12日 2019 7月

1.7 EDL是否可以繞過螢幕鎖並進行提取?

2019-07-12T15:40:33+08:00Categories: |

不管是non-decrypting或decrypting EDL提取,都可以繞過螢幕鎖直接進行提取。但如果裝置有使用Secure Startup,則必須要知道Secure Startup的密碼,才可以進行提取。 注意,如果使用non-decrypting提取,裝置是不需要開機進入到Android作業系統,這個模式是透過晶片組的漏洞,進而要求處理器透過USB將裝置的儲存內容全部提取出來。 若是Decrypting提取,則Cellebrite會強制將手機開機後在RAM裡安裝客製的Decrypting Bootloader,裝置會開機並進入Android作業系統,如果裝置有螢幕鎖,該模式也可成功提取所有內容。

12日 2019 7月

1.6 進入EDL模式對裝置是否會有影響?

2019-07-12T15:26:43+08:00Categories: |

一般來說,裝置進入到EDL模式算是相對安全的。進入EDL模式並不會造成裝置的任何影響,但只有在一個情況下例外。因為有好幾個方式可以讓裝置進到EDL模式,其中一個是透過短路方式。如果使用這個方式但接錯腳位時,有可能會造成損壞,所以必須非常小心。另外一個情況是,有可能需要拆開手機才能以找到短入腳位,拆裝過程也必須要小心。

12日 2019 7月

1.5 是否所有的Qualcomm裝置都可以透過EDL模式提取?

2019-07-12T15:14:52+08:00Categories: |

簡單的答案,不行。雖然大多數的Qualcomm裝置都可以進入到EDL模式,但不代表就一定可以被提取。因為每個晶片組(chipset)的漏洞都不一樣,對Cellebrite來說,只要是新的晶片組,皆須投入大量的研發資源,才有可能找的到漏洞。如最多裝置使用的MSM8909晶片組,Cellebrite就支援decrypted提取。但如果是MSM8210,就無法使用EDL模式提取。 詳細EDL支援的晶片組,可以參考上一篇,物理提取。

12日 2019 7月

1.4 什麼是EDL模式?

2019-07-12T15:08:08+08:00Categories: |

Shahar Tal在他的實用指南中描述了EDL,基本上這是高通(Qualcomm)的緊急下載模式(Emergency Download)。在這個模式中,允許對晶片組進行低階(low level)讀取、設備分析、修復或重新刷機,EDL模式不是由Cellebrite開發的,是高通公司處理器的一項功能。而Cellebrite和其他廠商利用這些功能的漏洞從設備中提取資料。

12日 2019 7月

1.3 為什麼使用EDL模式提取?

2019-07-12T15:02:33+08:00Categories: |

通常一個裝置可以透過多個方式提取(File System、Physical等等),但如果該裝置支援EDL提取,建議以EDL為主。EDL可以提取出來的資訊是最完整的,但要讓裝置進入到EDL模式,可能會很簡單,也有可能會很困難。在FAQ介紹完後,會再針對進入EDL模式做更多的介紹。

12日 2019 7月

1.1 EDL研究與開發現況

2019-07-12T14:50:37+08:00Categories: |

鑑識人員需要大量研發鑑識技術的科技廠商繼續做他們正在做的事情。如Cellebrite這樣的廠商將鑑識工具傳遞給合法的檢調單位使用。 且只要經過一定程序的訓練,Cellebrite的EDL漏洞可提供給第一線的鑑識人員使用;如果是有經驗的鑑識人員,善用這個工具也可提取出加密的資料。因此,雖然我們希望像Cellebrite這樣的公司能支援提取更多的裝置,但我們也應該投入時間與資源,在既有的工具之下,將自我經驗持續提升。

12日 2019 7月

1. EDL概述

2019-07-12T14:39:39+08:00Categories: |

若一開始對於EDL模式尚未熟悉,特別是使用Cellebrite EDL模式的鑑識同仁,可以先閱讀Shahar Tal的“Qualcomm EDL物理提取實用指南”。另外兩份很重要的資訊來源是2018年2月21日與2018年9月12日,由Scott Lorenz與Shahar Tal共同主持的Cellebrite EDL網絡研討會。

Go to Top