ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGÔ THỊ THANH HOA

NGHIÊN CỨU KỸ THUẬT KHAI THÁC DỮ LIỆU TRÊN THIẾT BỊ ĐIỆN
THOẠI DI ĐỘNG THÔNG MINH (SMARTPHONE) PHỤC VỤ CÔNG TÁC
PHÒNG, CHỐNG TỘI PHẠM CÔNG NGHỆ CAO

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2012


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGÔ THỊ THANH HOA

NGHIÊN CỨU KỸ THUẬT KHAI THÁC DỮ LIỆU TRÊN THIẾT BỊ ĐIỆN
THOẠI DI ĐỘNG THÔNG MINH (SMARTPHONE) PHỤC VỤ CÔNG TÁC
PHÒNG, CHỐNG TỘI PHẠM CÔNG NGHỆ CAO

Ngành: Công nghệ Thông tin
Chuyên ngành: Công nghệ Phần mềm
Mã số: 60.48.10

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Giáo viên hướng dẫn: TS Phạm Hồng Thái

Hà Nội - 2012


MỤC LỤC
MỤC LỤC ....................................................................................................................... 3
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU ....................................................................... 5
THÔNG TIN HÌNH VẼ ................................................................................................ 8
THÔNG TIN BẢNG ..................................................................................................... 9
MỞ ĐẦU ...................................................................................................................... 10
Chương 1. Tính năng kỹ thuật, hình thức tổ chức và các chức năng của smartphone
trên các hệ điều hành WM .......................................................................................... 12
1.1 Hệ ĐIềU HÀNH WM VÀ CÁC Hệ THốNG DÙNG WM .......................................................................................... 12
1.1.1. Hệ điều hành WM .............................................................................................................................. 12
1.1.2. Đặc điểm hệ điều hành WM ................................................................................................................ 12
1.1.3. Kiến trúc hệ điều hành WM ................................................................................................................ 14
1.1.4. Các phiên bản của WM ...................................................................................................................... 20
1.1.5. Phát triển ứng dụng trên WM với Visual Studio.NET .......................................................................... 30
1.2. CấU TRÚC SIM ............................................................................................................................................ 30
1.2.1. Cấu tạo thẻ SIM ................................................................................................................................. 31
1.2.3. Cấu trúc các File ............................................................................................................................... 38
1.3 KếT CHƢƠNG ............................................................................................................................................... 40

Chương 2. Các phương pháp kỹ thuật khai thác thông tin dữ liệu trên smartphone
phục vụ công tác phòng, chống tội phạm công nghệ cao ........................................... 41
2.1. CAC THONG TIN LƢU TRữ TREN DIệN THOạI DI DộNG ...................................................................................... 41
2.1.1. Thông tin lưu trữ trên SIM.................................................................................................................. 41
2.1.2. Thông tin lưu trữ trên Phone Memory ................................................................................................. 42
2.1.3. Các thông tin lưu trữ trên thẻ nhớ ngoài ............................................................................................. 42
2.2. TổNG QUAN Về Kỹ THUậT KHAI THÁC Dữ LIệU TRÊN ĐIệN THOạI DI ĐộNG .......................................................... 45
2.3. Kỹ THUậT KHAI THÁC Dữ LIệU TRÊN Bộ NHớ TRONG CủA SMARTPHONE ............................................................ 46

2.3.1 Kỹ thuật khai thác dữ liệu qua giao diện sử dụng ................................................................................. 46
2.3.2 Kỹ thuật khai thác vật lý ...................................................................................................................... 46
2.3.3 Kỹ thuật khai thác logic....................................................................................................................... 51
2.4 Kỹ THUậT KHAI THÁC Dữ LIệU TRÊN SIM....................................................................................................... 55
2.4.1 Kết nối SIM với máy tính thông qua đầu đọc SIM ................................................................................ 55
2.5. KHAI THÁC Dữ LIệU TRÊN THẻ NHớ ................................................................................................................ 56
2.6. MộT Số PHầN MềM KHAI THÁC Dữ LIệU ĐIệN THOạI DI ĐộNG PHổ BIếN ............................................................... 56
2.7 XÂY DựNG QUY TRÌNH KHAI THÁC Dữ LIệU TRÊN SMARTPHONE PHụC Vụ CHO CÔNG TÁC PHÒNG, CHốNG TộI PHạM
CÔNG NGHệ CAO ................................................................................................................................................ 57
2.7.1. Thu giữ và bảo quản thiết bị ............................................................................................................... 57
2.7.2. Thu thập dữ liệu trên điện thoại .......................................................................................................... 58
2.7.3. Kiểm tra và phân tích dữ liệu.............................................................................................................. 62
2.7.4. Báo cáo.............................................................................................................................................. 62
2.8 KếT CHƢƠNG ............................................................................................................................................... 63


Chương 3: Xây dựng, phát triển phần mềm thu thập, khai thác dữ liệu từ SIM và bộ
nhớ trong của smartphone trên các hệ điều hành WM ............................................. 64
3.1. PHầN MềM KHAI THÁC Dữ LIệU Từ SIM VÀ Bộ NHớ TRONG TULP2G ................................................................ 64
3.1.1. Kiến trúc ứng dụng............................................................................................................................. 64
3.1.2. Đặc tả kỹ thuật ................................................................................................................................... 66
3.1.3. Đọc dữ liệu từ thiết bị......................................................................................................................... 66
3.1.4. Kết xuất dữ liệu ra báo cáo ................................................................................................................ 67
3.2. PHÁT TRIểN PHầN MềM THU THậP KHAI THÁC THÔNG TIN Từ Bộ NHớ TRONG CủA SMARTPHONE TRÊN NềN Hệ ĐIềU
HÀNH WM ........................................................................................................................................................ 67
3.2.1. Yêu cầu .............................................................................................................................................. 67
3.2.2. Chiến lược thiết kế ............................................................................................................................. 68
3.2.3. Mô hình kiến trúc phần mềm .............................................................................................................. 68
3.2.4. Thiết kế chi tiết.................................................................................................................................. 68
3.3. KếT QUả THựC NGHIệM ................................................................................................................................. 72

3.3.1. Giao diện và quá trình khai thác......................................................................................................... 72
3.3.2. Chi tiết kết quả khai thác dữ liệu trên SIM .......................................................................................... 76

KẾT LUẬN .................................................................................................................. 84
TÀI LIỆU THAM KHẢO ........................................................................................... 85


BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU
Đầy đủ

Từ viết tắt
APDUs

Application Protocol Data Units

Tiếng Việt
APDU là đơn vị kết nối giữa đầu đọc
thẻ SIM và SIM

AT, OBEX, AT Command, Object Exchange

Giao thức kết nỗi: AT, OBEX,

SyncML

SyncML

Protocol, Synchronization
Markup Language


ARM

Acorn RISC Machine

Là một loại cấu trúc vi xử lý 32bit kiểu RISC đƣợc sử dụng rộng rãi
trong các thiết kế nhúng

BGA

Ball Grid Array

Là một loại bề mặt sử dụng cho các
mạch tích hợp
Bộ nạp khởi động.

Bootloader
DF

Master File.

File chủ

EF

Dedicated File

File dành riêng

EPROM


Erasable Programmable Read-

Đƣợc chế tạo bằng nguyên tắc phân

Only Memory

cực tĩnh điện. Loại ROM này có thể bị
xóa bằng tia cực tím và ghi lại thông
qua thiết bị ghi EPROM.

Flash

Là một loại bộ nhớ máy tính không
khả biến có thể xóa và ghi lại bằng
điện

GSM

Global System for Mobile

Hệ thống thông tin di động toàn cầu

Communications
Heap
ISDN

Bộ nhớ heap
Integrated Services Digital

Mạng kỹ thuật số


Network
JTAG

Joint Test Action Group

Các tiêu chuẩn JTAG xác định một


giao diện và các lệnh có thể đƣợc sử
dụng để kiểm thử và gỡ rối của các
thành phần phần cứng trong các thiết
bị điện tử
LND

Last Numbers Dialed

Các số đã gọi

MF

Elementary File

File thành phần

MIPS

Microprocessor without

Là kiến trúc bộ tập lệnh RISC phát


Interlocked Pipeline Stages

triển bới MIPS Technologies

Mobile Subscriber ISDN

Số điện thoại di động quốc tế

MSISDN

Number
PC/SC
PDA

Personal Digital Assistant

Thiết bị hỗ trợ cá nhân

PIN

Personal Identification Number

Mã cá nhân

PIM

Personal Information
Management


PUK

Personal unblocking

Mã nhận dạng cá nhân

RAM

Random Access Memory

Bộ nhớ truy cập ngẫu nhiên

ROM

Read-Only Memory - ROM

Bộ nhớ chỉ đọc

SIM

Subscriber Identity Module

Thẻ nhớ thông minh sử dụng trên điện
thoại di động
Điện thoại di động thông minh

Smart
phone
TSOP


Thin Small-Outline Package.

WCE

Windows Compact Embedded

Hệ điều của Microsoft đƣợc thiết kế
dựa trên hệ điều hành Windows cho
các thiết bị di động và thiết bị không
gian hạn chế. Hệ điều hành này là nền
tảng của hệ điều hành Windows
mobile


WM

Windows Mobile

Hệ điều hành Windows Mobile


THÔNG TIN HÌNH VẼ
Hình vẽ

Trang

Hình 1.1: Kiến trúc hệ điều hành WCE

13


Hình 1.2 Tổ chức bộ nhớ của tiến trình xử lý của hệ điều hành WCE

16

Hình 1.3: Màn hình today của PPC 2000

18

Hình 1.4: Màn hình today của PPC 2002

19

Hình 1.5: Màn hình today của WM 2003

20

Hình 1.6: Màn hình today của WM 5 for Pocket PC

21

Hình 1.7: Màn hình today của WM 6 Standard

22

Hình 1.8: Màn hình today của WM 6 Professional

23

Hình 1.9: Màn hình today của WM 6.5 (Titanium)


24

Hình 1.10 Màn hình Start của Windows Phone 7

25

Hình 1.11 Màn hình Start của Windows Phone 8

26

Hình 1.12: Cấu tạo thẻ SIM

28

Hình 1.13: Sơ đồ cấu trúc file trên thẻ SIM

30

Hình 1.14: Sơ đồ cấu trúc dƣ liệu trên thẻ SIM

31

Hình 1.15: Biểu diễn cấu trúc tin nhắn SMS trên thẻ SIM

33

Hình 1.16: cấu trúc chung tổ chức file dữ liệu trên thẻ SIM

35


Hình 2.1: Mô hình khai thác dữ liệu với JTAG

49

Hình 2.2: Quy trình khai thác dữ liệu trên thiết bị điện thoại di động

52

Hình 2.3: Quy trình khai thác dữ liệu trên smartphone

55

Hình 2.4: Quy trình khai thác dữ liệu trên SIM

57

Hình 3.1: Kiến trúc phần mềm khai thác dữ liệu trên SIM Tulp 2G.

60

Hình 3.2: Mô hình thiết kế phần mềm khai thác dữ

64

Hình 3.3: Giao diện chính của chƣơng trình

67

Hình 3.4: Mở hồ sơ vụ án


68

Hình 3.5: Khai thác dữ liệu trên thẻ SIM

68

Hình 3.6: Kết nối máy tính và đầu đọc thẻ SIM

69

Hình 3.7: Quá trình khai thác dữ liệu

69

Hình 3.8: Báo cáo trích xuất dữ liệu

70


THÔNG TIN BẢNG
Bảng

Trang

Bảng 1.1. Đặc điểm hệ điều hành WCE

13

Bảng 2.1 Các tín hiệu JTAG trên bộ mạch chủ


44

Bảng 2.2: Một số phần mềm khai thác dữ liệu trên điện thoại di động

52


MỞ ĐẦU
Đặt vấn đề
Sự tiến bộ của khoa học kỹ thuật đã mang lại cho chúng ta nhiều phát minh rất hữu
ích, nó giúp chúng ta rất nhiều trong cuộc sống hàng ngày. Điện thoại di động là một
trong những phát minh nhƣ vậy.
Với sự phát triển không ngừng của công nghệ, điện thoại di động đang phát triển và
biến đổi từng ngày, hội tụ mọi công nghệ viễn thông, điện toán, âm thanh, hình ảnh...và
trở thành phƣơng tiện giao tiếp, làm việc chủ yếu của con ngƣời.
Cùng với sự phát triển mọi mặt của đời sống xã hội, điện thoại di động đang dần trở
nên phổ cập, có những ảnh hƣởng lớn đến đời sống của mọi tầng lớp nhân dân. Khi mới
xuất hiện, chiếc điện thoại di động chỉ là một món đồ chơi xa xỉ dành cho những ngƣời
thuộc tầng lớp thƣợng lƣu, đến nay điện thoại di động đã trở nên phổ biến với số ngƣời sử
dụng không ngừng gia tăng. Ở Việt Nam, trong những năm gần đây chiếc điện thoại di
động đã trở nên quen thuộc, là vật bất ly thân của đông đảo ngƣời dân trong xã hội, từ
nông thôn đến thành thị. Theo thống kê, trong năm 2010 cả nƣớc đã phát triển mới 44,5
triệu thuê bao điện thoại, bao gồm 793 nghìn thuê bao cố định giảm 49,1% và 43,7 triệu
thuê bao di động, tăng 2,4%. Nhƣ vậy tính đến cuối tháng 12/2010 cả nƣớc đã có 170,1
triệu thuê bao điện thoại, tăng hơn 35% so với cùng thời điểm năm 2009. Nhƣ vậy số thiết
bị di động đang đƣợc sử dụng tại Việt Nam là rất lớn. Theo số liệu thống kê của hãng
nghiên cứu thị trƣờng Gartner, tính đến tháng 12- 2009, kết nối di động đạt mốc lịch sử
với 60% dân số trên toàn cầu dùng điện thoại cầm tay, tức là trên thế giới có gần 4 tỷ
ngƣời dùng điện thoại di động, nhiều hơn gấp 3 lần so với máy tính cá nhân, trong đó có
khoảng 1,08 tỉ ngƣời sử dụng smartphone. Còn châu Á - Thái Bình Dƣơng hiện có hơn

1,4 tỉ thuê bao, cứ mỗi phút lại có 388 thuê bao mới hòa mạng. Hàng năm, hơn 1 tỉ điện
thoại cầm tay mới đƣợc tiêu thụ, cùng hơn 7 ngàn tỉ phút đàm thoại và khoảng 2.5 ngàn tỉ
tin nhắn SMS đƣợc gửi đi.
Ngày nay, điện thoại di động không chỉ dùng để nghe, gọi và nhắn tin mà còn hỗ trợ
nhiều dịch vụ tiện ích khác. Với một chiếc điện thoại di động thông minh (smartphone)
chúng ta có thể: xem phim, nghe nhạc, chơi game, sử dụng các ứng dụng văn phòng, dùng
file word, excel, .pdf, lƣớt web, gửi và nhận Email,… Cùng với sự gia tăng của những
chiếc điện thoại thông minh đa chức năng thì số vụ án liên quan đến điện thoại di động


cũng tăng lên, và hình thực vi phạm ngày càng đa dạng, tinh vi và có tổ chức. Trong
nhiều vụ án, điện thoại di động đƣợc sử dụng nhƣ những công cụ phạm tội. Các đối tƣợng
có thể sử dụng điện thoại để lƣu thông tin cá nhân, trao đổi thƣ, chat, truy cập vào các
mạng xã hội, các trang web cá cƣợc bóng đá, chơi lô đề trực tuyến,…
Ở nƣớc ta trong một số vụ án gần đây qua việc thu thập, khai thác các thông tin từ
thiết bị di động của đối tƣợng, trinh sát đã tìm, xác định đƣợc đối tƣợng, thu thập đƣợc
nhiều thông tin để đấu tranh. Qua việc khai thác thông tin từ những thiết bị di động ta có
thể tìm ra đƣợc nhiều chứng cứ quan trọng mà phƣơng pháp điều tra truyền thống không
thể có đƣợc. Với phƣơng pháp truyền thống để có thể thu đƣợc thông tin chứng cứ bằng
việc duyệt nội dung chứa trong thiết bị thông qua giao diện của ngƣời sử dụng, nhƣng đây
đƣợc xem là cách không chắc chắn và đƣợc sử dụng nhƣ giải pháp cuối cùng. Thay vào
đó, việc sử dụng các kỹ thuật giám định theo đúng qui trình là cách khai thác dữ liệu thích
hợp, tránh việc để mất, thay đổi thông tin trên thiết bị gốc, và những thông tin khai thác
sẽ phục vụ cho công tác phòng, chống tội phạm công nghệ cao.
Nội dung của đề tài
− Tìm hiểu tính năng kỹ thuật, hình thức tổ chức và các chức năng của smartphone
trên các hệ điều hành WM.
− Phân tích các phƣơng pháp kỹ thuật khai thác thông tin dữ liệu trên smartphone
phục vụ công tác phòng, chống tội phạm công nghệ cao.
− Phát triển, thử nghiệm phần mềm cho phép khai thác dữ liệu từ smartphone trên các

hệ điều hành WM.
Cấu trúc luận văn
Luận văn sẽ đƣợc chia thành 3 chƣơng chính dựa vào nội dung nêu trên:
− Chƣơng 1: Tính năng kỹ thuật, hình thức tổ chức và các chức năng của smartphone
trên các hệ điều hành WM. Cấu tạo và sơ đồ cấu trúc dữ liệu của SIM.
− Chƣơng 2: Các phƣơng pháp kỹ thuật khai thác thông tin dữ liệu trên (smartphone)
phục vụ công tác phòng, chống tội phạm công nghệ cao.
− Chƣơng 3: Xây dựng, phát triển phần mềm thu thập, khai thác dữ liệu từ SIM và bộ
nhớ trong của smartphone trên các hệ điều hành WM


Chương 1. Tính năng kỹ thuật, hình thức tổ chức và các
chức năng của smartphone trên các hệ điều hành
WM
1.1 Hệ điều hành WM và các hệ thống dùng WM
1.1.1. Hệ điều hành WM
WM là hệ điều hành dành cho thiết bị di động của Microsoft. Đây là một hệ điều
hành loại thu gọn kết hợp với một bộ các ứng dụng cơ bản cho các thiết bị di động dựa
trên giao diện lập trình ứng dụng Win32 của Microsoft. Các thiết bị chạy WM bao gồm
Pocket PC, Smartphone, Portable Media Center, và các máy tính lắp sẵn (on-board) cho
một số loại ô tô. Ngoài ra, một số máy tính xách tay loại nhỏ (ultra-portable notebook)
cũng có thể sử dụng hệ điều hành này. WM đƣợc thiết kế để có vẻ ngoài và các tính năng
tƣơng tự với các phiên bản để bàn (desktop) của Windows.
Các thiết bị dùng WM thƣờng đƣợc hỗ trợ sản xuất của rất nhiều hãng điện thoại lớn
trên thế giới nhƣ HTC (High Tech Computer), Samsung, Sony Ericsson, Motorola;...Dƣới
đây là danh sách một số thiết bị cài WM phổ biến
1. HTC Touch HD
2. Samsung Omnia
3. HTC Touch Cruise Series
4. HTC Touch Diamond 1 & 2

5. HTC Touch 1 & 2
6. Motorola Q
7. O2 Atom
8. O2 Mini
9. HTC Shift (UMPC-Phiên bản nâng cấp của HTC Advantage)

1.1.2. Đặc điểm hệ điều hành WM
WM dựa trên nền tảng hệ điều hành WCE vì vậy hệ điều hành này mang các đặc
điểm chung của hệ điều hành WCE. Hệ điều hành WCE là một hệ điều hành cho các thiết
bị nhỏ, hệ thống thƣờng không đĩa với dung lƣợng bộ nhớ hạn chế. Sử dụng một nhân


thời gian thực cứng, hệ điều hành cung cấp ƣu tiên, môi trƣờng đa nhiệm với sự hỗ trợ
nhiều công nghệ theo yêu cầu của các hệ thống nhúng.

Đặc điểm

Mô tả

Modul hóa

Modul hóa của hệ điều hành WCE đƣợc phản ánh tách
riêng các tiến trình và bảo vệ bộ nhớ nhằm nâng cao chất
lƣợng và hiệu suất của hệ thống, cũng nhƣ hiệu quả của
thiết kế hệ thống nhúng.

Khả năng mở rộng

Khả năng mở rộng đƣợc chứng minh bằng thực tế là
Windows CE là một đa nhiệm, hệ điều hành thực sự có

thể chứa nhiều quá trình thông qua một cơ chế quản lý đa
luồng hiệu quả.

Khả năng dự báo

Rất quan trọng để dự đoán là thiết lập nhiều phần cứng,
khả năng thời gian thực đƣợc cung cấp bởi hệ điều
hành. Các khía cạnh khác của thiết kế góp phần vào khả
năng dự đoán là hiệu quả xử lý độ trễ gián đoạn, hệ thống
phản ứng định lƣợng và truy cập hệ thống hẹn giờ.

Khả năng thích nghi

Khả năng thích ứng của Windows CE đƣợc hỗ trợ bởi
thiết kế kiểu mô-đun của hệ thống. Khả năng thích nghi
đƣợc thể hiện thông qua các tính năng của Platform
Builder, bao gồm cả truy cập thành phần danh mục và mã
nguồn đƣợc chia sẻ.

Tính ổn định

Windows CE cho thấy sự ổn định của nó bằng cách hoạt
động ổn định khi chịu tải với số dữ liệu lớn và thời gian
dài hoạt động trong thời gian kiểm thử.

Bảo mật

Bảo mật của hệ điều hành đƣợc hỗ trợ bởi một số các
dịch vụ đảm bảo an toàn trong quá trình sử dụng, OEM
cấp giấy chứng nhận và cách quản lý nâng cao.


Khả năng tiếp cận

Windows CE bao gồm nhiều tính năng thiết kế mà làm
cho truy cập đến các dịch vụ trong các tiến trình.

Tính kiểm thử

Windows CE tính kiểm thử cao với hệ thống . Đội ngũ
bảo đảm chất lƣợng cho sản phẩm đƣợc dành riêng để
thử nghiệm kỹ lƣỡng của mỗi bản phát hành sản


phẩm. Ngoài ra, Platform Builder cung cấp một bộ đầy
đủ tool kiểm thử để có thể sử dụng để thực hiện các thiết
kế hệ thống nhúng.
Hiệu suất

Windows CE có ƣu điểm về tốc độ và thời gian. Để đảm
bảo đặc điểm này, thử nghiệm hiệu suất đƣợc thực hiện
một cách liên tục, cho tất cả các phiên bản của sản phẩm.

Khả năng tồn tại

Windows CE cho thấy khả năng tồn tại khi đối mặt với
rủi ro trong các sự cố phần mềm và phần cứng, phần lớn
trong thiết kế quản lý điện năng của hệ điều hành.
Bảng 1.1. Đặc điểm hệ điều hành WCE

1.1.3. Kiến trúc hệ điều hành WM

Thiết bị sử dụng hệ điều hành WM đƣợc xây dựng dựa trên nền tảng kiến trúc hệ
điều hành WCE gồm bốn tầng chính:
Tầng phần cứng: bao gồm bộ vi xử lý, RAM, ROM, bộ vi xử lý tín hiệu số, các thiết
bị vào/ra.
Tầng nhà sản xuất thiết bị (OEM - Original Equipment Manufacturer): Bao gồm bộ
nạp khởi động, file cấu hình, trình điều khiển, lớp tích hợp (OAL - OEM Adaptation
Layer), lớp OAL cho phép một cho phép nhà sản xuất thiết bị tích hợp vào một platform
cụ thể và bao gồm các chức năng liên quan đến khởi động hệ thống, quản lý các ngắt,
quản lý hồ sơ, quản lý điện năng, timer và clock.
Tầng hệ điều hành: bao gồm kernel và lõi DLL, các đối tƣợng lƣu trữ, công nghệ đa
phƣơng tiện, quản lý thiết bị, các dịch vụ giao tiếp, mạng, giao diện đồ họa và Subsystem
các.


Application
Custom Applications

Internet Client
Services

User Interface

Windows Mobile
Applications

ayer

International

Operating

Applications and Services
Development
Object Store

Core DLL

Multimedia
Technologies

System Layer

Graphic
Windowing and
Event System
(GWES)

Device
Manager

Communication
Services and
Networking

Kernel
OEM Adaptation Layer (OAL)

OEM Layer
Drivers

Boot Loader


Configuration Files

Hardware Layer

Hình 1.1: Kiến trúc hệ điều hành WCE

1. Một số phần cứng điển hình WCE
Vì hệ điều hành WM dựa trên nền tảng hệ điều hành WCE nên các thành phần phần
cứng trong hệ điều hành chuẩn WCE mà có thể thích hợp cho việc giám định cho một
thiết bị bao gồm:
Bộ xử lý


Với WCE, Microsoft cung cấp một hệ điều hành có thể chạy trên nền phần cứng.
Bốn họ hệ thống của lõi xử lý đƣợc hỗ trợ là: ARM, MIPS, SH4 và x86. Hệ thống lõi xử
lý ARM hiện tại đang là phổ biến nhất trong các loại điện tử tiêu dùng nhƣ điện thoại
thông minh, PDA và chuyển hƣớng thiết bị.
Nhà cung cấp đang cung cấp bộ vi xử lý ARM đƣợc sử dụng trong các thiết bị
WCE. Một số tên mà chúng ta có thể thấy trong những năm gần đây nhất nhƣ họ vi xử
Intel PXA2x0/PXA30x XScale. Intel đã bán hoạt động của mình trong lĩnh vực này cho
Marvell. Một hãng sản xuất cạnh tranh trên thị trƣờng này là Samsung với S3Cxxxx .
Một trong những khía cạnh thú vị của tất cả các phạm vi bộ vi xử lý là gần nhƣ tất
cả các thiết bị ngoại vi cần thiết để xây dựng một điện thoại thông minh đƣợc tích hợp
vào một chip. Những bộ vi xử lý đó cũng đƣợc xem nhƣ là hệ thống trên Chip (SoC).
Điều này có nghĩa là rất nhiều thông tin liên quan có thể đƣợc cần thiết cho việc khai thác
dữ liệu vật lý trên một thiết bị đƣợc hỗ trợ bởi SoC phải đƣợc lấy từ datasheets của SoC.
Để có thể tạo một bản copy của NOR flash memory trong thiết bị bằng cách sử dụng kỹ
thuật Boundary Scan để biết đƣợc cách bố trí bộ nhớ của smart phone, các dòng chip lựa
chọn đƣợc kết nối với từng loại bộ nhớ chip. Tuy nhiên việc tìm kiếm datasheets trở lên

khó khăn hơn bởi nhiều SoC đƣợc thiết kế đặc biệt cho việc tạo nên chiếc điện thoại và
phân phối datasheets đƣợc kiểm soát chặt chẽ. Trong trƣờng hợp những datasheets không
available, các thông tin cần thiết chỉ có thể có đƣợc bằng cách đảo ngƣợc một thiết bị
tƣơng tự. Các SoC mới nhất tích hợp bộ nhớ RAM và bộ nhớ flash thành một gói, vì vậy
làm cho việc khai thác bộ nhớ vật lý thậm chí còn khó khăn hơn. Bên cạnh đó, SoC có thể
chứa bộ nhớ đặc biệt an toàn cho việc lƣu trữ dữ liệu giống nhƣ các khóa mật mã.
Bộ nhớ flash
Bộ nhớ flash đƣợc sử dụng rộng rãi cho việc lƣu trữ dữ liệu không dễ thay đổi. Có
hai loại chính của flash memory, NOR và NAND flash. Flash có thuộc tính cụ thể mà có
liên quan khai thác dữ liệu. Ví dụ, dữ liệu không thể đƣợc cập nhật ở một điểm trong bộ
nhớ flash, dữ liệu đầu tiên có thể đƣợc copy từ flash đến RAM, đƣợc thay đổi và sau đó
đƣợc copy trở lại vị trí ô nhớ khác trong Flash.
NOR flash
Đây là loại bộ nhớ flash có một giao diện nhƣ RAM, nó có một kênh dữ liệu, một
kênh địa chỉ và các luồng điều khiển. NOR flash đƣợc ánh xạ trong bản đồ bộ nhớ của bộ
vi xử lý và mã xử lý có thể đƣợc thực hiện trực tiếp tại mã xử lý. NOR flash cũng có thể


đƣợc sử dụng nhƣ là nơi lƣu trữ dữ liệu ngƣời dùng. Nhiều thiết bị WCE trƣớc đây có một
thƣ mục duy nhất trong thƣ viện gốc mà đƣợc ánh xạ đến một phần trong NOR flash. với
một trình điều khiển đặc biệt, nhƣ quản lý bộ nhớ ổn định của Intel một phần của bộ nhớ
NOR flash không đƣợc sử dụng mã có thể đƣợc sử dụng cho dữ liệu ngƣời dùng. Thƣ
mục này là dành cho ví dụ rất thích hợp cho việc backup hệ thống lƣu trữ và bởi vì nó
nằm trong flash, dữ liệu bị xóa có thể vẫn tồn tại. Khi một thiết bị hết pin làm cho hệ
thống bị khởi động lại thì dữ liệu không bị mất đi mà vẫn có thể backup lại đƣợc toàn bộ
dữ liệu ngƣời dùng gần đây.
NAND flash
NAND flash có thể đƣợc coi là tƣơng đƣơng với trạng thái nguyên của một đĩa
cứng. Nó có một giao diện với một kênh I /O và dòng điều khiển kết nối các chip bộ nhớ
để xử lý. Trên kênh I/O này, lệnh gán, địa chỉ và dữ liệu đƣợc gửi đi. Bộ nhớ NAND flash

không đƣợc ánh xạ trong không gian bộ nhớ của bộ xử lý, code đƣợc lƣu trữ trong một
chip NAND flash có thể không đƣợc thực hiện trực tiếp, nhƣng có đƣợc load đầu tiên vào
RAM, và nó giống nhƣ một đĩa cứng.
Sau khi cài đặt lại, mã chƣơng trình tải khởi động đƣợc nạp vào bộ nhớ RAM thông
qua một số cơ chế phụ thuộc kiểu bộ nhớ flash đƣợc sử dụng. Các mã trong khối này sẽ
chứa đựng những hƣớng dẫn để truy cập vào phần còn lại của các khối, để nạp hệ điều
hành vào RAM. Trạng thái điển hình của điện thoại thông minh WCE là sau khi hệ điều
hành đƣợc load, và sẽ phát hiện cho dù đó là một thiết lập lại. Trong trƣờng hợp đó, nó sẽ
cài đặt ngẫu nhiên. Sau khi những tập tin này đƣợc cài đặt, thiết bị khởi động lại và thiết
bị đã sẵn sàng để sử dụng.
Bộ nhớ Flash phải đƣợc xóa đi tất cả trƣớc khi tái sử dụng và flash chỉ có thể đƣợc
xoá hoàn toàn trong khối khá lớn, thƣờng trong khoảng 128 - 512 kB. Xóa một khối mà
chủ yếu là chứa trang kết thúc có thể làm cho kết thúc hoàn toàn bằng cách sao chép đi
cuối cùng vài trang hoạt động và sau đó bị xóa. Điều này có nghĩa rằng các dữ liệu không
hoạt động sẽ bị xóa hoàn toàn ra khỏi vùng dữ liệu có thể phục hồi, ngay cả trong trạng
thái "ngủ đông '. Bộ nhớ Flash bị hao mòn dần bằng cách xóa đi. Để giảm điều này, nhà
sản xuất flash hỗ trợ thuật toán Wear Leveling cho các phần cứng.
RAM
RAM trong thiết bị WCE có thể bao gồm nhiều loại dữ liệu có thể liên quan đến
giám định. Nhƣ các thiết bị hiện đại có thể có RAM hàng trăm MB, điều đó cần thiết để


tìm kiếm dữ liệu có liên quan. Trong các phiên bản WCE trƣớc đây đến phiên bản 6.0,
một tiến trình có một không gian địa chỉ virtual1 32 MB. Hình 1.1 dƣới đây cho thấy một
sơ đồ đơn giản của các vị trí khác nhau trong không gian địa chỉ 32 MB. Phần thấp nhất
từ dƣới lên, đầu tiên là mã của tiến trình. Từ địa chỉ cao nhất xuống, dlls cần thiết cho tiến
trình. Ở giữa là ngăn xếp và hàng đợi của tiến trình. Ngăn xếp và hàng đợi là nơi mà các
biến đƣợc lƣu trữ trong suốt thời gian của tiến trình. Từ WCE 6.0, quản lý bộ nhớ đã đƣợc
thay đổi đáng kể. Ví dụ địa chỉ không gian bộ nhớ ảo cho một quá trình không còn bị giới
hạn 32 MB.


Hình 1.2 Tổ chức bộ nhớ của tiến trình xử lý của hệ điều hành WCE
Một số thành phần khác
Bên cạnh NAND và RAM, một thiết bị WCE có thể có thêm bộ nhớ cho các mục
đích riêng. Bên trong bộ vi xử lý tạm thời, thanh ghi riêng có thể có tác dụng lƣu trữ dữ
liệu mã hóa tức thời. Một thanh ghi gắn với một số duy nhất có thể có chức năng nhƣ là
chìa khóa chính cho việc mã hóa dữ liệu. Ví dụ, bộ vi xử lý Texas Instruments OMAP35x
có 128 bit CONTROL_DIE_ID tại địa chỉ 0x4830A218.

2. Một số phần mềm điển hình của WCE
Phần này mô tả các thành phần phần mềm trong một thiết bị WCE có liên quan đến
việc lƣu trữ dữ liệu ngƣời dùng hoặc có thể đƣợc sử dụng trong giám định thiết bị. Một
khái niệm quan trọng khi xem xét thiết bị WCE đƣợc cơ bản dựa trên sự khác nhau giữa
các nhân của thiết bị WCE.
Bootloader


Bộ nạp khởi động trong một thiết bị WCE có thể đƣợc sử dụng nhƣ một công cụ để
có đƣợc một hình ảnh vật lý của bộ nhớ trong một thiết bị WCE. Một số bộ nạp khởi động
có khả năng này, mặc dù đôi khi bị chặn bởi một số cơ chế bảo mật nhƣ mật khẩu hoặc
chèn thẻ nhớ đặc biệt. Các thiết bị khác sẽ cần một bộ nạp khởi động phù hợp để cung cấp
các chức năng cần thiết cho việc tạo ra một hình ảnh vật lý.
Bộ vi xử lý thiết lập lại trên một nền tảng ARM để thực thi code ở vector thiết lập
lại. Vector thiết lập lại là địa chỉ (vật lý) nơi mà lệnh đầu tiên đƣợc tìm nạp. Địa chỉ cho
ARM này thƣờng là 0x0000: 0000. Tại vector thiết lập lại thƣờng là chuyển đến địa chỉ
nơi mã bộ nạp khởi động thực tế đƣợc định vị. Bộ nạp khởi động đôi khi có các chức
năng để sao chép các loại bộ nhớ khác nhau từ thiết bị vào phƣơng tiện truyền thông bên
ngoài, nhƣng chức năng không phải là luôn tiếp cận đƣợc. Bởi vì nó có thể tạo điều kiện
mở khóa SIM hoặc các hình thức tấn công của hacking, các nhà sản xuất thiết bị cầm tay
để khó có thể truy cập chức năng này.

Nếu một bộ nạp khởi động có chức năng truy cập để đọc bộ nhớ, thì đây là một
cách rất an toàn và nhanh chóng sao lƣu bộ nhớ. Nếu các chức năng đọc của bộ nạp khởi
động không truy cập đƣợc, ngƣời ta có thể thay thế các bộ nạp khởi động, vá bộ nạp khởi
động, đây là lý do tại sao các chức năng là không thể truy cập, ví dụ khóa mật khẩu, và
việc tìm kiếm các cách xung quanh vấn đề này.
Dựa vào thành phần này, giúp cho quá trình khai thác dữ liệu đã bị xóa, đảm bảo
cho quá trình khởi động hệ điều hành. Đồng thời thành phần này có thể cho phép hệ điều
hành tổ chức lại bộ nhớ flash, xoá dữ liệu bên ngoài vùng có khả năng phục hồi.
Heap
Heap là một phần của bộ nhớ dành riêng cho một ứng dụng dùng để phân bổ và giải
phóng bộ nhớ trên mỗi byte. Heap chứa các biến đƣợc tạo ra với các hàm của hệ điều
hành nhƣ 'malloc () '. Hàm này trả về một con trỏ trỏ đến đoạn bộ nhớ đƣợc cung cấp bởi
hệ điều hành, nếu số lƣợng bộ nhớ yêu cầu đƣợc đáp ứng.
Khi một tiến trình không còn cần bộ nhớ nó đã cấp phát, nó sẽ giải phóng bộ nhớ
cho hệ điều hành bằng cách gọi một hàm OS nhƣ „free()', với một con trỏ trỏ đến bộ nhớ
muốn trả về hệ điều hành. Tuy nhiên, dữ liệu không bị thay đổi khi giải phóng ô nhớ của
nó.


1.1.4. Các phiên bản của WM
Từ lúc ra đời, WM đã trải qua nhiều phiên bản khác nhau với nhiều lần "thay tên đổi
họ". Xuất hiện lần đầu với tên hệ điều hành Pocket PC 2000, WM đã đƣợc nâng cấp vài
lần, phiên bản hiện hành là WM 8.
Pocket PC 2000
Tên mã: Rapier
Ngày ra mắt: 19/4/2000
Nền tảng: Windows CE 3.0

Hình 1.3: Màn hình today của PPC 2000
Ra đời với vai trò ngƣời kế nhiệm của hệ điều hành trên Palm-Size PC. Vốn chỉ

dành cho Pocket PC, nhƣng nhiều Palm-Size PC cũng có khả năng nâng cấp lên hệ điều
hành này. Mặc dù nền tảng smartphone của Microsoft chƣa ra đời nhƣng đã có nhiều điện
thoại sử dụng Pocket PC 2000.
Pocket PC 2000 hỗ trợ duy nhất độ phân giải QVGA (240x320), thẻ nhớ
CompactFlash và MMC. Vào thời điểm này, thiết bị dùng PPC 2000 sử dụng nhiều kiến
trúc CPU khác nhau nhƣ SH-3; MIPS và ARM.
Pocket PC 2002
Tên mã: Merlin


Ngày ra mắt: tháng 10/2001
Nền tảng: Windows CE 3.0

Hình 1.4: Màn hình today của PPC 2002
Các tính năng nổi bật so với PPC 2000:
Giao diện đƣợc cải tiến, hỗ trợ theme
Bổ sung tính năng kiểm tra chính tả và đếm từ trong Pocket Word
Có thể download file bằng Pocket Internet Explorer
Hỗ trợ VPN
Đồng bộ folder
MSN Messenger
Terminal Services
Windows Media Player 8 với khả năng hỗ trợ streaming
Microsoft Reader 2
Hỗ trợ truyền file qua hồng ngoại với Palm OS
Pocket Outlook đƣợc cải tiến
Hỗ trợ DRM (Digital Right Management) trong Microsoft Reader
WM 2003



Tên mã: Ozone
Ngày ra mắt: 23/6/2003
Nền tảng: Windows CE 4.2

Hình 1.5: Màn hình today của WM 2003
Phiên bản đầu tiên mang tên WM. Gồm có 4 bản khác nhau:
WM 2003 for Pocket PC Premium Edition: có thể nói là bản đầy đủ tính năng
nhất.
WM 2003 for Pocket PC Professional Edition: thiếu vài tính năng so với bản
Premium nhƣ không hỗ trợ L2TP/IPsec; VPN. Thƣờng đƣợc dùng trong những
model Pocket PC giá rẻ.
WM 2003 for Smartphone: dành cho smartphone không có màn hình cảm ứng
WM 2003 for Pocket PC Phone Edition: dành cho Pocket PC có chức năng
điện thoại.
Các tính năng mới:
Hỗ trợ bàn phím gắn ngoài
Giao diện quản lý thiết bị Bluetooth
Hỗ trợ truyền file qua Bluetooth


Hỗ trợ tai nghe Bluetooth
Ứng dụng xem ảnh với tính năng nhƣ crop, email, truyền file...
Game Jawbreaker
Pocket Outlook hỗ trợ vCard và vCal
Pocket IE đƣợc "tăng lực"
Windows MediaPlayer 9.0 tối ƣu cho streaming
Cho phép trả lời SMS (đối với Phone Edition)
Hỗ trợ nhạc chuông dạng MIDI (đối với Phone Edition)
WM 2003 SE
Ngày ra mắt: 24/3/2004

Đây là phiên bản WM cuối cùng cho phép ngƣời dùng backup toàn bộ thiết bị bằng
ActiveSync.
Các tính năng mới:
Cho phép xoay màn hình ngang/dọc
Sắp xếp nội dung trong 1 cột (Pocket Internet Explorer)
Hỗ trợ độ phân giải VGA (640x480); 172x220; 240x240 và 480x480
Hỗ trợ WPA
WM 5
Tên mã: Magneto
Ngày ra mắt: tháng 5/2005


Hình 1.6: Màn hình today của WM 5 for Pocket PC
WM 5.0 hỗ trợ công nghệ Push, tuy nhiên vẫn cần tới sự hỗ trợ của thiết bị.
Với bản nâng cáp AKU2, tất cả các thiết bị WM 5.0 đều hỗ trợ DirectPush
Thời gian sử dụng pin của thiết bị dùng WM 5.0 dài hơn so với các OS cũ nhờ
dữ liệu đƣợc lƣu vào bộ nhớ flash thay vì RAM. Trƣớc đó, gần 50% năng
lƣợng của pin chỉ dùng để bảo lƣu dữ liệu trong RAM, và khi hết pin ngƣời
dùng cũng có khả năng mất dữ liệu nếu không sạc pin kịp thời - đối với WM
5.0, chuyện đó sẽ không thể xảy ra
Các gói nâng cấp cho WM 5.0 đƣợc phát hành dƣới dạng Adaption Kit
Upgrades (AKU). AKU 3.5 là bản cập nhật mới nhất cho WM 5.0
Các tính năng mới khác bao gồm:
Bộ Office mới có tên Office Mobile, gồm có
PowerPoint Mobile
Excel Mobile với khả năng vẽ đồ thị
Word Mobile với khả năng chèn bảng và hình ảnh
Windows Media Player 10 Mobile
Hiển thị ảnh ngƣời gọi đến (Photo Caller ID)
Hỗ trợ DirectShow.

Các ứng dụng quản lý hình ảnh và video
Hỗ trợ Bluetooth tốt hơn


Giao diện quản lý GPS
Hỗ trợ bàn phím QWERTY
Tính năng báo cáo lỗi (tƣơng tự phiên bản Windows dành cho máy để bàn và
server)
ActiveSync 4.2 tăng tốc đồng bộ dữ liệu đến 15%
WM 6
Tên mã: Crossbow
Ngày ra mắt: 12/2/2007
Nền tảng: Windows CE 5.0 (phiên bản 5.2)

Hình 1.7: Màn hình today của WM 6 Hình 1.8: Màn hình today của WM 6
Standard
Professional

Gồm có 3 phiên bản: