(LUẬN VĂN THẠC SĨ) Nghiên cứu kỹ thuật khai thác dữ liệu trên thiết bị điện thoại di động thông minh (Smartphone) phục vụ công tác phòng, chống tội phạm công nghệ cao

giao diện và các lệnh có thể đƣợc sử dụng để kiểm thử và gỡ rối của các thành phần phần cứng trong các thiết bị điện tử LND Last Numbers Dialed Các số đã gọi MIPS Microprocessor without

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGÔ THỊ THANH HOA

NGHIÊN CỨU KỸ THUẬT KHAI THÁC DỮ LIỆU TRÊN THIẾT BỊ ĐIỆN THOẠI DI ĐỘNG THÔNG MINH (SMARTPHONE) PHỤC VỤ CÔNG TÁC

PHÒNG, CHỐNG TỘI PHẠM CÔNG NGHỆ CAO

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2012

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGÔ THỊ THANH HOA

NGHIÊN CỨU KỸ THUẬT KHAI THÁC DỮ LIỆU TRÊN THIẾT BỊ ĐIỆN THOẠI DI ĐỘNG THÔNG MINH (SMARTPHONE) PHỤC VỤ CÔNG TÁC

PHÒNG, CHỐNG TỘI PHẠM CÔNG NGHỆ CAO

Ngành: Công nghệ Thông tin

Chuyên ngành: Công nghệ Phần mềm

Mã số: 60.48.10

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Giáo viên hướng dẫn: TS Phạm Hồng Thái

MỤC LỤC

MỤC LỤC 3

BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU 5

THÔNG TIN HÌNH VẼ 8

THÔNG TIN BẢNG 9

MỞ ĐẦU 10

Chương 1 Tính năng kỹ thuật, hình thức tổ chức và các chức năng của smartphone trên các hệ điều hành WM 12

1.1 H ệ ĐIềU HÀNH WM VÀ CÁC Hệ THốNG DÙNG WM 12

1.1.1 Hệ điều hành WM 12

1.1.2 Đặc điểm hệ điều hành WM 12

1.1.3 Kiến trúc hệ điều hành WM 14

1.1.4 Các phiên bản của WM 20

1.1.5 Phát triển ứng dụng trên WM với Visual Studio.NET 30

1.2 C ấU TRÚC SIM 30

1.2.1 Cấu tạo thẻ SIM 31

1.2.3 Cấu trúc các File 38

1.3 K ếT CHƯƠNG 40

Chương 2 Các phương pháp kỹ thuật khai thác thông tin dữ liệu trên smartphone phục vụ công tác phòng, chống tội phạm công nghệ cao 41

2.1 C AC THONG TIN LƯU TRữ TREN DIệN THOạI DI DộNG 41

2.1.1 Thông tin lưu trữ trên SIM 41

2.1.2 Thông tin lưu trữ trên Phone Memory 42

2.1.3 Các thông tin lưu trữ trên thẻ nhớ ngoài 42

2.2 T ổNG QUAN Về Kỹ THUậT KHAI THÁC Dữ LIệU TRÊN ĐIệN THOạI DI ĐộNG 45

2.3 K ỹ THUậT KHAI THÁC Dữ LIệU TRÊN Bộ NHớ TRONG CủA SMARTPHONE 46

2.3.1 Kỹ thuật khai thác dữ liệu qua giao diện sử dụng 46

2.3.2 Kỹ thuật khai thác vật lý 46

2.3.3 Kỹ thuật khai thác logic 51

2.4 K ỹ THUậT KHAI THÁC Dữ LIệU TRÊN SIM 55

2.4.1 Kết nối SIM với máy tính thông qua đầu đọc SIM 55

2.5 K HAI THÁC Dữ LIệU TRÊN THẻ NHớ 56

2.6 M ộT Số PHầN MềM KHAI THÁC Dữ LIệU ĐIệN THOạI DI ĐộNG PHổ BIếN 56

2.7 X ÂY DựNG QUY TRÌNH KHAI THÁC Dữ LIệU TRÊN SMARTPHONE PHụC Vụ CHO CÔNG TÁC PHÒNG , CHốNG TộI PHạM CÔNG NGHệ CAO 57

2.7.1 Thu giữ và bảo quản thiết bị 57

2.7.2 Thu thập dữ liệu trên điện thoại 58

2.7.3 Kiểm tra và phân tích dữ liệu 62

2.7.4 Báo cáo 62

2.8 K ếT CHƯƠNG 63

Chương 3: Xây dựng, phát triển phần mềm thu thập, khai thác dữ liệu từ SIM và bộ

nhớ trong của smartphone trên các hệ điều hành WM 64

3.1 P HầN MềM KHAI THÁC Dữ LIệU Từ SIM VÀ Bộ NHớ TRONG TULP2G 64

3.1.1 Kiến trúc ứng dụng 64

3.1.2 Đặc tả kỹ thuật 66

3.1.3 Đọc dữ liệu từ thiết bị 66

3.1.4 Kết xuất dữ liệu ra báo cáo 67

3.2 P HÁT TRIểN PHầN MềM THU THậP KHAI THÁC THÔNG TIN Từ Bộ NHớ TRONG CủA SMARTPHONE TRÊN NềN Hệ ĐIềU HÀNH WM 67

3.2.1 Yêu cầu 67

3.2.2 Chiến lược thiết kế 68

3.2.3 Mô hình kiến trúc phần mềm 68

3.2.4 Thiết kế chi tiết 68

3.3 K ếT QUả THựC NGHIệM 72

3.3.1 Giao diện và quá trình khai thác 72

3.3.2 Chi tiết kết quả khai thác dữ liệu trên SIM 76

KẾT LUẬN 84

TÀI LIỆU THAM KHẢO 85

BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU

APDUs Application Protocol Data Units APDU là đơn vị kết nối giữa đầu đọc

ARM Acorn RISC Machine Là một loại cấu trúc vi xử lý

32-bit kiểu RISC đƣợc sử dụng rộng rãi trong các thiết kế nhúng

BGA Ball Grid Array Là một loại bề mặt sử dụng cho các

EPROM Erasable Programmable

Read-Only Memory

Đƣợc chế tạo bằng nguyên tắc phân cực tĩnh điện Loại ROM này có thể bị xóa bằng tia cực tím và ghi lại thông qua thiết bị ghi EPROM

khả biến có thể xóa và ghi lại bằng điện

GSM Global System for Mobile

giao diện và các lệnh có thể đƣợc sử dụng để kiểm thử và gỡ rối của các thành phần phần cứng trong các thiết

bị điện tử LND Last Numbers Dialed Các số đã gọi

MIPS Microprocessor without

Interlocked Pipeline Stages

Là kiến trúc bộ tập lệnh RISC phát triển bới MIPS Technologies MSISDN Mobile Subscriber ISDN

Number

Số điện thoại di động quốc tế

PC/SC

PDA Personal Digital Assistant Thiết bị hỗ trợ cá nhân

PIN Personal Identification Number Mã cá nhân

PIM Personal Information

Management PUK Personal unblocking Mã nhận dạng cá nhân

RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên

ROM Read-Only Memory - ROM Bộ nhớ chỉ đọc

SIM Subscriber Identity Module Thẻ nhớ thông minh sử dụng trên điện

thoại di động Smart

phone

Điện thoại di động thông minh

TSOP Thin Small-Outline Package

WCE Windows Compact Embedded Hệ điều của Microsoft đƣợc thiết kế

dựa trên hệ điều hành Windows cho các thiết bị di động và thiết bị không gian hạn chế Hệ điều hành này là nền tảng của hệ điều hành Windows mobile

WM Windows Mobile Hệ điều hành Windows Mobile

THÔNG TIN HÌNH VẼ

Hình 1.1: Kiến trúc hệ điều hành WCE

Hình 1.2 Tổ chức bộ nhớ của tiến trình xử lý của hệ điều hành WCE

Hình 1.3: Màn hình today của PPC 2000

Hình 1.4: Màn hình today của PPC 2002

Hình 1.5: Màn hình today của WM 2003

Hình 1.6: Màn hình today của WM 5 for Pocket PC

Hình 1.7: Màn hình today của WM 6 Standard

Hình 1.8: Màn hình today của WM 6 Professional

Hình 1.9: Màn hình today của WM 6.5 (Titanium)

Hình 1.10 Màn hình Start của Windows Phone 7

Hình 1.11 Màn hình Start của Windows Phone 8

Hình 1.12: Cấu tạo thẻ SIM

Hình 1.13: Sơ đồ cấu trúc file trên thẻ SIM

Hình 1.14: Sơ đồ cấu trúc dư liệu trên thẻ SIM

Hình 1.15: Biểu diễn cấu trúc tin nhắn SMS trên thẻ SIM

Hình 1.16: cấu trúc chung tổ chức file dữ liệu trên thẻ SIM

Hình 2.1: Mô hình khai thác dữ liệu với JTAG

Hình 2.2: Quy trình khai thác dữ liệu trên thiết bị điện thoại di động

Hình 2.3:Quy trình khai thác dữ liệu trên smartphone

Hình 2.4: Quy trình khai thác dữ liệu trên SIM

Hình 3.1: Kiến trúc phần mềm khai thác dữ liệu trên SIM Tulp 2G

Hình 3.2: Mô hình thiết kế phần mềm khai thác dữ

Hình 3.3: Giao diện chính của chương trình

Hình 3.4: Mở hồ sơ vụ án

Hình 3.5: Khai thác dữ liệu trên thẻ SIM

Hình 3.6: Kết nối máy tính và đầu đọc thẻ SIM

Hình 3.7: Quá trình khai thác dữ liệu

Hình 3.8: Báo cáo trích xuất dữ liệu

THÔNG TIN BẢNG

Bảng 2.2: Một số phần mềm khai thác dữ liệu trên điện thoại di động 52

MỞ ĐẦU

Đặt vấn đề

Sự tiến bộ của khoa học kỹ thuật đã mang lại cho chúng ta nhiều phát minh rất hữu ích, nó giúp chúng ta rất nhiều trong cuộc sống hàng ngày Điện thoại di động là một trong những phát minh như vậy

Với sự phát triển không ngừng của công nghệ, điện thoại di động đang phát triển và biến đổi từng ngày, hội tụ mọi công nghệ viễn thông, điện toán, âm thanh, hình ảnh và trở thành phương tiện giao tiếp, làm việc chủ yếu của con người

Cùng với sự phát triển mọi mặt của đời sống xã hội, điện thoại di động đang dần trở nên phổ cập, có những ảnh hưởng lớn đến đời sống của mọi tầng lớp nhân dân Khi mới xuất hiện, chiếc điện thoại di động chỉ là một món đồ chơi xa xỉ dành cho những người thuộc tầng lớp thượng lưu, đến nay điện thoại di động đã trở nên phổ biến với số người sử dụng không ngừng gia tăng Ở Việt Nam, trong những năm gần đây chiếc điện thoại di động đã trở nên quen thuộc, là vật bất ly thân của đông đảo người dân trong xã hội, từ nông thôn đến thành thị Theo thống kê, trong năm 2010 cả nước đã phát triển mới 44,5 triệu thuê bao điện thoại, bao gồm 793 nghìn thuê bao cố định giảm 49,1% và 43,7 triệu thuê bao di động, tăng 2,4% Như vậy tính đến cuối tháng 12/2010 cả nước đã có 170,1 triệu thuê bao điện thoại, tăng hơn 35% so với cùng thời điểm năm 2009 Như vậy số thiết

bị di động đang được sử dụng tại Việt Nam là rất lớn Theo số liệu thống kê của hãng nghiên cứu thị trường Gartner, tính đến tháng 12- 2009, kết nối di động đạt mốc lịch sử với 60% dân số trên toàn cầu dùng điện thoại cầm tay, tức là trên thế giới có gần 4 tỷ người dùng điện thoại di động, nhiều hơn gấp 3 lần so với máy tính cá nhân, trong đó có khoảng 1,08 tỉ người sử dụng smartphone Còn châu Á - Thái Bình Dương hiện có hơn 1,4 tỉ thuê bao, cứ mỗi phút lại có 388 thuê bao mới hòa mạng Hàng năm, hơn 1 tỉ điện thoại cầm tay mới được tiêu thụ, cùng hơn 7 ngàn tỉ phút đàm thoại và khoảng 2.5 ngàn tỉ tin nhắn SMS được gửi đi

Ngày nay, điện thoại di động không chỉ dùng để nghe, gọi và nhắn tin mà còn hỗ trợ nhiều dịch vụ tiện ích khác Với một chiếc điện thoại di động thông minh (smartphone) chúng ta có thể: xem phim, nghe nhạc, chơi game, sử dụng các ứng dụng văn phòng, dùng file word, excel, pdf, lướt web, gửi và nhận Email,… Cùng với sự gia tăng của những chiếc điện thoại thông minh đa chức năng thì số vụ án liên quan đến điện thoại di động

cũng tăng lên, và hình thực vi phạm ngày càng đa dạng, tinh vi và có tổ chức Trong nhiều vụ án, điện thoại di động được sử dụng như những công cụ phạm tội Các đối tượng

có thể sử dụng điện thoại để lưu thông tin cá nhân, trao đổi thư, chat, truy cập vào các mạng xã hội, các trang web cá cược bóng đá, chơi lô đề trực tuyến,…

Ở nước ta trong một số vụ án gần đây qua việc thu thập, khai thác các thông tin từ thiết bị di động của đối tượng, trinh sát đã tìm, xác định được đối tượng, thu thập được nhiều thông tin để đấu tranh Qua việc khai thác thông tin từ những thiết bị di động ta có thể tìm ra được nhiều chứng cứ quan trọng mà phương pháp điều tra truyền thống không thể có được Với phương pháp truyền thống để có thể thu được thông tin chứng cứ bằng việc duyệt nội dung chứa trong thiết bị thông qua giao diện của người sử dụng, nhưng đây được xem là cách không chắc chắn và được sử dụng như giải pháp cuối cùng Thay vào

đó, việc sử dụng các kỹ thuật giám định theo đúng qui trình là cách khai thác dữ liệu thích hợp, tránh việc để mất, thay đổi thông tin trên thiết bị gốc, và những thông tin khai thác

sẽ phục vụ cho công tác phòng, chống tội phạm công nghệ cao

Nội dung của đề tài

− Tìm hiểu tính năng kỹ thuật, hình thức tổ chức và các chức năng của smartphone trên các hệ điều hành WM

− Phân tích các phương pháp kỹ thuật khai thác thông tin dữ liệu trên smartphone phục vụ công tác phòng, chống tội phạm công nghệ cao

− Phát triển, thử nghiệm phần mềm cho phép khai thác dữ liệu từ smartphone trên các

hệ điều hành WM

Cấu trúc luận văn

Luận văn sẽ được chia thành 3 chương chính dựa vào nội dung nêu trên:

− Chương 1: Tính năng kỹ thuật, hình thức tổ chức và các chức năng của smartphone trên các hệ điều hành WM Cấu tạo và sơ đồ cấu trúc dữ liệu của SIM

− Chương 2: Các phương pháp kỹ thuật khai thác thông tin dữ liệu trên (smartphone) phục vụ công tác phòng, chống tội phạm công nghệ cao

− Chương 3: Xây dựng, phát triển phần mềm thu thập, khai thác dữ liệu từ SIM và bộ nhớ trong của smartphone trên các hệ điều hành WM

Chương 1 Tính năng kỹ thuật, hình thức tổ chức và các

chức năng của smartphone trên các hệ điều hành

Các thiết bị dùng WM thường được hỗ trợ sản xuất của rất nhiều hãng điện thoại lớn trên thế giới như HTC (High Tech Computer), Samsung, Sony Ericsson, Motorola; Dưới đây là danh sách một số thiết bị cài WM phổ biến

1 HTC Touch HD

2 Samsung Omnia

3 HTC Touch Cruise Series

4 HTC Touch Diamond 1 & 2

thời gian thực cứng, hệ điều hành cung cấp ưu tiên, môi trường đa nhiệm với sự hỗ trợ nhiều công nghệ theo yêu cầu của các hệ thống nhúng.

Modul hóa Modul hóa của hệ điều hành WCE được phản ánh tách

riêng các tiến trình và bảo vệ bộ nhớ nhằm nâng cao chất lượng và hiệu suất của hệ thống, cũng như hiệu quả của thiết kế hệ thống nhúng

Khả năng mở rộng Khả năng mở rộng được chứng minh bằng thực tế là

Windows CE là một đa nhiệm, hệ điều hành thực sự có thể chứa nhiều quá trình thông qua một cơ chế quản lý đa luồng hiệu quả

Khả năng dự báo Rất quan trọng để dự đoán là thiết lập nhiều phần cứng,

khả năng thời gian thực được cung cấp bởi hệ điều hành Các khía cạnh khác của thiết kế góp phần vào khả năng dự đoán là hiệu quả xử lý độ trễ gián đoạn, hệ thống phản ứng định lượng và truy cập hệ thống hẹn giờ

Khả năng thích nghi Khả năng thích ứng của Windows CE được hỗ trợ bởi

thiết kế kiểu mô-đun của hệ thống Khả năng thích nghi được thể hiện thông qua các tính năng của Platform Builder, bao gồm cả truy cập thành phần danh mục và mã nguồn được chia sẻ

Tính ổn định Windows CE cho thấy sự ổn định của nó bằng cách hoạt

động ổn định khi chịu tải với số dữ liệu lớn và thời gian dài hoạt động trong thời gian kiểm thử

Bảo mật Bảo mật của hệ điều hành được hỗ trợ bởi một số các

dịch vụ đảm bảo an toàn trong quá trình sử dụng, OEM cấp giấy chứng nhận và cách quản lý nâng cao

Khả năng tiếp cận Windows CE bao gồm nhiều tính năng thiết kế mà làm

cho truy cập đến các dịch vụ trong các tiến trình

Tính kiểm thử Windows CE tính kiểm thử cao với hệ thống Đội ngũ

bảo đảm chất lượng cho sản phẩm được dành riêng để thử nghiệm kỹ lưỡng của mỗi bản phát hành sản

phẩm Ngoài ra, Platform Builder cung cấp một bộ đầy

đủ tool kiểm thử để có thể sử dụng để thực hiện các thiết

kế hệ thống nhúng

Hiệu suất Windows CE có ưu điểm về tốc độ và thời gian Để đảm

bảo đặc điểm này, thử nghiệm hiệu suất được thực hiện một cách liên tục, cho tất cả các phiên bản của sản phẩm

Khả năng tồn tại Windows CE cho thấy khả năng tồn tại khi đối mặt với

rủi ro trong các sự cố phần mềm và phần cứng, phần lớn trong thiết kế quản lý điện năng của hệ điều hành

Bảng 1.1 Đặc điểm hệ điều hành WCE

cụ thể và bao gồm các chức năng liên quan đến khởi động hệ thống, quản lý các ngắt, quản lý hồ sơ, quản lý điện năng, timer và clock

Tầng hệ điều hành: bao gồm kernel và lõi DLL, các đối tượng lưu trữ, công nghệ đa phương tiện, quản lý thiết bị, các dịch vụ giao tiếp, mạng, giao diện đồ họa và Subsystem các

Application

ayer

Operating System Layer

Bộ xử lý

Custom Applications Internet Client

Services

Windows Mobile Applications

User Interface International

Applications and Services Development

Core DLL Object Store

Multimedia

Technologies

Graphic Windowing and Event System (GWES)

Device Manager

Communication Services and Networking

Kernel

OEM Adaptation Layer (OAL)

Boot Loader Configuration Files

Drivers

Với WCE, Microsoft cung cấp một hệ điều hành có thể chạy trên nền phần cứng Bốn họ hệ thống của lõi xử lý được hỗ trợ là: ARM, MIPS, SH4 và x86 Hệ thống lõi xử

lý ARM hiện tại đang là phổ biến nhất trong các loại điện tử tiêu dùng như điện thoại thông minh, PDA và chuyển hướng thiết bị

Nhà cung cấp đang cung cấp bộ vi xử lý ARM được sử dụng trong các thiết bị WCE Một số tên mà chúng ta có thể thấy trong những năm gần đây nhất như họ vi xử Intel PXA2x0/PXA30x XScale Intel đã bán hoạt động của mình trong lĩnh vực này cho Marvell Một hãng sản xuất cạnh tranh trên thị trường này là Samsung với S3Cxxxx Một trong những khía cạnh thú vị của tất cả các phạm vi bộ vi xử lý là gần như tất

cả các thiết bị ngoại vi cần thiết để xây dựng một điện thoại thông minh được tích hợp vào một chip Những bộ vi xử lý đó cũng được xem như là hệ thống trên Chip (SoC) Điều này có nghĩa là rất nhiều thông tin liên quan có thể được cần thiết cho việc khai thác

dữ liệu vật lý trên một thiết bị được hỗ trợ bởi SoC phải được lấy từ datasheets của SoC

Để có thể tạo một bản copy của NOR flash memory trong thiết bị bằng cách sử dụng kỹ thuật Boundary Scan để biết được cách bố trí bộ nhớ của smart phone, các dòng chip lựa chọn được kết nối với từng loại bộ nhớ chip Tuy nhiên việc tìm kiếm datasheets trở lên khó khăn hơn bởi nhiều SoC được thiết kế đặc biệt cho việc tạo nên chiếc điện thoại và phân phối datasheets được kiểm soát chặt chẽ Trong trường hợp những datasheets không available, các thông tin cần thiết chỉ có thể có được bằng cách đảo ngược một thiết bị tương tự Các SoC mới nhất tích hợp bộ nhớ RAM và bộ nhớ flash thành một gói, vì vậy làm cho việc khai thác bộ nhớ vật lý thậm chí còn khó khăn hơn Bên cạnh đó, SoC có thể chứa bộ nhớ đặc biệt an toàn cho việc lưu trữ dữ liệu giống như các khóa mật mã

Bộ nhớ flash

Bộ nhớ flash được sử dụng rộng rãi cho việc lưu trữ dữ liệu không dễ thay đổi Có hai loại chính của flash memory, NOR và NAND flash Flash có thuộc tính cụ thể mà có liên quan khai thác dữ liệu Ví dụ, dữ liệu không thể được cập nhật ở một điểm trong bộ nhớ flash, dữ liệu đầu tiên có thể được copy từ flash đến RAM, được thay đổi và sau đó được copy trở lại vị trí ô nhớ khác trong Flash

được sử dụng như là nơi lưu trữ dữ liệu người dùng Nhiều thiết bị WCE trước đây có một thư mục duy nhất trong thư viện gốc mà được ánh xạ đến một phần trong NOR flash với một trình điều khiển đặc biệt, như quản lý bộ nhớ ổn định của Intel một phần của bộ nhớ NOR flash không được sử dụng mã có thể được sử dụng cho dữ liệu người dùng Thư mục này là dành cho ví dụ rất thích hợp cho việc backup hệ thống lưu trữ và bởi vì nó nằm trong flash, dữ liệu bị xóa có thể vẫn tồn tại Khi một thiết bị hết pin làm cho hệ thống bị khởi động lại thì dữ liệu không bị mất đi mà vẫn có thể backup lại được toàn bộ

dữ liệu người dùng gần đây

Sau khi cài đặt lại, mã chương trình tải khởi động được nạp vào bộ nhớ RAM thông qua một số cơ chế phụ thuộc kiểu bộ nhớ flash được sử dụng Các mã trong khối này sẽ chứa đựng những hướng dẫn để truy cập vào phần còn lại của các khối, để nạp hệ điều hành vào RAM Trạng thái điển hình của điện thoại thông minh WCE là sau khi hệ điều hành được load, và sẽ phát hiện cho dù đó là một thiết lập lại Trong trường hợp đó, nó sẽ cài đặt ngẫu nhiên Sau khi những tập tin này được cài đặt, thiết bị khởi động lại và thiết

bị đã sẵn sàng để sử dụng

Bộ nhớ Flash phải được xóa đi tất cả trước khi tái sử dụng và flash chỉ có thể được xoá hoàn toàn trong khối khá lớn, thường trong khoảng 128 - 512 kB Xóa một khối mà chủ yếu là chứa trang kết thúc có thể làm cho kết thúc hoàn toàn bằng cách sao chép đi cuối cùng vài trang hoạt động và sau đó bị xóa Điều này có nghĩa rằng các dữ liệu không hoạt động sẽ bị xóa hoàn toàn ra khỏi vùng dữ liệu có thể phục hồi, ngay cả trong trạng thái "ngủ đông ' Bộ nhớ Flash bị hao mòn dần bằng cách xóa đi Để giảm điều này, nhà sản xuất flash hỗ trợ thuật toán Wear Leveling cho các phần cứng

RAM

RAM trong thiết bị WCE có thể bao gồm nhiều loại dữ liệu có thể liên quan đến giám định Như các thiết bị hiện đại có thể có RAM hàng trăm MB, điều đó cần thiết để

tìm kiếm dữ liệu có liên quan Trong các phiên bản WCE trước đây đến phiên bản 6.0, một tiến trình có một không gian địa chỉ virtual1 32 MB Hình 1.1 dưới đây cho thấy một

sơ đồ đơn giản của các vị trí khác nhau trong không gian địa chỉ 32 MB Phần thấp nhất

từ dưới lên, đầu tiên là mã của tiến trình Từ địa chỉ cao nhất xuống, dlls cần thiết cho tiến trình Ở giữa là ngăn xếp và hàng đợi của tiến trình Ngăn xếp và hàng đợi là nơi mà các biến được lưu trữ trong suốt thời gian của tiến trình Từ WCE 6.0, quản lý bộ nhớ đã được thay đổi đáng kể Ví dụ địa chỉ không gian bộ nhớ ảo cho một quá trình không còn bị giới hạn 32 MB

Hình 1.2 Tổ chức bộ nhớ của tiến trình xử lý của hệ điều hành WCE

Một số thành phần khác

Bên cạnh NAND và RAM, một thiết bị WCE có thể có thêm bộ nhớ cho các mục đích riêng Bên trong bộ vi xử lý tạm thời, thanh ghi riêng có thể có tác dụng lưu trữ dữ liệu mã hóa tức thời Một thanh ghi gắn với một số duy nhất có thể có chức năng như là chìa khóa chính cho việc mã hóa dữ liệu Ví dụ, bộ vi xử lý Texas Instruments OMAP35x

có 128 bit CONTROL_DIE_ID tại địa chỉ 0x4830A218

2 Một số phần mềm điển hình của WCE

Phần này mô tả các thành phần phần mềm trong một thiết bị WCE có liên quan đến việc lưu trữ dữ liệu người dùng hoặc có thể được sử dụng trong giám định thiết bị Một khái niệm quan trọng khi xem xét thiết bị WCE được cơ bản dựa trên sự khác nhau giữa các nhân của thiết bị WCE

Bộ nạp khởi động trong một thiết bị WCE có thể được sử dụng như một công cụ để

có được một hình ảnh vật lý của bộ nhớ trong một thiết bị WCE Một số bộ nạp khởi động

có khả năng này, mặc dù đôi khi bị chặn bởi một số cơ chế bảo mật như mật khẩu hoặc chèn thẻ nhớ đặc biệt Các thiết bị khác sẽ cần một bộ nạp khởi động phù hợp để cung cấp các chức năng cần thiết cho việc tạo ra một hình ảnh vật lý

Bộ vi xử lý thiết lập lại trên một nền tảng ARM để thực thi code ở vector thiết lập lại Vector thiết lập lại là địa chỉ (vật lý) nơi mà lệnh đầu tiên được tìm nạp Địa chỉ cho ARM này thường là 0x0000: 0000 Tại vector thiết lập lại thường là chuyển đến địa chỉ nơi mã bộ nạp khởi động thực tế được định vị Bộ nạp khởi động đôi khi có các chức năng để sao chép các loại bộ nhớ khác nhau từ thiết bị vào phương tiện truyền thông bên ngoài, nhưng chức năng không phải là luôn tiếp cận được Bởi vì nó có thể tạo điều kiện

mở khóa SIM hoặc các hình thức tấn công của hacking, các nhà sản xuất thiết bị cầm tay

để khó có thể truy cập chức năng này

Nếu một bộ nạp khởi động có chức năng truy cập để đọc bộ nhớ, thì đây là một cách rất an toàn và nhanh chóng sao lưu bộ nhớ Nếu các chức năng đọc của bộ nạp khởi động không truy cập được, người ta có thể thay thế các bộ nạp khởi động, vá bộ nạp khởi động, đây là lý do tại sao các chức năng là không thể truy cập, ví dụ khóa mật khẩu, và việc tìm kiếm các cách xung quanh vấn đề này

Dựa vào thành phần này, giúp cho quá trình khai thác dữ liệu đã bị xóa, đảm bảo cho quá trình khởi động hệ điều hành Đồng thời thành phần này có thể cho phép hệ điều hành tổ chức lại bộ nhớ flash, xoá dữ liệu bên ngoài vùng có khả năng phục hồi

Heap

Heap là một phần của bộ nhớ dành riêng cho một ứng dụng dùng để phân bổ và giải phóng bộ nhớ trên mỗi byte Heap chứa các biến được tạo ra với các hàm của hệ điều hành như 'malloc () ' Hàm này trả về một con trỏ trỏ đến đoạn bộ nhớ được cung cấp bởi

hệ điều hành, nếu số lượng bộ nhớ yêu cầu được đáp ứng

Khi một tiến trình không còn cần bộ nhớ nó đã cấp phát, nó sẽ giải phóng bộ nhớ cho hệ điều hành bằng cách gọi một hàm OS như „free()', với một con trỏ trỏ đến bộ nhớ muốn trả về hệ điều hành Tuy nhiên, dữ liệu không bị thay đổi khi giải phóng ô nhớ của

nó

1.1.4 Các phiên bản của WM

Từ lúc ra đời, WM đã trải qua nhiều phiên bản khác nhau với nhiều lần "thay tên đổi họ" Xuất hiện lần đầu với tên hệ điều hành Pocket PC 2000, WM đã đƣợc nâng cấp vài lần, phiên bản hiện hành là WM 8

Pocket PC 2000 hỗ trợ duy nhất độ phân giải QVGA (240x320), thẻ nhớ CompactFlash và MMC Vào thời điểm này, thiết bị dùng PPC 2000 sử dụng nhiều kiến trúc CPU khác nhau nhƣ SH-3; MIPS và ARM

Pocket PC 2002

Tên mã: Merlin

Ngày ra mắt: tháng 10/2001

Nền tảng: Windows CE 3.0

Hình 1.4:Màn hình today của PPC 2002

Các tính năng nổi bật so với PPC 2000:

Giao diện đƣợc cải tiến, hỗ trợ theme

Bổ sung tính năng kiểm tra chính tả và đếm từ trong Pocket Word

Có thể download file bằng Pocket Internet Explorer

Hỗ trợ truyền file qua hồng ngoại với Palm OS

Pocket Outlook đƣợc cải tiến

Hỗ trợ DRM (Digital Right Management) trong Microsoft Reader

WM 2003

Tên mã: Ozone

Ngày ra mắt: 23/6/2003

Nền tảng: Windows CE 4.2

Hình 1.5: Màn hình today của WM 2003

Phiên bản đầu tiên mang tên WM Gồm có 4 bản khác nhau:

WM 2003 for Pocket PC Premium Edition: có thể nói là bản đầy đủ tính năng nhất

WM 2003 for Pocket PC Professional Edition: thiếu vài tính năng so với bản Premium như không hỗ trợ L2TP/IPsec; VPN Thường được dùng trong những model Pocket PC giá rẻ

WM 2003 for Smartphone: dành cho smartphone không có màn hình cảm ứng

WM 2003 for Pocket PC Phone Edition: dành cho Pocket PC có chức năng điện thoại

Các tính năng mới:

Hỗ trợ bàn phím gắn ngoài

Giao diện quản lý thiết bị Bluetooth

Hỗ trợ truyền file qua Bluetooth

Hỗ trợ tai nghe Bluetooth

Ứng dụng xem ảnh với tính năng nhƣ crop, email, truyền file

Game Jawbreaker

Pocket Outlook hỗ trợ vCard và vCal

Pocket IE đƣợc "tăng lực"

Windows MediaPlayer 9.0 tối ƣu cho streaming

Cho phép trả lời SMS (đối với Phone Edition)

Hỗ trợ nhạc chuông dạng MIDI (đối với Phone Edition)

Cho phép xoay màn hình ngang/dọc

Sắp xếp nội dung trong 1 cột (Pocket Internet Explorer)

Hỗ trợ độ phân giải VGA (640x480); 172x220; 240x240 và 480x480

Hỗ trợ WPA

WM 5

Tên mã: Magneto

Ngày ra mắt: tháng 5/2005

Hình 1.6: Màn hình today của WM 5 for Pocket PC

WM 5.0 hỗ trợ công nghệ Push, tuy nhiên vẫn cần tới sự hỗ trợ của thiết bị Với bản nâng cáp AKU2, tất cả các thiết bị WM 5.0 đều hỗ trợ DirectPush Thời gian sử dụng pin của thiết bị dùng WM 5.0 dài hơn so với các OS cũ nhờ

dữ liệu được lưu vào bộ nhớ flash thay vì RAM Trước đó, gần 50% năng lượng của pin chỉ dùng để bảo lưu dữ liệu trong RAM, và khi hết pin người dùng cũng có khả năng mất dữ liệu nếu không sạc pin kịp thời - đối với WM 5.0, chuyện đó sẽ không thể xảy ra

Các gói nâng cấp cho WM 5.0 được phát hành dưới dạng Adaption Kit Upgrades (AKU) AKU 3.5 là bản cập nhật mới nhất cho WM 5.0

Các tính năng mới khác bao gồm:

Bộ Office mới có tên Office Mobile, gồm có

PowerPoint Mobile

Excel Mobile với khả năng vẽ đồ thị

Word Mobile với khả năng chèn bảng và hình ảnh

Windows Media Player 10 Mobile

Hiển thị ảnh người gọi đến (Photo Caller ID)

Hỗ trợ DirectShow

Các ứng dụng quản lý hình ảnh và video

Hỗ trợ Bluetooth tốt hơn

Giao diện quản lý GPS

WM 6 Standard dành cho smartphone (không có màn hình cảm ứng)

WM 6 Professional dành cho pocket PC phone

WM 6 Classic dành cho pocket PC

WM 6 có mối liên kết chặt chẽ với Windows Live và Exchange 2007 Giao diện của

WM 6 có nhiều nét tương đồng với Windows Vista ra mắt cùng thời điểm đó Về mặt tính năng, nó tương tự WM 5, nhưng ổn định hơn

Các tính năng/ứng dụng mới:

Hỗ trợ màn hình với độ phân giải 320x320 và 800x480 (WVGA)

Office Mobile cho Smartphones

Khả năng cập nhật "nóng" hệ điều hành

Tăng cường hỗ trợ Remote Access (chỉ có vài model Pocket PC có khả năng này)

VoIP

Windows Live cho WM

Tính năng nhận phản hồi từ người dùng

Driver Bluetooth được cải tiến

Mã hóa thẻ nhớ

Bộ lọc thông minh để tìm kiếm trong ứng dụng

Tính năng chia sẻ internet được cải thiện

Outlook Mobile hỗ trợ mail định dạng HTML

Cho phép tìm kiếm contact trong sổ địa chỉ của Exchange Server

Internet Explorer Mobile hỗ trợ AJAX, JavaScript và XMLDOM

Thông báo vắng mặt (Microsoft Exchange 2007)

Hỗ trợ UMA

.NET Compact Framework v2 SP2 được cài sẵn trong ROM

Microsoft SQL Server 2005 Compact Edition được cài sẵn trong ROM

OneNote Mobile

Office Movbile 6.1 với khả năng hỗ trợ các định dạng của Office 2007 (pptx; docx; xlsx)

WM 6.5

Ngày ra mắt: 11/5/2009

Hình 1.9: Màn hình today của WM 6.5 (Titanium)

WM 6.5 chƣa bao giờ là một phần trong lộ trình của Microsoft về di động Đây chỉ

là sản phẩm để lấp chỗ trống trong khi chờ đợi WM 7 (tên chính thức là Windows Phone 7) ra đời Phiên bản nâng cấp này bao gồm những tính năng mới nhƣ giao diện đƣợc thiết

kế lại cho phù hợp với việc sử dụng điện thoại không dùng bút, màn hình Today mới (có tên là Titanium), phiên bản Internet Explorer 6 mới với giao diện đƣợc cải tiến Mặc dù

WM 6.5 không hỗ trợ màn hình cảm ứng điện dung nhƣng nhiều nhà sản xuất đã thành công trong việc bổ sung loại màn hình cảm ứng "thời thƣợng" này vào thiết bị của mình Phần lớn các điện thoại sử dụng WM 6.1 đều có thể nâng cấp đƣợc lên WM 6.5

Windows Phone 7

Hình 1.10 Màn hình Start của Windows Phone 7

Ban đầu, Microsoft dự định xây dựng Windows Phone 7 dựa trên các nâng cấp cho nền tảng WM vốn có, với tên mã là Photon Tuy nhiên, Microsoft đã quyết định "dứt bỏ quá khứ" và giới thiệu Windows Phone 7 Series - sau này đƣợc đổi tên thành Windows Phone 7 Đầu năm 2011Windows Phone 7 và các sản phẩm sử dụng nó đã chính thức đƣợc tung ra Windows Phone 7 chỉ hỗ trợ các ứng dụng xây dựng trên nền tảng Silverlight và XNA

Theo thông tin từ Microsoft, những điện thoại đang sử dụng WM 6.x sẽ không thể nâng cấp lên Windows Phone 7 Các ứng dụng cho WM 6.x cũng sẽ không hoạt động đƣợc trên Windows Phone 7

Windows phone 8

Hình 1.11 Màn hình Start của Windows Phone 8

Windows Phone 8 được xem là một bước tiến lớn và sự lột xác hoàn toàn so với phiên bản Windows Phone 7 trước đây, mang lại nhiều tính năng và sự thay đổi hoàn toàn mới mẻ

− Chức năng chỉ đường chi tiết

− Tích hợp “ổ cứng đám mây” SkyDrive: Không chỉ hỗ trợ khe cắm thẻ nhớ ngoài, điện thoại sử dụng Windows Phone 8 còn được nâng cấp dung lượng lưu trữ thông qua dịch vụ SkyDrive của Microsoft, dịch vụ tương tự như iCloud của Apple, cho

phép tự động đồng bộ hóa hình ảnh, video… giữa các thiết bị của Microsoft với nhau

− Chạy đa nhiệm ngầm: Windows Phone 8 đã thực sự hỗ trợ đa nhiệm một cách đầy

đủ, cho phép người dùng thực hiện nhiều tác vụ đồng thời như phát nhạc trong lúc đang chụp ảnh, hay soạn tin nhắn… điều này sẽ khiến smartphone dùng Windows Phone 8 trở nên hữu dụng hơn

1.1.5 Phát triển ứng dụng trên WM với Visual Studio.NET

Công cụ lập trình ứng dụng trên WM bao gồm

Visual Studio 2008

Windows Mobile SDK

Window Mobile Device Center

Với lập trình WM, ta cần có Windows Mobile SDK Tùy vào mỗi phiên bản của HĐH WM, mà Microsoft cung cấp cho ta 1 bộ SDK tương ứng Đối với Visual Studio

2008, thì Microsoft đã tích hợp bộ WM 5 SDK có sẳn để có thể lập trình ứng dụng cho các thiết bị chạy WM 5 Sau này, chúng ta sử dụng WM 6, do đó MS cũng đã cung cấp 1

Các chức năng chính của thẻ SIM bao gồm:

+ Cung cấp chức năng xác thực thuê bao cho phép người sử dụng truy cập vào các dịch vụ đã đăng ký, bảo mật cho các thuê bao trong mạng

+ Lưu trữ các thông tin cá nhân

+ Cung cấp các dịch vụ phi thoại khác…

1.2.1 Cấu tạo thẻ SIM

Cấu tạo tổng quát của thẻ SIM được mô tả trong hình vẽ sau:

Hình 1.12: Cấu tạo thẻ SIM

SIM có kích thước nhỏ tương đương một con tem bưu chính (chiều dài là 25 mm, chiều rộng là 15 mm, và độ dày là 0,76 mm) Bộ nhớ của SIM có dung lượng từ 16 KB đến 128 KB Tại lõi của nó chứa một bộ vi xử lý, bộ nhớ chỉ đọc (EPROM) có khả năng lập trình và xóa bằng tín hiệu điện, nó cũng bao gồm bộ nhớ truy cập ngẫu nhiên (RAM) cho việc thực hiện các chương trình và bộ nhớ chỉ đọc (ROM) cho hệ điều hành, xác thực người sử dụng, các thuật toán mã hóa dữ liệu và các ứng dụng khác

Thẻ SIM lưu trữ được rất nhiều thông tin, từ các thông tin về nhà cung cấp dịch vụ đến các thông tin về người sử dung Tuy nhiên, tùy thuộc vào từng loại điện thoại, một số thông tin cũng có thể cùng tồn tại trong bộ nhớ của điện thoại hoặc nằm hoàn toàn trong

bộ nhớ của điện thoại thay cho thẻ SIM

Ngoài các thông tin trên thẻ SIM mà người sử dụng có thể thay đổi cài đặt và lưu trữ như:

Các số đã gọi (LDN)

Phonebook/Contacts (ADN)

SMS bao gồm cả các message đã xóa

LOCI (thông tin định vị) từ vị trí sử dụng cuối cùng

Thông tin liên quan đến dịch vụ

SIM còn lưu trữ các thông tin khác mà người sử dụng không thể thay đổi như:

+ Số se-ri SIM: Xác định nhà sản xuất, phiên bản hệ điều hành, số của SIM

+ Thông tin về trạng thái của SIM: SIM bị chặn hay không bị chặn

+ Mã dịch vụ (cho mạng GSM)

+ Các thuật toán nhận thực và bảo mật A3, A8, A5

+ Khoá nhận thực thuê bao riêng Key

+ Số nhận diện thuê bao di động quốc tế ISMI

+ Số điện thoại di động quốc tế MSISDN

+ Các khoá cho quá trình cá nhân hoá SIM

- Lớp điều khiển truy nhập của thuê bao

- Mã giải khoá cá nhân PUK

Trong SIM không lưu thông tin về số điện thoại đang sử dụng hay còn gọi là MSISDN (Mobile Subscriber Identify Number) Khi đăng nhập và xác thực vào mạng GSM, thiết bị đầu cuối MS (Bao gồm Mobile và SIM) sẽ phải gửi một số thông số nhất định đến Tổng đài Các thông số đó là Ki, IMSI, ICCD, IMEI Tổng đài sẽ tra cứu trên các cơ sở dữ liệu xem các giá trị thông số trên có hợp lệ hay không Nếu hợp lệ, tổng đài

sẽ tìm số điện thoại tương ứng với các giá trị thông số trên Và cho phép thuê bao đăng nhập sử dụng số điện thoại đó để đảm nhận các chức năng Voice (Gửi, nhận cuộc gọi và nhắn tin) các chức năng Data (GPRS, EDGE)

Dữ liệu duy nhất từ Mobile có thể đọc được từ SIM đó là khu vực dữ liệu người dùng (User Data), nơi chứa Danh bạ, SMS, một số Model có thể đọc được IMSI (Sony Ericsson)

Việc SIM và Mobile trao đổi những thông tin gì đã được định nghĩa và chỉ định trong các tiêu chuẩn về GSM, bất kể loại điện thoại nào chạy ở hệ điều hành nào cũng phải tuân theo các tiêu chuẩn đó, và do đó từ điện thoại không thể nào đọc được các thông tin khác từ SIM Card Trừ các loại SIM "thông minh" cho phép lập trình một số ứng dụng can thiệp vào nó (Thông qua SIM Tool Kit hoặc Java)

1.2.2 Sơ đồ cấu trúc Data trong SIM

Sơ đồ cấu trúc dữ liệu:

Hình 1.13:Sơ đồ cấu trúc file trên thẻ SIM

Kiểu File:

Có 3 kiểu file sau:

+ MF: Master File file chủ

+ DF: Dedicated File file dành riêng

+ EF: Elementary File file thành phần

Theo như hình vẽ trên MF là các file DF uỷ nhiệm được phân bố tại phần đầu của tổ chức logic bộ nhớ và được phân ở mức 0 Các DF khác tương ứng được phân chia ở mức 1,2,3 Cấu trúc phân cấp logic này được dành riêng cho môi trường đa ứng dụng và cho mục đích quản trị

Các thông tin lưu trữ trên thẻ SIM được tổ chức lưu trữ trên các thư mục và các file dành riêng Những file này lưu trữ bằng chứng có giá trị pháp lý, do đó những dữ liệu này được khai thác phân tích trong quá trình điều tra giám định Thông tin dữ liệu được lưu trữ trên thẻ SIM cụ thể như sau:

Hình 1.14:Sơ đồ cấu trúc dư liệu trên thẻ SIM

Tùy chọn ngôn ngữ (ELP-Extender Language Preferences)

File thành phần EF thường sử dụng 10 byte để lưu trữ danh sách mở rộng của các ngôn ngữ trên giao diện người dùng Mỗi mã quốc gia được tạo thành từ 2 chữ số theo chuẩn ISO 693 sử dụng 7 bit bảng chữ cáimặc định GSM

Mã hóa khóa (KC- Ciphering Key) GSM xác thực các thông tin liên quan đến thẻ SIM trong thiết bị điện thoại di động và trung tâm xác thực (AC - Authentication Center)

Thuê bao có một bản sao của mã khóa bí mật (KC) được lưu trữ trong thẻ SIM và một bản sao khác được lưu trữ trong AC, EF lưu trữ khóa KC để giải mã dữ liệu Kích thước

EF thường được cấp phát 9 byte và mã hóa theo sơ đồ sau:

Các byte từ 1-8: sử dụng lưu trữ khóa KC

Byte 9: sử dụng để xác định số tiếp theo trong khóa

Thông tin địa điểm (LOCI), Số Se-ri (ICCID), ID thuê bao (IMSI), Số điện thoại (MSISDN)

5-9 byte của tệp tin LOCI chứa thông tin khu vực mạng (LAI) nơi điện thoại di động đang sử dụng Dữ liệu này được lưu trữ khi điện thoại ngắt nguồn Với các thông tin này cung cấp cho quá trình điều tra có thể xác định được vị trí của đối tượng

Mạch tích hợp thẻ (ICCID-Integrated Circuit Card Identifier), nhận dạng thuê bao di động quốc tế (IMSI) và Trạm di động ISDN MSISDN) cung cấp nhận dạng khác hàng Số se-ri (ICCID) tương ứng với số điện thoại in trên thẻ SIM ID thuê bao (IMSI) tương ứng với số ID duy nhất cho tất cả các thuê bao trên mạng di động MSISDN là số điện thoại của điện thoại di động

Số danh bạ (AND)

Hầu hết thiết bị điện thoại di động có khả năng lưu trữ số điện thoại thường gọi đã thực hiện Mỗi thẻ SIM thường lưu khoảng hơn 100 số mỗi số được lưu kích thước thường là 32 byte Mỗi số được lưu trữ này được lưu trong file (EF) được gọi là số điện thoại danh bạ Mỗi số gồm các thông tin: tên và số điện thoại liên quan Khi số điện thoại này bị xóa, các vị trí lưu đã hết với giá trị FF vì vậy các số điện thoại trong trường hợp này không thể khôi phục được Tuy nhiên từ các vị trí này được phân bổ tuần tự, các vị trí trống ở giữa vị trí đã được sử dụng mà ở vị trí đó một hoặc nhiều số đã bị xóa bỏ từ file

Số mới gọi (LND – Last Numbers Dialed)

Thẻ Sim cũng có thể lưu trữ thông tin liên quan đến số gọi gần nhất Hầu hết thẻ dành lưu khoảng 5- 10 số gọi gần nhất Tuy nhiên hầu hết các số gọi gần nhất được lưu trong bộ nhớ của điện thoại tính năng này và file này để trống Trong bất kỳ vụ án nào,

đây là thông tin quan trong cần khai thác ở hai vị trí này nhằm tìm kiếm bằng chứng cho

vụ án Nếu được sử dụng thì thông tin này cũng tương tự như file AND EF

Dịch vụ tin nhắn (SMS)

Tin nhắn SMS được lưu trữ trong các tập tin tiểu EF_SMS ở trong thư mục DF_TELECOM Mỗi tin nhắn được lưu trữ trong tập tin này được cố định chiều dài Tin nhắn Chiều dài của tin nhắn SMS được lưu trữ trên thẻ SIM là 176 byte Cấu trúc của một tin nhắn SMS trên thẻ SIM được thể hiện như sau:

Hình 1.15:Biểu diễn cấu trúc tin nhắn SMS trên thẻ SIM

Byte đầu tiên trong cấu trúc tin nhắn dành xác định trạng thái tin nhắn Byte này mang một trong các giá trị sau:

00000000 - chưa sử dụng

00000001 - tin nhắn nhận, đọc

00000011 – Tin nhắn nhận, chưa đọc

00000101 – Tin nhắn khởi tạo, gửi

00000111 – Tin nhắn khởi tạo, không được gửi

Khi một tin nhắn SMS bị xóa byte trang thái thiết lập giá trị x/00 để tin nhắn mới có thể được lưu vào vị trí đó Nội dung của tin nhắn bị xóa sẽ được lưu lại cho đến khi có một tin nhắn mới ghi đề lên vị trí đó Khi một tin nhắn được ghi đè lên tin nhắn bị xóa trước đó có kích thước nhỏ hơn so với dung lượng được cấp phát (176 byte), Như vậy, kích thước còn lại bằng x/FF Đây là một lý do quan trong để ngăn các tin nhắn mới bị xóa ghi đè lên cùng một bản ghi Phần TPDU các tin nhắn SMS cũng có chứa các thông tin liên quan (175 byte) Tuy nhiên có một yếu tô quan tâm cho quá trình khai thác thông tin đó là:

Các dịch vụ tích hợp mạng kỹ thuật số (ISDN) số lượng các dịch vụ trung tâm tin nhắn SMS

Các dịch vụ tích hợp kỹ thuật số (ISDN) số của người gửi hoặc người nhận tùy thuộc vào tình trạng của tin nhắn

Ngày và thời gian (tính bằng giây) khi tin nhắn đã được nhận từ trung tâm dịch vụ tin nhắn SMS

Số danh bạ trên trạm di động (Ví dụ hộp thư nhận, gửi, dự thảo)

Tin nhắn được mã hóa theo tiêu chuẩn (phổ biến nhất là mã hóa 7 bit GSM)

1.2.3 Cấu trúc các File

Mỗi file được gán một mã nhận dạng duy nhất 2 byte mà được sử dụng bởi hệ điều hành lựa chọn file:

+ Byte thứ nhất của file nhận dạng được gọi là nhận dạng hệ thống

+ Byte thứ hai nhận dạng file nguồn của nó

3F 00 file chủ

7F xx file dành riêng ở mức 1

5F xx file dành riêng ở mức 2

2F xx file thành phần dưới file chủ

6F xx file thành phần dưới mức 1 của file dành riêng

4F xx file thành phần dưới mức 2 của file dành riêng

Master File (MF): Master file điểu khiển toàn bộ bộ nhớ FPROM, nhận dạng Master file là 3F00

Dedicated File (DF): DF bao gồm một nhóm các file EF, bộ nhớ lớn nhất là 255 bytes DF gồm 3 loại:

+ DF GSM (7F 20) bao gồm thông tin liên quan đến mạng GSM

+ DFSERVICE (7F 10) bao gồm các thông tin liên quan đến dịch vụ

+ Các file ứng dụng DF APPLI

Ngoài ra DFGSM có 5 file ứng dụng khác dành cho vệ inh và DCS

Elementary File (EF): EF gồm có 4 kiểu:

+ Transparent EFs: các file EF trong suốt: bao gồm một chuỗi các byte, dung lượng lớn nhất của EF là 255 Byte

+ Linear fixed EFs: các file EF tuyến tính chứa các bản ghi kích thước cố đinh: được tạo các bản ghi chiều dài cố định, các file này có thể bao gồm 255 bản ghi bao gồm cả phần mở rộng và các bản ghi này có thể được tạo lên tới 255 byte, hình sau đây đưa ra cấu trúc của file thành phần cố định tuyến tính

+ Cyclic EFs: các file EF chu kỳ: bao gồm một chuỗi hoặc các bản ghi có chiều dài

cố định và bằng nhau được sử dụng để lưu data theo thứ tự thời gian Các file thành phần chu kỳ có thể bao gồm lớn nhất 255 bản ghi, mỗi bản ghi có thể có chiều dài 255 byte, bản ghi cưối cùng được tạo nằm kề với bản ghi đầu tiên đã được tạo Khi một bản ghi được viết đầy ở một file thì bản ghi cuối cùng được ghi đè và trở thành bản ghi 1 (record 1) như trong hình vẽ sau:

Hình 1.16:cấu trúc chung tổ chức file dữ liệu trên thẻ SIM

Tất cả các file EF bao gồm file header và file vật thể (body) Header bao gồm cấu trúc của file về data hệ thống và body lưu giữ data Còn các file DF chỉ chứa file header vì các DF này không có data

Ví dụ: Có 2 file trong thẻ SIM liên quan đến SMS (Dịch vụ bản tin ngắn):

- EFsms : File này chứa đựng tất cả các bản tin EFsms là file bản ghi Một bản tin được lưu trong bản ghi và có chiều dài 176 bytes Số bản tin mà có thể được lưu trong thẻ SIM sẽ phụ thuộc vào dung lượng bộ nhớ thẻ SIM

- EFsmsp: file này được định nghĩa trước (pre-defined) những tham số về SMS, tức

Thông qua Chương 1 tác giả đã phân tích và xác định các đối tượng khai thác dữ liệu trên smartphone Trong nội dung chương tiếp theo của luận văn, tác giả sẽ đi sâu nghiên cứu các phương pháp kỹ thuật khai thác thông tin dữ liệu trên smartphone