TAF5 DocTecnica UD3

Documentación Técnica
UD3. Técnicas Avanzadas de Adquisición

CURSO ON-LINE
TELEFONÍA Y ACÚSTICA FORENSE
ACTUALIZACIÓN. Abril 2020

EDITA y MAQUETA: Fundación In-Nova Castilla La Mancha
http://formacion.coit.es
formacion@in-nova.org
Queda prohibida la reproducción total o parcial, así como la venta o cualquier forma de comercialización, exhibición
o difusión de este material en cualquier soporte físico o electrónico, sin el permiso previo y por escrito de los titulares
del copyright. El uso de estos materiales es exclusivo para los fines didácticos de los alumnos de este curso. Cualquier
forma de comercialización, exhibición, reproducción o difusión que esté prohibida, dará lugar a las
responsabilidades pertinentes.
DOCUMENTACIÓN TÉCNICA
UD3. TÉCNICAS AVANZADAS DE ADQUISICIÓN 2
CURSO ON-LINE
CONTENIDO
1. PROBLEMÁTICA .................................................................................................... 4
2. JTAG ........................................................................................................................ 6
3. CHIP OFF ............................................................................................................... 14
3.1 Memorias Tipo Emmc y Emcp ......................................................................... 14
3.2 Terminales Dañados por Agua ......................................................................... 25
4. HERRAMIENTAS COMERCIALES ...................................................................... 28
4.1 Oxigen Forensics ............................................................................................. 29
4.2 XRY de MSAB................................................................................................ 30
4.3 UFED de Cellebrite ......................................................................................... 30
4.4 Magnet Forensic .............................................................................................. 32
4.5 Elcomsoft Phone Breaker ................................................................................. 33
4.6 PC3000 Flash y Rusolut ................................................................................... 34
4.7. Conclusión....................................................................................................... 36
CURSO ON-LINE
1. PROBLEMÁTICA
En la adquisición de teléfonos móviles hemos podido observar que el mayor problema que
nos podemos encontrar es la adquisición de la memoria y no el análisis de la misma, y aunque
poseamos herramientas comerciales potentes estás van a tener limitaciones al hora de
adquirir numerosos terminales, a causa de los bloqueos de pantalla o los bloqueos tipo FRP
que presentan los nuevos terminales Samsung (Factory Reset Protection) que impiden la
instalación de cualquier tipo de ROM o sustituciones en la partición de Boot y Recovery para
eludir los bloqueos, es decir debemos eludir primero el FRP y posteriormente el bloqueo de
pantalla. Las herramientas comerciales no dan soporte la eludir el FRP, a no ser que
contratemos un servicio de pago como es el de la empresa Cellebrite.
También existe la posibilidad de encontrar terminales que presenten desperfectos o que se

encuentran destruidos
¿De qué manera nos podemos enfrentar a todo este tipo de trabas, software y hardware que
nos encontramos en los Smartphone?
Existen dos métodos el Jtag y Chip Off; para realizar ambas técnicas vamos a tener que tener
conocimientos en electrónica y una especial destreza en el manejo de herramientas de
soldadura.
Si bien una vez que tengamos los volcados de memoria que podamos obtener mediante estas
técnicas, podremos analizarlos con las herramientas software que hemos visto con
anterioridad o lanzarlas contra los softwares pago.
Cabe destacar que estas técnicas que también tienen sus limitaciones, se utilizaras solo sobre
terminales Android. Los terminales tipo IPhone se encuentran cifrados, con lo cual, si
hacemos un chip off, la memoria no podría ser interpretada siendo inútil el uso de estas
técnicas.
CURSO ON-LINE
Debemos saber que estas técnicas resultan muy invasivas a nivel hardware y el caso del chip
off dejaremos el terminal en desuso, con lo cual para el uso de esta técnica siempre pediremos
una autorización judicial, en cuya solicitud explicaremos los inconvenientes técnicos y la
posible pérdida del indicio.
CURSO ON-LINE
2. JTAG
El JTAG (Joint Test Action Group es el nombre común utilizado para la norma IEEE 1149.1
titulada Standard Test Access Port and Boundary-Scan Architecture) no es otra cosa que un
estándar utilizado para el testeo de las PCB de productos electrónicos durante su fabricación
y cuya utilización está muy extendido en el mundo.
A pesar de ser menos arriesgado, este método es menos lesivo que el Chip Off, siendo ideal
para los dispositivos que funcionan perfectamente o de una forma parcial y que son
inaccesibles utilizando herramientas comerciales como UFED, XRY, etc…
Esta técnica consiste en que por medio de unas conexiones (TAPS) nos conectaremos al
procesador del terminal al que ordenaremos que realice un “dump” de la memoria.
La interfaz de conexión está formada por cuatro o cinco pines dependiendo el terminal
• TDI (Entrada de Datos de Testeo)

• TDO (Salida de Datos de Testeo)
• TCK (Reloj de Testeo)
• TMS (Selector de Modo de Testeo)
• TRST (Reset de Testeo) es opcional.
• GND (Tierra).
• RTCK (Sincronización, no se recoge en el estándar JTAG IEEE 1149.1)
• NRST (Reset de hardware, no se recoge en el estándar JTAG IEEE 1149.1)
Cada terminal tiene su propio esquema Jtag diseminado por la PCB, pero las herramientas
que utilizaremos nos muestran donde están estos puntos, debiendo soldar las conexiones en
los lugares indicados, también existen adaptadores denominados Jigs que evitan el tener que
soldar sobre la placa. La comunicación es tipo serie por lo cual el proceso de volcado es muy
lento.
Es importante realizar prácticas sobre terminales de prueba antes de trabajas con indicios
reales, ya que un mal uso podría dejar le teléfono inutilizado o incluso borrara su memoria.
Las herramientas que utilizaremos son las conocidas cajas de flashing utilizadas para liberar
y reparar terminales, estas cajas tienen ya su propio software y contamos en el mercado con
CURSO ON-LINE
una gran variedad de las mismas, ya que no existe una caja universal que sirva para todas las
marcas.
Entre las cajas más conocidas tenemos la Riff box, la Octoplus, la Medusa pro y la Z3x-pro
entre otras.
Recientemente aparece en el mercado Octoplus Pro la cual une las cualidades de Medusa
Pro y Octoplus.
Imagen 1. Octoplus
Debemos tener especial precisión en revisar las conexiones antes de administrar tensión, ya
que podríamos dejar inutilizado el dispositivo.
Los laboratorios forenses deben estar muy bien preparados para aplicar este tipo de técnicas
cuando se requiera.
Imagen 2. Técnicas de laboratorio forense
CURSO ON-LINE
Imagen 3. Detalle de los TAPS en PCB
Como ejemplo de una adquisición de JTAG vamos a utilizar un terminal Samsung GTI8190,
del cual necesitamos una imagen física de su memoria. Cabe destacar que este terminal no
arranca de forma correcta por lo tanto no es posible adquirirlo de una forma convencional.
Usaremos la caja flashing “Octoplus Box” que cuenta con soporte JTAG para terminales
Samsung, el coste de esta caja ronda los 300 dólares con todas sus características activadas.
El uso es similar para los diferentes interfaces de JTAG, de las diversas cajas que existen en
el mercado.
Instalamos el software desde la página del fabricante y procederemos a instalarlo,

seguidamente conectaremos nuestro box al PC y esperaremos a que instale los drivers de la
misma, los cuales se instalaran de forma automática en la mayoría de los casos.
Abrimos el software y elegimos el dispositivo deseado. En ese punto iremos a la ayuda y se

nos mostrara las diferentes operaciones que podemos realizar con el terminal y lo que es más
importante los TAPS del JTAG.
Imagen 4. Material de soldadura
CURSO ON-LINE
Imagen 5. Detalle de las conexiones
Mediante un cable tipo RJ conectamos la caja al terminal; en este punto prestaremos especial
cuidado a que las conexiones estén realizadas correctamente y que estas no estén puenteadas.
Para realizar las soldaduras utilizaremos a ser posible un estaño trimetal (en este caso hemos
usado una aleación de estaño, plomo y plata, 0.5mm, existen aleaciones que sustituyen la
plata por el cobre más económicas, pero tienen peor soldabilidad) ya que este facilita la
soldadura y flux
En este caso como indicaba la ayuda de este terminal, conectamos alimentación por medio
del Micro-USB del terminal y la batería del mismo, nos podemos ayudar con unas pinzas y
una fuente de alimentación.
CURSO ON-LINE
Imagen 6. Detalle conexión
Con el software abierto y las conexiones realizadas pulsamos “connet” y cuando esto ocurra
y nos diga que la caja y el terminal han conectado satisfactoriamente leemos la flash
completa, iniciándose el proceso, el cual es muy lento rondando velocidades de 90 kb/s.
Imagen 7. Detalle conexión software
CURSO ON-LINE
Imagen 8. Detalle proceso del volcado
Una vez finalizado el proceso de extracción obtendremos un archivo imagen con extensión
“.bin”. Este archivo será estudiado como vimos en el Tema 2, montando el archivo imagen
con FTK Imager o Autopsy.
Suponiendo que tengamos un terminal que no esté soportado por alguna de las cajas, existe
la posibilidad de utilizarlas en función al modelo de procesador, la dificultad seria encontrar
los taps de JTAG. LA solución sería conseguir lo esquemas eléctricos y buscar los contactos
de JTAG en el procesado y así de esta manera poder conectarlos a la box.
Si no conocemos la velocidad de trabajo, deberíamos conseguir el datasheet (hoja de

características) del procesador, lo cual es bastante complicado, como solución
comenzaremos a probar desde la velocidad más baja que nos deje configurar la box e iremos
subiéndola hasta que el volcado se realice de forma satisfactoria.
CURSO ON-LINE
Imagen 9. Detalle taps itag en procesador de un Samsung
Cabe destacar que la caja Octoplus, posee la cualidad de eliminar el bloqueo FRP (Factory
reset protectión) de los terminales Samsung. Este bloqueo que en principio fue credo para
impedir los reset de fábrica y así desalentar los robos de terminales, también impide que
podamos cargar ningún tipo de binario, con lo cual, si tenemos una herramienta como UFED
Touch, que permite saltar el bloqueo de un dispositivo mediante la carga de un bootloader,
este no será posible cargarlo ya que el FRP está activo. Debemos eliminar primero este
bloqueo y utilizar las capacidades de UFED Touch.
Imagen 10. Detalle bloqueo FRP
CURSO ON-LINE
Como detalle, decir que es fácil que el proceso de lectura mediante una BOX falle, teniendo
que empezar de nuevo. La caja RIFF BOX que tiene como principal característica la
realización de JTAG, cuenta con una característica muy importante, es capaz, una vez que
ha fallado el volcado y nosotros lo reiniciamos, de empezar de nuevo en el punto en que
falló.
Podemos encontrar diversos ejemplos de JTAG con diferentes dispositivos y cajas en:
https://www.youtube.com/watch?v=_pkMuVBDBMs
CURSO ON-LINE
3. CHIP OFF
Este es el método más invasivo a la hora de realizar una imagen física de la memoria con el
gran inconveniente de dejar inservible en indicio.
Este procedimiento una vez se tiene la pericia necesaria, se convierte en un medio de

obtención muy eficaz, ya que solo necesitamos que el chip de memoria este operativo.
A tenor de lo comentado podremos utilizar esta técnica no solo para saltarnos patrones o
desbloqueos, sino en terminales que presenten daños tanto a pequeños como a gran nivel,
como, por ejemplo, teléfonos calcinados, mojados, destruidos para ocultar pruebas o incluso
terminales utilizados para detonar explosivos.
Como su nombre indica esta técnica consiste en extraer el chip de memoria, proceder a su
lectura en un zócalo y lector adecuados y posterior decodificación.
No vamos a utilizar este sistema con dispositivos Apple, ya que su memoria se encuentra
cifrada y sería inútil.
3.1 MEMORIAS TIPO EMMC Y EMCP
La mayoría de los Smartphone utilizan memorias eMMC y eMCP, así que nos vamos a
centrar en este tipo de chips a la hora de realizar chip off, esto no significa que sobre el resto
no se pueda realizar, pero el material a utilizar es mucho más costoso (véase Rusolut, Pc3000
flahs y UP828 programer)
Una memoria eMMC es un chip con encapsulado tipo BGA que combina en su interior una
memoria nand flash y una controladora, la cual se encarga de interpretar y mostrar el
contenido en dicha memoria (Nand).
BGA es un tipo de montaje en superficie muy popular que utiliza una rejilla de bolas de
estaño como conectores. Están disponibles en encapsulado tipo cerámico y plástico.
Imagen 11. Detalle BGA
CURSO ON-LINE
Podemos encontrar todas las características de este tipo de memorias en JEDEC. que es un
desarrollador de estándares a nivel mundial en microelectrónica los cuales siguen los
fabricantes de chips.
Existen diferentes versiones de eMMC (4.1, 4.2, 4.5, 5.0 y 5.1) donde la mayor diferencia
son sus velocidades de trabajo. Pero algo que debemos tener claro, es que los zócalos que
adquiramos sean compatibles con las versiones 5.* ya que requieren de un pin más, que es
utilizado para estabilizar las señales dada su alta velocidad, si adquirimos zócalos de las
versiones 4.* no nos servirán para las versiones 5.*.
Hoy en día también existen memorias UFS (Samsung S6 y S7) de alta velocidad y bajo
consumo, la dinámica de trabajo es la misma que con las eMMC, pero dado que son
memorias muy recientes, un equipo para leer estas memorias puede rondar un mínimo de
1500 euros.
Observemos en la siguiente imagen como las memorias eMMC, están dotadas con dos
entradas de alimentación Vccq para el controlador y Vcc para la memoria, existen zócalos
donde podremos variar estas tensiones, motivo por el cual deberemos buscar primero las
hojas de características eléctricas del chip que vayamos a tratar para no cometer errores en
las alimentaciones.
Imagen 12. Memorias eMMC
Existe otra técnica de lectura de las memorias eMMC denominada “direct eMMC” que se
realiza mediante cajas similares a las de JTAG, consiste en soldar hilos en los puntos
indicados por los fabricantes de las cajas (GPG eMMC, Riff pro, medusa Pro) sobre la PCB
CURSO ON-LINE
y conectar a la box. El resultado de esta técnica, sería un archivo imagen que podríamos
analizar perfectamente.
Una de las grandes ventajas de este sistema es que el coste de estas cajas es muy económico,
y se puede utilizar con una serie de zócalos de bajo coste con los que realizar chip off.
La mayoría de estos zócalos se encuentran disponibles para su compra online en diversas

páginas webs entre las que una de las más completas es: www.moorc.com.
Imagen 13. Detalle esquema MMC.
Lo interesante del direct eMMC es que si tenemos los puntos para soldar sobre la PCB no
destruiremos el indicio (no hay que retirar el chip), pero, también es cierto que en ocasiones
no es eficaz ya que la lectura es menos directa en cuanto al hardware utilizado, ya que
dependemos de la electrónica de estas cajas, que en algunos momentos puede fallar. Por eso
lo más efectivo es la retirada del chip y lectura sobre un zócalo con adaptador para lectura
con “extension board SD”. Esto no es otra cosa que un zócalo sobre el cual colocamos el
chip y lo introducimos en un lector de tarjetas SD.
CURSO ON-LINE
Imagen 14. Detalle socket eMMC
Este método es rápido. Al introducir el zócalo en el lector SD de nuestra estación forense, lo

detectara como una unidad de almacenamiento masivo y podremos capturar una imagen
física de la manera convencional.
Imagen 15. Detalle pinout eMMC BGA 153
CURSO ON-LINE
Respecto a las memorias eMCP (Multi-Chip Package) decir que no es otra cosa que un chip
que bajo un mismo encapsulado porta una memoria eMMC y la RAM del dispositivo (en el
caso que nos ocupa), la mecánica de trabajo es la misma que en una memoria eMMC, extraer
la memoria y realizar la lectura como hemos indicado anteriormente.
Imagen 16. Detalle memoria eMCP
Dentro de las eMCP tenemos tres diferentes pinouts, eMCP 162/186, 221 y 529 todos ellos
con 0.5mm de tamaño de pad.
Debemos tener en cuenta el tamaño del encapsulado de los chips tanto en eMMC y eMCP.
Existen diferentes soluciones en el mercado como por ejemplo un mismo zócalo con
adaptadores para los diferentes tamaños.
El kit ideal sería el siguiente (no para iPhone ni Samsung S6 o S7, también podemos
encontrar Smartphones que no portan eMMC como el LG E510):
eMMC 153/169 0.5mm. eMCP 162/186 0.5mm.
• 12*18. • 11.5*13.
• 11.5*13. • 12*16.
• 12*16.
• 11*10.
• 14*18.
eMCP 221 0.5mm. eMCP 529 0.5mm.
CURSO ON-LINE
Imagen 17. Detalle sockets eMMC y eMCP
Tras identificar el chip de memoria, hay que proceder a su extracción de la placa. Primero
debemos percatarnos si tiene algún epoxi en su perímetro, el cual habrá que retirar. Existen
en el mercado diferentes removedores de epoxi especiales para chips BGA, siempre
utilizaremos mascarilla para vapores químicos y procuraremos que sea en lugares aireados o
con extractor de vapores.
En la mayoría de los casos aplicaremos el disolvente con una jeringuilla en el contorno del
chip, y lo introduciremos en una bolsa la cual cerraremos, para que los gases actúen en unión
al líquido, dejando pasar unos 20 minutos. Tras sacar la PCB de la bolsa rascaremos el epoxi
hasta eliminarlo en su totalidad del contorno. Esta sería una forma general de actuar, pero
cada tipo de removedor tiene sus especificaciones las cuales estudiaremos antes de actuar.
Para retirar el epoxi nos podemos ayudar de un cúter o herramienta similar, también nos
podemos ayudar con una pistola de calor con un caudal bajo y una temperatura no superior
a los 150 grados.
CURSO ON-LINE
Imagen 18. Detalle líquido removedor de epoxi y detalles epoxi en PCB
El siguiente paso sería retirar el chip de memoria de la PCB, para esto podremos utilizar una
estación de reballing o una pistola de aire caliente.
Si nos decantamos por la estación de reballing, tendremos que programarla con las curvas de
calor para desoldar el chip, fijamos la pcb a la estación y procedemos a la extracción.
Si por el contrario nos decantamos por una pistola de aire, actuaremos sobre el chip con una
temperatura del aire de 230 grados e intentaremos calentar el chip de forma homogénea,
procediendo a la extracción cuando el estaño este fundido.
Observaremos como en algunos casos nos llevamos con el chip parte de los pads de la placa,
ya que es muy fácil levantar los pads que no tienen conexión. También podemos perder parte
de los pads del chip ya que muchos de ellos no tienen uso y se reservan para usos futuros que
pueda dar el fabricante. De ocurrir esto, no tendríamos ningún problema en seguir con la
pericia.
CURSO ON-LINE
Imagen 19. Detalle máquina de reballing porceso de soldado chip y detalle chip tras ser retirado de la PCB y
chip limpio de residuos de epoxi
Tras la extracción observaremos las condiciones en las que se encuentra el chip, si la

superficie de la zona de pad no está limpia, procederemos a limpiarla con sumo cuidado
utilizando el soldador a ser posible con una punta tipo knife.
CURSO ON-LINE
Imagen 20. Cartucho para soldados JBC tipo knife
Retiraremos los pads de la PCB del terminal que hayamos podido arrastrar al quitar el chip
y los restos de epoxi etc….
Cabe destacar que esta es la operación más delicada ya que trabajamos con el soldador
directamente sobre el chip, esta operación deberíamos realizarla con ayuda óptica, por
ejemplo, un microscopio. Intentaremos que todos los pads estén estañados y la superficie del
chip sea uniforme para que el posicionamiento sobre el zócalo de lectura sea el correcto. Tras
la limpieza con el soldador realizaremos una limpieza con algún limpiador de contactos de
residuo cero.
CURSO ON-LINE
Imagen 21. Detalle chip eMCP 529 por su anverso y reverso
Debemos tener en cuenta que estos trabajos se realizaran con la correspondiente protección
antiestática para no dañar el chip.
Una vez tengamos el chip limpio, lo introduciremos en el lector de memorias procediendo a

crear la imagen de la memoria de forma convencional.
Una vez que tengamos la imagen la procesaremos usando los métodos ya mencionados en la
unidad anterior del curso.
Debemos tener en cuenta que esta técnica se puede emplear sobre cualquier dispositivo que
porte un chip de memoria, en especial los de tipo eMMC, como por ejemplo dispositivos
GPS, tablets etc…
Podemos pedir documentación técnica a los fabricantes, pero estos son reacios a
proporcionarla, poniendo como excusa la propiedad industrial, aun existiendo mandamiento
judicial, las sedes están en el extranjero por lo cual se deberían pedir los datos por comisión
rogatoria lo que eterniza los procedimientos.
Los datasheet de los chips de memoria también pueden ser solicitados a los fabricantes ya
que algunos de ellos no son posibles encontrarlos en la red, en ocasiones se fabrican series
específicas para ciertos dispositivos y las nomenclaturas no coinciden con las mostradas en
las páginas de los fabricantes.
En este enlace que corresponde a un fabricante de programadores podremos encontrar

información básica sobre gran cantidad de memorias. https://www.elnec.com/
CURSO ON-LINE
Imagen 22. Detalle GPS con daños por impacto
El nuevo reto en cuanto a memorias de telefonía serían las memorias tipo UFS, montadas
por los SAMSUNG GALAXY S6 y S7, las técnicas de trabajo con este tipo de memorias,
serían la misma que con las eMMC.
CURSO ON-LINE
3.2 TERMINALES DAÑADOS POR AGUA
Uno de los retos que nos podemos encontrar a la hora de analizar un terminal es que presente
daños por agua y en particular los causados por agua de mar.
Estos daños pueden variar en función del tiempo en que se han encontrado sumergidos, ya
que el efecto de la sal es devastador en esta clase de dispositivos dejándolos fuera de servicio
no siendo posible su encendido.
Si recuperamos un terminal de un medio acuático y en particular si se trata de agua de mar,

debemos de seguir los siguientes pasos antes de llevarlo al laboratorio:
• Retirar la batería si es posible (el enemigo no es el agua, es la electricidad).

• Aclarado minucioso con agua destilada.
• Secado cuidadoso del mismo.
• Introducir en una bolsa de papel de indicios/muestras acompañada de unos sobres de
gel de sílice en su interior.
• Rápido trasporte al laboratorio para evitar oxidaciones y sulfatación.
Una vez tenemos el terminal en el laboratorio, el modo de proceder variara en función de los
daños que presente el terminal.
CURSO ON-LINE
Imagen 23. Detalle daños en PCB por inmersión en agua salada
Si tras desmontar el terminal observamos que está completamente o en su mayor parte

sulfatado, desecharemos la idea del encendido y directamente lo introduciremos en una
cubeta de limpieza de ultrasonidos, que eliminara gran parte del óxido y dejara al descubierto
o casi en su totalidad el chip de memoria. Existen en el mercado gran variedad de líquidos
de limpieza, nosotros elegiremos uno de circuitos electrónicos y PCB´s, normalmente estos
líquidos hay que diluirlos en agua, por cual antes de su uso leeremos las instrucciones del
proveedor cuidadosamente. Una vez el chip esta al descubierto, retiraremos el epoxi si es
preciso y se realizara un chip off de la forma que hemos explicado.
Imagen 24. Bañera de ultrasonidos
CURSO ON-LINE
Si por el contrario al desmontar el dispositivo no presenta signos evidentes de oxidación o

de falta de componentes por desprendimiento, desmontaremos el terminal cuidadosamente,
lo someteremos al baño de ultrasonidos, secaremos e intentaremos su extracción por medios
convencionales ya que existen grandes posibilidades de que el terminal encienda. Por otro
lado, también se puede optar por un chip off directamente.
CURSO ON-LINE
4. HERRAMIENTAS COMERCIALES
Dada la diversidad de terminales que existen en el mercado y los retos a los que nos
enfrentamos a la hora de realzar un volcado de un terminal, ya sea por sus características
hardware o software se hace recomendable el uso de herramientas comerciales dada su
versatilidad. Esta versatilidad se basa en que, regularmente sacan actualizaciones para poder
hacer frente a los nuevos terminales que aparecen en el mercado. Cuentan con gran cantidad
de posibilidades de realizar extracciones físicas a los terminales más vendidos, y también de
saltarnos sus bloqueos mediante bootloaders.
Estas herramientas cuentan con servicios técnicos a los cuales podremos hacer consultas
sobre nuestros problemas a la hora de realizar volcados. También tenemos que tener en
cuenta, que estas herramientas están dotadas con software de indexado e interpretación de
los volcados de forma automática, es decir, no solo nos permiten interpretar los volcados que
con ellas se realizan, sino que un volcado realizado, por ejemplo, con chip off o Jtag también
podrá ser indexado por estas herramientas aportándonos un reporte con los resultados de
forma rápida y automática.
Cabe destacar que estas herramientas presentan en algunos casos soporte para extracción de
datos de tarjetas SIM (también micro y nano), soporte para volcado de GPS y teléfonos
satelitales (Thuraya, Iridium).
Pero como todo…tiene sus limitaciones, no podremos realizar extracciones físicas de todos
los terminales ni saltarnos todos los bloqueos de todos los terminales.
Una gran ventaja de utilizar este tipo de herramientas forenses es que están avaladas por las
comunidades forenses de todo el mundo, y son utilizadas por la mayoría de las policías y
estados a nivel mundial, contando incluso con testeos por organizaciones internacionales
(http://www.cftt.nist.gov/mobile_devices.htm), este tipo de hechos hacen que a la hora de
presentar nuestros resultados ante un tribunal, los cuales han sido obtenido con herramientas
específicas de uso forense, estén más avalados.
Como gran inconveniente de estas herramientas es su elevado coste que puede oscilar entre
los 2.000 euros a los 13.000 euros sin contar las renovaciones anuales del software.
CURSO ON-LINE
4.1 OXIGEN FORENSICS
Oxygen Forensics es una empresa puntera dedicada a la exploración avanzada de datos

forenses para dispositivos móviles. La compañía se dedica en la entrega de soluciones
forenses universales que cubren una amplia gama de dispositivos móviles con Android, iOS,
BlackBerry, Windows Phone, Symbian y otros sistemas operativos. Policías, organismos
gubernamentales, corporaciones e investigadores privados, y miles de consumidores
privados utilizan los productos forenses de Oxygen para la recuperación y análisis de datos
de dispositivos móviles.
Su producto más avanzado es “Oxygen Forensic Detective” cuyo punto más fuerte es la
adquisición de terminales bloqueador por medio de bootloaders.
Decir que este software es bastante versátil ya que le podremos cargar infinidad de tipos de
backups de diferentes tipos de terminales (Android, iOS, BB) y podrá indexarlos. Genera
líneas de tiempo y cuenta con un visor de SQL muy cómodo e intuitivo aunque una de sus
opciones más potentes desde mi punto de vista es la extracción de dispositivos dotados con
procesador MTK (MediaTek), realizando una adquisición física incluso estando bloqueados
en muy poco tiempo, al contrario que el resto de sus competidores.
Imagen 25. Oxygen Forensics
CURSO ON-LINE
4.2 XRY DE MSAB
MSAB es otro gigante de la tecnología forense, en cuanto a examen y adquisición de

teléfonos móviles, y cuenta con una gran red de distribuidores por todo el mundo.
Este software, XRY, ha sido utilizado por investigadores para recuperar de forma rápida y
eficaz información, como fotos, SMS, historial de llamadas, listas de contactos y datos de
aplicación desde el año 2003. XRY es utilizado por diversos cuerpos policiales, diferentes
ejércitos, agencias de inteligencia y los laboratorios forenses de más de 100 países alrededor
del mundo para investigación de delitos, reunir información de inteligencia, investigar el
fraude, la luchar contra la corrupción, terrorismo etc….
Imagen 26. XRY MSAB
Esta herramienta cuenta con apoyo para gran cantidad de terminales, aunque su punto flaco
en la actualidad es la adquisición física siendo su punto fuerte la adquisición lógica, ya no
solo de Smartphones si no de terminales de bajo coste donde entrarían los conocidos narco-
phone de usar y tirar (todos nos acordamos del famoso teléfono de la marca BIC). Aporta un
gran soporte para GPS y teléfonos satelitales.
4.3 UFED DE CELLEBRITE
Y aquí tenemos al actual trasatlántico de la investigación forense en telefonía móvil con sede
central en Israel.
UFED extrae, decodifica y analiza datos de gran cantidad de modelos de Smartphone,

teléfonos antiguos, tablets, teléfonos chinos, GPS y dispositivos de almacenamiento masivo.
Sin duda es la herramienta que más teléfonos soporta en cuanto a extracciones físicas y más
CURSO ON-LINE
bloqueos es capaz de romper gracias a su gran repertorio de bootloaders modificados para

extracciones forenses.
Cuentas con versiones de laboratorio para instalar su software y hardware sobre un PC

(UFED 4PC) y versiones de campo rugerizadas orientadas para su uso fuera de laboratorios
(UFED Touch ya obsoleto y UFED Touch 2).
Este equipo al igual que el XRY viene dotado con un gran juego de cables para los diferentes
terminales que podamos volcar, bloqueador de escritura hardware para tarjetas de memoria
y adaptadores para tarjetas SIM.
Este software/hardware cuenta con un gran servicio técnico on-line en castellano, que cuenta
con una gran rapidez en la respuesta y que dado el caso pueden desarrollar versiones beta del
software tanto para el terminal Touch, como para el software del PC y así posibilitar el
volcado o la decodificación de cualquier terminal.
También son bien recibidas por parte de los desarrolladores de este software, todas las
sugerencias en cuanto a la incorporación de nuevos terminales móviles de los cuales extraer
información o sobre la incorporación de apks que puedan contener información útil para
investigaciones, y así ser estas indexadas e interpretadas de forma automática por el software.
Imagen 27. UFED touch maleta rugerizada
Las versiones portátiles nos permiten realizar los volcados sobre una unidad de
almacenamiento extraíble o sobre nuestra estación forense.
CURSO ON-LINE
Este hardware/software está dotado de una potente herramienta de indexado y análisis, el

Physical Analyzer, basado en un sistema de pluggins, el cual el propio investigador podrá
modificar y crear cadenas a su antojo para por ejemplo decodificar binarios de chip off o
volcados realizados con otros softwares.
Imagen 28. Physical Analyzer
Ufed de Cellebrite es sin duda a mi juicio, la mejor herramienta forense que existe en el
mercado, pero como todas, tiene sus limitaciones. También reseñar que esta es la opción más
cara del mercado.
4.4 MAGNET FORENSIC
Podríamos decir que el software que menos recorrido tiene a nivel de empresa. Fundada por
un miembro de la Policía de Ontario (Canadá), pero que cuenta con diversas herramientas de
una extraordinaria potencia y versatilidad.
Entre ellas la más conocida y apreciada en el mundo forense es IEF (Internet Evidence
Finder), esta herramienta que fue ideada en un principio para buscar trazas de accesos a la
red, en los volcados de dispositivos de almacenamiento masivo, finalmente ha ido
evolucionando hasta incorporar herramientas de búsqueda de archivos multimedia, datos de
apks y en volcados físicos y backup…es un extraordinario complemento por su rapidez y
sencillez de uso, generando informes en muy poco tiempo.
CURSO ON-LINE
Pero posteriormente aparece en el mercado MAGNET AXIOM, herramienta capaz de

adquirir interpretar y analizar Smartphone, pero de la cual desconocemos su verdadera
potencia, pero si bien es cierto si obedece a la fama que le precede su antecesor IEF sin duda
será una gran herramienta.
Imagen 29. Internet Evidence Finder
4.5 ELCOMSOFT PHONE BREAKER
Este no es un software de extracción, es un software para ruptura de claves, en especial para

los backups de teléfonos BlackBerry de la plataforma RIM y aquí lo más interesante, los
backups de iTunes de los dispositivos iOS.
Nos podemos encontrar un terminal iOS que se encuentre bloqueado imposibilitando el

volcado del mismo, pero si tenemos en nuestro poder un ordenador sobre el que se ha
realizado un backup, podremos estudiarlo con los medios convencionales; o bien si el
terminal no ha sido apagado desde que se realizó el backup, buscaremos el archivo
“manifest.plis”, situado en el backup del ordenador y se lo lanzaremos al UFED Physical
Analyzer de manera que este nos aportaría el pin de acceso al terminal.
Otra opción si el terminal ya ha sido apagado, es buscar el archivo anteriormente citado, y

lanzarlo contra Elcomsoft Phone Breaker pudiendo elegir ataques por diccionario o por
fuerza bruta, el software nos deja configurar múltiples permutaciones de ataque. El software
CURSO ON-LINE
solo viene dotado de serie, con un diccionario en inglés, con lo cual deberíamos buscar en la
red diccionarios para este fin, los cuales son fáciles de encontrar, pudiendo encontrar
diccionarios en todos los idiomas, de fechas, nombres, DNI y así un largo etc.
Imagen 30. Pantalla de ataques
El ataque por fuerza bruta o por diccionarios contra un backup, con una clave que haya sido
puesta a conciencia, es poco probable que sea quebrantada por este software ya que se
necesita mucho tiempo y potencia de cálculo. Con lo cual podríamos realizar un diccionario,
si tenemos más volcados de esta misma persona, (ordenador, pendrives, discos duros
externos, otros teléfonos) tomando las cadenas de texto de todos los volcados y lanzarlas
contra el backup. Este método da buenos resultados, pero no es infalible. Herramientas como
win-hex, que es un visor hexadecimal (forense) nos permitiría realizar este diccionario.
4.6 PC3000 FLASH Y RUSOLUT
Estos softwares de origen ruso, están especializados en la lectura e interpretación de

memorias nand. A diferencia de las eMMC, que ya portan en su interior el controlador, estas
memorias que podríamos denominar como convencionales se ayudan de un chip controlador
externo, que es el que nos ofrece la información almacenada en la memoria de una forma
CURSO ON-LINE
legible. Si este chip controlador se encontrase defectuoso o bien no lo tenemos, debemos

extraer el chip y por medio de estos softwares interpretar el contenido de la memoria, estos
softwares realizarían la función del controlador.
Imagen 31. Componentes PC-3000 Flash
Para el uso de estos softwares es necesaria formación específica y un gran conocimiento en

el campo del funcionamiento de las memorias Nand (a nivel electrónico).
Ambos softwares están dotados de su propio lector, zócalos y software de interpretación o

indexado. Tanto el software como la formación en estos equipos tienen un elevado coste
económico.
Ambos vienen dotados con zócalos para chip monolíticos lo que nos permitiría realizar
lecturas de tarjetas de memoria defectuosas, como ejemplo podríamos poner un a microSD
de un teléfono. Lijando (lápiz de fibra de vidrio) cuidadosamente uno de sus lados podemos
dejar al aire sus pistas de cobre, y los fabricantes del software nos dirán donde realizar las
conexiones para su posterior lectura.
Imagen 32. Detalle de tarjeta microSD tras lijado
CURSO ON-LINE
4.7. CONCLUSIÓN
Como conclusión podemos decir que a la hora de adquirir software para un laboratorio
forense que cuente con medios económicos, lo ideal sería adquirir un conjunto de
herramientas lo más versátil posible y no quedarse solo con una. Evidentemente si solo
podemos adquirir una, nos decantaremos por la más versátil y eficiente (siempre que los
medios económicos lo permitan).

TAF5 DocTecnica UD3

Cargado por

Copyright:

Formatos disponibles

TAF5 DocTecnica UD3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TAF5 DocTecnica UD3

Cargado por

Copyright:

Formatos disponibles

Documentación Técnica

UD3. Técnicas Avanzadas de Adquisición

ACTUALIZACIÓN. Abril 2020

También existe la posibilidad de encontrar terminales que presenten desperfectos o que se

• TDI (Entrada de Datos de Testeo)

Imagen 2. Técnicas de laboratorio forense

Imagen 3. Detalle de los TAPS en PCB

Instalamos el software desde la página del fabricante y procederemos a instalarlo,

Abrimos el software y elegimos el dispositivo deseado. En ese punto iremos a la ayuda y se

Imagen 4. Material de soldadura

Imagen 5. Detalle de las conexiones

Imagen 6. Detalle conexión

Imagen 7. Detalle conexión software

Imagen 8. Detalle proceso del volcado

Si no conocemos la velocidad de trabajo, deberíamos conseguir el datasheet (hoja de

Imagen 9. Detalle taps itag en procesador de un Samsung

Imagen 10. Detalle bloqueo FRP

Este procedimiento una vez se tiene la pericia necesaria, se convierte en un medio de

3.1 MEMORIAS TIPO EMMC Y EMCP

Imagen 11. Detalle BGA

Imagen 12. Memorias eMMC

La mayoría de estos zócalos se encuentran disponibles para su compra online en diversas

Imagen 13. Detalle esquema MMC.

Imagen 14. Detalle socket eMMC

Este método es rápido. Al introducir el zócalo en el lector SD de nuestra estación forense, lo

Imagen 15. Detalle pinout eMMC BGA 153

Imagen 16. Detalle memoria eMCP

eMMC 153/169 0.5mm. eMCP 162/186 0.5mm.

eMCP 221 0.5mm. eMCP 529 0.5mm.

Imagen 17. Detalle sockets eMMC y eMCP

Imagen 18. Detalle líquido removedor de epoxi y detalles epoxi en PCB

Tras la extracción observaremos las condiciones en las que se encuentra el chip, si la

Imagen 20. Cartucho para soldados JBC tipo knife

Imagen 21. Detalle chip eMCP 529 por su anverso y reverso

Una vez tengamos el chip limpio, lo introduciremos en el lector de memorias procediendo a

En este enlace que corresponde a un fabricante de programadores podremos encontrar

Imagen 22. Detalle GPS con daños por impacto

3.2 TERMINALES DAÑADOS POR AGUA

Si recuperamos un terminal de un medio acuático y en particular si se trata de agua de mar,

• Retirar la batería si es posible (el enemigo no es el agua, es la electricidad).

Imagen 23. Detalle daños en PCB por inmersión en agua salada

Si tras desmontar el terminal observamos que está completamente o en su mayor parte

Imagen 24. Bañera de ultrasonidos

Si por el contrario al desmontar el dispositivo no presenta signos evidentes de oxidación o

4.1 OXIGEN FORENSICS

Oxygen Forensics es una empresa puntera dedicada a la exploración avanzada de datos

Imagen 25. Oxygen Forensics

4.2 XRY DE MSAB

MSAB es otro gigante de la tecnología forense, en cuanto a examen y adquisición de

Imagen 26. XRY MSAB

4.3 UFED DE CELLEBRITE

UFED extrae, decodifica y analiza datos de gran cantidad de modelos de Smartphone,

bloqueos es capaz de romper gracias a su gran repertorio de bootloaders modificados para

Cuentas con versiones de laboratorio para instalar su software y hardware sobre un PC

Imagen 27. UFED touch maleta rugerizada

Este hardware/software está dotado de una potente herramienta de indexado y análisis, el

Imagen 28. Physical Analyzer

4.4 MAGNET FORENSIC

Pero posteriormente aparece en el mercado MAGNET AXIOM, herramienta capaz de