В то время как настольные ПК и ноутбуки Windows относительно легко приобрести, этого нельзя сказать о портативных устройствах Windows, таких как планшеты и трансформеры (устройства со съемными клавиатурами). Не имея портов FireWire и снабженных ограниченным набором внешних портов, эти устройства усложняют подключение носителя сбора данных по сравнению с их полноразмерными аналогами. Оснащенные запаянным, несъемным хранилищем eMMC, планшеты с Windows чрезвычайно сложны для отображения при соблюдении необходимых процедур судебной экспертизы. Наконец, неясная Windows RT вообще не позволяет запускать неподписанные настольные приложения, в то же время ограничивая возможность загрузки в другую ОС, что в лучшем случае делает криминалистическую экспертизу незаконной.
В этой статье мы рассмотрим, чем портативные электронные устройства на базе Windows отличаются от традиционных ноутбуков и настольных компьютеров, рассмотрим новые меры безопасности и режимы энергосбережения, представленные планшетами Windows, и обсудим оборудование, методы и инструменты, которые мы можем использовать для приобретения содержимое их оперативной памяти и постоянного хранилища.
Планшеты под управлением Windows 8, 8.1 и Windows RT разработаны с определенными мерами безопасности для предотвращения несанкционированного доступа к их содержимому в случае потери или кражи устройства. Эти меры безопасности аналогичны тем, которые присутствуют в настольных устройствах, и значительно отличаются от подхода, используемого Google и Apple.
В Windows 8 и 8.1, установленных на планшете, меры безопасности включают необязательное шифрование всего диска (с BitLocker) и Secure Boot, возможность предотвратить загрузку в нераспознанную (неподписанную) ОС, эффективно предотвращая использование загрузочного загрузчика на основе Linux диски часто используются для цифровой криминалистики.
Обратите внимание, что безопасная загрузка является необязательной, но часто активируется по умолчанию в UEFI системы. Ключи BitLocker можно получить из учетной записи Microsoft пользователя ( http://windows.microsoft.com/recoverykey ) или извлечь из дампа памяти (если он захвачен во время работы планшета).
Безопасную загрузку, даже если она активирована в UEFI BIOS планшета, обычно можно отключить, загрузив UEFI (используя комбинацию клавиш Volume-DOWN и Power). Однако, если UEFI BIOS защищен паролем, сброс пароля может быть затруднен. Примечательно, что Secure Boot не предотвращает загрузку с внешних носителей как таковых. Если у вас есть загрузочный образ восстановления Windows 8.1 или загрузочная флешка Windows PE 5.1, на них уже есть необходимые подписи, и их можно использовать для запуска планшета, даже если включена безопасная загрузка.
Важно отметить, что Secure Boot постоянно активируется на устройствах Windows RT, таких как Microsoft Surface RT, Surface 2, Nokia Lumia 2520 и других планшетах на базе RT. Так как эти планшеты ARM заблокированы с помощью безопасной загрузки, и нет возможности отключить эту опцию, не существует известного способа загрузки их во что-либо, кроме Windows RT или образа для восстановления. Хотя технически можно использовать образ для восстановления Windows RT, например, предоставленный Microsoft ( http://www.microsoft.com/surface/en-us/support/warranty-service-and-recovery/downloadablerecoveryimage ), судебной экспертизы не существует инструменты, доступные для этой ОС. Тем не менее, можно по-прежнему использовать встроенный инструмент DSIM для захвата содержимого компьютера с Windows RT, но это не рассматривается в этой статье.
BitLocker является неотъемлемой частью модели безопасности Windows. На многих планшетах шифрование BitLocker защищает раздел C :. По умолчанию BitLocker активируется на всех Windows RT и на многих планшетах с Windows 8 и 8.1. С помощью BitLocker невозможно получить доступ к зашифрованным разделам без входа в Windows (путем ввода правильных логина и пароля) или предоставления правильного ключа восстановления. Особенно это касается ситуаций с загрузкой с внешнего устройства.
Если ключ восстановления BitLocker пользователя неизвестен, его можно получить по адресу https://onedrive.live.com/recoverykey (при условии, что известны учетные данные пользователя учетной записи Microsoft).
Диски, защищенные с помощью BitLocker, будут автоматически разблокироваться при каждом входе пользователя в систему. В результате, если у вас есть учетные данные локального входа пользователя для данного устройства, BitLocker не представляет серьезной проблемы.
Важное примечание, однако : если планшет Windows, который вы собираетесь приобрести, запущен или находится в режиме подключенного ожидания, НЕ ВЫКЛЮЧАЙТЕ ЭТО, прежде чем пытаться что-либо захватить дамп оперативной памяти системы. Если раздел C: защищен с помощью BitLocker, захват образа оперативной памяти — это ваш шанс получить (и получить) двоичный ключ, используемый BitLocker для расшифровки информации. Если вы сможете извлечь этот ключ, вы сможете использовать такой инструмент, как Passware Kit Forensic, для монтирования разделов, защищенных BitLocker, даже если вы не знаете ни имени пользователя и пароля, ни учетных данных учетной записи Microsoft.
Обратите внимание, что BitLocker часто отключается по умолчанию на более дешевых планшетах массового производства с экранами меньшего размера, например на Windows 8.1 с Bing.
Большинство планшетов Windows оснащены встроенным несъемным хранилищем eMMC. Физически, модуль eMMC (Embedded Multi Media Card) — это чип BGA, который припаян на основную плату. Как таковые, стандартные способы получения данных, включающие использование устройства SATA для формирования изображения с блокировкой записи, не применимы.
Чтобы получить разделы из хранилища eMMC, вам потребуется загрузиться с внешнего диска, содержащего загрузочный образ для восстановления (например, Windows PE) и набор инструментов для криминалистической обработки изображений. Однако даже это может представлять проблему с планшетами Windows.
Некоторые планшеты Windows оснащены 32-разрядным ПЗУ UEFI, в то время как немногие другие устройства поставляются с полнофункциональным 64-разрядным UEFI. В результате вы не сможете загрузить 64-битный образ Windows PE (или 64-битный Linux), даже если планшет оснащен 64-битным процессором.
Большинство планшетов Windows поставляются с опцией безопасной загрузки, активированной в их UEFI BIOS. Вопреки распространенному мнению, вам НЕ нужно отключать безопасную загрузку, чтобы запустить систему с внешнего устройства, при условии, что ОС, которую вы собираетесь загрузить, подписана. Другими словами, вы сможете загрузиться в среду восстановления и восстановления Windows 8.1 (WinRE) или использовать собственный образ Windows PE 5.1. Однако при активированной безопасной загрузке вы не сможете загрузиться в криминалистический образ на основе Linux.
Чтобы отключить безопасную загрузку, вам потребуется получить доступ к UEFI системы, нажав и удерживая клавишу Power-DOWN при запуске устройства. Однако доступ к безопасной загрузке не требуется, если вы просто хотите загрузиться с устройства USB, содержащего образ Windows PE или WinRE.
Для загрузки с внешнего USB-устройства вам потребуется правильно подготовленный загрузочный носитель на основе WinRE или Windows PE и кабель USB OTG (On-The-Go). Чтобы изменить последовательность загрузки и запустить систему с внешнего устройства, выполните следующие действия:
Захват дампа оперативной памяти планшета Windows важен для цифровых расследований и является одним из рекомендованных методов согласно руководствам ACPO. Большинство принципов захвата живого дампа памяти остаются такими же, как и у полноразмерных ПК. Цели, инструменты и процесс захвата изменчивых образов памяти описаны в официальном документе Belkasoft « Поймать призрака : как обнаружить эфемерные доказательства с помощью анализа оперативной памяти».
Тем не менее, есть небольшие различия между записью изображений энергозависимой памяти на ПК и тем же на маленьком планшете. Необходимо учитывать отсутствие портов расширения, таких как FireWire, на большинстве планшетов, что делает невозможной атаку FireWire. Более того, обычно нет возможности добавить порт FireWire через дополнительную карту.
Таким образом, на планшетах Windows (с заметным исключением устройств Windows RT) мы ограничены использованием программных инструментов, таких как Belkasoft Live RAM Capturer.
Поскольку на большинстве планшетов Windows отсутствуют полноразмерные USB-порты, для подключения флэш-накопителя потребуется USB-адаптер OTG (USB On-The-Go). Поскольку планшеты обычно оснащены одним или двумя гигабайтами оперативной памяти, подойдет даже небольшая флешка или карта памяти.
После получения оперативной памяти вам потребуется проанализировать ее с помощью инструмента судебной экспертизы, оснащенного функцией анализа дампов оперативной памяти, например Belkasoft Evidence Center:
Существует высокая вероятность обнаружения различных криминалистически важных артефактов. Вы можете увидеть некоторые данные, найденные в дампе оперативной памяти Evidence Center:
В заключение можно сказать, что приобретение планшетов с Windows аналогично работе с полноразмерными ПК, но у этого процесса есть свои препятствия. Мы узнали, как создавать образы разделов, сохраненных на запаянных чипах eMMC, и как бороться с защитой BitLocker. Мы выяснили значение безопасной загрузки, когда и как ее отключить при необходимости. Наконец, мы рассмотрели шаги, чтобы получить доступ к UEFI BIOS планшета и изменить порядок загрузки устройства, чтобы разрешить загрузку с флэш-накопителя USB, содержащего набор криминалистических инструментов для создания образа устройства.
Поделиться:
