上一篇有關 SQLite 介紹是針對 WAL 檔案的分析說明,而本篇內容會回歸到資料庫的基本架構與語法介紹,採用的資料庫範本為 iPhone 手機資料量最大的 LINE 資料庫。藉由逐步拆解 LINE 資料庫的資料表與紀錄等資訊,並透過 SQL 語法將資料庫的內容依聊天群組,訊息留言數量等條件彙整並輸出報表,可讓鑑識同仁對於資料庫的架構與資料儲存模式有基礎了解。未來若有其他 APP 尚未被 Physical Analyzer 支援,可藉由本篇介紹方式先進行初步分析,可能會取得重要證據。
針對三星 Exynos S10 與 A10-A15 裝置,Cellebrite 於業界推出了第一個檔案系統加密(FBE)的提取解決方案。本次更新後,UFED 可支援超過 12 款採最新版 Android 作業系統的裝置。而隨著 iOS 升級,透過 checkm8 漏洞的完整檔案系統提取可支援至 iOS 13.4.x 版本。
今年 Cellebrite 一直專注於加強數位鑑識工具的資料分析與使用直覺性功能,以協助鑑識人員集中精神在初步調查中取得更多的關鍵資訊。從調查報告顯示,調查案件中須從設備提取的資料量與三年前相比增加了82%。 對於有經驗的數位鑑識人員需求也急遽增加。因此,Cellebrite 著手設計新的 UFED Physical Analyzer 7.33 ,除提供更直覺的介面,並優化操作,視覺效果和工具,藉由將數據轉變為可用訊息,及進階的資料分析邏輯,以幫助鑑識人員使用 UFED Physical Analyzer 時可準確完成工作。
新的 Advanced Logical 提取流程可讓 UFED 和 UFED InField 的用戶能夠從第三方 APP(如 WhatsApp,Telegram 和 Facebook)提取數據。使用該功能時,請確保在 Advanced Logical 中選擇「File」資料類型。該功能支援採用 Qualcomm 和 Exynos 晶片組的三星 Android 8-9 裝置。
緝毒組的警員執行了一個逮捕行動,過程中保存了數隻行動裝置與相關物證,在將證據移送到秘密地點保存之前,警員皆有依照 SOP 程序將 Android 與 iOS 裝置的「飛航模式」啟用。但在行動執行完不久,接獲線報告知證據保存地點,已透過「尋找我的iPhone」功能被定位得知,請警員們立刻將證物移轉到其他地點。
一般來說,生活模式分析(Pattern-of-Life Analysis)的定義為透過監視來紀錄或理解目標用戶的習性與行為。 但如果有辦法取得目標用戶的數位紀錄,例如行動裝置上的資料,由於裝置不斷記錄用戶每日使用事件,可藉由裝置上的瀏覽紀錄,常用之 APP 等,可完整對應目標用戶實體的生活軌跡、習性、愛好等。該數據的分析不僅可以幫助重建過去的事件,更可以預測未來可能的結果。
若在取證的過程中遇到瓶頸,如何分辨 FBE 與 FDE with Secure Startup 的裝置,並知道是否 Premium 或 CAS 服務可支援提取?本文章針對由華為、三星與 LG 裝置說明在不同 Android 作業系統版本的加密辨別方式。
本次UFED PA 產品更新增加了更多的 APP 支援,另外一個非常重要的更新可解決 iOS 完整檔案系統提取(checkm8)時出現的 iOS 時間戳記問題。
本次更新後華為 HiSilicon KIRIN 970 處理器以及其他使用KIRIN 659、960 和 980 晶片組的裝置,可藉由 Bootloader 漏洞執行「完整檔案系統」或「選擇性檔案系統」提取。此外,使用 Qualcomm 處理器的 Samsung 機型(例如 Samsung J4 +,Samsung J6 和 Samsung J8 型號)可支援物理,完整檔案系統或選擇性檔案系統提取。
7.30更新涵蓋了眾多功能,本次新增的 Dashboard Widget 可讓鑑識人員快速知道提取之裝置的 Apps 類別;除了原有的 SQLite Wizard,新的 AppGenie 可自動分析尚未被支援的 App 資料庫,進而提取出關鍵資訊。最後,建立新案件 (Open Case) 時也在流程上也做了精簡,讓鑑識人員可更快速導入分析作業。
高田數位鑑識(Kaoten Forensic)隸屬於高田科技有限公司(Kaoten Scientific Co., Ltd.),產品為數位鑑識和資安產品。
我們的客戶包括執法單位、政府機關和企業行號,提供專業的數位裝置取證和解析、資安解決方案以及原廠認證課程。
銷售產品包括: Cellebrite 數位鑑識、Black Kite 網路風險評鑑、Cyware 網路情資融合、KaoQC 網路封包分析、senhasegura 等特殊權限管理等等服務,協助進行案件數位調查、網路資產風險評估、威脅情資共享、裝置入侵跡象檢測和企業資產特權管理。
© COPYRIGHT 1993 - 2024 | 高田科技有限公司 | ALL RIGHTS RESERVED | Powered by PARAMITA
