當 UFED 推出新版本時，是否需要重新提取裝置？

2024-2-27 by 高田數位鑑識

在本週的「Tip Tuesday」節目中，Heather Mahalik 回答了這個問題：「如果 UFED 推出新版本，您是否需要重新提取裝置以獲得新的證據？」

這取決於被提取的裝置類型。

1. 進入「Search Devices」並查看「最近使用」。
2. 選擇一個先前已提取的裝置。

注意事項：

• 如果您看到「Physical」並且是一個已經獲得 root 權限的裝置，重新提取可獲得新的證據的情況可能性很小。
• 如果您看到「File System」，請進入並檢查是否可以使用 Live 提取方法獲得完整的檔案系統提取（FFS）。
• 如果您已經有一段時間沒有提取該裝置，請檢查 Smart Flow 是否能夠協助您。
• 如果在登入時看到 Android 備份、APK Downgrade 或高級邏輯提取，那麼最有可能的情況是沒有新的提取機制。

要檢查提取功能是否有更新，可進入 Smart Flow。系統會引導您達到最佳的提取機制，以獲得完整檔案系統提取。

如果新版的 UFED 對目標裝置沒有新的提取方式，對於 Physical Analyzer 來說，可能的影響會是什麼？

對於擁有進階解析功能的 Physical Analyzer 7 或 Physical Analyzer Ultra，您可以獲得更多資訊。

總結來說，資訊的多寡取決於對裝置所支援的提取方式。