Physical Analyzer 7.31 更新說明

2020-3-18 by 高田鑑識

Version7.31 |  UFED Physical Analyzer, UFED Logical Analyzer, Cellebrite Reader 

軟體更新
備份載點
發布通知
官方連接

支援的APP數量: 10,517

新增App解析

  • Facebook Messenger Lite(Android) – 新增 Facebook Messenger Lite (Android) 解析,可以解析出的內容有聯絡人詳細資料、聊天訊息及使用者帳戶
  • Native Weather App (iOS) – 可從App 上取得位置資訊
  • Signal (iOS) – 更新對系統、位置還有共享聯絡人的解析。
  • TikTok (iOS) – 更新 TikTok 在裝置上擁有多個帳號的解析。
  • WhatsApp Dual Mode (小米、華為) – 新增 WhatsApp 雙模式在小米及華為裝置上所有資訊的解析。
  • 新增 74 個 Apps 解析 (iOS & Android)

SQLite 精靈功能加強

從 Application Insights 或 SQLite 資料庫清單中,現提供一個直覺化的視窗,其中列出了與所選 APP 關聯的資料庫「資料表」、「欄位」與「紀錄」,可以協助鑑識人員快速找出需要檢視的資料庫。

加強 KaiOS 裝置的解析

新增 KaiOS 設備內可以檢視 WiFi 和 Web 相關資訊。

更新 Apple File System 的檔案時間戳記

Apple 檔案系統(APFS)包含 4 個時間戳記,描述如下:
    • Birth (建立檔案) –  ( birthtime ) 檔案建立的時間點。
    • Change (狀態更改) – ( ctime ) 檔案狀態 ( inode ) 最後更改時間點(不論是屬性、權限等)。
    • Modify  (內容修改) – ( mtime ) 檔案內容最後修改的時間點(例如,write,mknod,utimes)。
    • Access  (檔案讀取) – ( atime ) 上次讀取檔案的時間點(例如,read,mknod,utimes)。
 
UFED Checkm8 iOS 採用 DAR 格式提取。 但 DAR 提取格式僅能解析出 3 個時間戳記:狀態更改 (change), 修改 (modify), 讀取 (access)
在此版本的 UFED Physical Analyzer 中,新增了對建立檔案(Birth)時間戳記的解析,因此可以完全呈現 4 個時間戳記。鑑識人員不需從新提取舊有手機,只要透過 7.31 版本的 PA 開啟之前透過 Checkm8 提取的 DAR 檔案,即可正確解析出這四個時間戳記。

已修正的問題

  • 開啟 UFED Physical Analyzer 時出現錯誤。

  • 當 App Genie 有帶標籤,產生報告時會當機。

  • iOS 裝置提取下可解析 Wickr。

  • Checkm8 Full File System 提取的 DAR 格式可呈現讀取、修改的時間戳記。
  • 解析 Facebook Messenger(iOS)254.1 版本 – Facebook Messenger 在進行 Lightspeed 專案更新後,資料庫已改為 SQLite 格式(舊有版本為 orca2.db)。

  • Line(iOS)的聊天訊息中缺少擁有者 ID。

  • Facebook Messenger 中的未接來電解析出的時間不正確。
  • 支援匯入 VIC JSON 1.3 版格式。
  • VIC JSON 匯出檔案中缺少日期和時間。
  • 當 UFDR 報告勾選 ‘Redact all attachments’ ( 包含已編輯附件) 時,所選附件不包含在報告內。
  • 匯出 PDF 檔案時有多餘的空白處。
  • 離線地圖未顯示在時間軸檢視中。