Er zijn twee hoofdtechnieken voor het herstellen van gegevens van mobiele telefoons en flitsherstel. Door de NAND-geheugenchip te ondervragen, geven beide technieken technici voor gegevensherstel toegang tot een laag beeldniveau van de gegevens, hoewel ze beide heel verschillend zijn. Mobiele telefoons, flash-opslag en solid-state-drives zijn allemaal afhankelijk van geheugenchips voor het opslaan van informatie in tegenstelling tot harde schijven, die draaiende schotels en lees / schrijf-koppen gebruiken.
Als het gaat om harde schijven, hebben ze allemaal de neiging om een gemeenschappelijke aanpak voor het opslaan van gegevens te gebruiken, wat betekent dat hulpprogramma's voor gegevensherstel generiek kunnen zijn. Flash-apparaten variƫren echter veel meer met een schat aan verschillende gegevensformaten, bestandsstructuren, algoritmen, geheugentypen en configuraties, datacilinders zijn vaak 'apparaatspecifiek'. Dit betekent dat de enige manier om een bit voor bit-kopie van de onbewerkte gegevens te verkrijgen, is door de geheugenchips direct te ondervragen, waardoor het besturingssysteem effectief wordt omzeild. Hier komt chip-off en JTAG-technologie om de hoek kijken.
De eerste methode is de 'chip-off'-benadering. Deze techniek vereist het de-solderen van de geheugenchip uit de schakeling. Om de chip van het apparaat te verwijderen zonder schade aan te richten, is precisie vereist onder een microscoop, omdat het maken van kleine fouten ervoor zorgt dat alle gegevens permanent verloren gaan. Nadat de chip is verwijderd, kan deze worden gelezen met gegevensextractors. NAND-chips zijn meestal veel gemakkelijker te lezen dan andere typen chips en zijn normaal gesproken wat SD-kaarten en iPhones gebruiken. Dit komt doordat de geheugenarchitectuur en de pinconfiguratie gestandaardiseerd zijn. De pennen zitten aan de buitenkant, wat betekent dat het niet nodig is om de connectoren opnieuw te bouwen. Andere veel voorkomende soorten chips, zoals de BGA, hebben meerdere connectoren aan de onderzijde die direct op het moederbord zijn gesoldeerd met duizenden verschillende configuraties en dus veel moeilijker te verwijderen zijn.
De tweede methode is JTAG waarbij de chip niet hoeft te worden verwijderd. Een ingenieur voor gegevensherstel heeft soms toegang tot het geheugen via de JTAG-poorten. Dit is een veel langduriger proces en beschadigt de media niet. Dit betekent dat het in een werkende staat kan worden gehouden, wat soms een kritieke vereiste is in forensisch onderzoek. Een nadeel van deze methode is dat deze niet altijd zo succesvol is en een riskantere optie kan zijn.
Beide methoden produceren een afbeelding op laag niveau die vervolgens wordt 'gedecodeerd' en de gegevens van de gebruiker kunnen opnieuw worden opgebouwd. Zowel de chip-off- als JTAG-technologie groeit en wordt steeds betrouwbaarder, wat betekent dat de succesratio's van gegevensherstel van mobiele telefoons bijna net zo goed zijn als die van harde schijven.
No comments:
Post a Comment