МКО Системы

Извлечение данных из устройства методом «Samsung Exynos»

#Инструкции #Android
Exynos являются эксклюзивными процессорами для Samsung, причиной появления которых стала продажа устройств для двух рынков — Азия/Европа и Америка. Смартфоны Samsung для американского рынка базируются на чипсетах Qualcomm, в то время как для рынка Азии/Европы предпочтение отдается чипсетам Exynos.

Специалистами компании «МКО Системы» разработано решение, позволяющее извлекать физический образ (или файловую систему), подбирать пароль и расшифровывать полученную информацию из следующих Samsung Exynos-устройств:

  • для устройств, выпущенных до 2019 г., извлекается физический образ пользовательского раздела. Поддерживаются устройства на ОС Android 7-9 версий с полнодисковым шифрованием (не поддерживаются устройства, обновленные до Android 10);
  • для устройств 2019 г. и новее извлекается файловая система. Поддерживаются устройства на ОС Android 9-11 версий с пофайловым шифрованием.

При использовании метода «Samsung Exynos» состояние KNOX не изменяется. Если на устройстве включена опция «Безопасный запуск» (Secure Startup), то для извлечения данных потребуется ввести пользовательский пароль. Если пароль неизвестен, можно воспользоваться методом «грубой силы» или провести подбор по словарю для устройств с ОС Android 7-8, а также для устройств с ОС Android 9, которая была установлена в ходе обновления. Этот метод также подходит для устройств с ОС Android 10-11, установленной производителем. Устройства с установленной производителем ОС Android 9 не поддерживаются.

Для успешного извлечения методом «Samsung Exynos» требуется перевести устройство в режим ODIN. Выбор метода перевода зависит от наличия тех или иных кнопок на устройстве:

  • при наличии кнопки «Домой» — выключить устройство и зажать кнопки «Питание», «Громкость вниз» и «Домой»;
  • при наличии кнопки Bixby (запуск ассистента) — выключить устройство и зажать кнопки «Питание», «Громкость вниз» и Bixby;
  • если нет ни кнопки «Домой», ни Bixby — отключить устройство от USB-кабеля, выключить его, одновременно зажать кнопки «Громкость вверх» и «Громкость вниз», параллельно подключив гаджет по USB-кабелю к ПК.

Для извлечения физического образа Exynos-устройства (для ОС Android 7-9 версий с полнодисковым шифрованием) необходимо выполнить следующие действия:

  1. Запустить модуль «МК Извлечение устройств».
  2. Выбрать метод «Samsung Exynos».
  3. Проверить, что извлечение методом поддерживается для устройства.
  4. Убедиться, что установлен драйвер Android USB для подключения устройства Samsung в режиме ODIN в обычном режиме.
  5. Полностью зарядить аккумулятор устройства.
  6. Выбрать путь для сохранения извлечения или оставить его по умолчанию, после чего нажать на кнопку «Автоматическое определение модели устройства в режиме ODIN».
  7. Во вкладке с процессом извлечения программа попросит перевести устройство в режим ODIN.
  8. После перевода устройства в режим ODIN на экране ПК отобразится название модели смартфона. Если исследуемая модель не поддерживается, программа предупредит об этом и предложит добавить ее в поддержку, передав данные нашим техническим специалистам.
  9. Дождаться загрузки модифицированных образов в устройство.
  10. Перезагрузить устройство, зажав кнопки «Питание» и «Громкость вниз», но как только устройство начнет перезагружаться, отпустить их. Если все сделано верно, после перезагрузки устройства появится черный экран с красной надписью сверху.
  11. Дождаться чтения раздела CACHE устройства и загрузки в него эксплойта. Этот раздел используется для ускорения доступа к данным, таким как кэшированные файлы приложений, временные файлы и т.д.
  12. Снова перевести устройство в режим ODIN и ожидать применения уязвимости.
  13. Еще раз перезагрузить смартфон, зажав клавиши «Громкость вниз» и «Питание».
  14. Дождаться включения устройства и появления черного экрана с «плавающим» логотипом «Мобильного Криминалиста».
  15. Ввести или подобрать пароль. На экране ПК отобразится тип пароля (PIN/Pattern/Password), заданный владельцем устройства при активации режима безопасного запуска (Secure Startup). Программа предложит ввести или автоматически подобрать пароль из заранее собранного словаря.
  16. Дождаться извлечения расшифрованных пользовательских данных и восстановления исходных параметров устройства.
  17. По окончании извлечения во вкладке «Результат извлечения» можно открыть папку с извлеченными данными или импортировать их в программу для дальнейшего анализа.

Если после извлечения данных устройство не загружается в обычном режиме, следует перезапустить метод, после чего выполнить восстановление разделов устройства, нажав на кнопку «Восстановление разделов устройства».

Для извлечения файловой системы Exynos-устройства (для ОС Android 9-11 версий с пофайловым шифрованием) необходимо выполнить следующие действия:

  1. Запустить модуль «МК Извлечение устройств».
  2. Выбрать метод «Samsung Exynos».
  3. Проверить, что извлечение методом поддерживается для устройства.
  4. Убедиться, что установлен драйвер Android USB для подключения устройства Samsung в режиме ODIN в обычном режиме.
  5. Полностью зарядить аккумулятор устройства.
  6. Выбрать путь для сохранения извлечения или оставить его по умолчанию, после чего нажать на кнопку «Автоматическое определение модели устройства в режиме ODIN».
  7. Во вкладке с процессом извлечения дождаться загрузки в устройство эксплойта и применения уязвимости.
  8. Перевести устройство в режим ODIN и нажать на кнопку «Громкость вверх». Если уязвимость применена успешно, начнется процесс извлечения данных.
  9. В случае неудачи необходимо вручную перевести устройство в режим ODIN и дождаться загрузки альтернативного эксплойта в смартфон и применения уязвимости.
  10. Разблокировать экран устройства и ввести пароль блокировки, если он был установлен. Также на данном этапе предусмотрена возможность подбора пароля, если он неизвестен.
  11. На этапе подсчета объема данных программа также определяет наличие на смартфоне активного дополнительного пространства Samsung Secure Folder.
  12. Дождаться извлечения данных файловой системы устройства, подсчета хэшей и перехода к восстановлению исходных параметров устройства:

  • перезагрузить устройство в режиме ODIN;
  • дождаться окончания процесса восстановления разделов устройства и снова перезагрузить устройство.

13.По окончании извлечения во вкладке «Результат извлечения» можно открыть папку с извлеченными данными или импортировать их в программу для дальнейшего анализа.

Если после извлечения данных устройство не загружается в обычном режиме, следует перезапустить метод, после чего выполнить восстановление разделов устройства, нажав на кнопку «Восстановление разделов устройства».

В ходе работы с методом «Samsung Exynos» при извлечении данных могут возникнуть следующие легко разрешаемые нештатные ситуации:

  1. После перезагрузки устройства программа не обнаруживает его в adb-режиме. Необходимо попробовать переподключить USB-кабель к ПК.
  2. После повторного включения устройства оно перешло в состояние постоянной перезагрузки. Необходимо перейти к процедуре восстановления и повторить все необходимые действия с устройством.
  3. Если в процессе чтения раздела CACHE в программе возникает предупреждение об ошибке или результат долго не появляется, следует перейти к процедуре восстановления и повторить все необходимые действия с устройством.
  4. На экране устройства не появляется логотип «Мобильного Криминалиста» после его повторной перезагрузки. Необходимо дождаться перехода программы к следующему этапу работы с устройством.
  5. Не осуществляется подбор пароля. Рекомендуется снять логи работы программы с устройства и перейти к процедуре его восстановления. Для более полного снятия логов необходимо перезагрузить устройство, поскольку логи важны в первые секунды его включения. После снятия логов их следует отправить в нашу службу технической поддержки.

Что касается восстановления исходного состояния Samsung Exynos-устройства, то выделяется два сценария работы.

Сценарий 1 (с восстановлением исходного раздела CACHE):

  1. Запустить модуль «МК Извлечение устройств».
  2. Выбрать метод «Samsung Exynos».
  3. Нажать на кнопку «Восстановление устройства».
  4. Перевести устройство в режим ODIN.
  5. Дождаться чтения параметров устройства и указать путь сохранения исходного раздела CACHE.
  6. Ожидать загрузки файлов восстановления устройства в программу.
  7. Перезагрузить устройство.
  8. Включить устройство и дождаться загрузки в него оригинального раздела CACHE.
  9. Перевести устройство в режим ODIN для восстановления его исходных разделов.
  10. Повторно перезагрузить устройство, выбрав соответствующую опцию в режиме восстановления (Recovery).

Сценарий 2 (применяется, если необходимо восстановить устройство, но отсутствует оригинальный раздел CACHE):

  1. Запустить модуль «МК Извлечение устройств».
  2. Выбрать метод «Samsung Exynos».
  3. Нажать на кнопку «Восстановление устройства».
  4. Перевести устройство в режим ODIN и ожидать восстановления его исходных разделов программой.
  5. Пропустить этап указания пути сохранения исходного раздела CACHE.
  6. Кликнуть по кнопке «Начать восстановление».
  7. Повторно перезагрузить устройство, выбрав соответствующую опцию в режиме восстановления (Recovery).
  8. Полностью очистить кэш (выбрать на экране смартфона Wipe cache).
2024-09-16 18:33