Прочитай меня полностью! Как спасти данные с неисправного или заблокированного телефона?

    Показываю наглядно самый простой способ восстановить данные с NAND памяти смартфона, независимо от причины, по которой Вам это необходимо. В некоторых случаях телефон неработоспособен из-за повреждения процессора, залитой платы без возможности восстановления, в некоторых телефон заблокирован, а данные необходимо сохранить.

    image

    Мне посчастливилось работать в компании fix-oscomp, подразделении компании ОСКОМП по ремонту цифровой техники. Здесь я и познакомился на практике с этим способом.

    NAND это тип флеш-памяти, наиболее часто используемый в современных смартфонах.

    Конструкция NAND по Wikipedia
    Конструкция NAND — трёхмерный массив. В основе та же самая матрица, что и в NOR, но вместо одного транзистора в каждом пересечении устанавливается столбец из последовательно включенных ячеек. В такой конструкции получается много затворных цепей в одном пересечении. Плотность компоновки можно резко увеличить (ведь к одной ячейке в столбце подходит только один проводник затвора), однако алгоритм доступа к ячейкам для чтения и записи заметно усложняется. Также в каждой линии установлено два МОП-транзистора. Управляющий транзистор разрядной линии (англ. bit line select transistor), расположенный между столбцом ячеек и разрядной линией. И управляющий транзистор заземления, расположенный перед землёй (англ. ground select transistor).

    Сегодняшний пациент Xiaomi Mi Max 3:



    После залития перестал включаться.



    Диагностика показала, что процессор скорее мертв, чем жив. Клиенту необходимы данные с телефона и возможно восстановление самого аппарата.



    Плату очистили, но мы не можем заменить процессор, так как процессор и NAND память спарены по ключу и меняем мы их тоже в паре. В таком случае мы берем плату донор от более дешевой модели, в данном случае подойдет Xiaomi Redmi Note 5.



    Прогреваем плату нижним подогревом.



    Наносим флюс.



    Прогреваем феном.



    Снимаем NAND память.



    Очищаем остатки флюса.

    Проверяем контакты.





    Устанавливаем память в считывающее устройство.







    В нашем случае нам нужен раздел userdata и boot файлы.



    Скорость до 10 MiB/s. Но ждать придется долго. Процесс чтения в среднем занимает 2 часа.

    Таким образом можно увеличить объем памяти и ОЗУ при необходимости.

    Записываем данные на память с донора.



    Впаиваем память и процессор с донора, включаем и радуемся!



    Спасибо за внимание!

    Комментарии 41

      +6
      Не совсем понятно, что куда вы в итоге впаяли. Какие данные куда записали… Раздел userdata же шифрован у «пациента», верно? И вы его переписали в зашифрованном виде в флешку «донора»?
        0
        На выходе ISO файл, не зашифрованный.
          +2
          На выходе откуда? вы программатором когда читаете еммц пациента — что читаете — зашифрованные данные, или нет?
            0
            На выходе из программы eMMC. Данные не зашифрованы.
              +2
              А что такое «программа eMMC»?
              И откуда она берёт незашифрованные данные?
              Видимо, данные были незашифрованными изначально. Это ненадолго — уже со следующим поколением устройств этот фокус не пройдёт
                0
                Вы точно знаете предмет о котором написали статью? Или писал кто-то другой?
                  0
                  Какие у Вас сомнения? Файлы извлекаются без пароля.
                    –1
                    Для чего нужен телефон-донор, еще и с похожим процессором?
                      0
                      Чтобы с него взять процессор и память. Не весь телефон, лишь плата.
                        +2
                        Зачем вам нужна донорская память, если из пациентской программатором уже прочитали успешно незашифрованные данные?
                          +3
                          Чтобы восстановить еще и телефон, кроме данных.
                            +3
                            Интересная в целом статья, многие (и я) любят посмотреть как и что делается. Небольшая проблема с подачей, нужно чуть больше времени уделить вычитке и дать перед публикацией кому-то прочитать.

                            Меня тоже стопорили фразы вроде:
                            Таким образом можно увеличить объем памяти и ОЗУ при необходимости.

                            сразу после
                            Процесс чтения в среднем занимает 2 часа.

                            Как чтение может увеличить память?

                            В общем и целом мысль уловить можно — просто переставить память нельзя, поскольку она завязана на проц, поэтому вы память считали (и она была без пароля, это важно было уточнить) и видимо (?) вернули на место. А процессор сняли и поставили с младшей модели как с донора, чтобы восстановить работу телефона в целом.

                            Мне тоже интересно с чтением памяти — там всегда не зашифровано? Если телефон с паролем, можно перенести данные с раздела в другой аппарат и там разблокировать, если знаешь пароль?
                              +1

                              Не совсем в тему, но последние тврп
                              успешно расшифровывают /data.
                              Сам восстанавливал из бэкапа на
                              Redmi 7a, но нужен разблокированный
                              загрузчик...

                                0
                                Интересно, спасибо, буду знать.
                0
                Имеется в виду «что прочитали, то и есть, мы ничего не шифровали», видимо.
                Хотя данная модель может попадаться с 8.1, видимо, там ещё нет шифрования по умолчанию или у китайцев свои «волшебные» умолчания
              0
              Тут они взяли память и процессор от RN5 впаяли в убитый телефон, тем самым восстановив его работоспособность и доступ к FLASH памяти, где храниться информация.
                0
                Переносить данные в донора без ключей бесполезно
                  +3
                  Ну всё же понятно, даже я понял:
                  Флеш был рабочий, заменяли процессор, так как он отвалился. А так как процессор и флеш аппаратно связаны (вот это я уже не знаю как, не силен), то с донора пришлось взять ещё и флеш. Ну и перелить на него содержимое исходного флеша. Соответственно ключи расшифровки не поменялись (если только они не хранятся внутри процессора, т.к. это по сути единственная замененная деталь).
                    +2
                    Ключи точно не хранятся там же, где и данные, то есть на флеш их быть не может.
                    В системах с TPM они хранятся в TPM, при том так, что извлечь их оттуда неинвазивными методами невозможно (теоретически, по крайней мере).
                    Судя по всему сказанному (а по большому счёту, по тому, что данные вообще удалось извлечь), шифрование не было задействовано
                +4
                Электроника для начинающих

                Ага, ага. Озвучьте ради интереса сколько стоит оборудование которое использовалось для восстановления, что бы начинающие понимали

                  0
                  Когда я пришел в fix-oscomp.ru там уже был. Думаю, до 50.000 руб.
                    +1
                    судя по фоткам, там в общей сложности под 200к. В целом для «начинающих», если нет необходимости оставлять в живых плату, можно резко сократить траты, ограничившись феном и методом с переходником на SD. Но экономически выгоднее — отдать профессионалам.
                    +2
                    Начинающий и бедный — не синонимы :)
                      +1
                      В самом дешёвом варианте можно ограничиться утюгом и феном за 30 долларов, я так в соседнем городе перепаивал чипы. Но этот способ не для новичков, надо чувствовать оборудование и припой. На проф.оборудование можно даже девочку с ресепшна посадить, главное — не говорить, сколько это стоит, иначе руки будут трястись. Ридер очень дорогой, но во многих случаях можно тупо перекидывать чипы, без клонирования.
                      +1

                      Я бы тоже так смог, только у меня паяльника такого нет ;)
                      Некоторые чипы памяти читаются и "по бедному". Припаять spi интерфейс к выводам ненужного переходника SD-microSD и вставить полученного Франкенштейна в обычный кардридер.

                        0
                        Я в статью зашел как раз за этим способом. Если у кого есть ссылка на пинаут чтобы подключить еммц как СД — поделитесь плз в комментах. Заранее спасибо.
                        0
                        Ещё можно подключиться к JTAG, через который видны и проц, и память, собственно, через него на заводе заливают и тестируют.
                          0
                          На залитой плате непрокатит.
                        0
                        Чем продиктовано такое большое расстояние между платой и нижним подогревателем при снятии чипа?
                          0
                          Думаю, что равномерностью нагрева
                            0
                            Больше расстояние = больше конвекция, неравномерный нагрев. Так что нет.
                            Держатели для плат, которые на фотографии, можно перевернуть, чтобы плату опустить.
                          0

                          Сложно. Я как то до сих пор на облако надеюсь, а не на паяльник.

                            0
                            ну для того что бы просто вычитать emmc — можно просто подключиться к testpoint и читать ее как SD карту.
                              0
                              По-моему это работает только с мобилами без TPM, который хранит ключи шифрования.
                              Я как-то дампил и заливал обратно весь mmcblk0 у Xiaomi Redmi 4X через recovery.
                              Так вот, после полного сброса старый дамп не расшифровывал раздел /data никак вообще.
                                +5
                                Данные шифруются на современных телефонах, если установлен пароль на вход в систему.
                                Чтобы вычитать информацию, требуется перекинуть на рабочую плату связку: проц+память, только в таком случае данные будут расшифрованы, по другому никак, по крайней мере в условиях сервиса.
                                Так же Вы пишите, что работали с Nand, насколько я вижу, это EMMC с посадкой bga 254.
                                Разница между NAND и EMMC в том, что в EMMC, есть свой контроллер, который делает коррекцию битовых ошибок, и вы получаете в вашем выкачанном образе уже готовый файл, без ошибок, в NAND все сложнее, там сам программатор должен выполнять эту коррекцию.

                                Я не придираюсь, но как только начинаешь часто работать с подобными устройствами, я лично в тв сфере, понимаешь, что все далеко не так просто, и не достаточно иметь программатор под рукой, чтобы выполнить все нужные операции, много чего приходится делать вручную, и перестаешь путать EMMC, NAND и т.п.
                                  0
                                  Для iphone 5s процесс аналогичный или есть заметные отличия?
                                  Сколько примерно стоит услуга?
                                    0
                                    2Webzuweb Да вы батенька Джон Коннор! Сможешь хакнуть губера Калифорнии? :)
                                      +1
                                      И чего только не придумают, лишь бы не делать бэкапы!
                                      Разве что телефон не его )
                                        +1

                                        Интересно, как/зачем NAND спарена по ключу с процом, раз шифрование не используется? Чисто чтобы затруднить ремонт, что ли?

                                          0
                                          Может для chain of trust?

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое