Kỹ thuật điều tra pháp y di động nâng cao: Tổng quan về JTAG, ISP và Chip-Off

2025-08-27 Bài viết chia sẻ thông tin, Điều tra dữ liệu

Trong lĩnh vực điều tra pháp y thiết bị di động, việc xử lý các thiết bị không hỗ trợ trích xuất qua chế độ EDL (Emergency Download Mode) – đặc biệt khi thiết bị bị mã hóa – đặt ra những thách thức lớn. Khi các phương pháp phần mềm không khả thi, các kỹ thuật trích xuất phần cứng như JTAG, ISPChip-Off trở nên vô cùng quan trọng. Mặc dù các phương pháp này không thể tự động giải mã dữ liệu được mã hóa, chúng cung cấp các cách tiếp cận vật lý để trích xuất dữ liệu – đặc biệt trong những tình huống tưởng chừng như bế tắc.

*** Lưu ý quan trọng ***

Các kỹ thuật JTAG, ISPChip-Off đều là những phương pháp xâm lấn, phức tạp và đòi hỏi chuyên môn cao. Chúng chỉ nên được áp dụng khi mọi phương pháp phần mềm khác đã thất bại. Ngoài ra, trong bối cảnh pháp lý, việc áp dụng các kỹ thuật này phải được ghi chép chi tiết, đảm bảo chuỗi giám sát bằng chứng để dữ liệu trích xuất có giá trị pháp lý tại tòa.

 

jtag-forensics

1. JTAG – Truy cập qua cổng kiểm thử phần cứng

  • Khái niệm:

JTAG (Joint Test Action Group) là giao thức truy cập bộ vi xử lý thông qua các cổng TAP (Test Access Ports), vốn được thiết kế để kiểm tra và sửa chữa phần cứng trong nhà máy. Trong điều tra số, JTAG trở thành một “cửa hậu kỹ thuật” để trích xuất bộ nhớ từ các thiết bị không khởi động được.

  • Ưu điểm:

Truy xuất được bộ nhớ dù thiết bị không hoạt động

– Ít rủi ro hơn so với kỹ thuật Chip-Off

Phù hợp với thiết bị dùng bộ nhớ nhỏ, Android phiên bản cũ (chưa mã hóa)

  • Hạn chế:

Không phải thiết bị nào cũng hỗ trợ JTAG

Yêu cầu phần cứng hỗ trợ (hộp RIFF Box, Octoplus, v.v.)

 

Ví dụ: Thiết bị Samsung Convoy 4 SMB960V dùng chip QSC6185 (512MB RAM) là ứng viên lý tưởng cho JTAG, không phù hợp với ISP hoặc Chip-Off do dung lượng thấp và không mã hóa.

 

2. ISP – Truy xuất dữ liệu trực tiếp từ bộ nhớ eMMC/eMCP

  • Khái niệm:

ISP (In-System Programming) cho phép truy cập trực tiếp chip nhớ mà không cần tương tác với CPU, nhờ đó vẫn hoạt động ngay cả khi vi xử lý bị hỏng.

  • Nguyên lý hoạt động:

Kết nối qua các điểm:

– D0 (Data), CMD (Command), CLK (Clock), GND (Ground)

– Cấp nguồn qua VCC/VCCQ hoặc USB

– Tăng tốc bằng các đường D1–D7 nếu hỗ trợ

  • Ưu điểm:

Không phụ thuộc CPU

Không phá hủy thiết bị

Hoạt động ở trạng thái tắt nguồn

  • Hạn chế:

Nếu thiết bị mã hóa dữ liệu, kết quả trích xuất sẽ vẫn bị mã hóa

Việc định vị và hàn điểm ISP yêu cầu kỹ năng và kính hiển vi

  • ISP và EDL – Mối liên hệ kỹ thuật

Các điểm ISP như D0–D7, CMD, CLK thực chất được nối với CPU. Điều này cho phép sử dụng ISP để gây lỗi eMMC (short chân) – đưa thiết bị vào chế độ EDL trong một số trường hợp.

Ví dụ: Dòng chip Qualcomm MSM8917 cho phép short D0 để kích hoạt EDL. Tuy nhiên, các thiết bị này luôn mã hóa dữ liệu, do đó trích xuất qua ISP vẫn không giải mã được nếu không có passcode.

 

3. Chip-Off – Giải pháp cuối cùng khi mọi phương án thất bại

  • Khái niệm:

Chip-Off là kỹ thuật gỡ bỏ hoàn toàn chip nhớ (eMMC/eMCP) khỏi mainboard để trích xuất dữ liệu bằng thiết bị chuyên dụng.

  • Khi nào cần Chip-Off:

Thiết bị bị cháy, ngập nước, hư hỏng nặng

Không thể xác định điểm ISP

CPU chết, main không hoạt động

  • Nhược điểm:

– Phá hủy thiết bị hoàn toàn

Dữ liệu vẫn bị mã hóa nếu không có khóa hoặc môi trường phần cứng gốc

Không thể giải mã nếu khóa liên kết với phần cứng (TPM, TrustZone…)

 

4. Kết luận tổng thể cho chuỗi kỹ thuật EDL/JTAG/ISP/Chip-Off

Trong lĩnh vực pháp y kỹ thuật số di động, mỗi thiết bị là một bài toán riêng biệt. Từ việc đánh giá bộ xử lý, trạng thái mã hóa, mức độ hư hại đến sự hỗ trợ của công cụ (UFED, flasher box…), người điều tra cần có một lộ trình kỹ thuật rõ ràng:

Thứ tự ưu tiên Kỹ thuật Điều kiện áp dụng
1 EDL Thiết bị dùng chip Qualcomm, có thể vào chế độ EDL
2 JTAG Thiết bị cũ, bộ nhớ nhỏ, không mã hóa
3 ISP CPU lỗi, có thể xác định điểm ISP
4 Chip-Off Hư hỏng nặng, không còn phương án nào khác

Việc nắm vững và lựa chọn đúng kỹ thuật trong từng trường hợp không chỉ giúp tối đa hóa khả năng khôi phục dữ liệu, mà còn đảm bảo tính pháp lý trong quá trình điều tra. Đội ngũ điều tra viên cần trang bị kiến thức, kỹ năng thực tế và hệ thống thiết bị chuyên dụng để vận dụng linh hoạt các kỹ thuật EDL, JTAG, ISP và Chip-Off – những công cụ quan trọng trong điều tra pháp y thiết bị di động hiện đại.

Từ khóa:

Chia sẻ:

Bài viết liên quan

tep-tin-bi-loi-corrupted-file
22Aug

Phần mềm khôi phục dữ liệu có thể sửa tệp tin bị lỗi không?

Khi gặp sự cố mất dữ liệu, nhiều người thường nghĩ ngay đến các phần mềm khôi phục dữ... read more

digital-forensics
15Aug

Liên kết yếu trong hệ sinh thái: Cách phá vỡ một thiết bị được bảo mật

Khi một giám định viên pháp y kỹ thuật số tiếp nhận một thiết bị được mã hóa –... read more

bitlocker
13Aug

Hướng dẫn xử lý khi BitLocker khiến bạn mất quyền truy cập dữ liệu

Trong thời đại số, các thiết bị như máy tính, ổ cứng gắn ngoài, USB hay thẻ nhớ được... read more

ssd-TRIM
11Aug

Ý nghĩa thực sự của TRIM, DRAT và DZAT trong giám định pháp y ổ SSD

Trong vài năm trở lại đây, ổ cứng thể rắn (SSD) đang có xu hướng dần thay thế ổ... read more

khoi-phuc-du-lieu
08Aug

Khôi phục dữ liệu ổ HDD 4TB đã được can thiệp trước đó

Tuần qua, HTI Services tiếp nhận một ổ cứng HDD Seagate dung lượng 4TB từ khách hàng trong tình... read more

format-o-cung
06Aug

Cứu dữ liệu ổ cứng format nhầm

  1. Thao tác format (định dạng) ổ cứng sẽ tác động thế nào tới dữ liệu của bạn? Trong hầu... read more

0928765688