Cellebrite 資深總監,Heather Mahalik 在“Detecting Mobile Malware When Time is of the Essence” 線上論壇上介紹了如何藉由 PA 來檢測行動裝置是否有被植入惡意程式(Malware),若有相關疑慮可建議鑑識同仁參閱該 Webinar 說明。Heather 在會後另整理出五大 FAQ 問題,希望可讓鑑識同仁在檢測的道路上有一個正確的方向。
Cellebrite 在 UFED 7.8 版本已針對 Kirin 裝置提供了 Decrypting Bootloader 提取機制,可做到物理提取上鎖的 FDE 裝置。而 Cellebrite UFED 在 7.30 版本導入了另一項領先業界的取證技術,使鑑識人員能夠從配備 Kirin 晶片組且採用 FBE 的華為旗艦裝置上,執行 Full File System (FFS) 完整檔案系統提取。本篇文章詳細說明不同提取方式如何對應到各種不同等級的華為裝置。
上一篇有關 SQLite 介紹是針對 WAL 檔案的分析說明,而本篇內容會回歸到資料庫的基本架構與語法介紹,採用的資料庫範本為 iPhone 手機資料量最大的 LINE 資料庫。藉由逐步拆解 LINE 資料庫的資料表與紀錄等資訊,並透過 SQL 語法將資料庫的內容依聊天群組,訊息留言數量等條件彙整並輸出報表,可讓鑑識同仁對於資料庫的架構與資料儲存模式有基礎了解。未來若有其他 APP 尚未被 Physical Analyzer 支援,可藉由本篇介紹方式先進行初步分析,可能會取得重要證據。
今年 Cellebrite 一直專注於加強數位鑑識工具的資料分析與使用直覺性功能,以協助鑑識人員集中精神在初步調查中取得更多的關鍵資訊。從調查報告顯示,調查案件中須從設備提取的資料量與三年前相比增加了82%。 對於有經驗的數位鑑識人員需求也急遽增加。因此,Cellebrite 著手設計新的 UFED Physical Analyzer 7.33 ,除提供更直覺的介面,並優化操作,視覺效果和工具,藉由將數據轉變為可用訊息,及進階的資料分析邏輯,以幫助鑑識人員使用 UFED Physical Analyzer 時可準確完成工作。
緝毒組的警員執行了一個逮捕行動,過程中保存了數隻行動裝置與相關物證,在將證據移送到秘密地點保存之前,警員皆有依照 SOP 程序將 Android 與 iOS 裝置的「飛航模式」啟用。但在行動執行完不久,接獲線報告知證據保存地點,已透過「尋找我的iPhone」功能被定位得知,請警員們立刻將證物移轉到其他地點。
iOS 檔案系統採用 File Based Encryption(FBE) 加密的機制,當任一個檔案刪除後,位於該檔案 metadata 內的 File Key 金鑰也被刪除,即使採用物理提取也無法恢復檔案內容。但採用 FFS 提取 iPhone 5S – iPhone X 裝置後,透過 PA 解析開始又出現已刪除的資料,包含 Telegram, LINE 與網頁搜尋紀錄等等,為什麼 PA 上再次呈現已刪除的資訊?
回顧2019年,Cellebrite推出了許多創新功能與領先業界的鑑識技術,以下我們列出最優秀的10個項目,讓整個數位鑑識領域有更好的打擊犯罪武器。
