Мобильные устройства

«Мобильный Криминалист» осуществляет извлечение расшифрованных пользовательских данных из устройств Samsung на чипсетах Exynos с операционной системой Android от 7 до 11 версии включительно.

После перевода смартфона или планшета в режим ODIN получает на нем права суперпользователя, не изменяя при этом состояние KNOX. Это позволяет не только открыть доступ к информации и ключам шифрования, хранящимся на устройстве, но и предоставляет возможность неограниченного подбора пароля экрана блокировки для устройств на Android 7 ㄧ 8 и Android 9, полученной в процессе обновления. Смартфоны Samsung на Android 9 ㄧ 11 необходимо разблокировать самостоятельно, введя на экране устройства пароль блокировки экрана.

Для извлечения расшифрованного пользовательского раздела из Exynos-устройств на Android 7 ㄧ 8 и Android 9, полученной в процессе обновления, необходимо выполнить следующие действия:

  1. Запустить модуль «Мастер Извлечения Данных».
  2. Выбрать метод «Извлечение Samsung Exynos».
  3. Убедиться, что аккумулятор смартфона полностью заряжен, и устройство входит в список поддерживаемых программой.
  4. Подключить USB-кабель к компьютеру и устройству, кликнуть по кнопке «Автоматическое определение».
  5. Перевести устройство в ODIN-режим.

Существует несколько способов перевода гаджета в ODIN. Выбор метода перевода будет зависеть от наличия тех или иных кнопок:

  • при наличии кнопки «Домой»: выключить устройство и зажать кнопки «Питание», «Громкость вниз» и «Домой»;
  • при наличии кнопки «Bixby» (запуска ассистента): выключить устройство и зажать кнопки «Питание», «Громкость вниз» и «Bixby»;
  • если нет ни кнопки «Домой», ни «Bixby»: отключить устройство от USB-кабеля, выключить его, зажать кнопки «Громкость вверх» и «Громкость вниз», одновременно вновь подключив гаджет по USB-кабелю к ПК.

Появление экрана предупреждения свидетельствует об успешном течение процесса перевода гаджета в режим ODIN. Необходимо нажать кнопку «Громкость вверх» для его завершения. 

  1. Проверить правильность выбора модели. 

После перевода устройства в ODIN-режим, на экране ПК отображается название модели гаджета, определенное программой. Если исследуемая модель не поддерживается, «МК» предупреждает об этом и предлагает добавить ее в поддержку, сообщив данные нашим техническим специалистам.

  1. Подождать, пока «МК» загрузит модифицированные образы в устройство.
  2. Перезагрузить смартфон.

Для этого требуется зажать кнопки «Питание» и «Громкость вниз». Но как только устройство начнёт перезагружаться, необходимо отпустить их. Если после этого оно выключилось, необходимо включить его, зажав кнопку питания. 

  1. Подождать около 10 секунд включения смартфона. В этот момент в верхней части его экрана появляется красная надпись, либо просто отображается черный экран или логотип компании Samsung. 
  2. Подождать, пока программа выполнит чтение раздела CACHE устройства и загрузит в него эксплойт. 
  3. Вновь перевести гаджет в режим ODIN и дождаться окончания работы с ним программы на данном этапе.
  4. Подождать применения уязвимости.
  5. Перезагрузить устройство тем же способом, что и на этапе №8.
  6. Подождать около 30 секунд включения смартфона. Как и на этапе №7, в верхней части его экрана появляется красная надпись. Затем возникает логотип «Мобильного Криминалиста». 
  7. Через несколько секунд после появления логотипа программа начинает работать с гаджетом. 

«МК» предлагает подобрать или ввести пароль. На экране ПК отображается тип пароля (PIN/Pattern/Password), заданного владельцем устройства при активации режима безопасного запуска. Предлагается ввести или автоматически подобрать пароль из заранее собранного словаря.

Далее «МК» переходит к извлечению полного расшифрованного физического образа устройства и его импорту. 

По окончании извлечения программа возвращает устройство в исходное состояние. Для этого необходимо:

  1. Перевести устройство в режим ODIN и подождать (если программа не сделала это автоматически), пока «МК» восстановит его исходные разделы.
  2. Перезагрузить смартфон (см. пункт №8 в инструкции выше).
  3. Дождаться включения устройства и загрузки в него оригинального раздела CACHE.
  4. Вновь перевести устройство в ODIN и подождать, пока программа восстановит его исходные разделы.
  5. Еще раз перезагрузить телефон.

В ходе работы с данным методом извлечения может возникнуть несколько легко разрешаемых нештатных ситуаций:

  1. После перезагрузки устройства программа не обнаруживает его в adb-режиме. Необходимо попробовать переподключить USB-кабель к ПК. 
  2. После включения смартфона, он перешел в состояние постоянной перезагрузки. Необходимо перейти к процедуре восстановления и попробовать повторить все действия с устройством еще раз. 
  3. Во время чтения раздела CACHE в программе появляется предупреждение об ошибке или долго отсутствует результат. Необходимо перейти к процедуре восстановления и попробовать повторить все действия с гаджетом еще раз. 
  4. На экране смартфона не появляется логотип «МК» после второй перезагрузки. Необходимо просто подождать, пока программа перейдет к следующему этапу работы с устройством.
  5. Не осуществляется подбор пароля. Требуется снять логи работы программы с телефоном и перейти к процедуре восстановления. Для расширенного снятия логов необходимо перезагрузить устройство (важны логи в первые секунды включения гаджета). После снятия логов требуется отправить их в нашу службу технической поддержки.

Процедура восстановления устройства

Второй функцией, которой обладает инструмент «Извлечение Samsung Exynos», является восстановление исходного состояния устройства. Выделяется два сценария работы с данной возможностью.

Стандартный сценарий:

  1. Перевод смартфона в режим ODIN.
  2. Чтение его параметров и указание пути сохранения исходного раздела CACHE. 
  3. Загрузка файлов восстановления устройства программой.
  4. Перезагрузка гаджета.
  5. Включение устройства и загрузка в него оригинального раздела CACHE.
  6. Повтор пункта №1.
  7. Восстановление исходных разделов.
  8. Повторная перезагрузка устройства.

Второй сценарий применяется, если необходимо восстановить гаджет, но отсутствует оригинальный раздел CACHE. Для этого реализуется: 

  1. Перевод устройства в режим ODIN и ожидание восстановления его исходных разделов программой. 
  2. Повторная перезагрузка смартфона.
  3. Перевод гаджета в режим восстановления (RECOVERY).
  4. Полная очистка кэша (wipe cache).

Для извлечения полной файловой структуры из смартфонов Samsung на базе чипсетов Exynos с пофайловым шифрованием и предустановленной Android 9 ㄧ 10 и Android 11, полученной в процессе обновления, необходимо выполнить следующие действия:

  1. Запустить модуль «Мастер Извлечения Данных».
  2. Выбрать метод «Извлечение Samsung Exynos дамп».
  3. Убедиться, что аккумулятор смартфона полностью заряжен, и устройство входит в список поддерживаемых программой.
  4. Подключить USB-кабель к компьютеру и кликнуть по кнопке «Автоматическое определение».
  5. Перевести устройство в ODIN-режим и подключить его к ПК с помощью USB-кабеля (способы перевода в режим ODIN см. выше).
  6. Подождать, пока программа прочитает параметры смартфона, и проверить правильность выбора модели.
  7. Подождать, пока программа загрузит в устройство эксплойт и применит уязвимость. Если уязвимость применена успешно, см. пункт 10.
  8. В случае неудачи, необходимо вручную перевести устройство в режим ODIN.
  9. Подождать, пока «МК» загрузит альтернативный эксплойт в смартфон и применит уязвимость. 
  10. Разблокировать экран устройства и ввести пароль блокировки, если он был установлен. На этапе подсчета объема данных программа также определяет наличие на смартфоне активного дополнительного пространства Samsung Secure Folder. 
  11. Подождать, пока «Мобильный Криминалист» извлечет файловую систему исследуемого телефона и подсчитает хеши полученных данных.

В конце извлечения, программа переходит к восстановлению исходных параметров устройства. Для этого требуется выполнить следующее:

  1. Перезагрузить смартфон в режиме ODIN.
  2. Подождать окончания процесса восстановления разделов телефона.
  3. Перезагрузить устройство.

Далее «МК» переходит к импорту полной файловой структуры устройства. В результате, исследователю для анализа становятся доступны пользовательские данные как из основного пространства Samsung Exynos-устройства, так и из секретного хранилища Secure Folder.  

Поиск устройства
Подготовка к извлечению
Извлечение данных
Извлечение завершено
Извлечение завершено
Извлечение завершено