12日 2019 7月

2.4 為什麼Cellebrite會讓我選擇解密或非解密?

2019-07-12T17:47:11+08:00Categories: |

因為裝置可以由用戶取得後啟用加密,也有可能出廠時預設的狀態就是加密。既然decrypting模式也適用於non-decrypting裝置,那為什麼還要有兩個提取選項? 原因如下 1. Decrypting Bootloader需要6個程序,且手機須開機進入作業系統。 2. Non-Decrypting模式只需要2個程序,且手機不需要開機進入作業系統。 3. Non-Decrypting模式屬於低階提取,不會改變hash值,若手機有損傷,這是唯一可能提取的模式。 4. Decrypting模式需要開機,所以hash值每次提取都不一樣,若手機不是在飛航模式,或有訊號遮蔽的環境,手機有可能會被遠端刪除。

12日 2019 7月

2.3 加密裝置使用non-decrypting模式提取?

2019-07-12T16:44:13+08:00Categories: |

一般而言,若裝置為已加密,解密的動作會是在裝置開機完成後,才掛載解密的分區。而透過EDL提取模式,UFED會要求裝置載入客製的Decrypting Bootloader,待裝置開機到一個特定的時間點,提取模式才會開始進行。 若使用non-decrypting模式提取時,UFED整個過程只要兩步驟就開始低階提取,不管裝置的eMMC或UFS的記憶體是否為加密,就直接提取binary映像檔。因為過程不會載入客製的Decrypting Bootloader來解密,分區也尚未解密,所以你只會看到一個全部都是1與0的加密映像檔。

12日 2019 7月

2.2 Decrypting提取模式

2019-07-12T16:18:25+08:00Categories: |

若裝置為加密狀態,在4PC上請選擇“Smart Phones/PDAs Decrypting Qualcomm”。提取過程需要裝置開機進入到Android作業系統,有時須要進入兩次EDL模式,相對比較起來,會比non-decrypting方式麻煩。 同non-decrypting提取,decrypting EDL過程也不需要人機互動,所以即使裝置的螢幕已損壞,這個模式也可以成功提取內容,除非使用ADB decrypting方式或啟用了Secure Startup。  

12日 2019 7月

2.1 Non-Decrypting提取模式

2019-07-12T15:55:13+08:00Categories: |

若裝置並沒有加密,只要在4PC上的Generic Profile選取“Smart Phones/PDAs Qualcomm”,就可以簡易與快速的進行低階提取。過程裝置不需開機進入Android作業系統,也不須人機互動操作。若裝置嚴重損壞,這個是唯一個還有機會將裝置內所有資料提取出的方式。

12日 2019 7月

2. Decrypting and non-decrypting的差別?

2019-07-12T15:53:22+08:00Categories: |

除了可以解密的差別之外,簡單講,non-decrypting提取相對簡單。在Cellebrite尚未提供EDL漏洞提取前,早期都是透過ISP或Chip-Off方式來進行物理提取。現在有了EDL漏洞,non-decrypting提取通常只要20分鐘,大幅縮短與降低了操作門檻。

Go to Top