Contact

JTAG, Chip-off en ISP – de verschillen

JTAG, Chip-off en ISP – de verschillen

Soms moet je dieper graven om aan de data van een smartphone te geraken. Met tools als XRY, UFED en Oxygen kom je een eind, maar de nieuwste toestellen zijn zo goed beveiligd dat je een extra stap moet nemen om alsnog die informatie te vinden die je nodig hebt in het kader van een onderzoek.

Die volgende stap is JTAG gevolgd door Chip-off en tenslotte ISP. Er is de laatste tijd veel belangstelling voor deze technologie. Om een goed beeld te krijgen van de toepassing van deze technieken inclusief de kosten die er mee gepaard gaan, de trainings-mogelijkheden en de benodigde apparatuur onderstaand een korte omschrijving van de verschillende mogelijkheden.

Joint Test Action Group (JTAG) is een standaard protocol voor het testen van PCBs (printplaten) die van de lopende band komen. JTAG Forensics is een proces dat gebruik maakt van dezelfde methodiek, waarbij de ruwe data van de geheugenchip wordt verkregen door bepaalde commando’s die aan de processor worden gegeven. Om dit te bereiken, dient men de Test Access Ports (TAPs) van de printplaat aan te sluiten via een molex-kabel, een z.g. jig of door deze te solderen en te verbinden aan een JTAG kastje zoals een Riff box. Vervolgens kan volledige toegang worden verkregen tot het apparaat en kan er een kopie van de data worden gemaakt. Dit is een z.g. niet-destructieve methode.

Chip-off Forensics is het proces waarbij een BGA memory chip wordt verwijderd van een mobiel apparaat en zodanig geprepareerd dat een lezer de ruwe data kan verkrijgen die nodig is om een fysieke dump te maken van de data. Hiervoor heb je een chiplezer zoals de UP 828P programmer of een SIREDA test socket  nodig en vaak ook nog per chip een aparte adapter. Chip-off is in tegenstelling tot JTAG WEL destructief, het betreffende apparaat is na deze procedure niet meer te gebruiken. Veel digitaal rechercheurs starten om die reden eerst met JTAG of ISP.

In-System Programming (ISP) Door gebruik te maken van een eMMC of eMCP Flash memory chip kun je het volledige geheugen van een apparaat uitlezen. Zo wordt ISP toegepast in Forensics. Er worden standaard twee soorten geheugen gebruikt in de nieuwste smartphones: eMMC en eMCP. Met behulp van de ISP technologie kan een complete datadump worden gemaakt zonder daarbij de chip van het apparaat te verwijderen en het apparaat onbruikbaar te maken. Een multimeter is noodzakelijk om te bepalen welke connectoren de geheugenchip aansturen.

DataExpert werkt samen met de experts van Teel Technologies in de V.S. en Canada. Teel heeft een compleet overzicht samengesteld van de technieken, de training en de benodigdheden.  Neem voor meer informatie of prijzen contact op met DataExpert.