使用 Python Script 解析 Android APP 使用紀錄 – usagestats
在一般的數位鑑識過程,都希望可藉由提取 APP 所產生的資料,如照片或聊天內容,找出關鍵證據。但行動裝置除了使用者操作 APP 時所產生的內包含著重要資料外,系統本身也會追蹤並記錄使用者與 APP 互動歷程,以提供最佳的使用者體驗。本篇說明了如何使用 Python Script 解析 usagestats 資料夾內的檔案。
在一般的數位鑑識過程,都希望可藉由提取 APP 所產生的資料,如照片或聊天內容,找出關鍵證據。但行動裝置除了使用者操作 APP 時所產生的內包含著重要資料外,系統本身也會追蹤並記錄使用者與 APP 互動歷程,以提供最佳的使用者體驗。本篇說明了如何使用 Python Script 解析 usagestats 資料夾內的檔案。
為了保護使用者隱私與確保資料安全性,近幾年行動裝置出廠後資料加密功能為標配規格。Premium Enterprise 為 Cellebrite 新的用戶端解決方案,旨在提供鑑識人員當面對採用 FBE 加密技術之 iOS 與 Android 裝置,支援解鎖並使用完整檔案系統 (Full File System) 提取關鍵資料。
本文章將介紹如何使用 GitHub 上由 駭客女孩 Emma 所發表的 memories 程式,來進行舊版 LINE 聊天室備份檔案的暴力破解。另外為了降低安裝門檻,將延續使用 crack-wechat docker 映像檔。該映像檔已針對 Emma 程式所需的環境,包括 bovarysme / memories 的原始碼,與執行原始碼的 GO 程式語言,讓各位鑑識人員可更簡易的進行破解作業。
Cellebrite 資深總監,Heather Mahalik 在“Detecting Mobile Malware When Time is of the Essence” 線上論壇上介紹了如何藉由 PA 來檢測行動裝置是否有被植入惡意程式(Malware),若有相關疑慮可建議鑑識同仁參閱該 Webinar 說明。Heather 在會後另整理出五大 FAQ 問題,希望可讓鑑識同仁在檢測的道路上有一個正確的方向。
上一篇「如何破解 Android WeChat 資料庫」介紹了如何透過 IMEI 與 UIN 推斷出正確的 WeChat 資料庫 7 位數密碼。但隨著新的 Android 系統陸續導入 File Based Encryption 加密機制後,加深了取得打開資料庫的困難度。本篇將介紹如何使用 GitHub 上的程式,來進行微信資料庫的暴力破解。另外為了降低安裝門檻,本次將使用 Docker 來快速啟用一個虛擬化作業系統,內已包含相關的破解執行檔案,讓各位鑑識人員可更簡易的進行破解作業。
PA 7.45 更新後優化多項檢查功能,可加速檢驗的工作流程,其中包括 TextNow (搜查令向雲服務平台商索取的數位證據資料),活動感測資料可檢視原始數據,新的選擇性解析選項(Selective Decoding),支援客製化版本的 WhatsApp 與 Android 版本的 Discord 解析等。
若尚未使用最新版本的 Cellebrite Digital Collector,提取過程 Mac 檔案系統可能會刻意的忽略一些重要資訊。因 Mac 檔案系統對資料有極高的保護,而產生「邏輯」映像檔是透過檔案系統,它並不會也不願輕易地交出儲存空間內所有的重要資料。
新的 PA 為了打破訊息「穀倉 – silo」情況,本次更新後 PA 加強了「訊息」的處理方式,並為所有訊息提供一致的整合呈現,為的是讓鑑識人員快速掌握聊天訊息的完整內文。另外針對剛發佈的 iOS 14 作業系統,PA 的 Advanced Logical 提取與解析皆已支援。最後 UFED Cloud 新增了兩個雲端提取,Tik Tok 與 Line 雲端備份。
自 UFED 7.34 首次發布 Qualcomm Live 以來,Cellebrite Security Research Labs 一直在優化並盡可能支援更廣泛品牌裝置的提取方法。更新後的 7.38 版本可支援眾多的 Android 旗艦裝置,最新的作業系統與安全性更新版本(Security Patch Level – SPL)。
PA 7.33 版本開始支援了不同來源的 Facebook 活動動態與貼文。7.37 更新後針對 iOS 裝置加強了活動動態分析,包括故事牆,貼文,留言,社團活動,讚,標籤,分享等。針對三星裝置的支援記憶體取出加密健康 app 關鍵資料的金鑰,並進一步藉由金鑰解開加密的資料庫內與「定位 – Locations」相關的資料欄位。