Восстановление удаленных данных из мобильных телефонов.

Консультации, советы, помощь.

Восстановление удаленных данных из мобильных телефонов.

Сообщение Igor Mikhaylov » 26 июл 2008, 05:41

Тема восстановления удаленных данных из мобильных телефонов становится актуальнее с каждым днем. Не редки случаи когда злоумышленники, например, снимают на камеру мобильного телефона свои противоправные действия. А потом, когда понимают, что их "вычислилили" удаляют фото- и видео- файлы в телефоне. Также, не редко следователей интересует восстановление последовательности неких событий: история вызовов (принятые, набранные номера, не отвеченные), содержание полученных владельцем телефона SMS/MMS - сообщений и т.п.
Ко мне обращаются с просьбами восстановить удаленные данные из мобильных телефонов по нескольку раз в месяц. Несмотря на то, что программно - аппаратное обеспечение, для решения подобных экспертных задач, находится в зачаточном состоянии, в целом, восстановление удаленных данных из памяти мобильных телефонов - возможно, но есть много нюансов. Постараюсь часть основных принципов восстановления удаленных данных из памяти мобильных телефонов осветить в статьях в журнале "Компьютерно-техническая экспертиза" в ближайших номерах.

Прошу задавать вопросы на этом форуме.


Немного поисковых тегов:
как восстановить удаленные файлы с nokia 3250
как восстановить удаленное с нокиа 6233 фото
утилита для просмотра удаленных смс в телефоне 6300
восстановление удаленных номеров в телефоне
восстановление удаленных номеров в симке
как то можно восстановить удаленное смс w660
как прочитать удалённые смс сообщения на телефоне нокиа 2630
как можно найти удаленный контакт сотке 6300
восстановление удалённых телефонных номеров
восстановить данные с телефон samsung e570
программа для просмотра удаленных сообщений для symbian9.1
как восстоновить удалённые номера в телефоне samsung e250
Последний раз редактировалось Igor Mikhaylov 28 апр 2010, 04:50, всего редактировалось 1 раз.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Антипов Максим » 23 май 2009, 08:50

Баловался на досуге со своим телефоном (N82) и старой флэшкой на 128 МБ.
1. Пишу на флэшку через картридер видео 3GP размером около 600 кб.
2. Удаляю файлик опять же через картридер.
3. Файл прекрасно восстаноавливается R-Studo и EasyRecovery.

То же, но по другому:
1. Пишу на флэшку через картридер видео 3GP размером около 600 кб.
2. Удаляю файлик с помощью телефона.
3. R-Studio запись о файле в FAT видит, но файл не восстанавливает,
пишет, что файл возможно перезаписан. EasyRecovery в RAW-режиме
восстанавливает всего 6 файлов без исходного, и это при том, что на флешке около 10(!!!) 3GP файлов явно имеются...
:shock:
Детально разбираться если честно некогда было, но сам факт удивил...
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Сообщение Абрамец А.С. » 26 май 2009, 14:49

Да проблемма существует, лежит на запросе экспертиза по телефону как раз по восстановлению фото и ведео изображениям есть они в теле или нет, а вот кабеля нету.
И скоро возникнет проблемма по прочтению SIM карт, но вот проблемка есть одна - когда поездом был в Москве пробежал по паре радиорынков, но не нашел сей девайс......
У кого в городе можно оное чудо достать? Либо заказать по безналу если более 1000р., либо через яндекс денешки ежеле меньше (со своего кармана), или самоделочку все равно.
Кто что посоветует? :(
Человеческая глупось дает представление о бесконечности...
Абрамец А.С.
Член клуба
 
Сообщения: 16
Зарегистрирован: 30 янв 2009, 17:55
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 26 май 2009, 15:17

Антипов Максим писал(а):EasyRecovery в RAW-режиме
восстанавливает всего 6 файлов без исходного, и это при том, что на флешке около 10(!!!) 3GP файлов явно имеются...

Файлы 3GP имеют переменную сигнатуру. Вероятно, некоторые из возможных вариантов сигнатуры 3GP программе EasyRecovery просто не знает.

В последнее время при восстановлении файлов из RAW, в качестве инструмента для экспресс-анализа, использую GetData Recover My Files. Потом дорезаю Scalpel'ем.

Абрамец А.С., не совсем вас понял. Вам SIM-картридер нужен?
Последний раз редактировалось Igor Mikhaylov 26 май 2009, 16:10, всего редактировалось 1 раз.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение ergovel » 26 май 2009, 15:20

Абрамец А.С. писал(а):Да проблемма существует, лежит на запросе экспертиза по телефону как раз по восстановлению фото и ведео изображениям есть они в теле или нет, а вот кабеля нету.
И скоро возникнет проблемма по прочтению SIM карт, но вот проблемка есть одна - когда поездом был в Москве пробежал по паре радиорынков, но не нашел сей девайс......
У кого в городе можно оное чудо достать? Либо заказать по безналу если более 1000р., либо через яндекс денешки ежеле меньше (со своего кармана), или самоделочку все равно.
Кто что посоветует? :(


http://ladyada.net/make/simreader/
Существует два типа ридеров - Phoenix и PCSC.
Фениксы самые простые, и их можно запросто сделать самому. Интерфейс - COM-порт, либо через USB переходник.
Самое интересное, что в области бесплатного ПО для чтения информации с SIM-карт со времен SIMScan 2.01 написанного Деяном Калевичем (Dejan Kaljevic) аж в 2003 году ничего лучше не придумали.
Мой феникс ридер был куплен в 2006 году за 100 украинских гривен (20 долларов), переходник пришлось искать уже в 2008, он был куплен за 18 долларов. Тема по ньюансам взаимодействия разных карточек с ридером практически бесконечная.
ergovel
Член клуба
 
Сообщения: 80
Зарегистрирован: 10 май 2009, 21:36
Откуда: Харьков
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 27 май 2009, 06:30

ergovel писал(а):Тема по ньюансам взаимодействия разных карточек с ридером практически бесконечная.

Согласен тема взаимодействия - бесконечная. Однако, при выборе картридера есть несколько подводных камней. Не стоит хвататься за первый попавшийся - потом проблем не оберетесь. Как будет время, постараюсь рассказать как правильно выбрать SIM-карт ридер.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Igor Mikhaylov » 28 май 2009, 04:33

Может кому пригодится. Файлы .3GP имеют сигнатуру \x00\x00\x00\x??\x66\x74\x79\x70, где ?? изменяется от 00 до FF.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Антипов Максим » 28 май 2009, 22:58

Igor Michailov писал(а):Может кому пригодится. Файлы .3GP имеют сигнатуру \x00\x00\x00\x??\x66\x74\x79\x70, где ?? изменяется от 00 до FF.


Я делал проще:
Сигнатура 3GP - "ftyp3gp4" с 4-го байта. (это в моем случае).
Для EasyRecovery я вводил так: "66 74 79 70 33 67 70 34" со смещением 4.

После этого и получил выше описываемый результат...
Кстати просмотрел сигнатуры записываемых файлов - все одинаковые... и явно имеющиеся явно в том - числе...
Не уж-то в микросд флешках "защиту от усталости" тоже применяют?
Хотя не удаленные файлы по идее затрагиваться не должны?
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Сообщение Igor Mikhaylov » 28 май 2009, 23:09

Так может вы куда-нибудь образ флешки зальете. И мы его вместе помучаем.

Только смотрите, чтоб на флешке ничего э-э-э конфиденциального небыло. В том числе и среди удаленного. А то вдруг восстановим. 8)
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение FUF » 28 май 2009, 23:10

Не уж-то в микросд флешках "защиту от усталости" тоже применяют?
Хотя не удаленные файлы по идее затрагиваться не должны?


Вопрос о том, затрагивает ли wear-levelling свободное пространство - открыт. Есть различные мнения авторитетных людей... и все разные, естественно :) Некоторые считают, что во всем виновата ОС, другие считают, что ОС не отвечает за такой низкий уровень.
FUF
Член клуба
 
Сообщения: 566
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 16 раз.

Сообщение Igor Mikhaylov » 28 май 2009, 23:14

FUF писал(а):Некоторые считают, что во всем виновата ОС, другие считают, что ОС не отвечает за такой низкий уровень.

А есть производители, которые все знают но молчат в тряпочку. :lol:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Антипов Максим » 28 май 2009, 23:42

Igor Michailov писал(а):Так может вы куда-нибудь образ флешки зальете. И мы его вместе помучаем.

Только смотрите, чтоб на флешке ничего э-э-э конфиденциального небыло. В том числе и среди удаленного. А то вдруг восстановим. 8)


Вообще - было бы интересно попробовать...
Только тут проблемка - из прог, умеющих делать образы флешек у меня только "R-Studio"... EasyRecovery я запсукал, предварительно блокируя запись на USB в реестре... Мне на исследование просто не так часто мобилы таскают, вот и не заморачивался особо.
Подскажите пожалуйста соответствующий софт - мне и на будущее сгодится...
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Сообщение Igor Mikhaylov » 28 май 2009, 23:48

Из бесплатных, FTK Imager например.
Может сваять образ в формате dd, Encase, SMART.
Брать тут _http://accessdata.com/downloads.html

Лучше образ сделать формата dd. Поджать архиватором. Не забыть поставить пароль по длиннее.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Антипов Максим » 29 май 2009, 00:02

Я сейчас только прогу солью - поздно уже... спать охота...
А вообще, как образ залью - дам ссылку... мне его долго заливать придется с каналом на 256 кбит/сек...
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Сообщение Igor Mikhaylov » 29 май 2009, 05:00

Антипов Максим писал(а):А вообще, как образ залью - дам ссылку... мне его долго заливать придется с каналом на 256 кбит/сек...

1 час.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

След.

Вернуться в Исследование мобильных устройств (телефонов, смартфонов и т.д.)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1