Digital Collector 3.1 取證流程
2021-2-13 by 高田鑑識
Version3.1 | Digital Collector
您是否正在嘗試從 Windows 或 Mac 上提取數位證據,但需要額外的協助? Cellebrite Digital Collector 3.1 可以幫助鑑識人員最大程度地進行提取和收集,無論資料位於何處。
本次更新後的提取流程工具,可以更輕鬆,更簡易的藉由 Digital Collector 設備提取資料並執行其他任務,例如分類,邏輯或物理提取。另外 Digital Collector 的技術可以快速檢測並通知您 Windows 或 Mac 上的檔案系統加密格式。
Windows 電腦
- Digital Collector 可在 Windows 10 1909 版本以上的 64 位元架構上執行,並也可在較舊 Windows 系統上執行。
- 由於檔案系統與加密的排列組合對提取流程沒有影響,因此可以更輕鬆地從 Windows 系統上獲取資料。
Mac Computer
- Mac 的提取流程稍微複雜一些。 過程會遇到各種不同的檔案系統與藉由軟體或硬體輔助的加密格式。
- 這些排列組合意味著從 Mac 上獲取資料的流程中會有更多變化。(可參考上篇: FileVault2 密碼與 Recovery 金鑰列表)
- 支援以下版本
- macOS Catalina 10.15
- macOS Mojave 10.14
- macOS High Sierra 10.13
- macOS Sierra 10.12
- OS X El Capitan 10.11
本次更新內容
此版本的 Cellebrite Digital Collector 固態硬碟(SSD)可以在 Windows 和 Mac 電腦上執行。
新的 Digital Collector SSD 容量為 120 GB 或 1 TB,並含兩條傳輸線,USB 3.0 和 USB-C。
符合鑑識科學的開機系統,可將電腦關機進入一個受保護的狀態,以利進行分類與提取。
在已開機狀態的電腦上進行分類和提取。
對於已開機狀態的電腦上,可在提取之前,可先透過瀏覽和搜尋,過濾 metadata 資料,關鍵字等方式查看內容。
可在分流過程選擇預設分類來進行邏輯提取。
支援物理提取電腦系統,包含已刪除和未分配的磁區區域,並可儲存為業界標準格式。
已知限制
2020 版本 Mac 電腦 (Intel 或 M1 晶片版) 尚無支援。
macOS 11 Big Sur 作業系統尚未支援。
Digital Collector 可提取使用 BitLocker 加密的 Windows 電腦,但須透過 BlackLight 才可進行解密。
在 Windows 電腦上預覽僅支援圖檔格式,並須在 Winodws 開機狀態下才可執行。
當使用 Digital Collector 開機進到 Windows 時:
- 無法偵測使用 eMMC 的快閃記憶體裝置,例如 Lenovo Ideapad 裝置。需使用 Digital Collector Live 才可進行提取。
- Intel Rapid Storage Technology (RST) RAID 無法顯示。需使用 Digital Collector Live 才可進行提取。
- NTFS 重解析點 (NTFS reparse point) 尚無支援,有可能部分檔案無法提取。
當在 Windows 上執行 Digital Collector Updater 進行升級時,MacQuisition 的 MQLICENSE 分區可能無法正常掛載 (mount),導致更新程式無法偵測到 SSD(Dongle)。 要解決此問題,請打開 [電腦管理 > 磁碟管理]。 在列表中,右鍵點擊 MQLICENSE 分區,選擇分配磁碟代號,然後重新啟動 Digital Collector Updater 即可完成更新。
