← Анализ и корреляция логов, …Анти-форензика: как заметаю… →

Мобильная форензика (обзор)

Этот урок даёт обзорное представление о форензике мобильных устройств и её специфике.

Мобильная форензика — извлечение и анализ данных со смартфонов и планшетов с учётом их закрытых ОС, шифрования и разнообразия моделей.

Смартфон — это концентрат личной и рабочей информации: сообщения, звонки, контакты, геоданные, фото, приложения, токены. В корпоративных и юридических расследованиях (строго при наличии права доступа) мобильные устройства часто ключевые. Но извлечь данные из них сложнее, чем с ПК.

Прежде чем углубляться в техническую часть, зафиксируем главное ограничение. Личный смартфон — едва ли не самый чувствительный с точки зрения приватности объект: в нём переписка, геолокация, банковские приложения, фотографии. Доступ к нему без законного основания — это и неприкосновенность частной жизни (137 УК РФ), и тайна переписки (138 УК РФ), и неправомерный доступ (272 УК РФ) одновременно. Легальная мобильная форензика возможна только в трёх ситуациях: устройство ваше; это корпоративное устройство, и есть документально оформленное право доступа (политика BYOD/MDM, согласие сотрудника); либо это учебный/демонстрационный образ. Всё, что описано ниже, рассматривается именно в этой рамке.

Что хранит устройство

  • Сообщения (SMS, мессенджеры), журналы звонков, контакты.
  • Геоданные и история перемещений, Wi-Fi/Bluetooth-связи.
  • Фото и видео с метаданными (EXIF: время, иногда координаты).
  • Данные приложений в базах SQLite, кеши, токены аутентификации.
  • Системные артефакты: история уведомлений, кэш клавиатуры, журналы синхронизации с облаком.

Особенно ценны базы SQLite приложений: мессенджеры, браузеры, заметки хранят данные именно в них, причём нередко вместе с «удалёнными» записями, которые ещё не вычищены из файла (в свободных страницах и в WAL-журнале базы). Поэтому грамотный аналитик смотрит не только на «живые» строки таблиц, но и на остаточные данные внутри самого файла базы — это прямой аналог восстановления удалённого на диске, только на уровне SQLite.

Не менее важна корреляция мобильных артефактов между собой и с внешними источниками, в полной аналогии с прошлым уроком про логи. Геометка фотографии (EXIF) и запись в истории перемещений должны согласовываться; время сообщения в мессенджере — с журналом сети оператора (если он легально доступен по запросу); запуск приложения — с системными журналами устройства. Расхождения здесь так же информативны, как и в логах: например, фото с координатами, не совпадающими с маршрутом из истории перемещений, требует объяснения. Таким образом, смартфон — это не один источник, а множество мини-источников (десятки баз приложений), которые сводятся в единый таймлайн ровно теми же приёмами корреляции, что и серверные логи.

Методы извлечения (по глубине)

МетодЧто даёт
Ручнойпросмотр на экране, фотофиксация
Логическийданные через API/бэкап (доступное)
Файловой системыкопия FS, больше артефактов
Физическийпобитовый дамп памяти (макс., сложнее всего)

Эти методы — не альтернативы «выбери один», а лестница глубины. На практике начинают с наименее инвазивного доступного метода и поднимаются выше по мере необходимости и возможности. Ручной метод применим всегда (если устройство разблокировано) и не требует инструментов, но не достаёт удалённого и не масштабируется. Логический даёт аккуратный, документируемый срез «того, что система готова отдать через штатный бэкап». Извлечение файловой системы и физический дамп достают больше, в том числе остатки удалённых данных, но требуют специальных средств, выше риск и почти всегда упираются в шифрование.

У выбора метода есть и процессуальная сторона. Чем глубже и инвазивнее извлечение, тем выше требования к обоснованию: для ручного просмотра разблокированного корпоративного устройства может хватить внутренней процедуры, тогда как попытка снять физический дамп — это серьёзное вмешательство, которое в юридически значимом деле требует чёткого основания и документирования каждого шага. Поэтому опытный аналитик не «берёт максимум на всякий случай», а соизмеряет глубину с задачей и с правовыми рамками: лишний объём данных, к которым не было оснований обращаться, способен не усилить, а ослабить позицию — и поднять вопросы о законности доступа к приватной информации (137/138 УК, 152-ФЗ). Принцип соразмерности здесь так же важен, как технические возможности.

Главные сложности

  • Шифрование. Современные устройства шифруют хранилище; без пароля/ключа данные недоступны. Это сознательная защита приватности, и обходить её нельзя без законных оснований.
  • Разнообразие. Сотни моделей, версий ОС, чипов — нет единого метода.
  • Закрытость ОС. iOS и Android ограничивают доступ; многое зависит от версии и состояния (заблокирован/разблокирован).
  • Облако. Часть данных живёт не на устройстве, а в облачных бэкапах; доступ к ним — отдельная процедура со своими правовыми основаниями.

Как работает под капотом

Логическое извлечение опирается на штатные механизмы резервного копирования и отладочные интерфейсы — оно получает «то, что отдаёт система». Физическое стремится снять весь флеш-чип, но упирается в шифрование: даже полный дамп без ключа — это зашифрованный «шум». Поэтому ключевой фактор — состояние устройства: разблокированное и «тёплое» (после ввода пароля) отдаёт больше, чем выключенное.

Чтобы понять, почему состояние так критично, полезно знать про две модели шифрования. При полнодисковом шифровании весь раздел расшифровывается одним ключом после первого ввода пароля при загрузке. При более современном пофайловом (file-based) шифровании разные данные защищены разными ключами с разными «классами доступности»: часть остаётся зашифрованной, пока устройство заблокировано, даже если оно уже загружено. Отсюда практическое различие состояний: After First Unlock (устройство хотя бы раз разблокировали после включения) даёт доступ к большему объёму данных, чем Before First Unlock (включили, но ещё ни разу не вводили пароль). Именно поэтому в реальной работе так важно не дать «тёплому» устройству выключиться или заблокироваться.

Устройство
   |
   +-- разблокировано/после пароля -> данные расшифрованы
   |        -> логическое/FS-извлечение информативно
   |
   +-- выключено/зашифровано -> дамп = шум без ключа

Законность: только при праве доступа и основании

Частые ошибки

  • Дать устройству заблокироваться/выключиться. Можно потерять доступ к расшифрованным данным.
  • Подключать к сети. Возможна удалённая блокировка/стирание; используют экранирование (клетка Фарадея / авиарежим).
  • Игнорировать закон. Доступ к личному устройству — только при законном основании.
  • Ждать единого инструмента. Метод зависит от модели, ОС и состояния.
  • Забыть про облако. Часть улик может быть только в облачном бэкапе, а не на самом устройстве.

Итоги

  • Смартфоны хранят сообщения, геоданные, медиа и данные приложений (часто в SQLite, включая остатки удалённого).
  • Методы — от ручного до физического; чем глубже, тем сложнее и тем важнее шифрование.
  • Состояние (разблокирован/выключен) и законность доступа — определяющие факторы.
Проверьте себя
1. Какой метод извлечения даёт максимум данных, но технически сложнее всего?
AРучной
BЛогический
CФизический (побитовый дамп памяти)
DПросмотр на экране
2. Почему изъятое устройство экранируют (клетка Фарадея / авиарежим)?
AЧтобы зарядить
BЧтобы исключить удалённую блокировку или стирание данных по сети
CЧтобы ускорить дамп
DЧтобы расшифровать диск
3. Почему состояние устройства (разблокировано/выключено) так важно?
AВлияет на скорость
BВ разблокированном/после ввода пароля данные расшифрованы; выключенное даёт зашифрованный шум без ключа
CМеняет размер дампа
DНе имеет значения