Мобильные устройства

«Мобильный Криминалист» осуществляет извлечение расшифрованных физических образов из устройств Samsung на чипсетах Exynos с операционной системой Android от 7 до 9 версии включительно.

После перевода смартфона или планшета в режим ODIN программа модифицирует его загрузочный образ (не изменяя при этом состояние KNOX) и получает права суперпользователя. Это позволяет не только открыть доступ к информации и ключам шифрования, хранящимся на устройстве, но и предоставляют возможность неограниченного подбора пароля, установленного на экран безопасного запуска (в случае его активации).

Для извлечения информации из Exynos-устройства необходимо выполнить следующие действия:

  1. Запустить модуль «Мастер Извлечения Данных».
  2. Выбрать метод «Извлечение Samsung Exynos».
  3. Убедиться, что аккумулятор смартфона полностью заряжен, и устройство входит в список поддерживаемых программой.
  4. Подключить USB-кабель к компьютеру и устройству, кликнуть по кнопке «Автоматическое определение».
  5. Перевести устройство в ODIN-режим.

Существует несколько способов перевода гаджета в ODIN. Выбор метода перевода будет зависеть от наличия тех или иных кнопок:

  • при наличии кнопки «Домой»: выключить устройство и зажать кнопки «Питание», «Громкость вниз» и «Домой»;
  • при наличии кнопки «Bixby» (запуска ассистента): выключить устройство и зажать кнопки «Питание», «Громкость вниз» и «Bixby»;
  • если нет ни кнопки «Домой», ни «Bixby»: отключить устройство от USB-кабеля, выключить его, зажать кнопки «Громкость вверх» и «Громкость вниз», одновременно вновь подключив гаджет по USB-кабелю к ПК.

Появление экрана предупреждения свидетельствует об успешном течение процесса перевода гаджета в режим ODIN. Необходимо нажать кнопку «Громкость вверх» для его завершения. 

  1. Проверить правильность выбора модели. 

После перевода устройства в ODIN-режим, на экране ПК отображается название модели гаджета, определенное программой. Если исследуемая модель не поддерживается, «МК» предупреждает об этом и предлагает добавить ее в поддержку, сообщив данные нашим техническим специалистам.

  1. Подождать, пока «МК» загрузит модифицированные образы в устройство.
  2. Перезагрузить смартфон.

Для этого требуется зажать кнопки «Питание» и «Громкость вниз». Но как только устройство начнёт перезагружаться, необходимо отпустить их. Если после этого оно выключилось, необходимо включить его, зажав кнопку питания. 

  1. Подождать около 10 секунд включения смартфона. В этот момент в верхней части его экрана появляется красная надпись, либо просто отображается черный экран или логотип компании Samsung. 
  2. Подождать, пока программа выполнит чтение раздела CACHE устройства и загрузит в него эксплойт. 
  3. Вновь перевести гаджет в режим ODIN и дождаться окончания работы с ним программы на данном этапе.
  4. Подождать применения уязвимости.
  5. Перезагрузить устройство тем же способом, что и на этапе №8.
  6. Подождать около 30 секунд включения смартфона. Как и на этапе №7, в верхней части его экрана появляется красная надпись. Затем возникает логотип «Мобильного Криминалиста». 
  7. Через несколько секунд после появления логотипа программа начинает работать с гаджетом. 

«МК» предлагает подобрать или ввести пароль. На экране ПК отображается тип пароля (PIN/Pattern/Password), заданного владельцем устройства при активации режима безопасного запуска. Предлагается ввести или автоматически подобрать пароль из заранее собранного словаря.

Далее «МК» переходит к извлечению полного расшифрованного физического образа устройства и его импорту. 

По окончании извлечения программа возвращает устройство в исходное состояние. Для этого необходимо:

  1. Перевести устройство в режим ODIN и подождать (если программа не сделала это автоматически), пока «МК» восстановит его исходные разделы.
  2. Перезагрузить смартфон (см. пункт №8 в инструкции выше).
  3. Дождаться включения устройства и загрузки в него оригинального раздела CACHE.
  4. Вновь перевести устройство в ODIN и подождать, пока программа восстановит его исходные разделы.
  5. Еще раз перезагрузить телефон.

В ходе работы с данным методом извлечения может возникнуть несколько легко разрешаемых нештатных ситуаций:

  1. После перезагрузки устройства программа не обнаруживает его в adb-режиме. Необходимо попробовать переподключить USB-кабель к ПК. 
  2. После включения смартфона, он перешел в состояние постоянной перезагрузки. Необходимо перейти к процедуре восстановления и попробовать повторить все действия с устройством еще раз. 
  3. Во время чтения раздела CACHE в программе появляется предупреждение об ошибке или долго отсутствует результат. Необходимо перейти к процедуре восстановления и попробовать повторить все действия с гаджетом еще раз. 
  4. На экране смартфона не появляется логотип «МК» после второй перезагрузки. Необходимо просто подождать, пока программа перейдет к следующему этапу работы с устройством.
  5. Не осуществляется подбор пароля. Требуется снять логи работы программы с телефоном и перейти к процедуре восстановления. Для расширенного снятия логов необходимо перезагрузить устройство (важны логи в первые секунды включения гаджета). После снятия логов требуется отправить их в нашу службу технической поддержки.

Процедура восстановления устройства

Второй функцией, которой обладает инструмент «Извлечение Samsung Exynos», является восстановление исходного состояния устройства. Выделяется два сценария работы с данной возможностью.

Стандартный сценарий:

  1. Перевод смартфона в режим ODIN.
  2. Чтение его параметров и указание пути сохранения исходного раздела CACHE. 
  3. Загрузка файлов восстановления устройства программой.
  4. Перезагрузка гаджета.
  5. Включение устройства и загрузка в него оригинального раздела CACHE.
  6. Повтор пункта №1.
  7. Восстановление исходных разделов.
  8. Повторная перезагрузка устройства.

Второй сценарий применяется, если необходимо восстановить гаджет, но отсутствует оригинальный раздел CACHE. Для этого реализуется: 

  1. Перевод устройства в режим ODIN и ожидание восстановления его исходных разделов программой. 
  2. Повторная перезагрузка смартфона.
  3. Перевод гаджета в режим восстановления (RECOVERY).
  4. Полная очистка кэша (wipe cache).

 

Поиск устройства
Подготовка к извлечению
Извлечение данных
Извлечение завершено
Извлечение завершено
Извлечение завершено