Восстановление удаленных данных из мобильных телефонов.

Консультации, советы, помощь.

Сообщение Антипов Максим » 29 май 2009, 10:03

Всем спасибо, детально все таки надо было разобраться - я нашел косяк! :oops:. В файлах - уже имеющихся на флешке - сигнатура другая была "ftyp3gp4", в записываемом "ftyp3gp5" с тем же смещением... Я видимо просмотрел ненароком...
Сдается мне, для конкретного типа файлов эти сигнатуры не единственные...
Пока единственный выход который вижу в связи с этим - в "EasyRecovery" разные варианты сигнатур ставить... лишь бы смещение совпадало...
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Сообщение Igor Mikhaylov » 29 май 2009, 10:14

Что мешает ставить сигнатуру "ftyp3gp"? :wink:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Антипов Максим » 29 май 2009, 10:21

Igor Michailov писал(а):Что мешает ставить сигнатуру "ftyp3gp"? :wink:


В том то и дело, что ничего, я вообще теперь туда и "ftyp3gp" и "ftyp3g"
и "ftyp3" забью - пусть поисчет... :lol: главное, чтоб результат был.
Ну или аргументированное его отсутствие 8) ...
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Сообщение Sergey52 » 21 янв 2010, 16:34

Сталкивался ли кто нибудь с восстановлением данных с iPhone. Для работы с iPhone имею, шнур USB, компьютер х86 и программы для Win по работе с iPhone.
Sergey52
Член клуба
 
Сообщения: 155
Зарегистрирован: 28 янв 2009, 20:51
Откуда: Нижний Новгород
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

Сообщение Igor Mikhaylov » 21 янв 2010, 20:27

Sergey52 писал(а):Сталкивался ли кто нибудь с восстановлением данных с iPhone. Для работы с iPhone имею, шнур USB, компьютер х86 и программы для Win по работе с iPhone.


Возможность восстановления удаленных данных с Iphone реализована в программно-аппаратном комплексе XACT (сайт разработчика msab.com ).

В принципе, вы можете попробовать применить подходы описанные в книге iPhone Forensics: Recovering Evidence, Personal Data, and Corporate Assets автор Jonathan A. Zdziarski. Книгу можно найти в Интернете. Но, с английским текстом вам придется разбираться самому.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Sergey52 » 21 янв 2010, 21:19

Igor Michailov писал(а):
Sergey52 писал(а):Сталкивался ли кто нибудь с восстановлением данных с iPhone. Для работы с iPhone имею, шнур USB, компьютер х86 и программы для Win по работе с iPhone.


Возможность восстановления удаленных данных с Iphone реализована в программно-аппаратном комплексе XACT (сайт разработчика msab.com ).

В принципе, вы можете попробовать применить подходы описанные в книге iPhone Forensics: Recovering Evidence, Personal Data, and Corporate Assets автор Jonathan A. Zdziarski. Книгу можно найти в Интернете. Но, с английским текстом вам придется разбираться самому.

Книгу скачал, попытаюсь разобратся используя словарь. :shock:
Sergey52
Член клуба
 
Сообщения: 155
Зарегистрирован: 28 янв 2009, 20:51
Откуда: Нижний Новгород
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

Сообщение Sergey52 » 21 янв 2010, 21:41

В моем понимании, при восстановлении данных с iPhone, главное представить его как флешку, чтобы добратся до файловой системы? Программы типа iTunes, дают доступ к его каталогам и файлам, а вот к файловой системе, нет :cry:
Sergey52
Член клуба
 
Сообщения: 155
Зарегистрирован: 28 янв 2009, 20:51
Откуда: Нижний Новгород
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

Сообщение Igor Mikhaylov » 21 янв 2010, 21:55

Sergey52 писал(а):В моем понимании, при восстановлении данных с iPhone, главное представить его как флешку

На сколько я понимаю, в силу наличия определенных аппаратных особенностей, так сделать нельзя. В чем в свое время и был "затык" с извлечением данных, даже в явном виде находящихся в Iphone.

Т.е. скажем, некую программу, вы можете загрузить в область памяти Iphone, предназначенную для программ. Но, из этой области, получить доступ к области где хранятся фото-, видео- и т.п. данные - нельзя.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Sergey52 » 21 янв 2010, 22:31

Igor Michailov писал(а):Т.е. скажем, некую программу, вы можете загрузить в область памяти Iphone, предназначенную для программ. Но, из этой области, получить доступ к области где хранятся фото-, видео- и т.п. данные - нельзя.

Нет, по извлечению данных из iPhone, справилась программа "iPhone Browser", при установленом "iTunes". Также удалось "увидеть" и "полазить" по структуре каталогов, скопировать и посмотреть фото и видео файлы.
Sergey52
Член клуба
 
Сообщения: 155
Зарегистрирован: 28 янв 2009, 20:51
Откуда: Нижний Новгород
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

Сообщение Igor Mikhaylov » 22 янв 2010, 08:16

Sergey52 писал(а):Нет...

Внимательнее читаем книги наших западных коллег. Внимательнее.

Sergey52 писал(а): по извлечению данных из iPhone, справилась программа "iPhone Browser", при установленом "iTunes". Также удалось "увидеть" и "полазить" по структуре каталогов, скопировать и посмотреть фото и видео файлы.

Хочу оказаться не правым, однако, полагаю, что исследование по восстановлению данных возможно выполнить только выпаяв микросхему памяти и исследовав её на комплексе, аналогичном PC-3000 Flash ( или на XACT).
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Sergey52 » 22 янв 2010, 09:35

На некоторых форумах посвященных iPhone, следующая схема восстановления: компьютер Mac, интерфейсный шнур, программное обеспечение для восстановления данных.
Sergey52
Член клуба
 
Сообщения: 155
Зарегистрирован: 28 янв 2009, 20:51
Откуда: Нижний Новгород
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

Сообщение DimanR » 10 фев 2010, 09:08

Здравствуйте. Подскажите, пожалуйста, по следующей проблемке. Украли телефон, милиция нашла быстро (благо странный вор прямо при камерах это сделал). Но этот негодяй успел удалить все номера из телефонной книжки. Номера именно из телефона, в симках не было ничего. Около 500 номеров, много очень важных и нужных по работе. Есть ли техническая возможность восстановления удаленных телефонных номеров, или пиши пропало? Телефон самсунг двухсимочный, модель SGH-D780.
DimanR
 
Сообщения: 2
Зарегистрирован: 10 фев 2010, 09:01
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 10 фев 2010, 10:32

DimanR писал(а):Здравствуйте. Подскажите, пожалуйста, по следующей проблемке. Украли телефон, милиция нашла быстро (благо странный вор прямо при камерах это сделал). Но этот негодяй успел удалить все номера из телефонной книжки. Номера именно из телефона, в симках не было ничего. Около 500 номеров, много очень важных и нужных по работе. Есть ли техническая возможность восстановления удаленных телефонных номеров, или пиши пропало? Телефон самсунг двухсимочный, модель SGH-D780.


В бюджетном варианте решения вашей проблемы - надо сходить в сервисный центр (или ремонтную мастерскую). Номера телефонов из памяти вытаскиваются запросто (при чтении флеш-памяти соответствующим программатором). Вот с именами сложнее -придется поиграться с кодировками.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение DimanR » 10 фев 2010, 13:04

Igor Michailov писал(а):В бюджетном варианте решения вашей проблемы - надо сходить в сервисный центр (или ремонтную мастерскую). Номера телефонов из памяти вытаскиваются запросто (при чтении флеш-памяти соответствующим программатором). Вот с именами сложнее -придется поиграться с кодировками.

Спасибо, надо тогда сходить, узнать. Номера не проблема, взяли распечатку разговоров за год, так получилось 700 страниц. Имена важнее, вот их бы и вытащить.
DimanR
 
Сообщения: 2
Зарегистрирован: 10 фев 2010, 09:01
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Mikhail » 12 фев 2010, 17:22

полагаю, что исследование по восстановлению данных возможно выполнить только выпаяв микросхему памяти и исследовав её на комплексе, аналогичном PC-3000 Flash ( или на XACT)

Зачем так сложно?
у Айфона как и у всех яблок файловая система HFS/HFS+. При удалении файлов удаляются системные записи о файле в BTree (http://developer.apple.com/mac/library/ ... n1150.html) Так что восстановить данные файлы сложнее чем в других системах. Нужно использовать RAW-анализ для поиска файлов по сигнатурам, так что возможно восстановить только известные файлы (понятно что не все и не полностью). Программ умеющих делать это - достаточно.
Получить образ флешки полагаю можно как в любом UNIX -> подключаем сетевой диск (по WiFi) и на него заливаем при помощи утилиты dd или анологичной.
Mikhail
Член клуба
 
Сообщения: 3
Зарегистрирован: 26 янв 2010, 15:45
Откуда: Хабаровск
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Пред.След.

Вернуться в Исследование мобильных устройств (телефонов, смартфонов и т.д.)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1