«Мобильный Криминалист» осуществляет извлечение расшифрованных пользовательских данных из устройств Samsung на чипсетах Exynos с операционной системой Android от 7 до 11 версии включительно.
После перевода смартфона или планшета в режим ODIN получает на нем права суперпользователя, не изменяя при этом состояние KNOX. Это позволяет не только открыть доступ к информации и ключам шифрования, хранящимся на устройстве, но и предоставляет возможность неограниченного подбора пароля экрана блокировки для устройств на Android 7 ㄧ 8 и Android 9, полученной в процессе обновления. Смартфоны Samsung на Android 9 ㄧ 11 необходимо разблокировать самостоятельно, введя на экране устройства пароль блокировки экрана.
Для извлечения расшифрованного пользовательского раздела из Exynos-устройств на Android 7 ㄧ 8 и Android 9, полученной в процессе обновления, необходимо выполнить следующие действия:
- Запустить модуль «Мастер Извлечения Данных».
- Выбрать метод «Извлечение Samsung Exynos».
- Убедиться, что аккумулятор смартфона полностью заряжен, и устройство входит в список поддерживаемых программой.
- Подключить USB-кабель к компьютеру и устройству, кликнуть по кнопке «Автоматическое определение».
- Перевести устройство в ODIN-режим.
Существует несколько способов перевода гаджета в ODIN. Выбор метода перевода будет зависеть от наличия тех или иных кнопок:
- при наличии кнопки «Домой»: выключить устройство и зажать кнопки «Питание», «Громкость вниз» и «Домой»;
- при наличии кнопки «Bixby» (запуска ассистента): выключить устройство и зажать кнопки «Питание», «Громкость вниз» и «Bixby»;
- если нет ни кнопки «Домой», ни «Bixby»: отключить устройство от USB-кабеля, выключить его, зажать кнопки «Громкость вверх» и «Громкость вниз», одновременно вновь подключив гаджет по USB-кабелю к ПК.
Появление экрана предупреждения свидетельствует об успешном течение процесса перевода гаджета в режим ODIN. Необходимо нажать кнопку «Громкость вверх» для его завершения.
- Проверить правильность выбора модели.
После перевода устройства в ODIN-режим, на экране ПК отображается название модели гаджета, определенное программой. Если исследуемая модель не поддерживается, «МК» предупреждает об этом и предлагает добавить ее в поддержку, сообщив данные нашим техническим специалистам.
- Подождать, пока «МК» загрузит модифицированные образы в устройство.
- Перезагрузить смартфон.
Для этого требуется зажать кнопки «Питание» и «Громкость вниз». Но как только устройство начнёт перезагружаться, необходимо отпустить их. Если после этого оно выключилось, необходимо включить его, зажав кнопку питания.
- Подождать около 10 секунд включения смартфона. В этот момент в верхней части его экрана появляется красная надпись, либо просто отображается черный экран или логотип компании Samsung.
- Подождать, пока программа выполнит чтение раздела CACHE устройства и загрузит в него эксплойт.
- Вновь перевести гаджет в режим ODIN и дождаться окончания работы с ним программы на данном этапе.
- Подождать применения уязвимости.
- Перезагрузить устройство тем же способом, что и на этапе №8.
- Подождать около 30 секунд включения смартфона. Как и на этапе №7, в верхней части его экрана появляется красная надпись. Затем возникает логотип «Мобильного Криминалиста».
- Через несколько секунд после появления логотипа программа начинает работать с гаджетом.
«МК» предлагает подобрать или ввести пароль. На экране ПК отображается тип пароля (PIN/Pattern/Password), заданного владельцем устройства при активации режима безопасного запуска. Предлагается ввести или автоматически подобрать пароль из заранее собранного словаря.
Далее «МК» переходит к извлечению полного расшифрованного физического образа устройства и его импорту.
По окончании извлечения программа возвращает устройство в исходное состояние. Для этого необходимо:
- Перевести устройство в режим ODIN и подождать (если программа не сделала это автоматически), пока «МК» восстановит его исходные разделы.
- Перезагрузить смартфон (см. пункт №8 в инструкции выше).
- Дождаться включения устройства и загрузки в него оригинального раздела CACHE.
- Вновь перевести устройство в ODIN и подождать, пока программа восстановит его исходные разделы.
- Еще раз перезагрузить телефон.
В ходе работы с данным методом извлечения может возникнуть несколько легко разрешаемых нештатных ситуаций:
- После перезагрузки устройства программа не обнаруживает его в adb-режиме. Необходимо попробовать переподключить USB-кабель к ПК.
- После включения смартфона, он перешел в состояние постоянной перезагрузки. Необходимо перейти к процедуре восстановления и попробовать повторить все действия с устройством еще раз.
- Во время чтения раздела CACHE в программе появляется предупреждение об ошибке или долго отсутствует результат. Необходимо перейти к процедуре восстановления и попробовать повторить все действия с гаджетом еще раз.
- На экране смартфона не появляется логотип «МК» после второй перезагрузки. Необходимо просто подождать, пока программа перейдет к следующему этапу работы с устройством.
- Не осуществляется подбор пароля. Требуется снять логи работы программы с телефоном и перейти к процедуре восстановления. Для расширенного снятия логов необходимо перезагрузить устройство (важны логи в первые секунды включения гаджета). После снятия логов требуется отправить их в нашу службу технической поддержки.
Процедура восстановления устройства
Второй функцией, которой обладает инструмент «Извлечение Samsung Exynos», является восстановление исходного состояния устройства. Выделяется два сценария работы с данной возможностью.
Стандартный сценарий:
- Перевод смартфона в режим ODIN.
- Чтение его параметров и указание пути сохранения исходного раздела CACHE.
- Загрузка файлов восстановления устройства программой.
- Перезагрузка гаджета.
- Включение устройства и загрузка в него оригинального раздела CACHE.
- Повтор пункта №1.
- Восстановление исходных разделов.
- Повторная перезагрузка устройства.
Второй сценарий применяется, если необходимо восстановить гаджет, но отсутствует оригинальный раздел CACHE. Для этого реализуется:
- Перевод устройства в режим ODIN и ожидание восстановления его исходных разделов программой.
- Повторная перезагрузка смартфона.
- Перевод гаджета в режим восстановления (RECOVERY).
- Полная очистка кэша (wipe cache).
Для извлечения полной файловой структуры из смартфонов Samsung на базе чипсетов Exynos с пофайловым шифрованием и предустановленной Android 9 ㄧ 10 и Android 11, полученной в процессе обновления, необходимо выполнить следующие действия:
- Запустить модуль «Мастер Извлечения Данных».
- Выбрать метод «Извлечение Samsung Exynos дамп».
- Убедиться, что аккумулятор смартфона полностью заряжен, и устройство входит в список поддерживаемых программой.
- Подключить USB-кабель к компьютеру и кликнуть по кнопке «Автоматическое определение».
- Перевести устройство в ODIN-режим и подключить его к ПК с помощью USB-кабеля (способы перевода в режим ODIN см. выше).
- Подождать, пока программа прочитает параметры смартфона, и проверить правильность выбора модели.
- Подождать, пока программа загрузит в устройство эксплойт и применит уязвимость. Если уязвимость применена успешно, см. пункт 10.
- В случае неудачи, необходимо вручную перевести устройство в режим ODIN.
- Подождать, пока «МК» загрузит альтернативный эксплойт в смартфон и применит уязвимость.
- Разблокировать экран устройства и ввести пароль блокировки, если он был установлен. На этапе подсчета объема данных программа также определяет наличие на смартфоне активного дополнительного пространства Samsung Secure Folder.
- Подождать, пока «Мобильный Криминалист» извлечет файловую систему исследуемого телефона и подсчитает хеши полученных данных.
В конце извлечения, программа переходит к восстановлению исходных параметров устройства. Для этого требуется выполнить следующее:
- Перезагрузить смартфон в режиме ODIN.
- Подождать окончания процесса восстановления разделов телефона.
- Перезагрузить устройство.
Далее «МК» переходит к импорту полной файловой структуры устройства. В результате, исследователю для анализа становятся доступны пользовательские данные как из основного пространства Samsung Exynos-устройства, так и из секретного хранилища Secure Folder.