Cellebrite UFED and Cellebrite Responder 7.38 版本功能更新說明
2020-10-3 by 高田鑑識
Version7.38 | Cellebrite UFED, Cellebrite Responder
Qualcomm Live 功能加強
自 UFED 7.34 首次發布 Qualcomm Live 以來,Cellebrite Security Research Labs 一直在優化並盡可能支援更廣泛品牌裝置的提取方法。更新後的 7.38 版本可支援眾多的 Android 旗艦裝置,最新的作業系統與安全性更新版本(Security Patch Level – SPL)。
優化的功能支援完整檔案系統(FFS)與市場主流裝置的物理提取,例如:三星 Galaxy S10(SM-G973U),LG Stylo 5,摩托羅拉 Z2,小米 Redmi Note 8 等。
在更新版本中,在 Generic Profile 下的 Qualcomm Live 可以找到兩個選項:
-
- Qualcomm Live
- Qualcomm Live – Manual Selection
圖一、Qualcomm Live 按鈕
為了增加成功提取的機會,我們建議從 Qualcomm Live 開始。 UFED 在此提取 Profile 將嘗試自動找到最佳的提取方式。如果提取流程失敗,我們建議再多嘗試一次 Qualcomm Live。如果 Qualcomm live 失敗兩次,則可改用 Qualcomm Live – Manual Selection (手動選取) 來試試看。
手動提取流程有 3 個選項,建議先採用 Recommended,若失敗再嘗試 Alternative 與 Legacy 方式:
-
- Recommended.
- Alternative.
- Legacy.
圖二、手動選擇的三種方式
另外提醒,如最近 UFED 所提供的功能,除了完整檔案系統提取外,選擇性檔案系統 (Selective File System) 也提供特定的 App 與雲端 Token 提取。
圖三、選擇性檔案系統 (Selective File System) 也提供特定的 App 與雲端 Token 提取
Advanced Logical 支援 iOS 14 版本
Apple 在最近正式發布 iOS 14,UFED 的 Advanced Logical 和 Logical(部分)提取中增加了對 iOS 14 的支援。最新的 UFED 支援對安裝 iOS 14 的 iOS 裝置進行邏輯提取(iTunes 備份模式)。
請注意,採用 checkm8 漏洞的提取功能目前最高僅支援至 iOS 13.7 版本,在不久的將來將會提供 iOS 14 的支援。
APK 降板提取支援更多 App 種類
為了加強 UFED APK 降板提取,本次更新後新增了更多的 APK 版本。
新支援的 App 如下:Zello,TikTok,Kik Messenger,LinkedIn,Yahoo Messenger,Vine,UC Bowser,QQ,Ali express,Firefox 等等。
作業流程指導小工具 (Workflow Guidance Widget)
為了協助鑑識人員與管理者更容易的管理和遵循正確的提取作業流程,本版本新增了作業流程指導小工具 (Workflow Guidance Widget)。 該工具提供管理者建立操作作業流程說明,以利鑑識人員在提取過程中快速排除疑難。 該作業流程說明可以包含文字與圖片,並且可以針對作業流程的每種狀況進行調整。
作業流程小工具的內容可強制出現,確保所有鑑識人員在每個步驟依建議的方式進行提取。
以下範例為當鑑識人員開啟 UFED 攝影機時,作業流程說明會強制開啟。
註:該工具不支援 UFED Touch 平台。
已排除問題
檔案系統提取改善處理長檔案名的檔案。
Samsung Decrypting Exynos – 支援以下裝置提取:
i. SM-J337R4
ii. SM-A750F
iii. SM-A600FN
iv. SM-A202F
v. SM-J600G
vi. SM-J260F
vii. SM-A260GiOS 13.7 螢幕截圖失敗。