Forum: PC Hard- und Software Datenrettung Handy Tablet

Mein_erstes_Mal schrieb:
> Ist der Speicher von diesen Geräten verschlüsselt?

Hängt vom verwendeten Betriebssystem ab. Ab einer bestimmten 
Android-Version wurd’s zwangsweise verschlüsselt, davor war es optional. 
Wie es mit Windows und iOS aussieht, weiß ich allerdings nicht.

Jack V. schrieb:
> Ab einer bestimmten
> Android-Version wurd’s zwangsweise verschlüsselt

Was bedeutet das genau? Kommt da nicht mehr an die Daten von Extern ran?

Mein_erstes_Mal schrieb:
> Kommt da nicht mehr an die Daten von Extern ran?

Genau dies bedeutet es. Ohne Kooperation des noch funktionsfähigen 
Gerätes kannst du es vergessen.

Mein_erstes_Mal schrieb:
> Sind die Chips mehr oder weniger Standard Zeug oder ist bei jedem Gerät
> was anderes verbaut?

Bei einfachen Geräten ist das eMMC. In besseren Geräten UFS.

Mein_erstes_Mal schrieb:
> Hat man Chancen, wenn man den Chip ausgelötet, dass man an die Daten zB
> Bilder dran kommt?

Nur mit erheblichem Aufwand. So wie du fragst, wirst du dazu die Dienste 
einer Fachfirma in Anspruch nehmen müssen. Das kosts einige tausend 
Euro.

Mit Produkten vom Mediamarkt geht es jedenfalls nicht. Man kann die 
Chips nicht einfach entnehmen und in einen Kartenleser stecken.

(prx) A. K. schrieb:
> Genau dies bedeutet es. Ohne Kooperation des noch funktionsfähigen
> Gerätes kannst du es vergessen.

Und zwar grundsätzlich des Ursprungsgerätes - Daten auf einem 
identischen Gerät entschlüsseln funktioniert nicht. Das kann auch keine 
Fachfirma.

Von was reden wir denn hier, Samsung? Was ist denn kaputt an dem Tablet, 
Display?

(prx) A. K. schrieb:
> Bei einfachen Geräten ist das eMMC. In besseren Geräten UFS.

Haben die Emmc so ähnlich wie SD Karten ein standard interface?

Alexander schrieb:
> Von was reden wir denn hier, Samsung? Was ist denn kaputt an dem Tablet,
> Display?

Nein ich habe wie oben erwähnt kein konkretes Problem.
Finde das Thema spannend und ich interessiere mich für die Tools

Mein_erstes_Mal schrieb:
> Haben die Emmc so ähnlich wie SD Karten ein standard interface?

https://en.wikipedia.org/wiki/MultiMediaCard

Mein_erstes_Mal schrieb:
> Haben die Emmc so ähnlich wie SD Karten ein standard interface?

Elektrisch ja. Das sind halt Chips im BGA-Gehäuse. Hast Du sowas schon 
mal gesehen?

Du kannst aber davon ausgehen, daß jedes sich auch nur vage 
ernstnehmende System mit Verschlüsselung arbeitet, d.h. Du exakt gar 
keine Chance hast, irgendwo irgendwas auszulesen.

Mein_erstes_Mal schrieb:
> ich interessiere mich für die Tools

https://en.wikipedia.org/wiki/Cellebrite_UFED

Ja ja die Cellebrite Experten :D das Unternehmen das vom Signal-Gründer 
gehackt wurde, nachdem die fälschlicherweise behaupteten sie könnten 
Signal hacken ;)

https://arstechnica.com/information-technology/2021/04/in-epic-hack-signal-developer-turns-the-tables-on-forensics-firm-cellebrite

Fallt nicht auf solche Datenrettungsfirmen rein. Es ist schlicht 
unmöglich mit Chip-off oder ähnlichen Methoden die Daten zu 
entschlüsseln. Ist das Gerät defekt, besteht die einzige Hoffnung auf 
Datenrettung darin, es irgendwie zum booten zu bringen, und zwar 
mindestens bis da hin wo man es mit seinem Muster/PIN/Passwort 
entsperren kann, sei es nun über Eingabe oder Skript.

Die alte FDE Verschlüsselung funktioniert ggf. sogar ohne Passwort, aber 
auch da gilt, das Gerät muss bootfähig sein.

https://blog.elcomsoft.com/2018/05/demystifying-android-physical-acquisition

Die SPU ist so gebaut dass selbst ein physischer Extraktionsversuch des 
Masterkeys, den man für eine Offline-Entschlüsselung benötigen würde, 
nicht zerstörungsfrei ablaufen kann.

https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/CC/System_on_a_Chip_SOC/1045.html

Harald K. schrieb:
> Mein_erstes_Mal schrieb:
>> Haben die Emmc so ähnlich wie SD Karten ein standard interface?
>
> Elektrisch ja. Das sind halt Chips im BGA-Gehäuse. Hast Du sowas schon
> mal gesehen?
>
> Du kannst aber davon ausgehen, daß jedes sich auch nur vage
> ernstnehmende System mit Verschlüsselung arbeitet, d.h. Du exakt gar
> keine Chance hast, irgendwo irgendwas auszulesen.

hmm schade hätte gern mal damit gespielt

Mein_erstes_Mal schrieb:
> schade hätte gern mal damit gespielt

Lerne erst mal BGA Chips zu löten.

Steve van de Grens schrieb:
> Mein_erstes_Mal schrieb:
>> schade hätte gern mal damit gespielt
>
> Lerne erst mal BGA Chips zu löten.

Wer sagt dir das ich das nicht kann?

> Haben die Emmc so ähnlich wie SD Karten ein standard interface?

Ja, haben sie. Einfach abloeten, umdrehen, Kabel dran und
dann kannst du sie wie eine SD-Karte auslesen. ODer sagen
wir mal lieber wie eine MMC Karte. Hab ich vor kurzem erst gemacht.
Irgendwo muss ich doch noch ein Bild haben, ah ja, da siehe Anhang.

Ach so, diese Karten haben ein paar versteckte Partitionen und damit ist 
nicht das gemeint was die meisten hier unter Partitionen verstehen. .-) 
Windowsuser muessen dann leider draussen bleiben, aber ein RAspberry 
kann die anzeigen und darauf zugreifen. ICh hab die Karte dann einfach 
an den Anschluss meines 400er geloetet und den vorher so eingestellt das 
er von USB-Stick bootet.

Danach kannst du die Karte komplett auslesen.

Allerdings hast du danach ein Partition die dein Handy verschluesselt 
hast.
Aber die Jungen von heute sind ja alle coole Hacker...
Viel Glueck. :-D

Vanye

Frage an die Spezialisten:
Wo sind den die Schwätzer die mit "kein Backup - kein Mitleid" immer 
kommen?

Vanye R. schrieb:
> Ja, haben sie. Einfach abloeten, umdrehen, Kabel dran und
> dann kannst du sie wie eine SD-Karte auslesen.

Wozu die Mühe? Da viele Smartphones bereits einen USB-Anschluss haben, 
geht das auch Plug and Play. Stichwort EDL oder BROM mode.

Jens K. schrieb:
> Frage an die Spezialisten:
> Wo sind den die Schwätzer die mit "kein Backup - kein Mitleid" immer
> kommen?

Backups sind cloud-basiert - so man sie denn braucht. Offline Backup 
geht nur im entschlüsselten Zustand, dafür gibt es Migrate oder TWRP. 
Besser noch, erst gar keine Daten auf dem Gerät hinterlassen.

Jens K. schrieb:
> Wo sind den die Schwätzer die mit "kein Backup - kein Mitleid" immer
> kommen?

Wozu? TE schrieb doch eindeutig, dass er keinen akuten Bedarf an 
Datenrettung hat. Eingangsbeitrag nicht gelesen?

Jack V. schrieb:
> Jens K. schrieb:
>> Wo sind den die Schwätzer die mit "kein Backup - kein Mitleid" immer
>> kommen?
>
> Wozu? TE schrieb doch eindeutig, dass er keinen akuten Bedarf an
> Datenrettung hat. Eingangsbeitrag nicht gelesen?

Doch, aber ich frage sicherheitshalber nur. Nicht dass sich jemand 
vernachlässigt fühlt.

> Wo sind den die Schwätzer die mit "kein Backup - kein Mitleid" immer
> kommen?

Die sind bei Handys nicht notwendig da beide Betriebssystemhersteller 
schon maximale Datenstaubsauger sind, wuerde niemand auf die Idee kommen 
Daten von Bedeutung auf einem Handy zu haben. .-)


> Wozu die Mühe? Da viele Smartphones bereits einen USB-Anschluss haben,
> geht das auch Plug and Play. Stichwort EDL oder BROM mode.

Kommt halt drauf an wie kaputt so kaputt halt ist. Sektorweise auslesen 
geht halt noch wenn eine Kiste nicht mehr bootet.

Und soviel Muehe ist das ja garnicht. Von den 153Pinnen am BGA sind die 
meisten N.C. Man muss wirklich nur die paar Kabel oben aus dem Bild 
anloeten. Lediglich die 0402er wuerde ich direkt an die Balls loeten 
weil solche Chips schon starke Stromaenderungen haben und man will ja 
kein groundbounce.

Oh..und wo wir gerade von Schwaetzer reden. Die Kneipenbundestrainer 
hier erzaehlen mir doch immer man braucht keine 0.2er Loetspitze. Die 
gehen da sicher einmal mit der fetten Hohlspitze in ihrem JBC rueber und 
alles fertig. :-D

Vanye

Vanye R. schrieb:
> Die gehen da sicher einmal mit der fetten Hohlspitze in ihrem JBC rueber
> und alles fertig

mit bloßem Auge bei Kerzenlicht.

Ich hatte mal ein Handy mit defekter USB Buchse, es lief aber noch 
speziell Bluetooth und Wifi. Nun gibt es bei Samsung ein Kopier Modus, 
Zwei Geraete aufeinander legen, kopieren anwerfen .. und das Geraet ist 
quasi geklont. Die App heisst Smart Switch und ist Teil der 
Installation.

Vanye R. schrieb:
>> Haben die Emmc so ähnlich wie SD Karten ein standard interface?
>
> Ja, haben sie. Einfach abloeten, umdrehen, Kabel dran und
> dann kannst du sie wie eine SD-Karte auslesen. ODer sagen
> wir mal lieber wie eine MMC Karte. Hab ich vor kurzem erst gemacht.
> Irgendwo muss ich doch noch ein Bild haben, ah ja, da siehe Anhang.
>

So in etwa habe ich mir das vorgestellt.

> Ach so, diese Karten haben ein paar versteckte Partitionen und damit ist
> nicht das gemeint was die meisten hier unter Partitionen verstehen. .-)
> Windowsuser muessen dann leider draussen bleiben, aber ein RAspberry
> kann die anzeigen und darauf zugreifen. ICh hab die Karte dann einfach
> an den Anschluss meines 400er geloetet und den vorher so eingestellt das
> er von USB-Stick bootet.
Was ist ein 400er? Auf dem Bild sehe ich das du die Anschlüße an einen 
Sd Adabter gelötet. Wäre ein Sd Kartenleser an einem Linux System 
ausreichend?

>
> Danach kannst du die Karte komplett auslesen.
>
> Allerdings hast du danach ein Partition die dein Handy verschluesselt
> hast.
> Aber die Jungen von heute sind ja alle coole Hacker...
> Viel Glueck. :-D
>
> Vanye
Glaube das möchte ich mal nach bauen
Danke

Alexander schrieb:
> Vanye R. schrieb:
>> Die gehen da sicher einmal mit der fetten Hohlspitze in ihrem JBC rueber
>> und alles fertig
>
> mit bloßem Auge bei Kerzenlicht.

Lach ich brauch glaub ich eine Sehhilfe dazu  .🤔

Purzel H. schrieb:
> Ich hatte mal ein Handy mit defekter USB Buchse, es lief aber noch
> speziell Bluetooth und Wifi. Nun gibt es bei Samsung ein Kopier Modus,
> Zwei Geraete aufeinander legen, kopieren anwerfen .. und das Geraet ist
> quasi geklont. Die App heisst Smart Switch und ist Teil der
> Installation.

Danke für den Tipp.
Dennoch brauche ich es nicht um mein Handy wieder herzustellen sondern 
um zu Spielen.
Meine Daten sind Save.

Dann solltest Du als erstes mal die Verschlüsselung in der fstab 
ausschalten und die userdata Partition formatieren. Eher brauchst Du 
nicht anfangen zu spielen.

Mein_erstes_Mal schrieb:
> sondern um zu Spielen.

Dann reicht dir doch auch ein Image vom Flash aus dem Handy.

Das ließ sich (früher™ zumindest) am Linux-PC auch mounten, wenn man den 
devicemapper mit passendem losetup/cryptsetup gefüttert hat.
Der Entschlüsselungskey für das Dateisystem ließ sich im Klartext 
auslesen, wenn das Telefon gerootet und entsperrt war.

Εrnst B. schrieb:
> Der Entschlüsselungskey für das Dateisystem ließ sich im Klartext
> auslesen,

Εrnst B. schrieb:
> früher™

als es noch scrypt ohne Keymaster und FDE gab, so bis Android 5.0.2 
vielleicht?

Alexander schrieb:
> als es noch scrypt ohne Keymaster und FDE gab, so bis Android 5.0.2
> vielleicht?

Ist schon sehr lange her, war ein "Samsung Galaxy S" IIRC oder zumindest 
was aus der Ära. Also definitiv vor Android 5.

> Was ist ein 400er?

https://www.berrybase.de/raspberry-pi-400-de

Der hat den Vorteil das der bei mir schon rumlag und direkten Zugriff 
auf den Speicherslot fuer den Kernel bietet. Der kann also mehr wie ein 
einfacher Kartenleser!

>  Auf dem Bild sehe ich das du die Anschlüße an einen
>  Sd Adabter gelötet. Wäre ein Sd Kartenleser an einem Linux System
>  ausreichend?

Wenn man nicht an die versteckten Boot-Partitionen einer MMC muss dann 
ist das ausreichend. Damit sieht man dann die normalen Partitionen die 
man halt so kennt.

Vanye

Vanye R. schrieb:
> Speicherslot fuer den Kernel bietet.

Der Kernel liegt ganz normal auf dem Speicher der eMMC-"Karte". Da kommt 
jeder Kartenleser dran. Allerdings nicht als Datei sondern 
herstellerspezifisch in einer bestimmten Partition. Und das sind keine 
MBR oder GPT Partitionen sondern ein proprietäres Format. Kann man mit 
Windows also höchstens im HexEditor auslesen, unter Linux geht es aber 
prinzipiell mit jedem Kartenleser, sofern dieser einen funktionierenden 
Linux-Treiber hat. Mit dd kann man die einzelnen Partitionen 
extrahieren.

Manche billige Geräte haben allerdings keinen eMMC-Speicher sondern 
NAND-Flash. Der Treiber dazu ist proprietär sowohl im ROM-Bootloader, 
2nd Stage Bootloader als auch im Kernel implementiert. Dieser Speicher 
präsentiert sich nicht als großer Block an Bytes, sondern die Software 
muss das Wear-Leveling machen. Da gibt es dann spezielle Bereiche für 
Bootloader und manche Konfigurationen. Das kann man nicht so einfach 
auslesen - wenn man ein Abbild des Speichers hat, muss man den binären 
Kernel Treiber ("Flash Translation Layer") reverse engineeren um die 
Partitionen auslesen zu können.

Aber man muss bekräftigen: Die Nutzerdaten sind verschlüsselt. Der 
Schlüssel liegt in der Secure Enclave. Der Zugriff läuft über TrustZone. 
Da kommt man nicht ran ohne das Gerät normal zu booten und zu 
Entsperren(!!). Ist euch schon mal aufgefallen dass bei Android, beim 
Kalt-Start, vor der erstmaligen Eingabe des Entsperrcodes, noch 
keinerlei individuelle Dinge dargestellt werden? Keine Notifications, 
keine WiFi-Verbindung, kein Hintergrund... Weil alle diese Dinge in den 
Nutzerdaten konfiguriert sind, und ohne Entsperrcode kann Android die 
nicht entschlüsseln.

Zumindest sollte es so sein. MIUI hat begonnen das aufzuweichen, dort 
wurde FBE Verschlüsselung teilweise ohne Zugabe der PIN implementiert. 
Die PIN Abfrage zur Entschlüsselung wird nur vorgegaukelt. Andere 
Hersteller (nicht nur chinesischer Marken) werden dem Beispiel folgen. 
Firmen wie Cellebrite wollen dem Staat schließlich auch künftig ihre 
Dienste anbieten.

> Der Kernel liegt ganz normal auf dem Speicher der eMMC-"Karte". Da kommt
> jeder Kartenleser dran.

Du hast mich falsch verstanden. Ich rede nicht von den Daten auf der 
eMMC Karte. Ich meine den Linux-Kernel auf dem Raspberry. Der hat auf 
seinen integrierten Kartenleser einen besseren Zugriff als ein normales 
Linux ueber einen USB-Kartenleser und es gibt ein spezielles Lowlevel 
Programm (mmc) mit der du Karteninformationen auslesen oder aendern 
kannst. Schreibschutz setzen, Karte von MLC auf SLC FLash umschalten 
usw.

> Und das sind keine MBR oder GPT Partitionen sondern ein proprietäres
> Format. Kann man mit Windows also höchstens im HexEditor auslesen,
> unter Linux geht es aber prinzipiell mit jedem Kartenleser, sofern
> dieser einen funktionierenden Linux-Treiber hat. Mit dd kann man
> die einzelnen Partitionen extrahieren.

Du redest hier von den normalen Partitionen worueber du dann
ueber /dev/sdx zugreifen kannst.

Der Raspi bietetet dir aber noch /dev/mmcblk0boot0 und /dev/mmcblk0boot1 
an.
Also die versteckten "Partitionen" einer eMMC. Du kannst auch
den Schreibschutz dafuer aufheben:
echo 0 > /sys/block/mmcblk0boot1/force_ro
oder wieder herstellen:
echo 1 > /sys/block/mmcblk0boot1/force_ro
echo 1 > /sys/block/mmcblk0boot0/force_ro

Und es gibt mit "mmc" ein spezielles Programm mit der du die eMMC Karte 
"bearbeiten" kannst.
https://docs.kernel.org/driver-api/mmc/mmc-tools.html

> Da gibt es dann spezielle Bereiche für Bootloader und
> manche Konfigurationen. Das kann man nicht so einfach auslesen

Doch, mit einem Raspberry schon. Mit der Einschraenkung allerdings das 
du fuer manche Zugriffe einen Schluessel brauchst den man bei einer neue 
eMMC einmalig setzen kann. Den hast du natuerlich bei einer 
ausgeloeteten Karte aus einem Handy eher nicht.

> Aber man muss bekräftigen: Die Nutzerdaten sind verschlüsselt.

Korrekt, aber das wurde ja schon mehrfach gesagt.

> Der Schlüssel liegt in der Secure Enclave.

Ich denke mal der wird in einer der versteckten Speicherbereich der eMMC 
liegen und ja, dafuer wird man dann den Schluessel fuer diesen 
Speicherblock brauchen. Bei Sony konnte man den anfordern und die senden 
ihn dir dann zu. Ich glaube andere Hersteller sind da aber 
zugeknoepfter.
Mein Sony Handy sagt dann beim booten immer sinngemaess: Oh, der
Bootblock ist aufgeschlossen, das ist aber nicht gut, ob ich das denn 
nicht mal wieder aendern will?" :-D

Vanye

Der Schlüssel liegt in der (SPU) Secure Processing Unit und die Hashes 
im (RPMB) Replay Protected Memory. Da kommst Du auch bei entsperrtem 
Bootloader nicht ran.