😏 Нельзя просто так взять и выгрузить информацию из мобильного телефона

Мобильный телефон — это переносной компьютер, однако в большинстве случаев извлечь данные, необходимые для проведения расследования, посредством простого подключения телефона к компьютеру не получится. Это связано с тем, что производители мобильных устройств принимают меры для ограничения доступа к важным артефактам.

🔓 Мы сделали небольшой обзор необходимых инструментов для извлечения информации из мобильных устройств:

• Elcomsoft iOS Forensic Toolkit очень качественно извлекает данные из различных устройств компании Apple (iPhone, iPad, iPod Touch, Apple TV, Apple Watch и HomePod).

• Passware Kit Mobile позволяет перебирать пароли, извлекать данные из заблокированных, зашифрованных iOS-, Android-устройств.

• РС-3000 Mobile PRO извлекает информацию из зашифрованных, поврежденных мобильных устройств, перебирает пароли, восстанавливает поврежденные файловые системы.

• «Мобильный криминалист Эксперт+» — универсальный инструмент для извлечения данных из iOS-, Android-устройств, облачных сервисов.

• GrayKey позволяет извлекать данные из зашифрованных, запароленных iOS-, Android-устройств последних моделей.

• UFED — хороший универсальный инструмент для извлечения данных как из смартфонов, так и из кнопочных телефонов.

• MOBILedit, MD-NEXT, XRY, SmartPhone Forensic System Professional, iPhone and Android Phone Forensics System — универсальные, достаточно интересные продукты со своими уникальными возможностями.

🔓 Кроме того, для извлечения информации из мобильных телефонов используют ПО от производителя устройства, предназначенное для создания резервных копий:

• iTunes
• Samsung Kies
• Huawei HiSuite
• Mi PC Suite

И от сторонних разработчиков: например, для устройств Apple — iMazing.

🔓 Из open-source-проектов можно выделить:

• Mobile Verification Toolkit — для извлечения из устройств под управлением Android и iOS;

• iOS Device Data Extractor, Libimobiledevice, Universal Forensic Apple Device Extractor — для извлечения из устройств компании Apple.

• Kanade — для извлечения APK-файлов приложений на базе Android.

• Andriller CE (Community Edition), Android Triage — для извлечения из устройств под управлением Android.

🆓 Компания Magnet по запросу бесплатно предоставляет ПО Magnet Acquire для извлечения данных из устройств на базе iOS и Android.

Для использования всех возможностей перечисленного ПО необходимо подключить исследуемый телефон к компьютеру. Для этого пригодятся интерфейсные кабели:

• общего назначения (Type-C, Lightning, Micro USB, OTG-кабели с различными разъемами);

• специализированные (для включения различных режимов): например, для мобильных телефонов Huawei используется кабель Harmony TP для перевода устройства в режим последовательного порта (COM port).

📱 Для работы с поврежденными устройствами или для перевода в специальный режим (когда нужно отклеить экран или заднюю крышку и замкнуть test point на плате) пригодятся:

• паяльный фен (сепаратор для дисплеев);
• паяльная станция;
• программатор (например, Z3X EASY JTAG Plus).

При выборе инструментов для извлечения информации всегда необходимо отталкиваться от того, какие конкретно задачи стоят перед исследователем, какие для решения этих задач необходимо получить артефакты, и с учетом этого выбирать инструментарий для извлечения данных.

💡 Лайфхак: компании часто предоставляют возможность по запросу получить демолицензию ПО, чтобы протестировать его. Это позволяет до покупки ознакомиться с функциональностью ПО и понять, стоит ли его приобретать.

#dfir #mobile #android #ios
@ptescalator