计算机科学家里克·艾尔斯(RickAyers)于2020年1月30日在国家标准和技术研究所(N IS T)研究手机数据提取。
美国商务部下属的国家标准与技术研究所(N IS T)的研究人员称,受损的手机仍然充斥着大量有用的数据。NIST公布了最近一项关于从移动受损手机获取数据的法医方法的研究结果。它测试了执法部门用来黑客攻击手机的工具,发现即使罪分子试图通过燃烧、溺水或粉碎手机来破坏证据,法医工具仍然可以成功地从手机的电子部件中提取数据。
领导这项研究的NIST数字取证专家Rick Ayers说:“如果手机有一些结构损伤或热损伤,或液体损伤,你有时仍然能够绕过它。他告诉ZDNet,现代法医技术是有效的,尽管并非总是如此。
在过去的17年里,艾尔斯一直在为美国政府从事移动取证工作。在此期间,他目睹了移动电话的演变以及用于调查这些手机的法医工具。他从2003年开始使用PDA(个人数字助理),如Palm飞行员和Windows移动PDA,然后是基本功能手机,以及第一部iPhone。
虽然早期的移动设备在当时是开创性的,但它们的能力有限,因此没有多少有用的证据来执法。他们有电话记录,一些短信,也许还有一些照片。此外,没有很多可靠的法医工具来提取数据。确实存在的工具没有标准化,所以它们只能用于某些制造和模型,例如只能黑客攻击诺基亚手机的工具。
现在,艾尔斯说,手机上有大量的证据和更好、更通用的工具来提取这些数据。
艾尔斯说:“基本上,每个人的口袋里都装着一个工作站。
消费者在现代智能手机上所享有的功能也有助于刑事调查。我们都留下了一个数字线索,我们去过的地方,我们与谁沟通,我们购买什么,等等。我们在手机上做的所有应用程序、视频和互联网浏览都附带了可以用现代法医方法提取的元数据。
研究人员将数据放在手机上,然后试图用法医工具提取数据。
艾尔斯解释说:“我们有一个大约40或50的各种Android和iOS设备和功能手机的测试台,我们填充这些手机中的每一个,以便我们确切地知道手机上有什么。我们每一部手机都像普通用户一样使用。”
NIST计算机科学家Jenise Reyes-Rodriguez使用JTA G方法从损坏的手机中获取数据。
他们添加了联系人,社交媒体应用程序与假帐户,并创建了多个帐户来回交谈。他们开着手机四处走动,以便增加全球定位系统数据。他们添加数据并删除数据,这样他们就可以测试工具是否可以同时提取活动数据和删除数据。
然后,他们用两种法医技术闯入电话,看看数据是否能被恢复。
“JTAG和芯片关闭方法是两种技术,允许您在移动设备上包含数据的字节存储转储,”Ayers说。
NIST计算机科学家Jenise Reyes-Rodriguez在现场执行JTA G程序。
联合技术咨询小组代表联合任务行动小组,这是为创建集成电路制造标准而成立的行业协会。NIST的研究只包括Android设备,因为大多数Android设备都是“J标记”的,而iOS设备则不是。法医技术利用了抽头,即测试接入端口的短,这些端口通常被制造商用来测试他们的电路板。通过将电线焊接到水龙头上,调查人员可以从芯片中获取数据。
为了执行JTA G提取,Reyes-Rodriguez首先破坏了电话以访问印刷电路板(PCB)。她小心翼翼地把一根人发大小的细线焊接到一种叫做水龙头的金属部件上,这种金属部件的大小就像一个拇指钉的尖端。
“JTAG非常繁琐,你确实需要大量的训练,”Ayers说。“你需要有一双好眼睛和非常稳定的手。”
研究人员将JTA G与芯片关闭方法进行了比较,这是另一种法医技术..虽然JTAG的工作是在NIST进行的,但芯片的提取是由沃思堡警察局数字法医实验室和科罗拉多州的一家名为VTO实验室的私人法医公司进行的。(见我们之前对他们无人机取证工作的报道。)
精致的金属引脚将芯片连接到手机的电路板上。一个老版本的芯片关闭方法涉及专家轻轻地把芯片从PCB上拉下来,但这有可能损坏小引脚,这使得无法获得数据。对于较新的芯片关闭技术,法医专家将PCB研磨到芯片下面的引脚上,然后将芯片放入阅读器中。
艾尔斯解释说:“这会给你提供比通过软件提取逻辑文件更多的数据。”
数字取证专家通常可以使用JTA G方法从损坏的手机中提取数据。
在提取数据后,Ayers和Reyes-Rodriguez使用法医软件对数据进行了解释。他们找到了联系人、地点、社交媒体数据等。并将其与他们加载到手机上的原始数据进行了比较。他们的结论是,JTAG和芯片关闭方法都有效地从手机中提取了数据..
这项研究的重点是用于提取数据的法医工具,但它没有集中在如何通过加密数据。然而,研究人员注意到,执法人员在调查期间往往能够检索罪犯的密码。
这项研究的全部报告可在国土安全部的网络取证网站上查阅。