Chip-off NAND Extraction: Lehimden Söküp Veri Okuma Tekniği
Chip-off, NAND flash chip'i PCB'den ısıyla söküp programmer'a takarak ham veri okuma. BGA reflow JEDEC J-STD-020 ısı profili. SLC/MLC/TLC/QLC + eMMC/UFS/raw NAND ayrımı. Up-828, RT809H, PC-3000 Flash programmer. XOR descrambling + ECC decode + Logical Mapping. Apple Silicon Secure Enclave duvarı. Vendor scrambling (Samsung, Toshiba, Micron, SK Hynix).
Chip-off NAND Extraction: Lehimden Söküp Veri Okuma Tekniği
Veri kurtarmanın son durağı genelde aynı yere çıkar: cihaz hiç açılmıyor, kart kısa devre yapmış, controller yanık kokuyor veya elektronik kart fiziksel olarak ikiye bölünmüş. Yazılım katmanı tamamen elden çıktığında geriye tek bir yol kalır, hafıza yongasını lehiminden söküp doğrudan okumak. Bu yönteme uluslararası adli bilişim literatüründe chip-off denir. Bu yazıda, DSET laboratuvarının Hacettepe Teknokent Ankara hattında günlük olarak uyguladığı chip-off NAND extraction sürecini, donanım altyapısını ve modern 3D V-NAND mimarisinin getirdiği yeni duvarları teknik olarak işliyoruz.
Konunun bütününü görmek için önce genel veri kurtarma rehberi 2026 Türkiye sayfamızı okumanızı öneririz, chip-off bu zincirin en agresif basamağıdır.
Chip-off Tam Olarak Ne Demek
Chip-off, bir depolama biriminin NAND flash yongasını taşıyıcı baskı devre kartından (PCB) ısı altında söküp, harici bir programmer cihaza takarak ham veriyi okumak demektir. İşlemin teorik temeli basittir: NAND yongasının içindeki floating gate hücreleri elektrik şarjı tutar, controller bu hücreleri yöneten ara katmandır. Controller ölse bile hücredeki veri orada durur. Yapmamız gereken şey, controller'ı bypass edip yonganın pinlerine doğrudan komut göndermektir.
Pratikte iş bu kadar temiz değildir. Çünkü NAND içindeki veri:
· Vendor scrambling ile karıştırılmış (XOR maskelenmiş) · ECC kodları ile sarmalanmış · Logical to Physical Block mapping ile dağıtılmış · Wear leveling ile kaydırılmış · Bazı modern cihazlarda donanım anahtarıyla şifrelenmiş halde durur
Yani yongayı söküp dump aldığınızda elinize gelen ilk şey, anlamsız görünen ikili bir akıştır. Asıl iş bu noktadan sonra başlar.
Hangi Vakalarda Chip-off Uygulanır
Chip-off ucuz, hızlı veya rutin bir yöntem değildir. Yongayı söktüğünüz anda cihaz geri dönüşsüz olarak ölmüş sayılır. Bu yüzden DSET olarak chip-off'u yalnızca aşağıdaki durumlarda öneriyoruz:
· Controller çipi tamamen yanmış, kısa devre yapmış, lazerle çatlamış · PCB üzerinde fiziksel kırık var, normal patch işe yaramıyor · Yangın, sel, kimyasal hasar sonrası kart kararmış (ilgili pratik vaka için iPhone suya düştü rehberimiz iyi bir referanstır) · Yazılım tarafı çökmüş, bootloader bozuk, ROM modu cevap vermiyor · Cihaz şifreli ama AES anahtarı controller'da kaldı ve controller artık konuşmuyor · Adli bilişim talebi var ve cihaz açılmadan ham imaj çıkarılması gerekiyor
Adli bilişim tarafında ISO/IEC 27037 ("Identification, collection, acquisition and preservation of digital evidence", iso.org) ve NIST SP 800-86 ("Guide to Integrating Forensic Techniques into Incident Response", nist.gov) chip-off'u destructive acquisition kategorisinde tanımlar. Yani bu işlem ancak diğer non-invasive yöntemler (JTAG, ISP, in-system read) denenip başarısız olduğunda uygulanmalıdır.
BGA Reflow ve Isı Profili
Modern NAND yongaları çoğunlukla BGA (Ball Grid Array) ya da TSOP-48 paketinde gelir. eMMC ve UFS yongaları neredeyse istisnasız BGA'dır. BGA, yonganın altında 100 ila 300 arası lehim topu olan bir paket demektir. Bu topları söküp tekrar topyalama (reballing) işlemi chip-off'un en kritik mekanik adımıdır.
DSET laboratuvarında uyguladığımız ısı profili genellikle şu basamaklardan oluşur:
· Preheat zonu: 25 °C → 150 °C, yaklaşık 90 saniye, alttan IR ısıtıcı · Soak zonu: 150 °C → 180 °C, 60-90 saniye, flux aktifleşir · Reflow zonu: 217 °C üstüne, kurşunsuz lehim için yaklaşık 235-245 °C tepe, 20-30 saniye · Cooling zonu: kontrollü düşüş, sıcaklık şoku verilmez
Tepe sıcaklığı yonganın JEDEC J-STD-020 moisture sensitivity profiline göre ayarlanır (jedec.org). Yanlış profil iki şekilde ölüm getirir: ya yonga içindeki nem ani buharlaşır ve "popcorn effect" oluşur (yonga şişip çatlar), ya da floating gate'lerdeki elektrik şarjı agresif ısıyla kısmen boşalır ve okuma sırasında bit flip oranı tavan yapar.
DSET'te bu adımda Quick 861DW ve Atten ST-862D hot air station, bunun yanı sıra IR rework istasyonu kullanılıyor. Mikroskop altında çalışmanın neden şart olduğunu, Hacettepe Teknokent laboratuvar mikroskop galerimizde görsel olarak paylaşmıştık.
NAND Tipleri ve Okuma Farkı
NAND flash, hücre başına tutulan bit sayısına göre dört ana sınıfa ayrılır. Bu sınıflandırma JEDEC ve ONFI (onfi.org) spesifikasyonlarında detaylı tanımlanır:
· SLC (Single Level Cell): hücre başına 1 bit, en güvenilir, kurumsal cihazlarda · MLC (Multi Level Cell): hücre başına 2 bit, eski tüketici SSD · TLC (Triple Level Cell): hücre başına 3 bit, bugünün ana akımı · QLC (Quad Level Cell): hücre başına 4 bit, ucuz yüksek kapasite SSD
Chip-off açısından önemli fark şudur: SLC'de bir hücre ya 0 ya da 1 voltaj seviyesi tutar, okuma toleransı geniştir. QLC'de aynı hücre 16 farklı voltaj seviyesi tutmak zorundadır, dolayısıyla sıcaklık nedeniyle oluşacak en ufak şarj kaybı bit hatası demektir. Bu yüzden QLC NAND chip-off vakalarında ECC katmanı çok daha agresif çalışır ve ham dump üzerinden veri kurtarma şansı SLC ile QLC arasında belirgin farkla düşer. Türkiye'de sahada en sık karşılaştığımız modeller için sık arızalanan SSD modelleri yazımız bu farkı vaka örnekleriyle anlatıyor.
eMMC, UFS ve Raw NAND Arasındaki Fark
Chip-off dünyasında üç farklı yonga sınıfı vardır ve okuma yöntemleri birbirinden ciddi şekilde ayrışır.
Raw NAND: Sadece hafıza hücreleri vardır, controller dışarıdadır. Eski USB flash sürücüler, eski Android telefonlar, bazı endüstriyel cihazlar bu sınıftadır. Dump okumak görece kolay, ama scrambling, ECC, wear leveling reverse engineering tamamen sizin sorununuzdur.
eMMC (embedded MultiMediaCard): NAND + controller tek BGA paketi içinde gelir, sandviç gibidir. JEDEC JESD84-B51 standardı ile tanımlanır (jedec.org). Hayatınızı kolaylaştıran şey şudur, controller içerideyse ve hala konuşuyorsa, eMMC pinlerine doğrudan komut göndererek logical katmanda okuyabilirsiniz. Bu chip-off'un kuzeni olan ISP (In System Programming) yöntemiyle çoğu zaman yapılabilir. Ama eMMC controller'ı da öldüyse, yongayı sökmek ve raw NAND gibi davranmak gerekir, bu çok daha zordur.
UFS (Universal Flash Storage): JEDEC JESD220 ailesi ile tanımlanır, modern Android amiral gemilerinde ve bazı premium cihazlarda standart hale gelmiştir. Seri arayüz kullanır, dump çıkarmak için özel UFS test soketi gerekir. UFS chip-off, eMMC'den belirgin olarak daha zordur ve donanım yatırımı gerektirir.
Programmer Donanımı
Yonga sökülüp temizlendikten ve gerekiyorsa reballing yapıldıktan sonra okuma cihazına gider. Sektörde yaygın olarak kullanılan donanımlar:
· Up-828P / Up-828 universal programmer, geniş TSOP ve BGA adaptör kütüphanesi sunar, raw NAND için klasik bir referanstır (up828.com) · RT809H EMMC-NAND flash programmer, eMMC dump için saha standardı · PC-3000 Flash Ace Lab tarafından üretilen profesyonel veri kurtarma platformu, ham NAND dump'tan logical reconstruction'a kadar tüm zinciri kapsar (acelab.eu.com) · VR-Table chip-off ön hazırlık masaları · Çeşitli BGA152, BGA153, BGA162, BGA169, BGA221 adaptör soketleri
PC-3000 Flash neden kritik diye sorarsanız, sadece dump almakla iş bitmez, dump'ı anlamlandırmak gerekir. PC-3000 Flash bunu vendor profilleri eşliğinde yapan az sayıda platformdan biridir. Cihazın ne olduğunu ve neden veri kurtarma laboratuvarında olmazsa olmaz sayıldığını PC-3000 nedir yazımızda ayrıntılı anlattık.
Dump Sonrası: Asıl Zor Kısım
Yongayı söktünüz, lehimini temizlediniz, programmer'a oturttunuz, ham dump aldınız. Elinize gelen dosya genelde gigabaytlar boyutunda, anlamsız görünen bir blob'dur. Asıl iş şimdi başlar.
1. XOR descrambling: NAND üreticileri (Samsung, Toshiba/Kioxia, Micron, SK Hynix) yongaya yazılan veriyi her sayfada farklı bir XOR maskesi ile karıştırır. Bu, hücrelerdeki shift olayını azaltmak için tasarlanmış bir dayanıklılık önlemidir, kötü niyetli bir şifreleme değildir. Ama dump'ı okumak için doğru vendor maskesini bilmek gerekir. PC-3000 Flash bu maskelerin geniş bir kütüphanesini taşır.
2. ECC decode: NAND her sayfaya BCH veya LDPC tabanlı bir error correction code ekler. Dump okurken her sayfanın ECC alanı çözülüp, varsa bit hataları düzeltilmelidir. ECC algoritmasının türü ve uzunluğu cihaza göre değişir.
3. Logical to Physical reconstruction: Controller, dosyaları yonga üzerinde belirli bir sıraya yazmaz. Wear leveling nedeniyle aynı dosyanın parçaları yonganın çok farklı bloklarına dağılmış olabilir. Logical mapping çözülmeden mantıklı dosya sistemi ortaya çıkmaz. Bu adım her vendor için ayrı bir reverse engineering işidir.
4. Filesystem rebuild: Logical sıralama tamamlandıktan sonra üzerinden FAT, exFAT, EXT4, F2FS, APFS, HFS+ gibi dosya sistemi parser'ları çalıştırılır.
Apple Silicon ve Secure Enclave Duvarı
Bütün bu zincir bir yere kadar iş görür. Apple cihazlarında, özellikle T2 çipli MacBook'larda ve Apple Silicon (M1, M2, M3) hattında ciddi bir engel vardır: Secure Enclave.
Apple'da NAND, anakart üzerine lehimli BGA paketler halinde gelir, evet, fiziksel olarak sökülebilirler. Ama yonganın içindeki her şey, AES-256-XTS ile anahtarı Secure Enclave içinde tutulan bir donanım anahtarıyla şifrelenmiştir. Yongayı söküp dump alsanız bile, elinizde anlamlı dosya değil, kriptografik gürültü olur. Çünkü anahtar yongada değil, ayrı bir güvenlik koprosesörünün içindedir ve dışarı çıkmaz.
Bu yüzden Apple Silicon vakalarında chip-off neredeyse hiçbir zaman birinci tercih değildir, board-level repair ve in-system read denemeleri önceliklidir. Konunun detayı için MacBook veri kurtarma T2 ve Apple Silicon rehberimiz bu sınırı somut olarak anlatıyor.
Modern 3D V-NAND Mimarisinin Getirdiği Zorluk
Eski planar NAND'da hücreler tek katmanda yan yana dizilirdi. 2D bitince Samsung 2013'te 3D V-NAND'ı tanıttı, hücreler dikey olarak üst üste yığılmaya başladı. Bugün 200 katmanın üzerine çıkan ürünler var.
Chip-off açısından bu üç şey demek:
· Yonga daha hassas, mekanik şok ve ısı toleransı dar · Vendor scrambling profilleri eski kütüphanelerde bulunmayabilir, yeni profiller her ürün nesliyle değişiyor · QLC ile birlikte sinyal kalitesi düşüyor, ECC olmadan ham dump pratikte okunamıyor
Bu da chip-off'un giderek niş, giderek pahalı bir teknik olmasına yol açıyor. Samsung tarafında karşılaşılan tipik senaryoları Samsung SSD veri kurtarma yazımızda işledik.
Vendor Scrambling Algoritmaları
Pratikte sahada gördüğümüz dört büyük üreticinin yaklaşımı kabaca şöyledir:
· Samsung: Kendi controller'ları (Pablo, MEX, MGX gibi kod adlı) ile beraber özel scrambling profilleri kullanır, ürün ailesine göre değişir · Toshiba / Kioxia: BCH ve LDPC ECC ile birlikte sayfa bazlı XOR · Micron: Geniş kurumsal ürün hattı nedeniyle iyi belgelenmiş, PC-3000 Flash kütüphanesinde profilleri yaygın · SK Hynix: Mobil eMMC pazarında baskın, scrambling şemaları sık güncellenir
Bu profillerin reverse engineering'i tek başına bir veri kurtarma laboratuvarının yapabileceği iş değildir, PC-3000 Flash ve benzeri platformların sürekli güncellenen vendor kütüphanelerine bağımlı kalınır.
Adli Bilişim Kabul Edilebilirliği
Chip-off, mahkeme önünde delil olarak sunulacak veriler söz konusuysa chain of custody kayıtlarıyla yürütülmelidir. ISO/IEC 27037 ve NIST SP 800-86 yönergeleri özetle şunu söyler:
· Cihaz ele alınmadan önce fotoğraflanmalı, seri numarası kayda alınmalı · Yonga sökme süreci kayıt altına alınmalı (video veya adım adım fotoğraf) · Ham dump alındıktan sonra hash (SHA-256 önerilir) hesaplanmalı · Sonraki tüm analizler dump'ın kopyası üzerinde yapılmalı, orijinal hash değişmemeli · Tüm süreç tarihli, imzalı bir teknik raporda belgelenmeli
DSET laboratuvarında her chip-off vakası için bu zincir standart prosedürdür, mahkeme talep edildiğinde teknik rapor istenen formatta sunulur.
DSET Lab Pratiği (Nitel)
Hacettepe Teknokent Ankara'daki laboratuvarımızda chip-off vakaları şu ortamda yürütülür: anti-statik (ESD) korumalı çalışma masaları, kalibre edilmiş hot air ve IR rework istasyonları, stereo mikroskoplar, BGA reballing kitleri, geniş yelpazede TSOP ve BGA adaptör soketleri, programmer yelpazesinde Up-828, RT809H ve PC-3000 Flash. Vaka kabulü her zaman böyle başlar: önce non-invasive yöntem denenir, in-system read başarısız olursa, ISP denenir, o da olmazsa son adım olarak chip-off planlanır ve müşteriye yazılı onay alındıktan sonra uygulanır.
Sık Sorulan Sorular
1. Chip-off her cihazda mümkün mü? Hayır. Apple Silicon ve T2 çipli MacBook'larda yonga sökülse bile veri Secure Enclave anahtarı olmadan anlamlandırılamaz. Modern şifreli Android cihazlarında da benzer sınırlar vardır.
2. Chip-off sonrası cihaz tekrar çalışır mı? Pratikte çalışmaz. Yongayı reball edip yerine geri lehimlemek teknik olarak mümkündür ama veri kurtarma vakalarında bu hizmet kapsamı dışındadır.
3. Süreç ne kadar sürer? Yonga sökme birkaç saat, dump okuma 4 ila 24 saat, logical reconstruction birkaç gün sürebilir. Vendor kütüphanesinde profil eksikse süreç uzar.
4. QLC SSD'de chip-off başarı oranı nedir? SLC ve MLC'ye göre belirgin biçimde düşüktür. ECC ağırlığı ve voltaj toleransının darlığı nedeniyle ham dump okuma sırasında bit hatası oranı yüksektir.
5. eMMC'de mutlaka chip-off mu gerekiyor? Hayır. eMMC controller hala konuşuyorsa ISP (In System Programming) ile yonga sökülmeden okuma yapılabilir. Chip-off, controller tamamen ölü ise tercih edilir.
6. Ham dump'ı bana verebilir misiniz? Adli bilişim ve kurumsal vakalarda dump teslim edilebilir, chain of custody belgeleriyle. Tüketici vakalarında genelde dosya seviyesinde teslim tercih edilir.
7. Yangın hasarlı cihazda chip-off işe yarar mı? NAND yongasının kendisi yanmamışsa, sıklıkla evet. Asıl iş, yongayı yanmış PCB'den hasar vermeden ayırmaktır. Yonga görsel olarak temizse şans yüksektir.
8. Su hasarında chip-off ilk seçenek mi? Hayır. Su hasarında önce kurutma ve board-level temizlik denenir. Yonga zaten sağlamsa controller çalışıyor olabilir. Chip-off son adımdır.
DSET Veri Kurtarma · Hacettepe Teknokent Ankara
Chip-off NAND extraction, Türkiye'de çok az laboratuvarın uçtan uca yürütebildiği bir uzmanlık alanıdır. DSET olarak Hacettepe Teknokent Ankara hattımızda, ISO/IEC 27037 uyumlu adli bilişim prosedürleriyle, BGA reballing ve PC-3000 Flash destekli logical reconstruction ile bu hizmeti uçtan uca veriyoruz. Cihazınız hiç açılmıyor, kart yanmış, normal yöntemler işe yaramadıysa, başka bir yere götürmeden bizi arayın, ücretsiz ön analiz veriyoruz.
İletişim: +90 536 662 38 09
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.