Kod mobitela koji su neispravni iz raznoraznih razloga, kako mehaničke prirode tako i na primjer zbog utjecaja vlage, kod spašavanja podataka moguće je primijenit takozvanu Chip-off metodu.

Chip-off je učinkovita ali destruktivna metoda i obično je posljednja opcija kada je u pitanju izvlačenje podataka iz mobitela. Primjenjuje se onda kada tradicionalna forenzika zakaže i kada je uređaj teško oštećen. Prednost Chip-off ekstrakcije je što je kompatibilna sa svim vrstama memorije i zaobilazi sve vrste zaštite osim enkripcije podataka. Chip-off vrši ekstrakciju cijele memorije i zadržava integritet podataka.

Svi novi android mobiteli, kao jednu od komponenti, imaju i unutrašnju memoriju (memorijski čip) UMS. Postupak se sastoji u tome da se memorijski čip odlemi s matične ploče i putem odgovarajućeg adaptera spoji na računalo. Jedan od najboljih alata za Chip-off je Rusolut Visual Nand Reconstructor.

Nakon što spojimo čip na računalo najbolja opcija je uradit fizičku akviziciju te tako dobijemo bit po bit sliku UMS memorije. Nakon što dobijemo fizičku sliku memorijskog čipa ekstrakcija podataka se može napraviti s VNR-om ili s nekim drugim forenzičkim alatom ovisno o tome koji podaci su nam potrebni

Ekstrakcijom podataka pomoću VNR programa, dobio sam kompletan multimedijalni sadržaj mobitela i imenik, što je bio zahtjev vlasnika.

Zaključak: Kod neispravnih mobitela izborom pravilnog postupka akvizicije je moguće dobiti potpunu fizičku bit-po-bit sliku unutarnje memorije mobitela. Kod android mobitela, ovisno o verziji android programa, UMS je podijeljen na više particija. Userdata particija kako samo ime kaže sadrži najviše osobnih podataka kako imenik, slike i videa teko i datoteke s zapisima komunikacije, postavki, povijest internet pretraživanja, geolokacije, IM …. što je kod digitalnih forenzičkih istraga najvažnije.

Nakon fizičke akvizicije, ekstrahirani dump se može uvesti u specijalne programe za mobilnu forenziku radi daljnje analize i oporavka izbrisanih podataka.

U ovom primjeru vidimo uvoz Chip-off slike u program Oxygen Forensic Detective.

Video: Napredni forenzički postupci: Chip-Off

Autor: Ante Smodlaka, stalni sudski vještak za mobilne telefone.
http://elektronika-s.hr/