Spreadtrum-устройства — это гаджеты, основанные на чипсетах Spreadtrum, выпускаемых китайской корпорацией Unicos.
«Мобильный Криминалист» обладает поддержкой извлечения и расшифровки физического образа Spreadtrum-устройств, данные которых защищены как программным, так и аппаратным шифрованием (SC9850, SC9863, SC7731E, SC9832E).
Для того, чтобы извлечь данные из Spreadtrum-устройств необходимо:
- открыть модуль «Мастер Извлечения Данных»;
- выбрать метод «Spreadtrum Android дамп»;
- прочитать инструкцию и подтвердить ее прочтение;
- выбрать модель исследуемого устройства;
- подключить к ПК USB-кабель;
- перевести устройство в DFU-режим зажатием клавиши громкости вниз (иногда вверх) и подключением к устройству USB-кабеля.
В том случае, если смартфон базируется на чипсетах SC9850, SC9863, SC7731E, SC9832E, программа будет работать с ним по новому сценарию без модификации разделов загрузочных таблиц устройства. При наличии любых других чипсетов, «Мобильный Криминалист» для доступа к данным изменит таблицы разделов, что может привести к частичной потере работоспособности устройства. Восстановить ее можно, подключив устройство к ПК, выполнив действия выше и выбрав пункт «Восстановить исходные настройки».
При рассмотрении прошлого сценария после перевода устройства в DFU-режим, выполняется переход к окну подключения устройства, а затем к этапу извлечения и анализа полученных данных.
Если же исследуемый телефон основан на чипсетах SC9850, SC9863, SC7731E или SC9832E, вы перейдете к новому сценарию работы метода, который позволяет не только извлекать физический образ устройства, но и расшифровывать его, даже в случае аппаратного шифрования. На этом этапе реализовано несколько сценариев работы.
Первый (при программном шифровании). Как и в случае со всеми остальными чипсетами, необходимо просто перевести устройство в DFU-режим и дождаться окончания процесса извлечения и анализа данных.
Второй (при аппаратном шифровании) требует от эксперта нескольких действий:
- после перевода устройства в DFU-режим, дождитесь окончания процесса модификации загрузочного раздела;
- переподключите устройство к ПК в DFU-режиме;
- отключите включенное устройство от ПК;
- дождитесь запуска загрузочного раздела на устройстве;
- переподключите телефон к ПК во включенном состоянии по обычному USB-кабелю.
Далее программа определит подключенное устройство и перейдет к извлечению физического образа.
Затем ПО переходит к новому важному этапу работы со смартфоном - извлечению аппаратных ключей шифрования.
От исследователя ожидается выполнение следующих действий:
- прочитать инструкцию в появившемся окне;
- отключить телефон от ПК и выключить его;
- подтвердить отключение устройства от ПК и перейти далее;
- подключить смартфон к ПК в DFU-режиме;
- дождаться запуска модифицированного загрузочного раздела;
- подождать, пока программа автоматически переподключит устройство (если этого не происходит, просто выньте USB-кабель из телефона и вставьте его снова);
- дождаться извлечения аппаратных ключей шифрования.
Если извлечения ключей или переподключения устройства не произошло, нажмите на кнопку «Повторить» в левом нижнем углу окна программы и выполните все необходимые действия еще раз.
После успешного извлечения ключей шифрования перейдите далее. «Мобильный Криминалист Детектив» продолжит работу в «Мастере Извлечения Данных» и попросит ввести известный пользовательский пароль режима безопасной загрузки, в случае, если этот режим активирован. «Мобильный Криминалист Эксперт» предложит импортировать информацию и в процессе импорта запросит введение пользовательского пароля.
Результатом извлечения станет расшифрованный физический образ исследуемого гаджета.