ChipOff w informatyce śledczej
Spis treści:
- Czym jest technika zwana ChipOff
- Kiedy stosujemy technikę ChipOff
- Etapy procesu
Czym jest technika zwana ChipOff
ChipOff jest to technika polegająca na wylutowaniu kości pamięci z urządzenia w celu sporządzenia kopii binarnej
Kiedy stosujemy technikę ChipOff
- Urządzenie zostało uszkodzone w taki sposób, że nie ma możliwości dokonania odczytu danych zapisanych w pamięci urządzenia. Są to różnego rodzaju uszkodzenia mechaniczne typu:
- Upadki i uderzenia
- Zgniecenia
- Spalenia
- Zwarcia
- Zalania
- W sytuacjach kiedy zaistniały czynniki, które nie pozwalają zastosować technik bezinwazyjnych np. UFED, XRY, Oxygen. Często jedyną możliwością zrobienia zrzutu fizycznego kości, który umożliwi nam dostęp do skasowanych danych jest metoda ChipOff.
- W sytuacjach kiedy nie można skorzystać z technik takich jak JTAG lub ISP
Przykłady uszkodzeń urządzeń mobilnych, w których zastosowano metodę ChipOff:
MI5 Xiaomi po zalaniu
Samsung S6 po utopieniu i około miesięcznym przebywaniu w wodzie
Nokia Lumia 720 po uderzeniu
Samsung S7 po wyrzuceniu z pojazdu na autostradzie
LG po zwarciu
P9 lite po tragicznym wypadku drogowym
Etapy procesu
Przykładowe czytniki i boxy jakich używam:
Rozpoznanie
Podczas tego etapu należy dokładnie rozpoznać badane urządzenie:
- Zebrać jak najwięcej informacji na temat okoliczności w jakich urządzenie zostało uszkodzone
- Ustalić oznaczenia kości chipu pamięci oraz jego pojemność (ma to duże znaczenie podczasdobierania schematu temperaturowego, który będziemy stosować podczas ekstrakcji kościza pomocą wylutowywania)
- Ustalić na jakich napięciach pracuje dany chip pamięci
- Ustalić w miarę możliwości czy urządzenie było szyfrowane
- Przygotować sprzęt i oprogramowanie do wykonania zrzutu pamięci oraz jego rozkodowania i wyodrębnienia wszelkich artefaktów znajdujących się w pamięci telefonu
Warsztat i narzędzia
Podstawowymi narzędziami stosowanymi podczas stosowania techniki chip off są:
- Uchwyty serwisowe do PCB
- Narzędzia do otwierania telefonów (wszelkiego rodzaju wkrętaki, klucze, chwytaki)
- Mikroskop inspekcyjny
- Stacja lutownicza na gorące powietrze
- Lutownica precyzyjna
- Stacja do BGA
- Wszelkiego rodzaju chwytaki i pensety
- Precyzyjne narzędzia do podważania kości pamięci
- Mikroskop techniczny stereoskopowy (najlepiej z trzecim torem video)
- Specjalistyczna chemia ułatwiająca wylutowywanie chipów oraz ich czyszczenie
- Specjalistyczne czytniki pamięci do układów eMMC oraz UFS
- Boxy serwisowe umożliwiające nam odczyt kości pamięci i zrzut jej zawartości
- Opaski i maty antystatyczne
Przestrzeń pracy i pozytywne nastawienie :))))
Przykładowe czytniki i boxy jakich używam:
emmc PRO
GPG eMMC
NuProg UFS
Moorc E-MATE PRO 2018
Niezbędnym wyposażeniem naszego warsztatu są mikroskopy oraz stacje lutownicze
Mikroskop inspekcyjny używany w pierwszym etapie pracy w celu weryfikacji oznaczeń chipu pamięci oraz stanu PCB urządzenia
Pod mikroskopem technicznym czyścimy kości pamięci zanim zagnieździmy je w czytniku.Przy doborze mikroskopu ważne jest dobranie odpowiedniej przestrzeni roboczej
Urządzenia, które wspomagają naszą pracę
Stacja lutownicza na gorące powietrze oraz precyzyjna lutownica
Stacja do BGA
Stolik JTAG
Wylutowujemy CHIP
Wybieramy odpowiedni i stabilny uchwyt serwisowy pasujący do naszego zadania
Następnie przechodzimy do wylutowywania układu pamięci pamiętając o temperaturach, które ustaliliśmy oraz zachowując rozsądek (pośpiech jest naszym wrogiem).
ekstrakcja kości pamięci z PCB telefonu Nokia Lumia
ekstrakcja kości pamięci z PCB telefonu LG
Podczas ściągania chipów pamięci należy zachować spokój, nic nie robimy na siłę. Nieodpowiednie podejście do tego etapu może skutkować uszkodzeniem kości pamięci oraz jej pinów. Rozgrzanej kości pamięci nigdy nie kładziemy na zimną powierzchnię oraz sami jej nie chłodzimy. Czekamy, aż ostygnie. Wszelkie czynności z kością pamięci wykonujemy podpięci pod uziemienie za pomocą np. opaski antystatycznej. Elektronika „nie lubi” wyładowań.
Czyszczenie kości pamięci
Następnym etapem jest oczyszczanie kości pamięci z różnego rodzaju resztek spoiw, żywic, chemikali i wszelkich zabrudzeń. Czyszczenie wykonujemy pod mikroskopem za pomocą specjalistycznej chemii oraz precyzyjnej lutownicy i plecionki miedzianej. Ma to na celu oczyszczenie pinów z resztek spoiwa oraz umożliwienie bezpiecznego umieszczenia chipu w czytniku. Ważne jest usunięcie wszystkich zabrudzeń, resztek past i substancji lutowniczych. Kość musi być idealnie oczyszczona. Wynik tej czynności oceniamy pod mikroskopem.
Kość pamięci przed wyczyszczeniem
Prawidłowo oczyszczona kość pamięci
Często zachodzi potrzeba pokrycia pinów nową warstwą cyny w celu zapewnienia lepszego przewodzenia. Nierzadko wymiana nowego spoiwa na pinach stanowi jedyną możliwość uzyskania odczytu za pośrednictwem czytnika. W takich sytuacjach można zastosować tak zwany reballing BGA i użyć specjalistycznej stacji do BGA. Alternatywą do użycia stacji do BGA jest zastosowanie pasty z cyną lub wymiennie kulek do reballingu oraz zastosowanie specjalnych sit z odpowiednim rozmieszczeniem pinów zgodnym z badanym chipem.
Akwizycja, czyli robimy „binarkę”
Na tym etapie dokonujemy odczytu pamięci oraz wykonujemy jej zrzut „jeden do jednego”. Do tego celu możemy wykorzystać dostępne na rynku czytniki do chipów eMMC i UFS oraz boxy serwisowe.W mojej pracy korzystam z boxów serwisowych takich jak eMMC PRO, MEDUSA, GPG eMMC. Czytniki, których używam i z czystym sumieniem mogę polecić to E-MATE PRO edycje 2017 i 2018, oraz NUPROG do chipów UFS.
Kość pamięci umieszczona w czytniku. Teraz wystarczy zamknąć i rozpocząć odczyt
Czytniki w akcji. Czytniki podłączamy do komputera z odpowiednim oprogramowaniem za pośrednictwem wybranego boxa serwisowego
Podczas odczytu mamy wgląd na postęp oraz parametry zrzutu
Problemy
Czasem zdarzają się sytuacje, w którychprzy pomocy żadnego czytnika nie możemy wykonać zrzutu pamięci. Pomimo poprawnego obchodzenia się z kością oraz poprawnego oczyszczenia i przygotowania do odczytu, powstają błędy akwizycji lub nie ma żadnej reakcji oprogramowania. Należy upewnić się, że dany boxserwisowy i czytnik na pewno posiada wsparcie badanego przez nasz chipu. Następnie można spróbować wlutować się bezpośrednio w kość i w ten sposób spróbować wykonać obraz pamięci
Do pinów chipu dolutowujemy specjalny konektor dedykowany dla boxa, który akurat jest wykorzystywany. W wielu przypadkach udało się tą metodą uzyskać pełnowartościowy zrzut pamięci.
Analiza zrzutu pamięci
Na tym etapie używamy oprogramowanie typu UFED, XRY, itp., które umożliwiają nam interpretację i wyodrębnienie zgromadzonych na kopii binarnej danych (SMS, MMS, CHATY, MAILE, ZDJĘCIA , POŁĄCZENIA, GEODANE, itp.). Na tym etapie zalecamy dowolność w dobieraniu oprogramowania do przeprowadzania analizy zawartości. Każdy w tej materii ma inne preferencje i używa często innych rozwiązań. Z naszego doświadczenia wynika, że najlepiej sprawdza sie UFED firmy Cellebrite oraz XRY firmy MSAB. Dodatkowo wspieramy się programem X-ways oraz darmowym Autopsy. Wszystko zależy czego szukamy na danym obrazie i które oprogramowanie pozwoli w sposób prosty oraz klarowny uzyskać oczekiwany przez nas efekt
