Tipi di acquisizione

Vediamo i tipi d’acquisizione:

1. Video e foto – è il sistema d’acquisizione più banale, qualora non si riesca ad interfacciare il telefono per qualsiasi motivo, con la macchina d’acquisizione, si procede fotografando le schermate.
2. Dump logico – scarichiamo tutto ciò che vediamo a video del telefonino. È un dump di dati già interpretati, quindi se ci sono 5 SMS, 10 foto, 15 chiamate, ecc. vedremo 5 SMS, 10 foto, 15 chiamate ecc. ecc. Non abbiamo accesso all’alberatura del file system, ai percorsi, ai database, ai log file, allo spazio non allocato, ecc. ecc.. Serve per avere un report digitale di tutto quello che vediamo nel telefono, al posto di fare fotografie alle schermate.

1. Dump File System -  scarichiamo tutto il file system, comprensivo di percorsi, database, log file, dati (non cancellati) presenti  su memory card, impostazioni, ecc. ecc.. Questo tipo di dump, specialmente nei moderni smartphone è abbastanza esaustivo, dato che molte informazioni sono contenute nei database, come per esempio gli SMS, quindi per recuperare quelli cancellati il software analizzerà il DB, così come per i DB di varie applicazioni come WhatsApp, Viber, ecc.. Inoltre si possono controllare i log delle varie applicazioni installate, verificare se c’è del malware e se il programma di parsing che utilizziamo non riesce in alcune cose, si può sempre esportare i database che ci interessano e processarli con altri strumenti tipici della computer forensics.
2. Physical Dump – è indubbiamente il dump più completo, questa tipologia genererà un file binario pari alla dimensione totale della memoria del telefono, è paragonabile ad un’immagine bit a bit di un disco rigido nella computer forensics. Va da sé che questo dump permetterà anche l’accesso allo spazio non allocato, data carving e tutti i vantaggi di avere l’immagine speculare di tutta la memoria. In questo tipo di dump non vengon prese le informazioni presenti sulla memory card.
3. JTAG  (Joint Test Action Group)  - è una tecnica che permette ad un hardware particolare di connettersi alle porte JTAG, se presenti, e leggere i dati direttamente dai chip, essa richiede: l'attrezzatura per smontare un dispositivo per rivelare le porte JTAG, il necessario cablaggio e attrezzatura da saldatura per collegare i fili appropriati dalle porte JTAG al JTAG tool e il software e hardware JTAG, infine sia hanno gli stessi problemi di decodifica dei dati come per il chip-off. Anche per questa tecnica è consigliabile affidarsi ad aziende specializzate.
4. Chip-off – è una tecnica estrema e distruttiva, si dissaldano i chip di memoria dal dispositivo e si inseriscono in macchinari particolari che leggono direttamente dai microprocessori. Non sempre il risultato è interpretabile, poiché gli schemi di come è organizzata l’informazione sui microchip non sono sempre reperibili o conosciuti, per questo tipo di operazione conviene affidarsi ad aziende specializzate.

Se per effettuare il dump abbiam dovuto accendere il telefono, terminate le operazioni e rispento il dispositivo, possiamo rifare la duplicazione della memory card e controllare se l’hash della prima duplicazione corrisponde, laddove non corrispondesse, vuol dire che l’accensione ha operato dei cambiamenti sulla scheda di memoria, quindi avremo un primo file immagine pre-accensione, che non è più ripetibile ed un secondo file immagine post accensione che è ripetibile, dato che la scheda non sarà più toccata se non riaccendiamo il telefono con essa inserita.

Per il telefono acceso valgono le stesse procedure appena descritte, salvo che prima effettuiamo il dump ed in seguito potremo, spegnendo il telefono, estrarre i dati dalla SIM e duplicare l’eventuale memory card.

Infine consigliamo sempre di effetturare sempre tutti e tre i tipi di dump, in modo tale da avere più possibili view e chanches di ricavare o interpretare le informazioni.