Hasarlı Cihaz Veri Kurtarma İşlemi

Cep telefonu, tablet vb. cihazlarda kırılma vb. nedenlerle kullanılamayan veya ekrandan dolayı pc bağlantısı olmayan açılmayan cihazlar gemelde ÇÖP olarak nitelendirilir.
Ancak böyle bir durumda cihazda olmazsa olmaz diyebileceğimiz veriler mevcut ise ne yapmamız gerekmektedir ? seamtrie

Mobil cihazlarda fiziksel adli kopya desteği yoksa mantıksal adli kopya alınarak veri kurtarma işlemi yapılabilmektedir. USB Hata modu en büyük sorundur. Neden olarak cihaz tamamen hatalı veya kullanılamaz durumdadır.

Mobil cihaz üzerindeki hasar oranı yüksek ise veri kurtarmak için mobil cihazları onarılması gerekmektedir. Bu işlem için genellikle özel olarak tasarlanmış araçlar olan
-RIFF Box
-Medusa Box
donanımlar kullanılmaktadır. Bu araçlar JTAG ara yüzünü kullanmaktadır. Bu özel araçları kullanarak sistem yazılımına veya PIN ile korunan bilgiye sahip mobil cihazlardan veri ayıklanabilir seamtrie

Diğer bir yöntem ise hasarlı mobil cihazın çipinin çıkartılarak, aynı marka model çalışan cihaza takılmasıdır. Bu işlemde Chip-Off tekniği kullanılmaktadır. Bu teknik bu konunun uzmanı tarafından yapılmalıdır. Aksi takdirde bellek çipinin sökülmesi bazen çipe zarar verebilmektedir. Bu işlem için çipin marka model bilgileri bilinmeli, ana karta bağlanan ayakların işlevi konusu araştırılmalıdır.

Çipin sökülmesi çok karmaşık ve zor bir iştir. Her çipin sökülmesi veya takılmasında uygulanan ısı farklılıklarına dikkat edilmelidir. Çipe uygun olmayan ısı uygulandığında verilerin tahrip edilme riski bulunmaktadır. Bu işlemi uygulayabilen Jovy Systems JV-RKC, BGA Reballing Kit vb. çeşitli cihazlar bulunabilir seamtrie

Bu yöntemde çip cihaza takıldıktan sonra bellek çipindeki verilerin silinme olasılığı bulunmaktadır. Bu risk genellikle bir bellek yonga denetleyicisi ayrı bir yonga olarak sistem kartına takıldığında ortaya çıkmaktadır. Çip yapısal olarak bir sandviç gibidir, sistem kartının bir tarafında bir bellek yongası bulunur, diğer tarafında ise bellek denetleyici yongası bulunur. Bu nedenle eğer varsa aynı marka model cihaz kullanılarak deneme yapılmalı, işlem sonucu olumlu ise asıl cihazda uygulanmalı.

Bellek yongası değişiminin veri kaybına neden olduğu durumlarda, hem bellek yongasını hem de bellek yonga denetleyicisini hasar gören aygıttan verici aygıta yerleştirmesi gerekir,

Hasarlı cihaz incelemesinde cihazın ana kartının yapısına dikkat etmek gerekir. Kart üzerinde oksitlenme gibi sorunlar bulunabilir. Bu şekilde cihazlardan veri kurtarabilmek için aynı model cihaz bulmak ve bellek yongası ve denetleyicisini değiştirmek gerekmektedir. seamtrie

BELLEK ÇİPİ TAMİRİ
Bellek çipinin çıkarılması aslında basit bir işlemdir. Lehimleme cihazı ile sıcak hava uygulayarak ısıtmak ve lehimler eriyince çipi ana karttan ayırmak yeterlidir. Bu adımda çipi aşırı ısıtmak verilerin silinmesine sebep olabilmektedir. Çiplerin marka ve modellerine göre dayanabileceği ısı değerleri bilinmelidir. Sıcak havanın kademeli olarak yükseltilmesi gerekmektedir

BELLEK ÇİPİNDEN VERİ KURTARMA
Mobil cihaz üreticileri aynı seriden ürettikleri cihazların tamamında aynı model çip kullanmamaktadır. Donör cihaz olarak aynı marka model cep telefonları kullanılmadan önce çiplerinin de aynı olup olmadığına dikkat edilmelidir. Çünkü çip okumada kullanılan flash araçları farklılık gösterebilmektedir. Diğer bir sorun da cihaz üzerinde birden fazla bellek çipi bulunabilmesidir.
ACE Lab, EPOS FlashExtractor ve PC-3000 gibi kitler içerisindeki flash ürünlerinde sökülen çipleri bağlamak için adaptörler mevcuttur. EPOS ve ACE Lab kitleri içindeki adaptörlerde çipin lehimlenmesi gerekmektedir. Bu nedenle karmaşık ve zahmetli bir iştir. seamtrie

Flash Çeviri Katmanının (FTL) Yeniden Yapılandırılarak Fiziksel Kopya Alınması

Flash Translation Layer (FTL)’nin yeniden yapılandırılmasının amacı çip üzerindeki hafıza katmanlarındaki verilerin dışarı alınmasıdır. EPOS FlashExtractor (EPOS) ve PC-3000 Flash (ACE Lab) gibi ürünler bu yapılandırmada yardımcı olabilmektedir. Çeşitli bellek çiplerindeki verilere ulaşmak ve verileri yönetebilmek için bu ürünlerdeki çeşitli denetleyicilere (Controller) ait veri tabanı bulunmaktadır. Bu ürünler kullanılarak FTL’de yeniden yapılandırma işlemi yapılır

Yeniden yapılandırma sonucunda elde edilen verilerde grafik dosyaları, kullanıcı tarafından oluşturulan dosya ve programlar olabilir. Bunlar değerlendirilirken 2 KB’dan daha büyük olmasına dikkat edilir. Eğer 2 KB’den büyük veri alınamamışsa FTL’nin yeniden yapılandırmasının başarısız olduğu düşünülmelidir. Başarılı olunduğunda ise bellek çipinin fiziksel kopyası (Physical dump) alınır

Fiziksel Kopyanın Çözümlenmesi (Physical Dump Decoding)

Fiziksel kopyalardan veri kurtarmak için adli bilişim ürünleri kullanılmaktadır. Bunlardan bazıları donanım ve yazılımdan, bazıları ise sadece yazılımdan oluşmaktadır. En başarılı ürünlerden olan Forensic Explorer (FEX), Cellebrite UFED Fiziksel Analiz yazılımı, XRY (Micro System) ve Oxygen Forensic yaygın olarak kullanılmaktadır. Yazılımlar genellikle rehber, SMS, görüşme kayıtları gibi bilgileri kayıtlı olduğu şekliyle de sunabilmektedir. Fiziksel kopya üzerinde mevcut verilerle birlikte silinmiş alanlardan da veri kurtarma yeteneğine sahip olan yazılımlar da bulunmaktadır. Özellikle Forensic Explorer (FEX) veri kazıma açısından öne çıkar; diyerek Bir sonrakl konuda kullanılan cihazlar teknik özellikleri ve yazılımda bulunan programların tanıtımı ile gorüşmek üzere …

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir