Криміналістичне дослідження мобільних телефонів

Автор: та

Анотація: У статті розглянуто дослідження мобільних телефонів з точки зору криміналістики та основні способи вилучення інформації з пам’яті пристроїв. Зазначено основні програмні продукти що використовуються для дослідження мобільних телефонів у криміналістичному дослідженні та особливості що виникають у процесі проведення дослідження.

Бібліографічний опис статті:

та . Криміналістичне дослідження мобільних телефонів//Наука онлайн: Міжнародний електронний науковий журнал - 2021. - №12. - https://nauka-online.com/publications/information-technology/2021/12/10-11/

Стаття опублікована у: : Наука Онлайн No12 декабрь 2021

Інформаційні технології

УДК 004.9

Пилипенко Олександр Вадимович

старший судовий експерт

Харківський науково-дослідний експертно-криміналістичний центр МВС

Макаров Володимир Сергійович

головний судовий експерт

Харківський науково-дослідний експертно-криміналістичний центр МВС

КРИМІНАЛІСТИЧНЕ ДОСЛІДЖЕННЯ МОБІЛЬНИХ ТЕЛЕФОНІВ

Анотація. У статті розглянуто дослідження мобільних телефонів з точки зору криміналістики та основні способи вилучення інформації з пам’яті пристроїв. Зазначено основні програмні продукти що використовуються для дослідження мобільних телефонів у криміналістичному дослідженні та особливості що виникають у процесі проведення дослідження.

Ключові слова: криміналістичне дослідження, мобільний телефон, вилучення даних, захист інформації, цифровий доказ.

Важко сперечатися з тим, що дослідження мобільних телефонів (смартфонів) є дуже важливим напрямком у криміналістичних дослідженнях, адже інформатизація зараз майже у всіх сферах людської діяльності, а уявити своє життя без смартфону дуже важко. Смартфон зберігає багато інформації користувача від особистих файлів до даних про його дії ‑ ця інформація може нести дуже великий внесок для органів слідства при розслідуванні злочинів.

Від резонансних подій про які говорять в новинах, до тих, про які ніколи не буде знати громадськість – значення мобільних даних у представленні результатів кримінальних справ настільки ж велике, наскільки великий в теперішній час обсяг даних. Повідомлення, дзвінок, пост в соціальних мережах – любий з цих пунктів дозволяє встановити критичні зв’язки, що потрібні поліцейським, слідчим, прокурорам для визначення винуватості або не винуватості – життя чи смерті.

Дослідження інформаційного вмісту мобільних телефонів вимагає спеціальних знань та навиків в області комп’ютерної техніки та комп’ютерних систем. Такі види досліджень проводяться в рамках судової комп’ютерно-технічної експертизи, яка дає змогу виявити істотні ознаки злочину та створити доказову базу шляхом дослідження інформації.

З кожним роком кількість мобільних пристроїв збільшується у геометричній прогресії. Операційні системи стають все більш досконалими. Методи захисту виробників постійно змінюються та доповнюються.

В даній статті мова піде про різні методи вилучення даних з пам’яті мобільних телефонів – буде розглянуто метод ручного вилучення даних, методи вилучення даних на логічному та фізичному рівнях, а також методи вилучення даних з інтегральних схем пам’яті та мікрорівень вилучення даних. Також в даній статті буде коротко розглянуто програмні та апаратні комплекси, які використовуються при дослідженні пам’яті мобільних телефонів.

Методи вилучення даних з пам’яті мобільних телефонів

Існує ряд методів вилучення даних з пам’яті мобільних телефонів які використовуються в мобільній криміналістиці, наведених нижче:

  • ручне вилучення даних;
  • вилучення даних на логічному рівні;
  • вилучення даних на фізичному рівні;
  • вилучення даних з інтегральної схеми пам’яті;
  • мікрорівень вилучення даних.

Ручне вилучення даних з мобільних телефонів передбачає собою доступ до інформації мобільного телефона безпосередньо за допомогою його клавіатури або сенсорного дисплею. Така інформація фіксується із застосуванням фотозйомки та (або) відеозйомки. Даний метод є досить простим і підходить для будь-якого пристрою. Проте метод має досить вагомі недоліки. По-перше, із застосуванням ручного вилучення даних втрачається змога отримати дані з видаленої області, по-друге, при великому обсязі інформації, яку необхідно вилучити, буде потрібно зробити велику кількість фото або відео матеріалу.

Вилучення даних на логічному рівні передбачає собою підключення мобільного телефона до робочої станції експерта або до спеціальних програмно-апаратних засобів із застосуванням оригінальних або спеціальних кабелів. При цьому проводиться копіювання файлів та каталогів з логічних дисків мобільного телефона. Як і при ручному вилучені даних при логічному вилучені немає змоги отримати видалені файли, проте є виняток – при копіюванні баз даних, наприклад, історії листування в додатках швидкого обміну повідомленнями (мессенджерах) існує можливість отримати інформацію щодо видалених повідомлень, так як видалені повідомлення все ще можуть зберігатися в базі даних додатку – повідомлення можуть бути не видалені, а відмічені як «видалені».

Вилучення даних на фізичному рівні передбачає собою побітове копіювання всієї внутрішньої пам’яті мобільного телефона. Головна перевага цього методу полягає у змозі відновлення видалених файлів, але застосування даного методу не завжди є можливим – виробники мобільних телефонів обмежують можливість доступу до фізичного рівня пам’яті, тому при вилученні даних на фізичному рівні застосовуються процеси модифікації завантажувального запису, що в свою чергу в деяких випадках дозволяє не тільки отримати доступ до фізичної пам’яті, а і в залежності від розробника спеціального криміналістичного програмного забезпечення обходити встановлені користувачем паролі.

Вилучення даних з інтегральної схеми пам’яті передбачає собою вилучення даних безпосередньо з фізичного чіпу пам’яті (спосіб CHIP-OFF) або через сервісний роз’єм мобільного телефона (спосіб JTAG). Дані способи найчастіше використовуються у випадку пошкодження мобільного телефону.

За методом CHIP-OFF мікросхема пам’яті вилучається з печатної плати  пристрою, виконується підготовка контактних точок для зняття фізичного дампу пам’яті та в подальшому виконується вилучення цього дампу за допомого програматорів. Отриманий образ пам’яті обробляється за допомогою спеціального програмного забезпечення для представлення його у читабельному вигляді.

Даний метод можливо комбінувати з попередніми у випадку фізичного пошкодження материнської плати пристрою. Тобто інтегральна схема пам’яті фізично демонтується з материнської плати мобільного телефона та паяється до материнської плати мобільного телефона аналогічної моделі що знаходиться в робочому стані. Далі використовуються раніше описані методи.

У випадку використання способу JTAG, процес передбачає підключення мобільного пристрою через апаратний інтерфейс для прямого зв’язку робочої станції (персонального комп’ютера) з материнською платою пристрою (Див. Ілюстрація 1) за допомогою програматорів, наприклад Octopus, RIFF Box, Z3X Easy-Jtag через сервісний роз’єм на материнській платі пристрою.

До недоліків методу вилучення даних з інтегральної схеми пам’яті можна віднести той факт, що все частіше інформація, яка зберігається в пам’яті мобільного телефону, знаходиться в шифрованому вигляді і не завжди може бути дешифрована.

Мікрорівень вилучення даних передбачає собою застосування електронного мікроскопу в дослідженні інтегральної схеми пам’яті мобільного телефона. Отримані дані перетворюються в послідовність нулів та одиниць з подальшим аналізом отриманих даних. Даний метод вилучення даних дуже рідко використовується в досліджені мобільних телефонів у зв’язку з високою вартістю та великим об’ємом наукової роботи.

Стежачи за розвитком мобільних пристроїв, можна з легкістю помітити, що по мірі розвитку їх функціоналу, проходив розвиток програм для їх аналізу. Якщо раніше необхідно було вилучити з мобільного пристрою лише контакти, СМС, ММС, виклики та графічні/відео файли, то зараз цей список значно розширився. До нього долучились дані з програм обміну повідомленнями, електронна пошта, історія браузерів, дані геолокації та видалені файли. І цей список постійно розширюється.

На поточний час серед основних конкурентів у сфері програмного забезпечення для вилучення даних у напрямку мобільної криміналістики слід виділити UFED Physical Analyzer, Oxygen Software, Belkasoft Evidence Center, Magnet AXIOM. Неможливо виділити кращий програмний засіб, адже кожен з них доповнює інший в різноманітних ситуаціях.

Тенденцією останніх років є об’єднання функціоналу різнопланового програмного забезпечення. Тобто, виробники що традиційно займалися розробкою програм для мобільної криміналістики додають у свої продукти функціонал що дозволяє досліджувати жорсткі диски. А виробники криміналістичного ПЗ що орієнтувались на дослідження жорстких дисків, додають в них функціонал, що дозволяє досліджувати мобільні пристрої. Внаслідок цього ми отримуємо універсальні програми комбайни.

Однак використання лише одного програмного продукту – неправильне рішення, оскільки одним з важливих етапів дослідження пам’яті мобільних телефонів є верифікація отриманих даних. Нажаль програмне забезпечення, яке використовується для дослідження пам’яті мобільних телефонів, не завжди видає повні дані, тому існує декілька методів верифікації отриманих результатів. По-перше, отримані дані слід порівнювати з тими даними, які відображаються на мобільному пристрої, по-друге, не буде зайвим використовувати декілька програмних продуктів для вилучення даних та порівняти отримані дані.

Тож слід підсумувати, що разом зі зростанням кількості мобільних пристроїв – зростають об’єми та складність даних що зберігаються в пам’яті, удосконалюються методи їх захисту. У зв’язку з цим, виникає необхідність у все більш передових та інноваційних програмних та апаратних засобах вилучення даних. А важливість вилученої інформації та ступінь відповідальності що-до наслідків до яких приводять результати отриманих даних – потребує обов’язкової її перевірки та порівняння у різному спеціалізованому програмному забезпеченні.

Література

  1. Старичков М. В. Устройства мобильной связи как источники криминалистической информации / М.В. Старичков / Криминалистические чтения на Байкале. 2015.
  2. Chip-Off and JTAG Analysis. URL: http://www.evidencemagazine.com/index.php?option=com_content&task=view&id=922 (дата звернення: 22.11.2021).
  3. Dogan S., Akbal E. Analysis of mobile phones in digital forensics. 40th International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO). IEEE. 2017. P. 1241-1244.

Перегляди: 320

Коментарі закрито.

To comment on the article - you need to download the candidate degree and / or doctor of Science

Підготуйте

наукову статтю на актуальну тему, відповідно до роздлів журналу

Відправте

наукову статтю на e-mail: editor@inter-nauka.com

Читайте

Вашу статтю на сайті нашого журналу та отримайте сертифікат