自 UFED 7.34 首次發布 Qualcomm Live 以來,Cellebrite Security Research Labs 一直在優化並盡可能支援更廣泛品牌裝置的提取方法。更新後的 7.38 版本可支援眾多的 Android 旗艦裝置,最新的作業系統與安全性更新版本(Security Patch Level – SPL)。
優化的功能支援完整檔案系統(FFS)與市場主流裝置的物理提取,例如:三星 Galaxy S10(SM-G973U),LG Stylo 5,摩托羅拉 Z2,小米 Redmi Note 8 等。
在更新版本中,在 Generic Profile 下的 Qualcomm Live 可以找到兩個選項:
-
- Qualcomm Live
- Qualcomm Live – Manual Selection
圖一、Qualcomm Live 按鈕
為了增加成功提取的機會,我們建議從 Qualcomm Live 開始。 UFED 在此提取 Profile 將嘗試自動找到最佳的提取方式。如果提取流程失敗,我們建議再多嘗試一次 Qualcomm Live。如果 Qualcomm live 失敗兩次,則可改用 Qualcomm Live – Manual Selection (手動選取) 來試試看。
手動提取流程有 3 個選項,建議先採用 Recommended,若失敗再嘗試 Alternative 與 Legacy 方式:
-
- Recommended.
- Alternative.
- Legacy.
圖二、手動選擇的三種方式
另外提醒,如最近 UFED 所提供的功能,除了完整檔案系統提取外,選擇性檔案系統 (Selective File System) 也提供特定的 App 與雲端 Token 提取。
圖三、選擇性檔案系統 (Selective File System) 也提供特定的 App 與雲端 Token 提取