MOŻLIWOŚCI ODCZYTÓW TELEFONÓW KOMÓRKOWYCH

Szybkie wprowadzenie

Zachęcam do szybkiego zapoznania się
z możliwościami dzisiejszej Informatyki Śledczej i trzema podstawowymi rodzajami odczytu urządzeń mobilnych których jakość decyduje o informacjach odczytanych z urządzeń.

Istnieją trzy podstawowe typy akwizycji (odczytu) przekazywanych do badań urządzeń, które można wykonać na urządzeniu mobilnym niezależnie czy mówimy o telefonie komórkowym, smartfonie czy tablecie. Są to akwizycje:

"logiczna"
"systemu plików"
"fizyczna" 


Wykonalność tych trzech typów ekstrakcji zależy od marki, modelu i systemu operacyjnego urządzenia mobilnego. A przede wszystkim od zastosowania właściwych narzędzi.

Efekty - co może być zgubne - zależą również od zastosowanej metody.

Odczyt przez Biegłego powinien być wykonany możliwie najbliżej odczytowi fizycznemu.

Obecnie na rynku znajdują się dwa rozwiązania sprzętowo-programowe umożliwiające dwie ostatnie - tj.  odczyt
na poziomie systemu plików oraz pełny odczyt fizyczny. Są to oprogramowania MSAB XRY oraz Cellebrite UFED.

Drugim z tych unikalnych rozwiązań dysponuje jako jedyna manufaktura biegłego we Wrocławiu i druga
na Dolnym Śląsku
Pracownia Informatyki Śledczej
Jakub Olszta

Akwizycja logiczna

Czym jest akwizycja logiczna?

Najszybszą i najczęściej wykonywaną metodą akwizycji urządzeń mobilnych, ale także najbardziej ograniczoną, jest wyodrębnianie logiczne. W ekstrakcji logicznej narzędzia kryminalistyczne komunikują się z systemem operacyjnym urządzenia mobilnego. Proces pozwala na pobieranie większości widocznych danych.  Urządzenie do badania musi zostać uruchomione (następuje nieuniknione ale udokumentowane naruszenie integralności danych).

Co najważniejsze urządzenie nie może posiadać szyfrowania z nieznanymi blokadami ekranu.


Typowe dane dostępne za pomocą ekstrakcji logicznej to dzienniki połączeń, SMS, MMS, obrazy, filmy, pliki audio , kontakty, kalendarze i pewne dane aplikacji. Możliwe jest określenie konkretnych kategorii do zbierania, takich jak tylko wiadomości SMS i MMS, ale nie można określić określonych pozycji w tej kategorii, aby tylko eksportować. Wszystkie dane wyeksportowane w tych kategoriach będą danymi aktualnymi i nie będą zawierać żadnych usuniętych danych.

Podsumowując - jest to sposób badania wykorzystywany przez 98% oprogramowań do Informatyki Śledczej który równa się manualnym oględzinom istniejących danych i skopiowania ich z wykorzystaniem polecenia:
CTRL+C / CTRL-V... 

Reasumując odzyskanie danych usuniętych jest niemożliwe.