Mobile Forensics: Tìm hiểu chế độ EDL trên thiết bị di động

Pháp y số thiết bị di động (Mobile Forensics) đã trở thành một lĩnh vực quan trọng trong điều tra tội phạm và phân tích bằng chứng kỹ thuật số. Nếu bạn là một giám định viên pháp y kỹ thuật số cần vượt qua khóa bảo mật nhanh hơn và trích xuất dữ liệu vật lý từ các thiết bị Android phổ biến sử dụng chip Qualcomm, thì việc hiểu rõ về chế độ EDL là rất quan trọng.

Chế độ EDL là gì?

Chế độ EDL (Emergency Download) là một tính năng phần cứng của vi xử lý Qualcomm, cho phép truy cập cấp thấp vào chipset để phân tích, sửa chữa hoặc nạp lại firmware. Trong lĩnh vực Mobile Forensics, EDL hỗ trợ trích xuất dữ liệu vật lý từ thiết bị, kể cả khi thiết bị bị khóa hoặc gặp lỗi nghiêm trọng.

Ưu điểm của EDL trong Pháp y Di động

• Tốc độ và hiệu quả: EDL thường cho phép trích xuất dữ liệu nhanh hơn so với các kỹ thuật như ISP, JTAG hoặc Chip-off.
• Khả năng truy cập sâu: Một số công cụ pháp y (ví dụ: Cellebrite UFED) có thể tận dụng EDL để vượt qua khóa thiết bị, giúp truy xuất dữ liệu khi các phương pháp vật lý khác không khả thi.
• Tính chủ động: Khi thiết bị xảy ra lỗi khởi động, chipset Qualcomm sẽ tự động chuyển về chế độ EDL. Chuyên viên có thể chủ động tạo lỗi để kích hoạt EDL, phục vụ quá trình trích xuất dữ liệu.

Các cách đưa thiết bị về chế độ EDL

Có nhiều cách để đưa thiết bị về chế độ EDL. Tuy nhiên không phải phương pháp nào cũng áp dụng được trong mọi trường hợp mà còn phải phụ thuộc vào kiểu thiết bị.

1. Phương pháp phần mềm và tổ hợp phím:

• Tổ hợp phím: Giữ đồng thời nút Tăng âm lượng + Giảm âm lượng khi cắm USB (hoặc các tổ hợp khác như Tăng âm lượng + Nguồn, tùy thiết bị). Một số thiết bị có menu cho phép chọn vào EDL.
• ADB: Sử dụng lệnh adb reboot edl trên thiết bị đã mở khóa và bật USB Debugging. Phương pháp này chỉ khả dụng ở các thiết bị đã bật quyền truy cập ADB. 
• Fastboot: Vào fastboot rồi dùng lệnh fastboot oem edl hoặc fastboot reboot edl.
• FTM: Giữ Giảm âm lượng khi cắm USB, thiết bị sẽ vào Factory Test Mode (có thể nhận diện bằng UFED).

2. Phương pháp phần cứng:

• Cáp EDL: Sử dụng cáp chuyên dụng phát tín hiệu để đưa thiết bị vào chế độ EDL.
• Test points: Chạm các điểm test trên mainboard xuống mass khi khởi động (yêu cầu biết sơ đồ mainboard của từng model). Test Points có thể được áp dụng thành công trên nhiều loại thiết bị di động khác nhau, bao gồm cả những thiết bị đã được khai thác thông qua chế độ EDL bằng các phương pháp khác.
• Tạo lỗi eMMC: Áp dụng kỹ thuật tạo lỗi đọc chip eMMC (chạm chân dữ liệu xuống mass tạm thời), buộc thiết bị vào EDL. Kỹ thuật này cần có kiến thức về phần cứng và thực hành chính xác.

Nhận diện thiết bị đã vào EDL Mode

Khi thiết bị vào EDL, màn hình thường tắt hoặc đen hoàn toàn, không có thông báo thay đổi chế độ. Cách nhận diện thiết bị đã vào chế độ EDL qua máy tính:

• Windows:

• • Nếu đã cài đúng driver, thiết bị xuất hiện trong Device Manager với tên “Qualcomm HS-USB QDLoader 9008” hoặc tên tương tự.
  • Nếu chưa có driver, thiết bị sẽ hiển thị là “QHSUSB_Bulk”.

• Kiểm tra mã VID/PID:

• • Thiết bị EDL có mã phần cứng VID/PID [05C6/9008] (có thể xem thuộc tính thiết bị trên Windows hoặc dùng lệnh lsusb trên Linux).

Lưu ý khi sử dụng chế độ EDL

• Không phải tất cả thiết bị Qualcomm đều hỗ trợ hoặc dễ dàng vào EDL, tùy từng model và chính sách nhà sản xuất.
• Ưu tiên sử dụng các phương pháp an toàn, hạn chế rủi ro hỏng hóc thiết bị.
• EDL là một lựa chọn trong nhiều phương án, nên kết hợp linh hoạt với các phương pháp trích xuất dữ liệu khác khi cần thiết.

Tổng kết

Chế độ EDL là một giải pháp quan trọng trong bộ công cụ Mobile Forensics, hỗ trợ kỹ thuật viên và điều tra viên truy xuất dữ liệu trên các thiết bị Qualcomm khi các phương pháp logic không khả thi. Việc nắm vững lý thuyết và thực hành thao tác với EDL giúp nâng cao hiệu quả trong quá trình điều tra số.