Biuro Ekspertyz Sądowych jakość opinii

  • przygotowywana w zespołach
  • wydawana przez biegłego specjalistę z wieloletnim doświadczeniem
  • przy wykorzystywaniu wysokiej klasy zaplecza technologicznego

ODZYSKIWANIE USUNIĘTYCH WIADOMOŚCI SMS

O możliwościach odzysku skasowanych wiadomości tekstowych SMS powstało w Internecie wiele mitów i legend.  Faktem jest, że sami producenci oprogramowania (głównie komercyjnego) reklamują swoje aplikacje jako narzędzia pozwalające na odczyt skasowanych wiadomości SMS. Różnego typu serwisy internetowe przekonują w swoich artykułach, iż wystarczy skomunikować dowolny telefon z komputerem, pobrać oprogramowanie w wersji trial, uruchomić i po kilku chwilach wyświetli się lista wszystkich skasowanych wiadomości SMS. Niestety – nie jest to prawdą. Odzysk skasowanych wiadomości SMS jest czynnością skomplikowaną, czasem długotrwałą – a metody publikowane w Internecie pozostają przeważnie nieskuteczne.

 

Z grubsza, procedura odzyskiwania skasowanych danych (nie tylko wiadomości SMS) wykonywana jest w dwóch krokach:

  1. Pozyskanie danych z analizowanego urządzenia telefonicznego (zwane też zabezpieczeniem lub ekstrakcją).
  2. Dekodowanie pozyskanych danych, połączone z odzyskiwaniem skasowanych informacji.

 

W przypadku popularnych, mobilnych systemów operacyjnych, dane w postaci wiadomości SMS magazynowane są w odpowiednich plikach bazodanowych, znajdujących się w stosownych lokalizacjach, w folderach systemowych pamięci wewnętrznej urządzenia:

com.android.providers.telephony/mmssms.db – dla systemu operacyjnego Google Android,

Library/SMS/sms.db – dla systemu operacyjnego  Apple iOS,

Users/WPCOMMSERVICES/APPDATA/Local/Unistore/Store.vol – dla Windows Phone 8,

System/settings/var/db/text_messaging/messages – dla Blackberry OS 10.

 

Aby odzyskać skasowane wiadomości SMS, teoretycznie wystarczy więc dokonać ekstrakcji ww. plików (w zależności od systemu operacyjnego kontrolującego dany smartfon) oraz zdekodowania informacji w nich zawartych za pomocą jednej z wielu aplikacji do przeglądania plików SQLite. Już sama ekstrakcja wymagać będzie ponad standardowej wiedzy z zakresu użytkowania urządzeń mobilnych. Wymienione pliki, są chronionymi plikami systemu operacyjnego i użytkownik nie uzyska do nich dostępu poprzez systemowy manager plików czy po podłączeniu telefonu do komputera. Dostęp do ww. plików możliwy będzie dopiero po przeprowadzeniu procesu rootowania (Android) lub jailbreak (iOS) ewentualnie po wykonaniu pełnego backupu danych (Blackberry OS – ale w tym przypadku konieczne będzie również wykorzystanie narzędzi pozwalających na ekstrakcję plików bazodanowych z pliku backupu .bbb).

 

Nasuwa się również pytanie: czy operacje przeprowadzone na pliku bazodanowym pozwolą na odzyskanie wszystkich skasowanych danych? Niestety nie. Celem przeprowadzenia pełnego odzyskiwania skasowanych danych, konieczne jest np. odzyskanie wcześniejszych wersji omawianych plików bazodanowych. Jest to konieczne, gdy użytkownik skasował wiadomości SMS, a następnie przywrócił uprzednio wykonaną kopię bezpieczeństwa. Ślad po skasowanych wiadomościach SMS oraz częściowo ich treść, mogą pojawić się w innych plikach bazodanowych lub plikach przechowujących rejestry systemowe. W końcu w pamięci wewnętrznej mogą być przechowywane pliki backupu zawierające poprzednie wersje plików magazynujących wiadomości SMS, a treść wiadomości SMS mogła być zabezpieczana za pomocą zainstalowanego w systemie oprogramowania firm trzecich.

 

Widok okna programu UFED Physical Analyzer z widocznymi, ujawnionymi wiadomościami SMS. W pierwszej kolumnie widoczna jest ilość duplikacji rekordu w ramach przeanalizowanych plików bazodanowych. To pozostałość po skasowanej, wcześniejszej wersji pliku bazodanowego mmssms.db. Odzyskanie wcześniejszych wersji plików bazodanowych możliwe jest tylko w przypadku wykonania pozyskania fizycznego danych. Sama analiza pojedynczego pliku bazodanowego (pozyskanie systemu plików) nie pozwoli na ujawnienie tego typu rekordów

 Widok okna programu UFED Physical Analyzer

 

Pełna usługa odzyskiwania danych, powinna więc uwzględniać również takie scenariusze. Dlatego w naszym laboratorium, preferowaną metodą pozyskania danych z telefonu komórkowego, jest wykonanie pełnego pozyskania fizycznego danych zapisanych w pamięci wewnętrznej urządzenia. Pozyskanie fizyczne polega na wykonaniu kopii binarnej pamięci wewnętrznej urządzenia, czyli wykonania jej kopi bit po bicie (wynikiem jest obraz pamięci zawierający identyczny układ zer i jedynek jak na materiale źródłowym). W przypadku przekazanych do badania urządzeń dążymy do wykonania takiej właśnie kopii binarnej, która dopiero staje się przedmiotem dalszych badań i analiz.

 

1. Metody pozyskiwania fizycznego danych

Metody pozyskiwania fizycznego danych, podzielić można na metody nieinwazyjne i inwazyjne. Metoda nieinwazyjna – polega na zabezpieczeniu danych bez ingerencji w podzespoły elektroniczne oraz konstrukcję urządzenia mobilnego. Metoda inwazyjna polega na wykonaniu bezpośredniego odczytu zawartości kości pamięci przy wykorzystaniu interfejsów diagnostycznych lub po wylutowaniu układu z płyty głównej.

 

Metody nieinwazyjne, podzielić można również na takie które nie wymagają uruchomienia urządzenia oraz na takie w przypadku których urządzenie musi zostać uruchomione, a w ustawieniach systemowych wprowadzone odpowiednie zmiany (m.in. aktywacja opcji deweloperskich i debugowania USB).

 

Na początek omówione zostaną metody nieinwazyjne, niewymagające uruchomienia urządzenia. Zaliczamy do nich:

  1. Pozyskanie fizyczne danych po wprowadzeniu urządzenia w tryb programu rozruchowego (np. Samsung), tryb pobierania (np. LG lub Huawei) czy tryb serwisowy (np. HTC).
  2. Pozyskanie fizyczne danych przy użyciu urządzenia serwisowego i exploita, z pominięciem bootloadera (np. urządzenia z chipsetem MediaTek).
  3. Pozyskanie fizyczne danych przy użyciu urządzenia serwisowego i odpowiednich kabli typu GPG.

Pozyskanie fizyczne danych z telefonu Nokia 206, przy wykorzystaniu odpowiedniego kabla GPG

Pozyskanie fizyczne danych z telefonu Nokia 206, przy wykorzystaniu odpowiedniego kabla GPG, za pomocą którego telefon skomunikowany został z urządzeniem UFED Touch 2

 

Podstawową zaletą ww. metod jest fakt, że w związku z brakiem konieczności uruchomienia systemu, można pozyskać dane z telefonów z uszkodzonym systemem operacyjnym lub z nałożoną blokadą dostępu w postaci blokady wzorem, kodem PIN lub hasłem. Urządzenie może być częściowo uszkodzone. Ważne jest tylko to, by sprawna była płyta główna i układ zasilania. W przypadku metod wymienionych w punkcie 1 i 2 konieczne jest też sprawne gniazdo sygnałowe. Wadą omówionych metod jest fakt, że są nieskuteczne w przypadku telefonów z zaszyfrowanymi danymi zapisanymi na partycji użytkownika. Ekstrakcja w takim przypadku co prawda się powiedzie, ale zdekodowanie danych okaże się niemożliwe. Warto wiedzieć, że niektórzy producenci domyślnie aktywują szyfrowanie danych, bez konieczności ingerencji użytkownika. Dotyczy to np. urządzeń Samsunga wyprodukowanych po 2016 roku, czy urządzeń Huawei od modelu P9. Co prawda pojawiają się już metody pozwalające na odszyfrowanie danych, ale znajdują się dopiero (na dzień pisania niniejszego artykułu – 08.2018) w powijakach i są skuteczne jedynie w przypadku wybranych kilku, najpopularniejszych modeli urządzeń.

 

Metody nieinwazyjne wymagające uruchomienia urządzenia.

 

W przypadku urządzeń z Androidem wykorzystywany jest interfejs ADB (Android Debug Bridge). Metoda wymaga uzyskania dostępu do konta /root. Dla urządzeń z systemem operacyjnym w wersji od 4.2 do 7.1 możliwe jest wykorzystanie luki w zabezpieczeniach, o ile telefon posiada wsparcie dla trybu OTG oraz ma zainstalowane poprawki bezpieczeństwa wydane przed grudniem 2016 roku. Dla urządzeń z systemem operacyjnym od 6.0 do 8.1 możliwe jest użycie metody SmartADB, jednak nie jest ona dostępna dla wszystkich modeli telefonów komórkowych. W przypadku starszych urządzeń, z systemem w wersji od 2.3 do 4.2 możliwe jest użycie odpowiedniego exploita. W pozostałych przypadkach konieczne jest przeprowadzenie procesu rootowania. W telefonach z Androidem w wersji do 4.4 zwykle wystarczy użycie oprogramowania typu one-click, w nowszych wersjach wymaga modyfikacji partycji /recovery lub wykonania flashowania systemu zrootowanego. Często wykonanie rootowania jest niemożliwe ze względu na zablokowany bootloader. Co prawda producenci umożliwiają jego odblokowanie, ale zwykle kosztem bezpowrotnego wymazania wszelkich danych użytkownika.

 

Ponieważ metody wymagają uruchomienia urządzenia, musi ono być w pełni funkcjonalne, a więc zwykle nieuszkodzone. Konieczny jest dostęp do ustawień systemowych urządzenia, więc metody nie będą skuteczne jeśli zawartość chroniona jest kodem zabezpieczającym (w przypadku niektórych modeli możliwe jest jego obejście lub usunięcie). Rootowanie może być podstawą do nieuznania gwarancji na telefon – o czym też warto wiedzieć przed przekazaniem urządzenia do badania (unroot jest jak najbardziej możliwy, ale w przypadku modeli Samsunga nabijana jest flaga konx (z 0x0 na 0x1), na podstawie której serwis może odmówić naprawy gwarancyjnej). Niekwestionowaną zaletą metod z wykorzystaniem ADB jest fakt, że możliwe staje się pozyskanie danych zaszyfrowanych przez użytkownika.  W tym trybie, urządzenie serwisowe ma dostęp do klucza szyfrującego, dzięki czemu wynikowa kopia binarna zawiera dane zdatne do zdekodowania.

 

1. Metody inwazyjne pozyskiwania danych.

 

Tutaj można dokonać podziału na metody niewymagające wylutowania układu pamięci oraz na metody wymagające wylutowania układu pamięci (chip-off).

 

W przypadku pierwszej metody, wykorzystywane są rozwiązania ISP (In-System Programming) i protokołu JTAG (Joint Test Action Group). Operacja pozyskiwania danych polega na rozmontowaniu urządzenia i wymontowaniu z niego płyty głównej. W przypadku nowoczesnych telefonów już samo to nie jest czynnością prostą! Wymaga rozklejenia obudowy urządzenia, a czasem wycięcia elementów metodami mechanicznymi. Następnie trzeba zlokalizować odpowiednie wyprowadzenia interfejsu na płycie głównej. Czasem z pomocą przychodzi producent, a czasem właściwe wyprowadzenia ustalić trzeba samodzielnie posługując się urządzeniami pomiarowymi (precyzyjne mierniki napięcia oraz oscyloskop) i doświadczeniem zawodowym.

 

Płyta główna telefonu komórkowego, skomunikowana z urządzeniem serwisowym Riff BOX

Płyta główna telefonu komórkowego, skomunikowana z urządzeniem serwisowym Riff BOX w sposób umożliwiający wykonanie pozyskania fizycznego z wykorzystaniem rozwiązania ISP. Za pomocą czarnej wtyczki wpiętej w gniazdo USB dostarczane jest zasilanie płyty głównej

 

Widok mikroskopowy okablowania wlutowanego w odpowiednie wyprowadzenia na płycie głównej

Widok mikroskopowy okablowania wlutowanego w odpowiednie wyprowadzenia na płycie głównej

 

Metody niewymagające wylutowania układu pamięci możliwe są do zastosowania w przypadku gdy płyta główna urządzenia nie została uszkodzona w stopniu uniemożliwiającym jej funkcjonowanie. W przeciwnym wypadku, ostatnia dostępna możliwość, to wylutowanie układu pamięci. Pamięć eMMC telefonu komórkowego, w przeważającej większości przypadków jest układem stosowanym w technologii montażu powierzchniowego (SMT). Obudowa posiada wyprowadzenia sferyczne w siatce rastrowej. Stanowisko pracy technika wymaga wyposażenia w stację lutowniczą BGA. Producenci często zalewają odpowiednimi substancjami kość pamięci, celem zabezpieczenia jej przed wpływem warunków środowiskowych, celem izolacji elektrycznej lub by po prostu uniemożliwić wykonanie naprawy. W takim przypadku przed przystąpieniem do wylutowania należy usunąć zabezpieczenie. Poprawnie wymontowany układ umieszcza się w specjalnym programatorze lub w przypadku jego braku, do wyprowadzeń wlutowuje się okablowanie urządzenia serwisowego. Następnie przystępuje się do wykonania pozyskania fizycznego bezpośrednio z kości pamięci. Część operacji wymaga pracy pod mikroskopem i zastosowania precyzyjnych narzędzi.

 Widok układu wylutowanego z płyty głównej, umieszczonej na stojaku stacji lutowniczej BGA

Widok układu wylutowanego z płyty głównej, umieszczonej na stojaku stacji lutowniczej BGA. Folią termoizolacyjną osłonięto elementy płyty które nie powinny być poddane nagrzaniu

 

Wylutowany z płyty głównej układ pamięci,

Wylutowany z płyty głównej układ pamięci,, skomunikowany z urządzeniem serwisowym w sposób umożliwiający wykonanie bezpośredniego pozyskania fizycznego

 

Widok mikroskopowy okablowania wlutowanego w odpowiednie wyprowadzenia na płycie głównej

Widok mikroskopowy okablowania wlutowanego w odpowiednie wyprowadzenia na płycie głównej

 

Wadą metody, poza uszkodzeniem fizycznym telefonu, jest nieskuteczność w przypadku gdy dane użytkownika zostały zaszyfrowane. O cenie usługi nie wspominamy, traktując ją jako oczywistą oczywistość. Zaleta to oczywiście fakt możliwości pozyskania danych nawet z doszczętnie zniszczonego telefonu (ważne by kość pamięci była nieuszkodzona).

 

2.Dekodowanie zabezpieczonych danych

 

W porównaniu do pozyskania danych, samo ich dekodowanie wydaje się zdecydowanie mniej problematyczne. Na rynku dostępne są kompleksowe rozwiązania ukierunkowane na odczyt danych z plików obrazów pamięci wewnętrznej telefonów komórkowych. Przykładowe pozycje to: Cellebrite UFED Physical Analyzer, Micro Systemation XRY XAMN, Oxygen Forensic Detective czy Paraben E3. Wynikiem pracy każdego z wymienionych programów jest pełne zdekodowanie wszystkich danych wraz z odzyskaniem pozycji skasowanych.

 

Wynik dekodowania obrazu pamięci wewnętrznej urządzenia Samsung Galaxy S II.

Wynik dekodowania obrazu pamięci wewnętrznej urządzenia Samsung Galaxy S II. Czcionką czerwoną oznaczono pozycje skasowane, których treść udało się odzyskać

 

Schody zaczynają się dopiero w momencie, jeśli dane oprogramowanie nie wspiera konkretnego modelu telefonu komórkowego, danego typu obrazu, systemu plików partycji lub po prostu obraz jest częściowo uszkodzony. Wtedy konieczne staje się użycie oprogramowania forensicowego stosowanego w informatyce śledczej (np. X-Ways forensic, NCase czy nawet prostszych programów do odzyskiwania i ekstrakcji danych jak FTK Imager lub R-Studio Recovery). Analiza pliku będącego obrazem zawierającym kopię binarną pamięci wewnętrznej urządzenia, wykonana za pomocą ww. programów pozwoli na wyświetlenie partycji oraz wyszukanie plików w nich zapisanych – włącznie z odzyskaniem plików skasowanych.

 

Widok partycji po zaimportowaniu obrazu pamięci wewnętrznej urządzenia Samsung Galaxy SII w programie R-Studio Recovery

Widok partycji po zaimportowaniu obrazu pamięci wewnętrznej urządzenia Samsung Galaxy SII w programie R-Studio Recovery. Widoczna partycja /UMS zawierająca dane użytkownika (11,51 GB)

 

 

Wynik odzyskiwania skasowanych plików oraz wyszukiwania pliku mmssms.db magazynującego archiwum wiadomości SMS

Wynik odzyskiwania skasowanych plików oraz wyszukiwania pliku mmssms.db magazynującego archiwum wiadomości SMS

 

Dalej to już żmudne, przeważnie manualne, przetwarzanie danych ujawnionych wewnątrz plików bazodanowych poddanych analizie.

Widok pliku mmssms.db otwartego w aplikacji służącej do podglądu zawartości plików SQLite

Widok pliku mmssms.db otwartego w aplikacji służącej do podglądu zawartości plików SQLite

 

 

W przypadku uszkodzonych plików bazodanowych, podejmowana jest próba ich naprawy – która gdy zakończy się niepowodzeniem, zmusza specjalistów do pracy w widoku heksadecymalnym i mozolnego wykopiowywania treści wiadomości z pozostałości po właściwym pliku bazodanowym.

 

Widok uszkodzonego pliku mmssms.db otwartego w widoku heksadecymalnym

Widok uszkodzonego pliku mmssms.db otwartego w widoku heksadecymalnym

 

3. Jak nie wejść na minę?

Jak można się domyślić z lektury powyższego tekstu, skuteczne odzyskiwanie danych z telefonu komórkowego może być usługą drogą. Szczególnie gdy poziom skomplikowania czynności niezbędnych do realizacji zlecenia będzie duży. Jednakże gdy usługa została wykonana rzetelnie, plusy w postaci treści raportu zawierającego odzyskane dane przysłaniają minusy w postaci wysokości kwoty do zapłaty wydrukowanej na fakturze. Gorzej jeśli klient płaci, a w zamian dostaje... właśnie. Nic nie dostaje.

 

Po wpisaniu w Google frazy: odzyskiwanie danych z telefonów wyszukiwarka zwróci tysiące wyników. Każda z firm ma co najmniej kilkuletnie doświadczenie na rynku, tysiące wykonanych zleceń i terabajty odzyskanych danych. Jedna przez drugą licytują się na możliwości. Odzyskują dane ze wszystkich telefonów świata, nawet zablokowanych i zaszyfrowanych, sprawnych, niesprawnych, połamanych lub spalonych. Deklarują możliwość odzyskania danych po przywróceniu ustawień fabrycznych, a nawet są w stanie odzyskać dane wielokrotnie nadpisane. Nadto robią to wszystko w każdej filii swojej głównej siedziby, które mieszczą się w każdym miasteczku powyżej 5 000 mieszkańców. Strony internetowe ociekają od komentarzy byłych klientów, którzy podpisując się imieniem, nazwiskiem oraz zdjęciem wychwalają jakość usług pod niebiosa (ciekawe, że dane właściciela i specjalistów z nim współpracujących nigdy nie są jawne). Z fotografii kupionych na stocku wyłania się obraz gigantycznych laboratoriów (choć sprawdzenie adresu na Street View wyświetla fotografie bloku mieszkalnego z mieszkaniami maksymalnie po kilkadziesiąt metrów  kwadratowych) gdzie pracownicy w fartuchach, czepkach i rękawiczkach pod mikroskopem wylutowują coś z telefonów, a na karcie kontakt znajduje się tylko adres mailowy w domenie wp.pl i numer telefonu komórkowego. Nie bójmy się tego powiedzieć: są przypadki, którym nie są w stanie podołać nawet najlepsi specjaliści. Z odblokowaniem i rozszyfrowaniem zawartości najnowszych modeli iPhone, Samsung czy Huawei, nie radzi sobie nawet światowy lider Cellebrite. Zabezpieczenia współczesnych telefonów marki Blackberry do tej pory nie zostały przełamane, a mimo tego w ofertach firm zajmujących się odzyskiwaniem danych, deklarowane jest pełne powodzenie operacji. Jeśli ktoś mówi, że jest w stanie zrobić wszystko, to albo nie wie co mówi, albo świadomie wprowadza klienta w błąd. W końcu zawsze lepiej zainkasować kilkadziesiąt złotych za diagnozę, następnie kilkaset za bezskuteczną próbę pozyskania danych, niż za darmo (ale uczciwie) powiedzieć klientowi, że zlecenie jest niewykonalne.

 

Oto kilka wskazówek jak uniknąć wysokich kosztów wykonania z pozoru nisko wycenionej usługi:

  • na dzień dzisiejszy nie ma możliwości pełnego odzyskania danych utraconych w wyniku przywrócenia urządzenia do ustawień fabrycznych (hard reset, wipe data). W przypadku niektórych układów pamięci (nieskuteczna dla UFS) możliwe jest odzyskanie części danych (do kilkudziesięciu procent) znajdujących się w spare area (obszar z pulą zapasowych komórek), poprzez wylutowanie układu i odczyt NAND z pominięciem kontrolera, a następnie konwersję danych na obraz logiczny. Ze względu na koszt zakupu niezbędnych narzędzi, oprogramowania oraz nakład pracy, jest to usługa wyceniana nawet na kilkanaście tys zł netto. Jeśli ktoś oferuje podobną usługę za kilkaset złotych, radzilibyśmy sprawdzić czy na pewno wie o czym mówi (szczególnie jeśli diagnoza jest płatna). Nie ma również możliwości odzyskania danych które zostały już nadpisane (odczyt wcześniejszej zawartości komórki po jej skasowaniu). Jeśli mimo tego ktoś deklaruje że to potrafi, radzilibyśmy skorzystać z usług innego fachowca.
  • usunięcie, usunięciu nie równe. Z naszych doświadczeń wynika, że w przypadku gdy wszystkie wiadomości SMS zostały usunięte na raz (np. zaznaczenie i usunięcie całej korespondencji) to szanse na odzyskanie skasowanych treści są dużo większe niż w sytuacji, kiedy pojedyncze wiadomości były kasowane na bieżąco, zaraz po zapoznaniu się z ich treścią. Po prostu w tym drugim przypadku, usunięte treści po chwili nadpisywane są nowymi, co uniemożliwia odczytanie starszych, skasowanych wiadomości.
  • poza specyficznymi przypadkami wymagającymi manualnej analizy poszczególnych plików bazodanowych, koszt zdekodowania wszystkich treści pozyskanych z pamięci urządzenia nie powinien różnić się od kosztów zdekodowania tylko wiadomości SMS. Profesjonalne oprogramowanie służące do dekodowania i odzyskiwania danych z telefonów komórkowych i tak przetwarza wszystko od początku do końca, więc nakład pracy w obu przypadkach jest dokładnie taki sam. Tak naprawdę, w większości przypadków, ta bardziej kosztowna i czasochłonna część procesu, to pozyskanie danych z telefonu komórkowego, a nie ich dekodowanie i odzyskiwanie (przynajmniej w zakresie samej treści, bez wykonywania na niej dodatkowych analiz).
  • problematyka odzyskania skasowanych starszych danych jest dokładnie taka sama jak problematyka odzyskania skasowania nowszych danych. Niektórzy twierdzą, że można łatwo odzyskać dane skasowane np. do dwóch lat wcześniej, a w przypadku starszych to wyższa szkoła jazdy wymagająca dodatkowej opłaty. Nie jest to prawdą. Dane cyfrowe to nie jogurt owocowy który ma termin przydatności do spożycia. Zera i jedynki się nie starzeją. Powodzenie odzyskania danych zależne jest od tego, czy zostały one już nadpisane czy jeszcze nie, a jeśli zostały, to w jakim stopniu są zdegradowane. Znaczenie ma tutaj nie tyle czas, co intensywność użytkowania telefonu po usunięciu z niego części tych danych, które mają zostać przywrócone.
  • nie istnieje coś takiego jak „odzysk logiczny”. Wykonać można co najwyżej odczyt logiczny, ale odzyskanie jakichkolwiek danych skasowanych, wymaga wykonania co najmniej pozyskania systemu plików urządzenia. Warto o tym wiedzieć, by nie płacić za kolejne „trochę skuteczniejsze” metody odzyskiwania danych i zapytać czy cena za usługę obejmuje pozyskanie fizyczne czy jakiekolwiek inne. Aby być pewnym jakości wykonanego zlecenia, warto poprosić o skopiowanie na dostarczony nośnik pliku kopii binarnej będącego wynikiem wykonanego pozyskania fizycznego danych.

 

mgr inż. Paweł Dejko, dyplomowany ekspert z zakresu informatyki śledczej, pełniący funkcję biegłego sądowego z zakresu badania telefonów komórkowych, przy Sądzie Rejonowym w Lublinie.

Wróć