy to dziesiątki razy. Skutecznie.
Chip-off krok po kroku
Na potrzeby tego artykułu, demonstracyjnie, zrobiliśmy chip-off procesora jednak w przypadku kości pamięci całość wygląda dokładnie tak samo. Na etapie boksu serwisowego i narzędzi mobile forensics używamy już kości bo nie dotarlibyśmy z artykułem do szczęśliwego końca Chip, a w naszym przypadku procesor, umiejscowiony na płytce układu scalonego.
Podgrzewanie lutowia czyli proces wymagający wielkiej dokładności, jeżeli zrobimy to za mocno spalimy chip, jeżeli za słabo to próbując go wyciągnąć wyłamiemy „pady”.
Udało się! Wyszedł gładko.
Delikatnie dogrzewamy od spodu żeby pozbyć się nadmiaru lutowia i później lepiej go doczyścić.
Czyszczenie układu z nadmiaru lutowia.
Kolejny etap czyszczenia układu.
Odtłuszczamy, doczyszczamy, usuwamy zanieczyszczenia na materiale antystatycznym.
Chip gotowy do dalszych prac.
Zaczynamy etap analizy forensicowej. W tym momencie używamy już kości pamięci.
Chip wędruje do gniazda w adapterze.
Box serwisowy w pełnej krasie. Chip siedzi w gnieździe. Zaraz sprawdzimy czy wszystko działa.
Wygląda na to, iż wszystko gra. Widać wyraźnie, iż kość pamięci o rozmiarze 7.28GB została wykryta i została nawiązana z nią komunikacja. Zaraz sprawdzimy co możemy z niej wyciągnąć.
Jak widać są foldery, pojedyncze pliki zatem mamy to!
Odpalamy XRY, którego używamy w labie od lat i z czystym sumieniem możemy polecić każdemu specjaliście. Importujemy w nim binarkę odczytanej kości pamięci.
Tworzymy w XRY sprawę zgodnie ze swoimi wymaganiami
Dekodujemy zawartość kości pamięci.
Jak widzicie XRY świetnie sobie poradził z zadaniem.
A w XAMN zajmiemy się już wyszukiwaniem, analizą i tworzeniem raportu.
Podsumowanie
Jak widać chip-off jest możliwy do zrobienia bez kosztownego sprzętu. Oczywiście pokazana przez nas metoda niesie ze sobą zagrożenia jednak przy odpowiedniej ilości praktyki pozwala osiągnąć zadowalające efekty. Żeby zajmować się tym na poważnie warto poćwiczyć na kościach z telefonów, które nie są dowodem w sprawie. Decyzja o tym, żeby wykonać chip-off w ramach specjalistycznej ekspertyzy na potrzeby dochodzenia lub usługi odzyskiwania danych powinna zapaść po dobrym zastanowieniu. Zawsze też możesz zwrócić się do nas. Chętnie pomożemy, wystarczy, iż napiszesz. Chyba, iż wolisz kontakt bardziej bezpośredni. W dowolnym terminie możesz za to odwiedzić nasze biura w Katowicach i Warszawie. Albo zagadać do nas na FB!
