Mobile Forensic Data Acquisition



Manual Extraction

သံသယရှိသူထံကနေ Mobile Device ကို စတင်သိမ်းဆည်းတဲ့အခါမှာ Mobile Device ကိုကြည့်ပြီး အသုံးပြုနေတဲ့ App / သိမ်းဆည်းနေတုန်းမှာ အချက်အလက်တွေကို ဖျက်နေတာတွေရှိနိုင်လား အသုံးပြုနေတဲ့ Telecom / Wireless AP စတာတွေကို ဓာတ်ပုံ ဗီဒီယို မှတ်တမ်းတင်ခြင်း၊ document ရေးသွင်းခြင်းတို့ဖြစ်ပါတယ်။

Logical Extraction

Mobile Device ထဲမှာ လက်တလောရှိနေတဲ့ Memory Storage ထဲကနေ System data / user data စတဲ့အချက်လက်တွေကို ကူးယူုခြင်းဖြစ်ပါတယ်။ ဖုန်းကို Back Up ယူတာနဲ့ဆင်တူပါတယ်။ အချို့သော ဖုန်း OS အမျိုးအစား Model အလိုက် Logical Extraction ကနေ Recovery ပြန်ရနိုင်ပါတယ်။

Physical Extraction

Mobile Device ထဲကနေ လက်တလော ရှိနေတဲ့ Memory Storage အပြင် ဖုန်းထဲမှာရှိနေတဲ့ Internal Memory / External Memory တွေထဲကနေ အချက်အလက်အားလုံးကို Bit by Bit Copy ကူးယူတာဖြစ်ပါတယ်။
(Recovery ပြန်လုပ်လိုတဲ့အတွက်ဖြစ်ပါတယ်)
Mobile phone အမျိုးအစား အလိုက် Physical Extraction ရနိုင်မရနိုင်တာတွေရှိပါသည်။

JTAG ( Joint Test Action Group)

Mobile ph ထုတ်လုပ်သူများက Mobile Ph အမျိုးအစားတစ်ခုကို တပ်ဆဆင်မထုတ်လုပ်ခင် တပ်ဆင်ထားတဲ့ Chip Set တွေ အမှားအယွင်းရှိ/မရှိစစ်ဆေးပါတယ်။ အဲလိုစမ်းသပ်စစ်ဆေးဖို့အတွက် အချို့သောဖုန်းများမှာ JTAG Connector က ဖုန်းရဲ့ Circuit Board မှာပါရှိပါတယ်။ မပါရှိရင်
Memory Chip ကို ရှာပြီး JTAG လုပ်ဖို့ အတွက် Wire ချိတ်ဆက်ဖို့ရှာပါမှာဖြစ်ပါတယ်။ TAP (Test Access Port) လုပ်တယ်လို့လဲခေါ်ပါတယ်။ချိတ်ဆက်လို့ရလျှင် Mobile Ph ရဲ့ Processor ကနေ Memory Chip ကို Command ပေးပြီးFull Memory Record ရအောင်ပြုလုပ်ပါတယ်။ Lock ဖြစ်နေတဲ့ ဖုန်းတွေတစ်စိတ်တစ်ပိုင်းပျက်စီနေတဲ့ဖုန်းတွေကို စစ်ဆေးဖို့ပြုလုပ်ရခြင်းဖြစ်ပါသည်။ (JTAG ပြုလုပ်ဖို့အတွက် သီးသန့် adapter/ Reader/ software တွေလိုအပ်ပါတယ်။JTAG ပြုလုပ်ဖို့ ဖုန်းအမျိုးအစားများရဲ့ cpu memory တွေအကြောင်းကို နားလည်တတ်ကျွမ်းသူလဲ လိုအပ်ပါတယ်။ ဈေးနှုန်းကလဲ တော်တော်များပါတယ်။

Chip OFF

JTAG အဆင့်နဲ့မရရင် ဖုန်းကနေ Memory Chip ကိုဖြုတ်ပြီး Chip Set Reader မှာတင်ပြီး Memory Chip ထဲက အချက်အလက်တွေကို ဖတ်တာဖြစ်ပါတယ်။ JATG လိုပဲ သီးသန့် ကျွမ်းကျင်သူတွေအပြင် အသုံးပြုရတဲ့ပစ္စည်းတွေလဲ လိုအပ်ပါတယ်။ ငွေကြေးကုန်ကျမှုပိုမိုများပြားပါတယ်။ Android 6.0 အထက်ဆိုရင် Encryption ကြောင့် အနည်းငယ် အခက်အခဲရှိပါတယ်။

Micro Read

နောက်ဆုံနည်းလမ်းဖြစ်ပါတယ်။ ကျွမ်းကျင်တဲ့ ပညာရှင်များ လိုအပ်ပါတယ်။ Memory Chip အပေါ်လွှာကို ဖယ်ရှားပြီး Chip ထဲက Gate တွေကို Microscope နဲ့ဖတ်တာဖြစ်ပါတယ်။ Gate တွေရဲ့ အနေအထားကိုကြည့်ပြီး Binary ကနေ HEx , HEX ကနေ data သို့ပြောင်းလဲခြင်းဖြစ်ပါသည်။


==========================ZAWGYI=====================
Manual Extraction
သံသယရွိသူထံကေန Mobile Device ကုိ စတင္သိမ္းဆည္းတဲ့အခါမွာ Mobile Device ကုိၾကည့္ၿပီး အသုံးျပဳေနတဲ့ App / သိမ္းဆည္းေနတုန္းမွာ အခ်က္အလက္ေတြကုိ ဖ်က္ေနတာေတြရွိႏုိင္လား အသုံးျပဳေနတဲ့ Telecom / Wireless AP စတာေတြကုိ ဓာတ္ပုံ ဗီဒီယုိ မွတ္တမ္းတင္ျခင္း၊ document ေရးသြင္းျခင္းတုိ႕ျဖစ္ပါတယ္။
Logical Extraction
Mobile Device ထဲမွာ လက္တေလာရွိေနတဲ့ Memory Storage ထဲကေန System data / user data စတဲ့အခ်က္လက္ေတြကုိ ကူးယူုျခင္းျဖစ္ပါတယ္။ ဖုန္းကုိ Back Up ယူတာနဲ႕ဆင္တူပါတယ္။ အခ်ဳိ႕ေသာ ဖုန္း OS အမ်ဳိးအစား Model အလုိက္ Logical Extraction ကေန Recovery ျပန္ရႏုိင္ပါတယ္။
Physical Extraction
Mobile Device ထဲကေန လက္တေလာ ရွိေနတဲ့ Memory Storage အျပင္ ဖုန္းထဲမွာရွိေနတဲ့ Internal Memory / External Memory ေတြထဲကေန အခ်က္အလက္အားလုံးကုိ Bit by Bit Copy ကူးယူတာျဖစ္ပါတယ္။
(Recovery ျပန္လုပ္လုိတဲ့အတြက္ျဖစ္ပါတယ္)
Mobile phone အမ်ဳိးအစား အလုိက္ Physical Extraction ရႏုိင္မရႏုိင္တာေတြရွိပါသည္။
JTAG ( Joint Test Action Group)
Mobile ph ထုတ္လုပ္သူမ်ားက Mobile Ph အမ်ဳိးအစားတစ္ခုကုိ တပ္ဆဆင္မထုတ္လုပ္ခင္ တပ္ဆင္ထားတဲ့ Chip Set ေတြ အမွားအယြင္းရွိ/မရွိစစ္ေဆးပါတယ္။ အဲလုိစမ္းသပ္စစ္ေဆးဖုိ႕အတြက္ အခ်ဳိ႕ေသာဖုန္းမ်ားမွာ JTAG Connector က ဖုန္းရဲ႕ Circuit Board မွာပါရွိပါတယ္။ မပါရွိရင္
Memory Chip ကုိ ရွာၿပီး JTAG လုပ္ဖုိ႕ အတြက္ Wire ခ်ိတ္ဆက္ဖုိ႕ရွာပါမွာျဖစ္ပါတယ္။ TAP (Test Access Port) လုပ္တယ္လုိ႕လဲေခၚပါတယ္။ခ်ိတ္ဆက္လုိ႕ရလွ်င္ Mobile Ph ရဲ႕ Processor ကေန Memory Chip ကုိ Command ေပးၿပီးFull Memory Record ရေအာင္ျပုလုပ္ပါတယ္။ Lock ျဖစ္ေနတဲ့ ဖုန္းေတြတစ္စိတ္တစ္ပုိင္းပ်က္စီေနတဲ့ဖုန္းေတြကုိ စစ္ေဆးဖုိ႕ျပဳလုပ္ရျခင္းျဖစ္ပါသည္။ (JTAG ျပဳလုပ္ဖုိ႕အတြက္ သီးသန့္ adapter/ Reader/ software ေတြလုိအပ္ပါတယ္။JTAG ျပဳလုပ္ဖုိ႕ ဖုန္းအမ်ဳိးအစားမ်ားရဲ႕ cpu memory ေတြအေၾကာင္းကုိ နားလည္တတ္ကြ်မ္းသူလဲ လုိအပ္ပါတယ္။ ေစ်းႏွဳန္းကလဲ ေတာ္ေတာ္မ်ားပါတယ္။
Chip OFF
JTAG အဆင့္နဲ႕မရရင္ ဖုန္းကေန Memory Chip ကုိျဖဳတ္ၿပီး Chip Set Reader မွာတင္ၿပီး Memory Chip ထဲက အခ်က္အလက္ေတြကုိ ဖတ္တာျဖစ္ပါတယ္။ JATG လုိပဲ သီးသန့္ ကြ်မ္းက်င္သူေတြအျပင္ အသုံးျပဳရတဲ့ပစၥည္းေတြလဲ လုိအပ္ပါတယ္။ ေငြေၾကးကုန္က်မႈပုိမုိမ်ားျပားပါတယ္။ Android 6.0 အထက္ဆုိရင္ Encryption ေၾကာင့္ အနည္းငယ္ အခက္အခဲရွိပါတယ္။
Micro Read
ေနာက္ဆုံနည္းလမ္းျဖစ္ပါတယ္။ ကြ်မ္းက်င္တဲ့ ပညာရွင္မ်ား လုိအပ္ပါတယ္။ Memory Chip အေပၚလႊာကုိ ဖယ္ရွားၿပီး Chip ထဲက Gate ေတြကုိ Microscope နဲ႕ဖတ္္တာျဖစ္ပါတယ္။ Gate ေတြရဲ႕ အေနအထားကုိၾကည့္ၿပီး Binary ကေန HEx , HEX ကေန data သုိ႕ေၿပာင္းလဲျခင္းျဖစ္ပါသည္။

Comments

Popular posts from this blog

TikTok (tiktok.com) Imvestigation #OSINT