Cellebrite APK Downgrade 深入探討 – Rev. 1.1
如在檔案系統提取所述,APK降版是不得不的提取模式,在其它提取模式皆無法成功後,最後才考量採用APK Downgrade。因降版有一定的風險,早期若操作過程不慎失敗,可能會導致無法再次進行降版提取.本篇主要介紹 Android App Bundle,如何透過 adb 指令集備份 aab 檔案,並在 APK Downgrade 後恢復原本安裝之 APP。
20日
2020 2月
15日
2020 2月
iOS SQLite WAL 檔案深度分析
iOS 檔案系統採用 File Based Encryption(FBE) 加密的機制,當任一個檔案刪除後,位於該檔案 metadata 內的 File Key 金鑰也被刪除,即使採用物理提取也無法恢復檔案內容。但採用 FFS 提取 iPhone 5S – iPhone X 裝置後,透過 PA 解析開始又出現已刪除的資料,包含 Telegram, LINE 與網頁搜尋紀錄等等,為什麼 PA 上再次呈現已刪除的資訊?
10日
2020 2月
如何藉由 GPS 資料抽絲剝繭找出兇手
2018年7月4日,來自巴西伯Pernambuco州的心臟病醫生失踪了一個多月,最後找到時已不幸死亡。鑑識小組如何藉由不同的數位裝置,透過UFED Cloud Analyzer提取並分析GPS資料,抽絲剝繭後找出案件至關重要的數位證據並將其中一名定罪。
6日
2020 2月
EDL Extraction物理提取說明
Cellebrite提供多種物理提取方式,大致上可以分為三大類型,ADB、Recovery、Bootloader。而EDL是針對Qualcomm晶片組設計的物理提取模式,該模式除了可以繞過螢幕鎖外,FDE加密裝置也可透過bootloader漏洞進行解密提取,是鑑識人員必須熟悉的進階提取模式之一。
31日
2020 1月
Physical & Logical Analyzer 7.29 更新說明
本次更新可解析新的iOS裝置資料來源,以幫助取得更詳細的數位證據。如「螢幕使用時間」(Screen Time)功能,可深入了解使用者每一個App使用時間,進而繪畫出該用戶的數位行為。飛航模式是否啟用,用戶刪除或安裝了哪些Apps等?
28日
2020 1月
UFED InField 7.28 更新說明
為了充分利用checkm8漏洞,犯罪現場鑑識團隊需要一種易於使用的多合一解決方案,除可加快提取流程,同時確保數位證據的完整與一致性。本次InField更新為鑑識團隊帶來更完整的犯罪打擊工具。
27日
2020 1月
iOS版本的Telegram深度解析
Cellebrite支援Telegram資料提取與解析,以便鑑識人員深入了解犯罪嫌疑人的日常活動,包括他們的聯絡人,聊天,頻道,通話,位置,甚至是用於上鎖Telegram App的密碼。在需要明確或確鑿證據的調查過程中,取得如此大量的數位資料是無價的。
15日
2020 1月
UFED 7.28:iOS 裝置 checkm8 完整檔案系統提取
有史以來第一次,藉由checkm8漏洞可完整提取iOS裝置檔案系統,取得更詳細的內容甚至改變調查方向。
13日
2020 1月
Checkm8與Checkra1n:iOS裝置完整檔案系統提取(FFS)
iOS提取是一個難以克服的作業。該平台封閉的特質僅允許有限的取證功能。雖然有時提取的技術會有新突破,以幫助鑑識界的同仁,但大多數iOS資料保護機制皆發揮作用,在有螢幕鎖的情況下僅能透過iTunes備份提取,若無法取得螢幕鎖則困難重重。
4日
2020 1月
2019年Cellebrite解決的10大數位鑑識挑戰
回顧2019年,Cellebrite推出了許多創新功能與領先業界的鑑識技術,以下我們列出最優秀的10個項目,讓整個數位鑑識領域有更好的打擊犯罪武器。
