本次產品更新後針對未上鎖的 Qualcomm 晶片組裝置,Qualcomm Live 可支援更多的主流機種,包含 S10, Note 10, Note 9, S9, Note 8, S8 等。另外針對 KIRIN658, KIRIN710, KIRIN710F & KIRIN655 麒麟晶片組,對已知 Passcode 的裝置可執行 Full File System 或 Selective File-system 提取。
因應各執法單位需求,高田科技協同 Cellebrite 在此次研討會發表深度分析系統、電腦取證系統,以及高級解鎖取證系統,會議中會使用實際案例來分享與介紹三個系統主要功能和操作方式,歡迎各位在8月26、27 日一同參與 Cellebrite 線上技術研討會,會議中歡迎各位來賓提出任何問題來詢問Cellebrite原廠技術人員。
Cellebrite 資深總監,Heather Mahalik 在“Detecting Mobile Malware When Time is of the Essence” 線上論壇上介紹了如何藉由 PA 來檢測行動裝置是否有被植入惡意程式(Malware),若有相關疑慮可建議鑑識同仁參閱該 Webinar 說明。Heather 在會後另整理出五大 FAQ 問題,希望可讓鑑識同仁在檢測的道路上有一個正確的方向。
Cellebrite Physical Analyzer 7.35 更新除了新增功能外,主要針對軟體的效能有大幅度的提升,讓鑑識人員可更要效率的找出關鍵資料。另外也支援匯入並解析 Huawei Backup ,包含由 HiSuite 備份出的檔案。
Cellebrite 在 UFED 7.8 版本已針對 Kirin 裝置提供了 Decrypting Bootloader 提取機制,可做到物理提取上鎖的 FDE 裝置。而 Cellebrite UFED 在 7.30 版本導入了另一項領先業界的取證技術,使鑑識人員能夠從配備 Kirin 晶片組且採用 FBE 的華為旗艦裝置上,執行 Full File System (FFS) 完整檔案系統提取。本篇文章詳細說明不同提取方式如何對應到各種不同等級的華為裝置。
Cellebrite Responder 7.34 版本升級後針對已知螢幕鎖的 Qualcomm 裝置提供了通用的完整檔案系統與物理提取功能。新增的 Qualcomm Live 功能,可支援介於Android 版本 7 - 10 的品牌裝置,如小米、OPPO、OnePlus、VIVO、Nokia、LG、Motorola 等等。MTK Live 也新增了對 VIVO 裝置的支援,Decrypting Exynos 也支援更多的三星裝置。
checkra1n 越獄工具推出後,介於 iPhone 5s~X 之間的 iOS 裝置可輕鬆取得 Root 權限,本篇介紹如何在 Mac 與 Windows 系統下使用 SSH over USB 方式與 iOS 裝置連線,除可確保傳輸穩定與快速,也可藉由 TAR 備份指令,完整提取 iOS 檔案系統(Full File System),並匯入PA進行分析。提取過程裝置不需連線上網,可確保提取出的資料符合科學鑑識的方式。
Cellebrite UFED 7.34 版本升級後針對提取與分析皆有重大功能推出。UFED 新增了 Qualcomm Live 功能,涵蓋更多使用 Qualcomm 晶片組的裝置提取,而在 MTK Live 也新增了對 VIVO 的支援,Decrypting Exynos 也支援更多裝置。另外一個重大更新則是 PA 與 Cloud 在介面上的結合,並可在 7 月底之前免費體驗 Cloud 功能。
Cellebrite 一直專注於加強數位鑑識工具的資料分析與使用直覺性功能,本版本更新後將 UI/UX 大幅度的優化,以協助鑑識人員集中精神在初步調查中取得更多的關鍵資訊。針對 iOS 提取,PA 的 Method 1 與 Method 2 兩個提取方式已整合為一,除可精簡提取流程並降低混淆,也可取得最高程度的資訊內容。
上一篇有關 SQLite 介紹是針對 WAL 檔案的分析說明,而本篇內容會回歸到資料庫的基本架構與語法介紹,採用的資料庫範本為 iPhone 手機資料量最大的 LINE 資料庫。藉由逐步拆解 LINE 資料庫的資料表與紀錄等資訊,並透過 SQL 語法將資料庫的內容依聊天群組,訊息留言數量等條件彙整並輸出報表,可讓鑑識同仁對於資料庫的架構與資料儲存模式有基礎了解。未來若有其他 APP 尚未被 Physical Analyzer 支援,可藉由本篇介紹方式先進行初步分析,可能會取得重要證據。
