Oxygen Forensics
索尼安卓设备的屏幕锁旁路和物理提取功能
三星、华为和索尼的设备一直是调查人员的挑战。这些设备的制造商使用与中低端设备相同的芯片组,然而由于多了一层安全保护,同样的提取方法无法应用于它们。即使发现了漏洞,最终也会被修复,需要耗时研究的开发的提取方法也就不再发挥作用。
去年我们实现了两种突破性的提取方法,可以实现Exynos芯片组的三星设备和麒麟芯片组的华为设备的屏幕锁绕过和数据解密。然而,Oxygen Forensic® Detective中提供的高级高通EDL和MTK引导加载器方法无法用于基于高通或MTK芯片组的三星、华为和索尼设备。
在高端设备制造商中,索尼非常重视其设备的安全性。与三星和华为不同,索尼设备的应用并不广泛,这意味着大多数取证软件厂商并没有研究绕过安全问题的解决方案。不过,我们的研究团队最近成功地找到了一种针对安卓系统操作的索尼设备的屏幕锁绕过解决方案。
Oxygen Forensic® Detective v.13.3支持从基于MTK芯片组的索尼Xperia XA1、索尼Xperia L1、索尼Xperia L2和索尼Xperia L3设备中提取数据。所有这些设备都运行全盘加密(FDE),因此,物理转储将被加密。如果安全启动被关闭,Oxygen Forensic® Detective 将自动应用默认密码来解密转储。如果用户启用了安全启动,调查人员可以使用内置的蛮力模块在Oxygen Forensic Extractor中查找密码。调查人员将有无限次的尝试次数来寻找密码。
它是如何运行的
要从Sony-Android设备提取数据,请从Oxygen Forensic Detective Home屏幕中启动Oxygen Forensic Extractor,然后选择“ Sony MTK Android Dump”。在下一个屏幕上,选择“ Sony Android Extraction”。
调查人员将看到一个带有一般说明的欢迎窗口。“提取物理映像”选项用于提取设备数据,而“还原设备”选项用于提取后还原设备分区。在大多数情况下,氧气取证提取器将在提取完成后自动恢复分区。
现在,让我们提取Sony Xperia L3设备。
l 首先,按“提取物理图像”按钮。该软件将检查驱动程序是否已安装。如果没有,调查人员将可以选择安装它们。
l 下一步,关闭设备,按“调高音量”按钮,然后将设备连接到计算机。将设备正确设置为所需的模式后,将向调查人员显示“开始提取”按钮。按它继续。
l 下一阶段称为“为数据提取准备设备”。必须遵循“氧气取证提取器”屏幕中显示的说明。完成后,研究人员将看到该设备已准备好进行提取:
l 如果未启用安全启动,则软件将自动应用默认密码并开始读取设备数据分区。
l 如果启用了安全启动,将为调查人员提供输入密码(如果已知)或开始暴力破解过程的选项。如果找到该密码,稍后将在OxygenForensic®Detective的“提取信息”部分的“图像密码”菜单下显示该密码。如有必要,调查人员可以使用它来解锁设备屏幕。
l 提取完成后,OxygenForensic®Extractor将还原设备分区,并提供在文件夹中显示转储或在OxygenForensic®Detective中打开转储进行分析。
OxygenForensic®Detective中可用的所有屏幕锁定旁路方法为研究人员提供了提取和解密证据的机会。调查人员还可以在办公室计算机上执行这些功能,而无需向法医软件制造商索要其他有偿服务。密码暴力破解模块是内置的,可在提取后启用转储解密和设备解锁。
京ICP备09015132号-996 | 网络文化经营许可证京网文[2017]4225-497号 | 违法和不良信息举报电话:4006561155
© Copyright 2000-2023 北京哲想软件有限公司版权所有 | 地址:北京市海淀区西三环北路50号豪柏大厦C2座11层1105室