Logical vs illogical dump


Logische methode

  • Geeft "live systeem" weer van de telefoon
  • Geheugendata wordt veilig gesteld door gebruik van OS en bestandsysteem op de telefoon, PPP-protocol (AT-commando's, Obex, ...)
  • Onderzoekssoftware "vraagt" aan systeem wat beschikbaar is om te kopiĆ«ren

Physical

  • Het uitlezen maakt een exacte kopie van de geheugenchip
  • Inclusief unallocated space
  • Deze leesmethode passeert het besturingssysteem en leest alle data van de chip af
  • De door het onderzoeksprogramma zo herkende data wordt direct gedecodeerd en gepresenteerd in het programma
  • De overige data kan dus in de bit-voor-bit kopie worden gezocht en geanalyseerd door een specialist

File System Dump

  • Bij deze methode wordt het logisch besturingssysteem met de bijhorende directory-structuur gelezen
  • Dit is dus zonder unallocated space
  • Het voordeel is dat hierbij toegang wordt verkregen tot (soms hidden) bestanden, logfiles, databases, ..

File System Dump part 2

  • Verkrijgen van bestanden die zijn ingebed in het geheugen van een mobiel apparaat
  • Uitvoeren van een extractie van een bestandsysteem geeft toegang tot alle in het geheugen aanwezige bestanden
  • Dit omvat:
    • Afbeeldingen
    • Videos
    • Database-bestanden
    • Systeembestanden
    • Logs
  • Dit betekent dat bij het uitvoeren van de extractie U toegang heeft tot alle wachtwoorden, telefoonboekinfo, bellijsten, berichten, ..
  • Volledige toegang tot de database maakt herstel van verwijderde items in deze bestanden mogelijk

Overzicht

  • Totaal geheugen bevat:
    • A = OS/FS
    • B = Data
    • C = unallocated
  • Logisch is enkel B (Data)
  • Fysiek is A + B + C
  • FS Dump = A + B

Let op!

Modernere systemen werken met een database systeem, waarbij bestanden meestal worden opgeslagen in een databank. Dit heeft als gevolg dat bijvoorbeeld een verwijderde SMS in de sms.db gemarkeerd wordt als verwijderd, maar bij deze leesmethode terug tevoorschijn komen!