Cyber-Warrior.Org \ Doküman \ IT Teknolojileri > Hasarlı Cihaz Veri Kurtarma
| Madde |
| |
Yazar : seamtrie |
| |
Date : 05.07.2017 19:39:36 |
| |
# Hasarlı Cihaz Veri Kurtarma |
| |
Selamunaleykum
Aleykumsalam[Youtube=Hs9x_B0UIng]Video onaylanana kadar buradan izleyebilirsinizCep telefonu, tablet vb. cihazlarda kirilma vb. nedenlerle kullanilamayan veya ekrandan dolayi pc baglantisi olmayan açilmayan cihazlar gemelde ÇÖP olarak nitelendirilir.Ancak böyle bir durumda cihazda olmazsa olmaz diyebilecegimiz veriler mevcut ise ne yapmamiz gerekmektedir ?Mobil cihazlarda fiziksel adli kopya destegi yoksa mantiksal adli kopya alinarak veri kurtarma islemi yapilabilmektedir. USB Hata modu en büyük sorundur. Neden olarak cihaz tamamen hatali veya kullanilamaz durumdadir.Mobil cihaz üzerindeki hasar orani yüksek ise veri kurtarmak için mobil cihazlari onarilmasi gerekmektedir. Bu islem için genellikle özel olarak tasarlanmis araçlar olan -RIFF Box-Medusa Boxdonanimlar kullanilmaktadir. Bu araçlar JTAG ara yüzünü kullanmaktadir. Bu özel araçlari kullanarak sistem yazilimina veya PIN ile korunan bilgiye sahip mobil cihazlardan veri ayiklanabilirDiger bir yöntem ise hasarli mobil cihazin çipinin çikartilarak, ayni marka model çalisan cihaza takilmasidir. Bu islemde Chip-Off teknigi kullanilmaktadir. Bu teknik bu konunun uzmani tarafindan yapilmalidir. Aksi takdirde bellek çipinin sökülmesi bazen çipe zarar verebilmektedir. Bu islem için çipin marka model bilgileri bilinmeli, ana karta baglanan ayaklarin islevi konusu arastirilmalidir.Çipin sökülmesi çok karmasik ve zor bir istir. Her çipin sökülmesi veya takilmasinda uygulanan isi farkliliklarina dikkat edilmelidir. Çipe uygun olmayan isi uygulandiginda verilerin tahrip edilme riski bulunmaktadir. Bu islemi uygulayabilen Jovy Systems JV-RKC, BGA Reballing Kit vb. çesitli cihazlar bulunabilir Bu yöntemde çip cihaza takildiktan sonra bellek çipindeki verilerin silinme olasiligi bulunmaktadir. Bu risk genellikle bir bellek yonga denetleyicisi ayri bir yonga olarak sistem kartina takildiginda ortaya çikmaktadir. Çip yapisal olarak bir sandviç gibidir, sistem kartinin bir tarafinda bir bellek yongasi bulunur, diger tarafinda ise bellek denetleyici yongasi bulunur. Bu nedenle eger varsa ayni marka model cihaz kullanilarak deneme yapilmali, islem sonucu olumlu ise asil cihazda uygulanmali.Bellek yongasi degisiminin veri kaybina neden oldugu durumlarda, hem bellek yongasini hem de bellek yonga denetleyicisini hasar gören aygittan verici aygita yerlestirmesi gerekir,Hasarli cihaz incelemesinde cihazin ana kartinin yapisina dikkat etmek gerekir. Kart üzerinde oksitlenme gibi sorunlar bulunabilir. Bu sekilde cihazlardan veri kurtarabilmek için ayni model cihaz bulmak ve bellek yongasi ve denetleyicisini degistirmek gerekmektedir. BELLEK ÇIPI TAMIRIBellek çipinin çikarilmasi aslinda basit bir islemdir. Lehimleme cihazi ile sicak hava uygulayarak isitmak ve lehimler eriyince çipi ana karttan ayirmak yeterlidir. Bu adimda çipi asiri isitmak verilerin silinmesine sebep olabilmektedir. Çiplerin marka ve modellerine göre dayanabilecegi isi degerleri bilinmelidir. Sicak havanin kademeli olarak yükseltilmesi gerekmektedir BELLEK ÇIPINDEN VERI KURTARMAMobil cihaz üreticileri ayni seriden ürettikleri cihazlarin tamaminda ayni model çip kullanmamaktadir. Donör cihaz olarak ayni marka model cep telefonlari kullanilmadan önce çiplerinin de ayni olup olmadigina dikkat edilmelidir. Çünkü çip okumada kullanilan flash araçlari farklilik gösterebilmektedir. Diger bir sorun da cihaz üzerinde birden fazla bellek çipi bulunabilmesidir.ACE Lab, EPOS FlashExtractor ve PC-3000 gibi kitler içerisindeki flash ürünlerinde sökülen çipleri baglamak için adaptörler mevcuttur. EPOS ve ACE Lab kitleri içindeki adaptörlerde çipin lehimlenmesi gerekmektedir. Bu nedenle karmasik ve zahmetli bir istir. Flash Çeviri Katmaninin (FTL) Yeniden Yapilandirilarak Fiziksel Kopya AlinmasiFlash Translation Layer (FTL)’nin yeniden yapilandirilmasinin amaci çip üzerindeki hafiza katmanlarindaki verilerin disari alinmasidir. EPOS FlashExtractor (EPOS) ve PC-3000 Flash (ACE Lab) gibi ürünler bu yapilandirmada yardimci olabilmektedir. Çesitli bellek çiplerindeki verilere ulasmak ve verileri yönetebilmek için bu ürünlerdeki çesitli denetleyicilere (Controller) ait veri tabani bulunmaktadir. Bu ürünler kullanilarak FTL’de yeniden yapilandirma islemi yapilirYeniden yapilandirma sonucunda elde edilen verilerde grafik dosyalari, kullanici tarafindan olusturulan dosya ve programlar olabilir. Bunlar degerlendirilirken 2 KB’dan daha büyük olmasina dikkat edilir. Eger 2 KB’den büyük veri alinamamissa FTL’nin yeniden yapilandirmasinin basarisiz oldugu düsünülmelidir. Basarili olundugunda ise bellek çipinin fiziksel kopyasi (Physical dump) alinirFiziksel Kopyanin Çözümlenmesi (Physical Dump Decoding)Fiziksel kopyalardan veri kurtarmak için adli bilisim ürünleri kullanilmaktadir. Bunlardan bazilari donanim ve yazilimdan, bazilari ise sadece yazilimdan olusmaktadir. En basarili ürünlerden olan Forensic Explorer (FEX), Cellebrite UFED Fiziksel Analiz yazilimi, XRY (Micro System) ve Oxygen Forensic yaygin olarak kullanilmaktadir. Yazilimlar genellikle rehber, SMS, görüsme kayitlari gibi bilgileri kayitli oldugu sekliyle de sunabilmektedir. Fiziksel kopya üzerinde mevcut verilerle birlikte silinmis alanlardan da veri kurtarma yetenegine sahip olan yazilimlar da bulunmaktadir. Özellikle Forensic Explorer (FEX) veri kazima açisindan öne çikar;Kazasiz ve hasarsiz günler dilerim, Selametle / seamtrieSürç-i Lisan Ettiysek Affola ...Detayli anlatim kaynak ve Teknik destege Buradan ulasabilirsiniz ... |
| |
|
| |
|
|
