UFED Physical Analyzer
可行動型資安資訊功能
The Power Of Actionable Intelligence In the
Upcoming UFED Physical Analyzer Release
2020-4-28 by 高田鑑識
今年 Cellebrite 一直專注於加強數位鑑識工具的資料分析與使用直覺性功能,以協助鑑識人員集中精神在初步調查中取得更多的關鍵資訊。
今年稍早分享的《 Cellebrite 2020基準報告》顯示,調查案件中須從設備提取的資料量與三年前相比增加了82%。 對於有經驗的數位鑑識人員需求也急遽增加。
報告還顯示鑑識單位平均積壓的工作量多達三個月,單位永遠都有 80~90 台裝置待檢視分析。為了解決這些瓶頸,鑑識人員被迫優先處理較緊迫的重大案件,或每個案件僅檢查部分資料。
考慮到這些限制,很明顯鑑識單位需要好的工具,幫助他們集中資源進行調查,以便更快地找到關鍵證據。為此,Cellebrite 著手設計新的 UFED Physical Analyzer 7.33 ,除提供更直覺的介面,並優化操作,視覺效果和工具,藉由將數據轉變為可用訊息,及進階的資料分析邏輯,以幫助鑑識人員使用 UFED Physical Analyzer 時可準確完成工作。
新的 UFED 7.33 版本將有以下更新與功能加強
1. 新的使用者介面
Physical Analyzer 被世界各地的鑑識人員採用是有原因的。出色的解析和強大的解密功能相結合,可以進行深入的調查以解決更多案件。新的介面從配色,頁籤,間距等 UI 操作將更為直覺,Physical Analyzer 的用戶介面和用戶體驗提升到了一個新的水平。
2. 新的視覺化時間軸
新的視覺化時間軸介面可真實呈現案件的來龍去脈。透過時間戳屬性(timestamps),您可以快速篩選出與案件日期前後多個不同類別的重要事件(events),鑑識人員可以透過視覺化介面快速分析並鎖定關鍵證據。(事實證明,多個時間戳的事件組合,比分析單個時間戳事件更容易找到調查脈絡。)
對於具有至少一個時間戳記欄位的事件,時間軸將顯示在相關的表 (Table) 中的頂部(但不包括聊天模型,在聊天模型中,每個時間線軸將隨每次聊天對話一起出現)。
現在,藉由時間軸功能,您可以隨時查看任何類別事件,並快速查看趨勢,活動量等。
首先可設定案件的日期範圍,相關事件資料可快速的呈現於表內。 此外,您可以使用切換欄 (Toggle Bar) 篩選要在時間軸中顯示的事件和時間戳的類型。 (最多可以過濾五個類型,每個類型在時間軸中都有唯一的顏色來標識它)。
時間軸中的按鈕包括:
Apply – 套用:僅顯示所設定的時間範圍內的資料。
Refresh time bar – 更新時間軸:僅顯示所篩選類別的資料於時間軸上。
Clear – 清除:清除時間範圍設定,並將時間軸狀態返回其上一階段。
您也可以使用滑鼠或時間軸下方的滾動條 (Scroll Bar) 來放大縮小時間軸。
3. 新舊介面差異
在以前版本的 Physical Analyzer 中,所有事件均依時間順序顯示在表格內。 在 7.33 版後,每個表的頂部將有一個新的圖形時間軸,並新增了更多篩選功能。
4. 新的操作經驗與導覽樹狀介面
新的介面提供了更精簡與更直覺的使用體驗。 在介面上因減少了上下滾動的操作,可讓鑑識人員更快速的找出不同的類型的數據。
舊版本的導覽樹列(navigation tree)主要分為八個部分:「主頁」,「時間軸」,「分析的資料」,「檔案系統」,「洞察」,「標記」,「報告」和「雲」。 在舊的介面上瀏覽和查看資料並不十分方便,因此新版本的 PA 將優化導覽 UI,以幫助鑑識人員更迅速,簡便的找到所需的資料。
Home/主頁 – 將於介面右邊的資料顯示區域中顯示提取摘要。 每當開啟一個新的提取分析時,「提取摘要」都會自動呈現。 在未來的版本中,將會導入儀表板呈現頁面,並整合不同的 Widgets 和 KPIs,以提供裝置的完整高階概述。 敬請關注!
Timeline/時間軸 – 許多調查都是從「時間軸」開始的。 新的介面時間軸位於「主頁」按鈕下方,可加快資料瀏覽流程。
Analyzed Data/分析的資料 – 在此選項下整合了分析的資料與檔案,所有提取的資料都可以在這裡被找到。相同類型的資料可在同一類別下找到。 例如,在「Media/媒體」類別下,您可以找到照片,影像和音檔。 為了更快地查找資料,「Analyed Data/分析的資料」資料表內也有「搜尋」選項,可針對該分項下的所有模型找出你要的資料。
File System/檔案系統 – 檔案系統的樹項目列表,也包括二進制位映像檔案。
Insights/洞察 – 在此分項中,可找到針對案件的重要的資訊,例如惡意軟體掃描結果,Hash Set 結果等。
Tags/標記 – 將重要的關鍵資訊標記上以利後續分析,是每位鑑識人員必備的作業程序。 此處將顯示所有帶標記的項目,包含十六進制標記。
Reports/報告 – 已產生的報告及額外新增的檔案(如螢幕截圖和外部檔案)可以在此處顯示。
Cloud/雲 – 此選項可顯示裝置上可用的雲 tokens。 後續可另透過 UFED Cloud Analyzer 提取雲端數據。
5. 下拉式選單優化
最後一個小功能改善為「Kebab 烤肉串選單」。 「Kebab 選單」可在專案、樹狀和表內找到並操作。選單在不同的位置提供的功能皆不一樣,請參考以下示範影片。
以上這些補強,主要用於改善鑑識人員的操作體驗,可有助於集中進行資料調查,搜尋和分析。時間軸與精簡的瀏覽介面,可快速將數據轉變為可用訊息。新的 UFED Physical Analyzer 持續讓所有鑑識界的同仁更精準地完成關鍵工作。