Для извлечения данных устройство на чипсете Qualcomm необходимо перевести в режим EDL (Emergency Download Mode), который делает устройство доступным для прошивки или восстановления, даже если основной загрузчик не работает. Существует несколько способов перевода устройства в EDL-режим: программные (через Fastboot, adb или FTM-режим) и аппаратные (замыкание контактных точек, перевод кнопками, использование сервисного кабеля). Каждое устройство может иметь свой уникальный способ входа в EDL-режим.
Для извлечения данных методом Qualcomm EDL необходимо выполнить следующие действия:
Примечание: метод включает возможность чтения ключей из Android KeyStore. Для устройств с полнодисковым шифрованием (FDE) потребуется ввести пароль. Если пароль неизвестен, следует пропустить этот шаг, выполнить импорт и подобрать пароль, после чего снова запустить «МК Извлечение устройств» → Метод Qualcomm EDL → «Извлечь аппаратные ключи» и ввести подобранный пароль. Подбор пароля обычно выполняется на ПК с использованием GPU, но для некоторых чипсетов этот процесс происходит непосредственно на устройстве, подключенном к ПК, что значительно медленнее. Для устройств с пофайловым шифрованием (FBE) пароль для чтения ключей из Android KeyStore не требуется.
Для извлечения данных методом Qualcomm EDL необходимо выполнить следующие действия:
- Запустить модуль «МК Извлечение устройств».
- Выбрать необходимое устройство из списка поддерживаемых устройств, дважды кликнуть по нему левой кнопкой мыши. В настоящее время поддерживается определенное количество чипсетов, для которых «Мобильный Криминалист» не только извлекает физический образ, но и расшифровывает его. С перечнем поддерживаемых чипсетов можно ознакомиться в инструкции к методу.
- Перед началом процесса извлечения подключить устройство к ПК в EDL-режиме.
- Убедиться, что драйвер Qualcomm USB установлен и устройство отображено в Диспетчере устройств. Необходимо увидеть его в разделе «Порты» как COM-порт с именем HS-USB QDLoader 9008 или QHUSB_Bulk.
- Полностью зарядить аккумулятор устройства.
- Выбрать путь для сохранения извлечения или оставить его по умолчанию, после чего нажать на кнопку «Извлечь физический образ».
- На вкладке с процессом извлечения проверить подключение устройства в режиме EDL. В случае если устройство требуется перевести в режим EDL путем замыкания контактных точек, найти их, замкнуть с помощью пинцета, скрепки или иного подручного предмета, после чего, не снимая замыкание, подключить устройство к ПК. Дождаться, пока устройство определится в режиме EDL в Диспетчере устройств, и только после этого снять замыкание с устройства.
- При выборе файла загрузчика по номеру чипсета необходимо найти подходящий файл, подключая устройство поочередно с каждым загрузчиком до тех пор, пока не произойдет подключение. Если программа определила подключенное устройство, значит, до этого был выбран верный файл загрузчика. Далее можно переходить к извлечению данных.
- Дождаться извлечения физического образа и аппаратных ключей устройства, а также подсчета хэшей.
- По окончании извлечения на вкладке «Результат извлечения» можно открыть папку с извлеченными данными или импортировать их в программу для дальнейшего анализа.
- Если после извлечения данных устройство не загружается в обычном режиме, следует выполнить восстановление разделов устройства, нажав на активную ссылку в инструкции к методу.
Примечание: метод включает возможность чтения ключей из Android KeyStore. Для устройств с полнодисковым шифрованием (FDE) потребуется ввести пароль. Если пароль неизвестен, следует пропустить этот шаг, выполнить импорт и подобрать пароль, после чего снова запустить «МК Извлечение устройств» → Метод Qualcomm EDL → «Извлечь аппаратные ключи» и ввести подобранный пароль. Подбор пароля обычно выполняется на ПК с использованием GPU, но для некоторых чипсетов этот процесс происходит непосредственно на устройстве, подключенном к ПК, что значительно медленнее. Для устройств с пофайловым шифрованием (FBE) пароль для чтения ключей из Android KeyStore не требуется.
