Cellebrite 7.34 版本
功能更新說明

2020-6-2 by 高田鑑識

Version7.34 | UFED, Cellebrite UFED Cloud, Cellebrite Physical Analyzer, Cellebrite Logical Analyzer, Cellebrite Reader

軟體更新
備份載點
發布通知
官方連接

援的裝置數量:31,113

支援螢幕繞鎖數量: 5,545 

援的 APP 數量:10,831

提取模式 V 7.34 新增 總數
邏輯提取 20 12,040
物理提取* 20 7,722
檔案系統提取 19 7,721
提取/停用用戶鎖 1 3,650
總數 60 31,113

APP 支援

  • Instagram Android 版本 – 支援解析社群活動事件(Social Media activities)。

  • Wickr Android 多重帳戶 – 更新後支援解析在同一裝置上安裝多個 Wickr「App/帳戶」,以及與帳戶相關的事件指示。 (Wickr 是即時通訊程式,允許用戶點對點進行加密內容與閱後即銷毀的訊息交換,包括照片,影片等)

  • WeChat iOS 版本 – 控制 WeChat iOS 額外數據 – 解析 fts_messages.db 資料庫可為 WeChat 帶來另一種資料來源。 除可能恢復「已刪除/遺失」的聊天記錄外,另一方面重複的聊天內容也可浮現。 現在可透過關閉 General Settings 中的「Parse FTS content from WeChat」來控制重複的聊天記錄。

  • WeChat 解析時帶入 IMEI – 在較新版本中,讀取 WeChat 資料庫時需 IMEI 號碼。如果提取或解析時無法自動取得 IMEI 號碼,在此版本則鑑識人員可以選擇手動輸入 IMEI 號碼,即可讓 PA 完成資料庫解析。

  • 108 個 APP 更新 – 支援 108 個 iOS 與 Android 新 app 版本的解析。

Cellebrite Physical Analyzer 7.34

Physical Analyzer 與 Cloud 整合

為了精簡作業流程與加速資料分析,鑑識人員可以透過單一工具來查看裝置與雲端的資料。當取得 Cellebrite UFED Cloud 授權,可直接在 PA 上啟用並有以下方式取得雲端資料:

    • 在「受害者/證人/嫌疑人」同意下提供的用戶認證資料。
    • 透過裝置取得的 tokens。
    • PC 瀏覽器的 cookies。

UI 優化

在 Physical Analyzer 版本 7.33 之後,根據用戶的使用回饋,優化了以下功能:

    • 時間軸 – 現在可以使用(+)和(–)按鈕(以及滾動條)來放大和縮小選項。 此外,圖形時間軸皆會顯示。
    • Data Files 區域在 Analyzed Data 中獨立顯示。
    • 主題設定 – 現支援兩種色調,深色與白色,可在設定裡切換。
    • Kebab menu 中提供了「選擇/取消項目」報告項目的功能。 您也可以在時間軸中「選擇/取消項目」。
    • 螢幕擷取按鈕已移至頂部選單。

Cellebrite UFED Cloud 7.34

UI 優化

Cellebrite UFED Cloud 建立在 Cellebrite Physical Analyzer 的成熟基礎之上,不僅帶來了現代化的用戶界面,還融合了 Cellebrite Physical 的一些現有和新功能。本版的雲提取功能在 7 月 31 日之前皆可免費試用。未來可透過軟體授權另啟用 UFED Cloud 雲端提取功能。

雲端提取操作示範

UFED Cloud 限制

  • Web Capture 功能尚未支援。
  • Direct Public 提取功能尚未支援。

Cellebrite UFED  7.34

Qualcomm Live

針對未上鎖的 Qualcomm 晶片組裝置,Cellebrite 支援通用的「完整檔案系統」與「物理」提取。 新的 Qualcomm Live 將提取功能涵蓋到了由中國手機製造商(如小米,OPPO,OnePlus,VIVO)以及 Nokia,LG Motorola 等製造的裝置。支援的 Android 作業系統為 7 – 10 之間。

提取過程不需使用特殊工具或線材,只要在 UFED 上選擇 Qualcomm Live 通用範本即可。

支援採用 MTK 晶片組的 VIVO 裝置

當 VIVO 手機市佔率在全球逐漸提高之下,Cellebrite 也投注更多的支援來協助鑑識人員取得關鍵證據。本次更新後 MTK Live 也針對採用 MTK 晶片組的 VIVO 裝置提供更多的提取支援。

Decrypting Exynos 支援新的提取裝置

支援 Android 10 並使用 FBE (File Based Encryption) 加密的 Samsung Galaxy S9、Galaxy Note 9 的提取功能。

已安裝的 Apps 洞察

此版本的 UFED 在執行 Android 裝置提取之前,會先提供已安裝 APPs 「鳥瞰圖」洞察資料。

詳細資訊可在「Device Info」上顯示。 該功能旨在幫助鑑識人員快速做出決策,以利將提取工作重點放在哪裡,從而優化後續的分析作業。

已排除問題:Cellebrite Physical Analyzer

  • iOS 完整檔案提取後無法解析 Signal。

  • 無法解析 Nokia RM-1172 裝置的通話紀錄。

  • 解析 KeepSafe 時失敗。

  • 解析 Chrome 版本 62.0.3202.84 失敗。

  • 當有多於兩個 warrant return 的來源時,UFDX 檔案儲存錯誤。

  • 保存圖片檔案時出錯。

  • 執行定位深度分析(carver)時錯誤。

  • iOS 3.0 裝置電話簿解析錯誤。