Physical & Logical Analyzer 7.30 更新說明
7.30更新涵蓋了眾多功能,本次新增的 Dashboard Widget 可讓鑑識人員快速知道提取之裝置的 Apps 類別;除了原有的 SQLite Wizard,新的 AppGenie 可自動分析尚未被支援的 App 資料庫,進而提取出關鍵資訊。最後,建立新案件 (Open Case) 時也在流程上也做了精簡,讓鑑識人員可更快速導入分析作業。
Cellebrite APK Downgrade 深入探討 – Rev. 1.1
如在檔案系統提取所述,APK降版是不得不的提取模式,在其它提取模式皆無法成功後,最後才考量採用APK Downgrade。因降版有一定的風險,早期若操作過程不慎失敗,可能會導致無法再次進行降版提取.本篇主要介紹 Android App Bundle,如何透過 adb 指令集備份 aab 檔案,並在 APK Downgrade 後恢復原本安裝之 APP。
iOS SQLite WAL 檔案深度分析
iOS 檔案系統採用 File Based Encryption(FBE) 加密的機制,當任一個檔案刪除後,位於該檔案 metadata 內的 File Key 金鑰也被刪除,即使採用物理提取也無法恢復檔案內容。但採用 FFS 提取 iPhone 5S – iPhone X 裝置後,透過 PA 解析開始又出現已刪除的資料,包含 Telegram, LINE 與網頁搜尋紀錄等等,為什麼 PA 上再次呈現已刪除的資訊?
如何藉由 GPS 資料抽絲剝繭找出兇手
2018年7月4日,來自巴西伯Pernambuco州的心臟病醫生失踪了一個多月,最後找到時已不幸死亡。鑑識小組如何藉由不同的數位裝置,透過UFED Cloud Analyzer提取並分析GPS資料,抽絲剝繭後找出案件至關重要的數位證據並將其中一名定罪。
EDL Extraction物理提取說明
Cellebrite提供多種物理提取方式,大致上可以分為三大類型,ADB、Recovery、Bootloader。而EDL是針對Qualcomm晶片組設計的物理提取模式,該模式除了可以繞過螢幕鎖外,FDE加密裝置也可透過bootloader漏洞進行解密提取,是鑑識人員必須熟悉的進階提取模式之一。
Physical & Logical Analyzer 7.29 更新說明
本次更新可解析新的iOS裝置資料來源,以幫助取得更詳細的數位證據。如「螢幕使用時間」(Screen Time)功能,可深入了解使用者每一個App使用時間,進而繪畫出該用戶的數位行為。飛航模式是否啟用,用戶刪除或安裝了哪些Apps等?
