如何破解 Android WeChat 資料庫
微信 (WeChat) App 在 Android 平台上採取不同於 iOS 資料保護方式,為提供更安全的資料防護,Android 平台上會採加密方式儲存 EnMicroMsg.db 資料庫 (該資料庫內有所有的對話內容);而在 iOS 平台上則套用 Apple 既有的 Full File System 加密機制保護,並不會針對資料庫做額外的加密處理。
產品發布與最新訊息
使用 UFED 與 Cellebrite Responder 7.40 從 Android 擷取聊天內容
聊天內容擷取是一種新的取證方法,鑑識人員可以從任何 Android 裝置上抓取螢幕截圖。 透過全自動流程,可以從 WhatsApp 和 Signal App 中捕獲指定的聊天對話,以及有關聊天參與者的資訊,例如姓名,電話號碼等。
Cellebrite PA & UFED Cloud v7.40 版本更新
本次更新後 Cellebrite PA 導入功能更強的 AI 分類功能,除上個版本可分類的圖片外,本次更新後也包含了影片的分類功能。當調查大量資料時,AI 分類功能可以透過一個點擊來檢測和分類與關鍵類別相關的圖片和影片幀 (video frame)。
如何使用 PA 的雲端提取功能
Cellebrite Cloud Analyzer 和 Cellebrite Physical Analyzer 已整合為一,為資料分析與雲端提取提供了精簡的操作流程。 透過 PA,可直接從提取的裝置上取出 Tokens 和密碼,並匯出成 Cloud Package 格式。再藉由該格式透過 PA 提取雲端資料。
iOS Keychain 同步服務加密機制探討
Keychain 是 Apple 生態系統的主要功能之一。 Keychian 包含太多的敏感資訊,因此在 iOS 內也是受到最嚴格安全機制的保護。 同時,鑑識領域對於 Keychain 的開發還相對不足。 眾所周知,Keychain 包含用戶的帳號與密碼,以及支付工具的資料,如信用卡。除了以上資訊之外,Keychain 實際上還包含成千上萬個屬於各種 App 和系統的資訊,這些資訊是開啟許多其他敏感 App 內的內容所必需的鑰匙。 本文章會就 Keychain,其內容、保護與同步機制方法做深入的探討。
如何藉由 Physical Analyzer 檢測惡意程式
Cellebrite 資深總監,Heather Mahalik 在“Detecting Mobile Malware When Time is of the Essence” 線上論壇上介紹了如何藉由 PA 來檢測行動裝置是否有被植入惡意程式(Malware),若有相關疑慮可建議鑑識同仁參閱該 Webinar 說明。Heather 在會後另整理出五大 FAQ 問題,希望可讓鑑識同仁在檢測的道路上有一個正確的方向。
Cellebrite UFED 華為裝置提取實戰守則
Cellebrite 在 UFED 7.8 版本已針對 Kirin 裝置提供了 Decrypting Bootloader 提取機制,可做到物理提取上鎖的 FDE 裝置。而 Cellebrite UFED 在 7.30 版本導入了另一項領先業界的取證技術,使鑑識人員能夠從配備 Kirin 晶片組且採用 FBE 的華為旗艦裝置上,執行 Full File System (FFS) 完整檔案系統提取。本篇文章詳細說明不同提取方式如何對應到各種不同等級的華為裝置。
如何使用checkra1n提取iOS檔案系統 v4
checkra1n 越獄工具推出後,介於 iPhone 5s~X 之間的 iOS 裝置可輕鬆取得 Root 權限,本篇介紹如何在 Mac 與 Windows 系統下使用 SSH over USB 方式與 iOS 裝置連線,除可確保傳輸穩定與快速,也可藉由 TAR 備份指令,完整提取 iOS 檔案系統(Full File System),並匯入PA進行分析。提取過程裝置不需連線上網,可確保提取出的資料符合科學鑑識的方式。
iPhone LINE SQLite 資料庫分析
上一篇有關 SQLite 介紹是針對 WAL 檔案的分析說明,而本篇內容會回歸到資料庫的基本架構與語法介紹,採用的資料庫範本為 iPhone 手機資料量最大的 LINE 資料庫。藉由逐步拆解 LINE 資料庫的資料表與紀錄等資訊,並透過 SQL 語法將資料庫的內容依聊天群組,訊息留言數量等條件彙整並輸出報表,可讓鑑識同仁對於資料庫的架構與資料儲存模式有基礎了解。未來若有其他 APP 尚未被 Physical Analyzer 支援,可藉由本篇介紹方式先進行初步分析,可能會取得重要證據。