About admin

This author has not yet filled in any details.
So far admin has created 32 blog entries.
9 Apr, 2020

蘋果「尋找我的iPhone」功能背後的密碼學

2020-04-09T16:05:45+08:00Categories: blog|Tags: , , |

緝毒組的警員執行了一個逮捕行動,過程中保存了數隻行動裝置與相關物證,在將證據移送到秘密地點保存之前,警員皆有依照 SOP 程序將 Android 與 iOS 裝置的「飛航模式」啟用。但在行動執行完不久,接獲線報告知證據保存地點,已透過「尋找我的iPhone」功能被定位得知,請警員們立刻將證物移轉到其他地點。

30 Mar, 2020

如何藉由 KnowledgeC 分析使用者生活模式(二)

2020-04-07T15:01:45+08:00Categories: iOS|Tags: , |

一般來說,生活模式分析(Pattern-of-Life Analysis)的定義為透過監視來紀錄或理解目標用戶的習性與行為。 但如果有辦法取得目標用戶的數位紀錄,例如行動裝置上的資料,由於裝置不斷記錄用戶每日使用事件,可藉由裝置上的瀏覽紀錄,常用之 APP 等,可完整對應目標用戶實體的生活軌跡、習性、愛好等。該數據的分析不僅可以幫助重建過去的事件,更可以預測未來可能的結果。

4 Mar, 2020

UFED and UFED InField 7.30:麒麟與三星新提取模式支援

2020-05-21T10:17:38+08:00Categories: product-releases|Tags: , , |

本次更新後華為 HiSilicon KIRIN 970 處理器以及其他使用KIRIN 659、960 和 980 晶片組的裝置,可藉由 Bootloader 漏洞執行「完整檔案系統」或「選擇性檔案系統」提取。此外,使用 Qualcomm 處理器的 Samsung 機型(例如 Samsung J4 +,Samsung J6 和 Samsung J8 型號)可支援物理,完整檔案系統或選擇性檔案系統提取。

2 Mar, 2020

Physical & Logical Analyzer 7.30 更新說明

2020-05-19T21:08:52+08:00Categories: product-releases|Tags: |

7.30更新涵蓋了眾多功能,本次新增的 Dashboard Widget 可讓鑑識人員快速知道提取之裝置的 Apps 類別;除了原有的 SQLite Wizard,新的 AppGenie 可自動分析尚未被支援的 App 資料庫,進而提取出關鍵資訊。最後,建立新案件 (Open Case) 時也在流程上也做了精簡,讓鑑識人員可更快速導入分析作業。

20 Feb, 2020

Cellebrite APK Downgrade 深入探討 – Rev. 1.1

2020-04-08T16:13:22+08:00Categories: Android|Tags: , , , |

如在檔案系統提取所述,APK降版是不得不的提取模式,在其它提取模式皆無法成功後,最後才考量採用APK Downgrade。因降版有一定的風險,早期若操作過程不慎失敗,可能會導致無法再次進行降版提取.本篇主要介紹 Android App Bundle,如何透過 adb 指令集備份 aab 檔案,並在 APK Downgrade 後恢復原本安裝之 APP。

15 Feb, 2020

iOS SQLite WAL 檔案深度分析

2020-04-08T16:19:07+08:00Categories: iOS|Tags: , , |

iOS 檔案系統採用 File Based Encryption(FBE) 加密的機制,當任一個檔案刪除後,位於該檔案 metadata 內的 File Key 金鑰也被刪除,即使採用物理提取也無法恢復檔案內容。但採用 FFS 提取 iPhone 5S – iPhone X 裝置後,透過 PA 解析開始又出現已刪除的資料,包含 Telegram, LINE 與網頁搜尋紀錄等等,為什麼 PA 上再次呈現已刪除的資訊?

10 Feb, 2020

如何藉由GPS資料抽絲剝繭找出兇手

2020-02-10T23:56:34+08:00Categories: Cases|Tags: , |

2018年7月4日,來自巴西伯Pernambuco州的心臟病醫生失踪了一個多月,最後找到時已不幸死亡。鑑識小組如何藉由不同的數位裝置,透過UFED Cloud Analyzer提取並分析GPS資料,抽絲剝繭後找出案件至關重要的數位證據並將其中一名定罪。

6 Feb, 2020

EDL Extraction物理提取說明

2020-02-11T00:01:30+08:00Categories: Android|Tags: , , , |

Cellebrite提供多種物理提取方式,大致上可以分為三大類型,ADB、Recovery、Bootloader。而EDL是針對Qualcomm晶片組設計的物理提取模式,該模式除了可以繞過螢幕鎖外,FDE加密裝置也可透過bootloader漏洞進行解密提取,是鑑識人員必須熟悉的進階提取模式之一。