Android 檔案系統加密機制
為加強用戶資料的保護,最早從 Android 4.4 版本開始,裝置上的使用者資料導入了「對稱式加密(Symmetric Encryption)」的加密方式保護。 加密機制一旦啟用,所有使用者產生的資料在將其提交到儲存空間之前都會自動加密,並且所有資料讀取都會回到系統之前自動解密完成。 加密機制確保即使未經授權的一方試圖讀取資料,也只能取得到無法辨識的亂碼內容。
產品發布與最新訊息
PA 7.55版本更新資訊
Physical Analyzer 版本 7.55.2 更新,包括針對 iOS Snapchat 問題修復、支援 Android 版 Threema、WhatsApp 多開裝置登入以及雲端提取 AOL 電子郵件資料。
PA 7.54 版本更新資訊
PA 7.54 更新後新增了以下功能。支援解析 Android 裝置 Google Pay,確認 Samsung 裝置是否有重置為出廠狀態和偵測 WhatsApp 是否有發出限時訊息 (Disappearing Messages) 。
Android 作業系統基本架構 – 開機流程與分區說明
裝置開機後進到 Android 作業系統有一連串的過程,每一個環節都是為了確保裝置的安全性。本篇文章會針對開機驗證 (Verified Boot) 是如何確保開機過程執行的每一個程式皆來至於合法來源,另外也會說明 BootRom 與 Partitions 在開機過程的順序與賦予的功能。透過本篇的說明,最後就可以理解 Rooting 與 Unlock Bootloader 的差異。
使用 Python Script 解析 Android APP 使用紀錄 – usagestats
在一般的數位鑑識過程,都希望可藉由提取 APP 所產生的資料,如照片或聊天內容,找出關鍵證據。但行動裝置除了使用者操作 APP 時所產生的內包含著重要資料外,系統本身也會追蹤並記錄使用者與 APP 互動歷程,以提供最佳的使用者體驗。本篇說明了如何使用 Python Script 解析 usagestats 資料夾內的檔案。
Cellebrite CTF 競賽活動
Cellebrite 2022 Capture the Flag (CTF) 數位鑑識競賽活動 — 解題檔案 & 試用軟體授權說明。使用 Physical Analyzer 和 Inspector 進行鑑識檔案解析,抽絲剝繭找出相對應的答案,證明您的數位鑑識能力。
Cellebrite Premium ES 介紹
為了保護使用者隱私與確保資料安全性,近幾年行動裝置出廠後資料加密功能為標配規格。Premium Enterprise 為 Cellebrite 新的用戶端解決方案,旨在提供鑑識人員當面對採用 FBE 加密技術之 iOS 與 Android 裝置,支援解鎖並使用完整檔案系統 (Full File System) 提取關鍵資料。
如何暴力破解舊版 Android LINE 聊天室備份檔案
本文章將介紹如何使用 GitHub 上由 駭客女孩 Emma 所發表的 memories 程式,來進行舊版 LINE 聊天室備份檔案的暴力破解。另外為了降低安裝門檻,將延續使用 crack-wechat docker 映像檔。該映像檔已針對 Emma 程式所需的環境,包括 bovarysme / memories 的原始碼,與執行原始碼的 GO 程式語言,讓各位鑑識人員可更簡易的進行破解作業。
從無到有 – 檢測 iOS 清除後遺留的數位痕跡
清除資料是常見的一項銷毀證據的方法。多年來,我們觀察到許多試圖掩飾清除動作、防止被檢測的手段。本文旨在協助您快速確認 iOS 裝置是否曾經被清除。請留意,裝置被清除並不代表一定有發生過任何不良的事情,仍有很多清除裝置的正當理由。我們只是協助您確認清除的時間點,至於清除裝置的背後原因,需由您自行調查發現。
