Методи отримання даних з пристроїв Windows Phone

зміст

  1. Безпека пристроїв Windows Phone
  2. Логічне вилучення даних з Windows Phone
  3. Витяг даних з резервних копій Windows Phone
  4. Витяг даних з копій фізичної пам'яті пристроїв
  5. висновок

У 2010 році на ринку з'явилися мобільні пристрої під управлінням операційної системи Windows Phone. Основна кількість подібних пристроїв було вироблено фірмою Nokia (Microsoft). Однак, зустрічаються моделі, випущені такими компаніями, як: HTC, LG, Lenovo, Samsung і т.д. [1]. Щоб не виникло плутанини, слід пам'ятати, що старі версії (7 і 8) цієї операційної системи називалися Windows Phone. Новітня ж операційна система цього сімейства називається Windows 10 Mobile. У цій статті ми розповімо про методи отримання інформації і особливості роботи з цими пристроями.

Безпека пристроїв Windows Phone

Найбільш повно методологія і підходи до безпеки пристроїв Windows Phone описана в документі «Windows Phone 8.1 Security Overview» [2]. Ми ж зупинимося лише на окремих, важливих для експерта, моментах.

шифрування даних

У пристроях Windows Phone зашифровані можуть бути як дані, що знаходяться на зовнішньому носії (карті пам'яті), так і дані знаходяться у внутрішній пам'яті.

Шифрування пристроїв Windows Phone реалізовано на базі технології BitLocker з використанням алгоритму шифрування Advanced Encryption Standard (AES, 128-бітове шифрування). Ключ шифрування зберігається в окремій мікросхемі, що ускладнює його витяг. Доступ до даних, що знаходяться в пам'яті пристрою і на змінному носії, додатково блокується паролем на апаратному рівні. Все це в сукупності робить витяг даних з пристрою дуже складним.

Використовувані технології не дозволяють користувачеві відключити шифрування або змінити алгоритм шифрування на більш простий. Можуть бути включені додаткові опції, що дозволяють, наприклад, знищити дані користувача в разі виявлення спроби підбору пароля.

Більшість пристроїв Windows Phone має слот для установки карт пам'яті. У Windows Phone 8 з'явилася опція, що дозволяє встановлювати додатки не тільки в пам'ять пристрою, але і на карту пам'яті. При цьому, додатки та їх дані автоматично шифруються. Слід зазначити, що медіа контент (фотографії, відеофайли) на картах пам'яті не шифрується. Це дозволяє власникові пристрою легко здійснювати обмін медіа контентом з іншими користувачами.

Політики доступу до пристрою

Для доступу до пристрою Windows Phone може знадобитися пароль розблокування. Використовувати цей пароль користувача, особливо корпоративного користувача, змушують правила, що встановлюються адміністраторами Master Data Management (MDM) або Microsoft Exchange ActiveSync (EAS).

Windows Phone також підтримує такі методи управління пристроями:

  • Віддалене очищення. Технічний персонал компанії може ініціювати віддалену очищення виробу за допомогою своєї системи MDM або консолі управління сервером Exchange Server. Користувачі можуть ініціювати віддалену очищення виробу за допомогою Microsoft Outlook Web Access (OWA).
  • Часткове видалення даних. Якщо пристрій асоційоване з MDM, адміністратор системи може зробити часткову очищення виробу. При цьому стираються корпоративні дані і настройки корпоративних акаунтів. Але зберігається особиста інформація власника пристрою.
  • Дистанційне блокування. Технічний персонал компанії може заблокувати свій пристрій. Надалі, пристрій може бути розблоковано.
  • Віддалений скидання коду блокування. Технічний персонал компанії може віддалено скинути код блокування екрана. Наприклад, в разі якщо користувач забув його. При цьому, корпоративні та особисті дані користувача зберігаються.
  • Віддалений дзвінок. Ця функція дозволяє встановити зразкове місце розташування пристрою.

Виявлення спроб обходу коду блокування. У разі установки відповідних налаштувань пристрою, а також за допомогою MDM і EAS, користувач може стерти всю інформацію в разі виявлення спроби підбору пароля, яким заблоковано пристрій.

Логічне вилучення даних з Windows Phone

Як правило, у експертів не виникає проблем з підключенням пристроїв Windows Phone до комп'ютера і вилучення з них даних за допомогою ПО «Мобільний Криминалист». Слід пам'ятати, що підключається пристрій має бути розблоковано. Інакше воно може бути не упізнано комп'ютером.

Якщо з яких-небудь причин пристрій не було упізнано, необхідно переустановити драйвер пристрою, скориставшись інструкцією зі статті «Комп'ютер не визначає Windows Phone 8» [3] бази знань Microsoft. У даній статті наводяться типові проблеми, що виникають при підключенні пристроїв Windows Phone і відомості щодо їх усунення. Також ця стаття містить докладні інструкції з видалення драйвера Windows Phone, автоматичної і ручної установки драйверів Windows Phone.

Іл. 1. Інформація про Nokia Lumia 925 у вікні Майстра вилучення даних тих

Особливістю логічного вилучення даних з пристроїв Windows Phone в ПО «Мобільний Криминалист» є те, що:

  • при витягнутих даних по кабелю витягуються тільки загальна інформація про пристрій і дані, що знаходяться на карті пам'яті;
  • при витягнутих даних по Bluetooth додатково можна отримати інформацію про контакти і дзвінки.

при витягнутих даних по кабелю витягуються тільки загальна інформація про пристрій і дані, що знаходяться на карті пам'яті; при витягнутих даних по Bluetooth додатково можна отримати інформацію про контакти і дзвінки

Іл. 2. Вибір методу отримання даних

Витяг даних з резервних копій Windows Phone

Резервні копії Windows Phone зберігаються в хмарному сховищі OneDrive компанії Microsoft. Залежно від налаштувань облікового запису, в резервні копії можуть бути збережені:

  • фотографії;
  • СМС-повідомлення;
  • додатки і їх дані:
  • додатки, встановлені на телефоні;
  • паролі облікових записів;
  • виклики;
  • структура і колірна тема робочого столу;
  • облікові записи, налаштовані на телефоні;
  • елементи списку «Вибране» Internet Explorer;
  • слова, додані в словник телефону;
  • настройки компонентів телефону, включаючи фотографії, повідомлення, електронну пошту та пов'язані облікові записи, екран блокування, настройки голосового введення і т.д.

Витяг даних з резервних копій Windows Phone проводиться за допомогою Майстра вилучення даних.

Іл. 3. Вікно Майстра вилучення даних

Іл. 4. Вікно введення імені користувача і пароля облікового запису Windows Live

Резервні копії Windows Phone, що знаходяться в хмарному сховище Microsoft, можна також завантажити з допомогою модуля «Хмарні сервіси». Для доступу до хмарного сховища експерту знадобляться ім'я користувача і пароль від облікового запису або токен, витягнутий з Windows Phone.

Для доступу до хмарного сховища експерту знадобляться ім'я користувача і пароль від облікового запису або токен, витягнутий з Windows Phone

Іл. 5. Вікно Хмарні сервіси

Витяг даних з копій фізичної пам'яті пристроїв

Найбільш повно витягти дані з пристроїв Windows Phone можна за допомогою аналізу копії фізичної пам'яті пристрою. При цьому можуть бути вилучені не тільки файли, які містяться у пристрої в явному вигляді, але і віддалені файли.

Іл. 6. Вікно Майстра вилучення даних.

Іл. 7. Відображення файлової системи фізичної копії пристрої Windows Phone в ПО «Мобільний Криминалист»

Іл. 8. Зовнішній вигляд вікна ВО «Мобільний Криминалист» з відомостями, витягнутими в ході аналізу копії фізичної пам'яті пристрою Windows Phone

З копій фізичної пам'яті пристроїв Windows Phone може бути витягнутий пароль блокування. Про це можна почитати в статті «Витяг паролів з дампов пристроїв Windows Phone в ПО« Мобільний Криминалист »» [4].

Для створення повних копій пам'яті мобільних пристроїв під управлінням операційної системи Windows Phone рекомендується використовувати такі методи:

  • Створення копії пам'яті мобільного пристрою шляхом завантаження спеціальної програми керування пристроєм в режимі DFU. Цей метод можна застосовувати для мобільних пристроїв, випущених до 2014 року.
  • Витяг даних з інтегральної схеми пам'яті за допомогою налагоджувального інтерфейсу JTAG (Joint Test Action Group).

Витяг даних з інтегральної схеми пам'яті за допомогою налагоджувального інтерфейсу JTAG (Joint Test Action Group)

Іл. 9. Витяг даних зі смартфона Nokia Lumia 610 за допомогою налагоджувального інтерфейсу

  • Витяг даних з інтегральної схеми пам'яті за допомогою методу внутрисхемного програмування. Внутрішньосхемне програмування (In-System Programming, ISP) - технологія програмування електронних компонентів (ПЛІС, мікроконтролери і т. П.), Що дозволяє програмувати компонент, вже встановлений в пристрій. До появи цієї технології компоненти програмувались перед установкою в пристрій, для їх перепрограмування потрібно їх вилучення з пристрою. [5]
  • Витяг даних з інтегральної схеми пам'яті ( «Chip-off»).

Також можуть бути проаналізовані копії фізичної пам'яті Windows Phone, отримані за допомогою інших криміналістичних програм і програмно-апаратних комплексів. Як правило, ПО «Мобільний Криминалист» витягує більше даних з встановлених додатків, збережені паролі, краще відновлює видалені файли.

З досвіду роботи, варто зазначити, що витяг фізичних копій пам'яті пристроїв Windows Phone 7, 8 дозволяє отримати з них максимальну кількість даних і подібні вилучення завжди були успішними. Витяг фізичних копій пам'яті пристроїв Windows Phone 10, буває успішним приблизно в 50% випадків. Це пов'язано перш за все з використовуваними в даних пристроях технології захисту даних користувача: шифрування, апаратної блокування функції читання даних з мікросхеми пам'яті за допомогою пароля.

Це пов'язано перш за все з використовуваними в даних пристроях технології захисту даних користувача: шифрування, апаратної блокування функції читання даних з мікросхеми пам'яті за допомогою пароля

Іл. 10. Зашифрований розділ з даними користувача

висновок

У даній статті були розглянуті різні методи отримання даних з пристроїв Windows Phone: логічне витяг, витяг з резервних копій, що зберігаються в хмарі, витяг з копій фізичної пам'яті. Розглянуто артефакти Windows Phone, які можуть бути вилучені при кожному типі вилучення, а також труднощі, що виникають у експерта при отриманні даних з таких пристроїв.

джерела:

  1. Windows Phone https://en.wikipedia.org/wiki/Windows_Phone
  2. Windows Phonе1 Security Overview http://download.microsoft.com/download/B/9/A/B9A00269-28D5-4ACA-9E8E-E2E722B35A7D/Windows-Phone-8-1-Security-Overview.pdf
  3. Комп'ютер не визначає Windows Phone 8 https://support.microsoft.com/ru-ru/help/2749484
  4. Витяг паролів з дампов пристроїв Windows Phone в ПО «Мобільний Криминалист» https://support.oxygensoftware.ru/hc/ru/articles/115000083370-%D0%98%D0%B7%D0%B2%D0%BB%D0%B5%D1%87%D0%B5%D0%BD % D0% B8% D0% B5-% D0% BF% D0% B0% D1% 80% D0% BE% D0% BB% D0% B5% D0% B9-% D0% B8% D0% B7-% D0% B4% D0% B0% D0% BC% D0% BF% D0% BE% D0% B2-% D1% 83% D1% 81% D1% 82% D1% 80% D0% BE% D0% B9% D1% 81 % D1% 82% D0% B2-Windows-Phone-% D0% B2-% D0% 9F% D0% 9E-% D0% 9C% D0% BE% D0% B1% D0% B8% D0% BB% D1% 8C% D0% BD% D1% 8B% D0% B9-% D0% 9A% D1% 80% D0% B8% D0% BC% D0% B8% D0% BD% D0% B0% D0% BB% D0% B8 % D1% 81% D1% 82-
  5. внутрішньосхемне програмування https://en.wikipedia.org/wiki/In-system_programming

Навигация сайта
Новости
Реклама
Панель управления
Информация
Экономика стран www.muzruk.if.ua © 1995-2016
При копировании материала, ссылка на сайт обязательна.