EDL Extraction物理提取說明

2020-2-6 by 高田鑑識

Cellebrite提供多種物理提取方式，大致上可以分為三大類型，詳細可參考“Cellebrite 4PC 物理提取”

1. ADB
2. Recovery
3. Bootloader

而EDL是針對Qualcomm晶片組設計的物理提取模式，該模式除了可以繞過螢幕鎖外，FDE加密裝置也可透過bootloader漏洞進行解密提取，是鑑識人員必須熟悉的進階提取模式之一。

表一、Cellebrite物理提取

Full Disk Encryption最早是在Android 3.0平板上有支援該功能，而手機是在Android 4.0後OEM或MDM可選擇是否出廠預設啟用(Opt-in)。當時Google在Android 5時曾強力要求硬體廠商出廠需啟用FDE加密，但硬體效能問題與加密後整體作業系統使用體驗不佳，讓Android手機在資料安全這塊一直處於落後Apple的情況。一直到Android 6硬體與軟體整合問題排除後，大多數的廠商才將FDE選項改為出廠預設啟用。

表二、Android歷年加密版本

EDL是Qualcomm專屬的手機診斷與維修救援模式，與一般的Download模式不同。當手機啟動時若有故障或錯誤，預設會進入EDL狀態，是一個底層技術復原受損的手機。但EDL狀態有一個特性，就是要讓裝置進到EDL狀態有時非常不容易，以下為可讓裝置產生EDL狀態的8個方式，從簡單到最難。

1. 透過實體按鈕，如: Vol Up + Down + Power
2. Cable 523 (Cellebrite) or 自製EDL cables
3. adb reboot edl
4. fastboot oem edl
5. DFU & FTM模式
6. Cellebrite’s LG EDL
7. 測試點 – Test points (部份裝置支援)
8. eMMC強制錯誤 – fault injection (短路，有時需解焊晶片)

當裝置進入到EDL狀態時，可以透過裝置管理員去確認是否有成功。在「裝置管理員」、「連接埠」之下，系統會看到一個QDLoader 9008的裝置，這代表裝置有成功進入EDL狀態。

從4PC上，若確認裝置是EDL支援的晶片組(晶片支援表)，可直接從Generic Profiles選擇Decrypting Qualcomm或Qualcomm。一個是針對FDE裝置做解密物理提取，另一個是裝置為未加密狀態，直接在Bootloader且未開機模式下進行物理提取。一些EDL基本概念可參考上一篇，EDL Extraction FAQ。

圖二、4PC Generic Profiles

最後再次提醒，若裝置已啟用Secure Startup，僅可以透過CAS或Premium進行解密提取。