Oxygen Forensics
索尼安卓設(shè)備的屏幕鎖旁路和物理提取功能
三星����、華為和索尼的設(shè)備一直是調(diào)查人員的挑戰(zhàn)����。這些設(shè)備的制造商使用與中低端設(shè)備相同的芯片組�����,然而由于多了一層安全保護(hù)�����,同樣的提取方法無法應(yīng)用于它們�����。即使發(fā)現(xiàn)了漏洞�,最終也會被修復(fù)���,需要耗時研究的開發(fā)的提取方法也就不再發(fā)揮作用�����。
去年我們實(shí)現(xiàn)了兩種突破性的提取方法���,可以實(shí)現(xiàn)Exynos芯片組的三星設(shè)備和麒麟芯片組的華為設(shè)備的屏幕鎖繞過和數(shù)據(jù)解密�。然而���,Oxygen Forensic® Detective中提供的高級高通EDL和MTK引導(dǎo)加載器方法無法用于基于高通或MTK芯片組的三星�、華為和索尼設(shè)備��。
在高端設(shè)備制造商中��,索尼非常重視其設(shè)備的安全性���。與三星和華為不同�,索尼設(shè)備的應(yīng)用并不廣泛�����,這意味著大多數(shù)取證軟件廠商并沒有研究繞過安全問題的解決方案��。不過���,我們的研究團(tuán)隊最近成功地找到了一種針對安卓系統(tǒng)操作的索尼設(shè)備的屏幕鎖繞過解決方案�����。
Oxygen Forensic® Detective v.13.3支持從基于MTK芯片組的索尼Xperia XA1�、索尼Xperia L1、索尼Xperia L2和索尼Xperia L3設(shè)備中提取數(shù)據(jù)�。所有這些設(shè)備都運(yùn)行全盤加密(FDE),因此���,物理轉(zhuǎn)儲將被加密����。如果安全啟動被關(guān)閉�,Oxygen Forensic® Detective 將自動應(yīng)用默認(rèn)密碼來解密轉(zhuǎn)儲�����。如果用戶啟用了安全啟動�����,調(diào)查人員可以使用內(nèi)置的蠻力模塊在Oxygen Forensic Extractor中查找密碼�����。調(diào)查人員將有無限次的嘗試次數(shù)來尋找密碼����。
它是如何運(yùn)行的
要從Sony-Android設(shè)備提取數(shù)據(jù)�����,請從Oxygen Forensic Detective Home屏幕中啟動Oxygen Forensic Extractor�����,然后選擇“ Sony MTK Android Dump”�����。在下一個屏幕上���,選擇“ Sony Android Extraction”。
調(diào)查人員將看到一個帶有一般說明的歡迎窗口��。“提取物理映像”選項(xiàng)用于提取設(shè)備數(shù)據(jù)�����,而“還原設(shè)備”選項(xiàng)用于提取后還原設(shè)備分區(qū)�。在大多數(shù)情況下,氧氣取證提取器將在提取完成后自動恢復(fù)分區(qū)��。
現(xiàn)在,讓我們提取Sony Xperia L3設(shè)備���。
l 首先�,按“提取物理圖像”按鈕����。該軟件將檢查驅(qū)動程序是否已安裝。如果沒有���,調(diào)查人員將可以選擇安裝它們���。
l 下一步�����,關(guān)閉設(shè)備���,按“調(diào)高音量”按鈕��,然后將設(shè)備連接到計算機(jī)���。將設(shè)備正確設(shè)置為所需的模式后,將向調(diào)查人員顯示“開始提取”按鈕。按它繼續(xù)�����。
l 下一階段稱為“為數(shù)據(jù)提取準(zhǔn)備設(shè)備”��。必須遵循“氧氣取證提取器”屏幕中顯示的說明��。完成后���,研究人員將看到該設(shè)備已準(zhǔn)備好進(jìn)行提?����。?/span>
l 如果未啟用安全啟動�,則軟件將自動應(yīng)用默認(rèn)密碼并開始讀取設(shè)備數(shù)據(jù)分區(qū)�。
l 如果啟用了安全啟動,將為調(diào)查人員提供輸入密碼(如果已知)或開始暴力破解過程的選項(xiàng)���。如果找到該密碼��,稍后將在OxygenForensic®Detective的“提取信息”部分的“圖像密碼”菜單下顯示該密碼��。如有必要����,調(diào)查人員可以使用它來解鎖設(shè)備屏幕。
l 提取完成后��,OxygenForensic®Extractor將還原設(shè)備分區(qū)���,并提供在文件夾中顯示轉(zhuǎn)儲或在OxygenForensic®Detective中打開轉(zhuǎn)儲進(jìn)行分析����。
OxygenForensic®Detective中可用的所有屏幕鎖定旁路方法為研究人員提供了提取和解密證據(jù)的機(jī)會�����。調(diào)查人員還可以在辦公室計算機(jī)上執(zhí)行這些功能�,而無需向法醫(yī)軟件制造商索要其他有償服務(wù)。密碼暴力破解模塊是內(nèi)置的�,可在提取后啟用轉(zhuǎn)儲解密和設(shè)備解鎖�。
