從無到有 – 檢測 iOS 清除後遺留的數位痕跡
清除資料是常見的一項銷毀證據的方法。多年來,我們觀察到許多試圖掩飾清除動作、防止被檢測的手段。本文旨在協助您快速確認 iOS 裝置是否曾經被清除。請留意,裝置被清除並不代表一定有發生過任何不良的事情,仍有很多清除裝置的正當理由。我們只是協助您確認清除的時間點,至於清除裝置的背後原因,需由您自行調查發現。
6日
2022 1月
11日
2021 11月
如何藉由 Physical Analyzer 檢測惡意程式
Cellebrite 資深總監,Heather Mahalik 在“Detecting Mobile Malware When Time is of the Essence” 線上論壇上介紹了如何藉由 PA 來檢測行動裝置是否有被植入惡意程式(Malware),若有相關疑慮可建議鑑識同仁參閱該 Webinar 說明。Heather 在會後另整理出五大 FAQ 問題,希望可讓鑑識同仁在檢測的道路上有一個正確的方向。
14日
2021 10月
NSO Group Pegasus 間諜軟體鑑識報告
NSO Group 聲稱他們開發的 Pegasus (飛馬間諜軟體) 僅用於 “恐怖主義和犯罪調查” 並且 “不會留下痕跡”。本鑑識報告在此表明: 以上陳述均不屬實。此報告伴隨 Pegasus Project (飛馬計畫揭密) 一同發表。Pegasus Project 是一項合作調查計畫,參與者包括來自 10 個國家、17 個媒體組織的 80 多名新聞工作者,由 Forbidden Stories (被禁止的報導) 協調,並取得國際特赦組織安全實驗室技術支援。
10日
2020 11月
如何使用 PA 的雲端提取功能
Cellebrite Cloud Analyzer 和 Cellebrite Physical Analyzer 已整合為一,為資料分析與雲端提取提供了精簡的操作流程。 透過 PA,可直接從提取的裝置上取出 Tokens 和密碼,並匯出成 Cloud Package 格式。再藉由該格式透過 PA 提取雲端資料。
28日
2020 4月
UFED Physical Analyzer 可行動型資安資訊功能
今年 Cellebrite 一直專注於加強數位鑑識工具的資料分析與使用直覺性功能,以協助鑑識人員集中精神在初步調查中取得更多的關鍵資訊。從調查報告顯示,調查案件中須從設備提取的資料量與三年前相比增加了82%。 對於有經驗的數位鑑識人員需求也急遽增加。因此,Cellebrite 著手設計新的 UFED Physical Analyzer 7.33 ,除提供更直覺的介面,並優化操作,視覺效果和工具,藉由將數據轉變為可用訊息,及進階的資料分析邏輯,以幫助鑑識人員使用 UFED Physical Analyzer 時可準確完成工作。
9日
2020 4月
蘋果「尋找我的iPhone」功能背後的密碼學
緝毒組的警員執行了一個逮捕行動,過程中保存了數隻行動裝置與相關物證,在將證據移送到秘密地點保存之前,警員皆有依照 SOP 程序將 Android 與 iOS 裝置的「飛航模式」啟用。但在行動執行完不久,接獲線報告知證據保存地點,已透過「尋找我的iPhone」功能被定位得知,請警員們立刻將證物移轉到其他地點。
15日
2020 2月
iOS SQLite WAL 檔案深度分析
iOS 檔案系統採用 File Based Encryption(FBE) 加密的機制,當任一個檔案刪除後,位於該檔案 metadata 內的 File Key 金鑰也被刪除,即使採用物理提取也無法恢復檔案內容。但採用 FFS 提取 iPhone 5S – iPhone X 裝置後,透過 PA 解析開始又出現已刪除的資料,包含 Telegram, LINE 與網頁搜尋紀錄等等,為什麼 PA 上再次呈現已刪除的資訊?
4日
2020 1月
2019年Cellebrite解決的10大數位鑑識挑戰
回顧2019年,Cellebrite推出了許多創新功能與領先業界的鑑識技術,以下我們列出最優秀的10個項目,讓整個數位鑑識領域有更好的打擊犯罪武器。