Android 鑑識、智慧流程
選擇性檔案系統提取

Cellebrite 在 2022 年針對數位鑑識解決方案進行了多次更新。本文章是系列的第二部分，將重點介紹 Android 裝置的數位鑑識方式。

Cellebrite 推出了裝置使用者授權的通用型 Android Live 提取，這是一個領先業界的功能，支援了最廣泛裝置類別與型號，適用於合法解鎖的 Android 裝置。這種提取方法已經在最新的 UFED – 7.60 版本中推出，且 Android Smart Flow 流程也整合該功能。

通用型 Android Live 支援市場上最受歡迎的 SoC（系統單晶片），包括：

• Qualcomm MTK
• Kirin
• Unisoc (Speadtrum)
• Exynos
• 及在小米 Pro C 上使用的 SoC JLQ

Android Live 支援了許多之前無法提取的裝置，且並無已知的安全性更新版本 (Security Patch) 限制。其中一些支援的裝置：

• Samsung A12, A21, S22 Ultra series
• Google Pixel, Pixel 7 與 7 Pro
• Xiaomi 與 Oppo models
• OnePlus
• Honor 70 Pro Plus

隨著行動裝置行業的不斷變化，軟體保持更新是一個具有挑戰性的任務，因此數位鑑識人員必須能夠快速正確地識別裝置並選擇正確的提取方式，以便高效地取得完整的裝置資料。

在 UFED 7.60 中新增了通用型 Android Live，許多之前 Android Live 無支援的裝置，在這次更新後可涵蓋更多品牌與型號。

影片一、如何在數位鑑識中使用 UFED 智慧流程最大化檔案系統提取

選擇性提取可以從你被授權的裝置中收集的關鍵證據。儘管完整檔案系統提取 (FFS) 通常是最優先的選項，因為它可完整的提取裝置內容，但選擇性檔案系統提取在時間受限的情況下很有用。

在選擇性檔案系統清單中，您可以選擇僅被授權提取的 APP 或 Token。在最新版本的 UFED 7.60 中， 提供了 beta 版本的「特定檔案」提取方式。

此功能可讓您瀏覽檔案系統並選擇要提取的資料夾或檔案。所有相關的檔案元數據 (metadata) 都被保留，檔案也採符合鑑識科學的方式保存。下個階段將新增更多的功能。

影片二、如何使用選擇系檔案系統提取 – Heather Mahalik

現在，Android Live 提取功能已支援越來越多的 SoCs 晶片。此功能不受限任何安全性更新（Security Patch）。並支援非常廣泛的已解除螢幕所之裝置。

所有的 Android Live 提取如 Qualcomm Live, MTK Live, Kirin Live 與 Exynos Live，皆與 Smart Flow 整合並將流程完全自動化，提取成功率也獲得大幅的改進。Android Live 未來會持續支援更多的裝置。

在 Android 13 Beta 推出後，部分行動裝置已經符合相關硬體規格，並可安裝最新版的 Beta 作業系統。此外，Android Live 已在大部分硬體上完成測試，並可以執行完整的檔案系統提取。然而，並非所有符合條件的裝置都經過 Android 13 Beta 提取測試，若您遇到不支援的裝置，請儘快聯繫業務窗口。

Android Keystore 系統可讓您將加密金鑰存儲在安全位置，以使手機中的金鑰難以被提取。這些金鑰無需進入應用程式即可執行加密和解密作業，因為加/解密是透過作系統處理。

透過「安全應用程式提取」功能，您可以收集和解析更多利用此 Keystore 進行額外安全保護的應用程式的數據。此功能所包括的安全應用程式包括：

• Samsung Health
• Pluto Mail
• Samsung Rubin
• Instagram Crowd Token

所有這些支援的應用程式均可在 Android 12 以前的裝置上進行提取。若要成功取得取這些數據，請使用 Android Live 或完整檔案系統提取 (FFS) 。

UFED 現在支援在 Android 12 裝置上進行 APK 降版提取。另外也額外支援新的應用程式至該提取方法中，包括 FM WhatsApp、WhatsApp Plus 和 Telegram X。