【美亚技术分享】第十六期:手机取证技术最新进展
手机取证研究
分析 , 并采取有效措施进行处置 , 就可 以将事件产生的根源及 时
遏止 , 或把事态控制在一定范围内、 避免其进一步扩大 。
参考 文 献 :
[ 1 ]肇 东罢课教 师: 政府称要 开除 ”闹事 者 ” [ E B / O L ] . h t t p : / / n e w s .
( 三) 完善 预警机制 , 建立 ” 主动 防御 ” 的渠道
众就不断 向有关部 门反映 了一些担心和具体问题 , 但是 当地群
众利益诉求一直未能有效解决 , 埋下 了引爆舆情事件 发生的风 险, 而这却并未 引起 当地 政府 的重视, 直到 2 0 1 2年 4月发生 大
量群众聚集的事件 。
完善群体性突发事件 的预警机制是一项重要的基础工作 , 只要政府部 门能够注意对舆情 的监测和预警 ,大部分的群体性 事件都可 以将事态控制在初始 阶段。因此 , 县级政府应 当建立专 门的舆情 预警机构 , 及时搜集 区域中一些敏感性 言论和事件 , 对 搜集到的信息进行搜集 、 研究和分析 , 从 中发现一些群体性 突发
事件可能发生 的苗头 , 并及 时反馈给相关主管部门 , 加以识别和
3 县域群体性事件应对机制的构建
( 一) 保障公民知情权 , 加强 ” 公众参 与 ” 的渠道 让群众拥有知情权 、 参 与权 、 表达权和监督权 , 也是 人民群 众 的基本 权利 , 必 须得到尊重 , 人 民群众应该参 与到社会管 理 中来 , 发挥真正的主人翁作用 。H 公 民的知情权从两个 方面加 以保 障: 第一 , 日常政策知情权的保障。 政府应 当及时将群众关 心的 、 跟群众利 益息息相关 的 国家政策 、 政府 工作信息及 时发
电子取证设备方案
电子取证设备方案随着科技的不断发展和普及,电子取证已成为重要的法律工具。
在犯罪现场和调查过程中,电子取证设备的使用可以帮助警方和律师收集、保护和分析数字证据。
这篇文章将介绍一种有效的电子取证设备方案,旨在提高取证效率和保证数据安全。
首先,电子取证的第一步是采集电子证据。
为了完成这一步骤,警方或律师需要一个高性能的设备,能够连接和获取来自各种电子设备的数据。
这包括计算机、手机、平板电脑、硬盘驱动器等。
一个多功能的取证设备是非常重要的,它能够通过USB、蓝牙等多种方式连接到各种设备上。
其次,为了保证数据的完整性和可靠性,电子取证设备应具备严格的数据保护功能。
这是因为数据在被采集和分析的过程中经常面临篡改和丢失的风险。
一个好的设备应该能够确保数据的原始状态不被更改,并具有强大的加密技术来防止未经授权的访问。
此外,设备还应该有防火墙和恶意软件检测功能,以防止恶意攻击。
第三,电子取证设备方案需要提供有效的数据分析功能。
一旦数据被采集,专业人员需要对其进行深入的分析,以发现可能有价值的证据。
这就要求设备具备强大的数据处理和分析能力。
此外,设备还应具备数据可视化和模式识别功能,以便用户能够更直观地理解和解释数据。
此外,好的电子取证设备方案应该具备易用性和可移植性。
这意味着设备界面应该简洁直观,操作步骤应该清晰明了,以便用户能够快速上手。
此外,设备的尺寸和重量应该适中,便于携带。
这样,警方或律师可以在不同的现场进行取证工作,而不会受到设备的限制。
最后,保证数据的安全存储也是一个重要的考虑因素。
电子取证过程中获得的数据可能是非常重要和敏感的。
因此,在整个取证过程中,设备应该提供安全存储解决方案,确保数据不会被意外删除或泄露。
这可以通过数据备份和恢复功能、密码保护等方式来实现。
总之,电子取证在现代法律系统中扮演着重要的角色。
一个有效的电子取证设备方案应该具备多功能的采集能力、严格的数据保护、强大的数据分析、易用性和可移植性以及安全的数据存储解决方案。
iPhone手机取证的应用研究
iPhone手机取证的应用研究
高峰
【期刊名称】《警察技术》
【年(卷),期】2011(000)003
【摘要】随着手机技术的日益发展,智能手机已经能够代替计算机处理很多日常应用,而目前智能手机中最炙手可热的就是iPhone.本文首先对iPhone作了简要介绍,然后较详细的阐述了iPhone取证以及取证过程中应注意的问题.
【总页数】4页(P38-41)
【作者】高峰
【作者单位】信息网络安全公安部重点实验室,上海辰星电子数据司法鉴定中心【正文语种】中文
【相关文献】
1.iPhone手机取证的应用分析 [J], 何明;
2.备份文件加密的iPhone手机取证研究 [J], 金星;孙波;曹雪芬
3.手机取证在道路交通事故调查中的应用研究 [J], 俞春俊;任皓;李平凡;
4.智能手机取证的应用研究 [J], 高建华
5.智能手机取证应用研究 [J], 张振;马红
因版权原因,仅展示原文概要,查看原文内容请购买。
手机取证——关于iPhone手机数据提取方式的探讨
手机取证——关于iPhone手机数据提取方式的探讨编者按在《技术视界》前13期中,数据恢复四川省重点实验室科研人员讲解了手机音频文件提取、SQLite数据库文件恢复、手机APP取证脚本编写以及防御手机APP窃密等主题,本期重点介绍iPhone手机(越狱和未越狱)数据提取的多种方式,可以有效提取各类应用数据,包括文字、图片、声音、视频等各种多媒体信息。
随着移动通信技术的不断发展,手机也逐渐成为人与人之间不可或缺的联系工具,几乎人人都会携带一部甚至多部手机。
手机中各种APP会记录下大量信息,包括聊天、位置等,这些信息很可能成为警方破案有效的辅助证据,所以对手机数据的提取很有必要。
目前Android始终是手机行业的老大,各个手机数据提取商对Android的支持也是首当其冲。
来自ZDC(互联网消费调研中心)手机品牌关注度的数据显示(如图1),2015年三星毫无疑问位居第一,但我们也同时发现,iPhone手机紧随华为位居第三,所以对iPhone手机数据提取的支持刻不容缓。
下面将和大家一起来探讨iPhone手机数据的提取方式。
图1:苹果手机品牌关注位居第三同Android手机一样,iPhone手机数据的提取也分两种情况越狱和未越狱。
一、未越狱手机数据的提取未越狱手机主要通过备份和沙盒提取方式。
目前8.3以上的系统不再支持沙盒提取,而且也比较简单,故不再拿出来讨论。
下面只针对备份方式进行简要说明。
1、数据备份备份可通过两种方式实现:(1)通过iTunes直接备份。
备份路径为XP:C:\Documents and Settings\用户名\Application Data\Apple Computer\MobileSync\Backup;WIN7及以上:C:\Users\用户名\AppData\Roaming\Apple Computer\MobileSync\Backup。
(2)AppleMobileBackup.exe命令。
计算机取证技术及发展趋势
计算机取证技术及发展趋势计算机取证技术是指利用计算机科学和法律手段来收集、保留和分析电子证据的过程。
随着计算机犯罪日益普及化和复杂化,计算机取证技术也在不断发展。
以下是计算机取证技术及其发展趋势:1. 数字取证:数字取证是指通过技术手段获取和分析计算机系统、存储媒体和网络中的电子证据。
随着技术的不断进步,数字取证工具和技术也不断更新,以适应不断出现的新型电子媒体和网络威胁。
2. 云取证:随着云计算的流行,越来越多的数据存储在云中。
云取证是指获取和分析云存储和云服务中的电子证据。
这涉及到对云平台的了解和对云存储中的数据进行合法的获取和分析。
3. 移动设备取证:随着智能手机和平板电脑的普及,移动设备取证变得越来越重要。
移动设备取证涉及到获取和分析移动设备中的电子证据,例如通话记录、短信、照片等。
由于移动设备的多样性和复杂性,移动设备取证技术也在不断发展。
4. 大数据分析:随着大数据时代的到来,越来越多的数据需要进行分析,以发现隐藏在其中的信息和模式。
计算机取证技术也可以利用大数据分析技术来挖掘电子证据中的信息,辅助调查和取证过程。
5. 自动化取证:随着电子证据的不断增多和复杂性的提高,传统的手工取证方式已经很难满足需求。
自动化取证技术利用机器学习和人工智能等技术,可以自动化地获取、分析和报告电子证据,提高效率和准确性。
6. 区块链取证:区块链是一种分布式的、可追溯的和不可篡改的数据结构,具有很强的安全性和可信度。
计算机取证技术可以利用区块链的特性来获取和分析基于区块链的交易和合约等电子证据,例如比特币和其他加密货币的取证。
总之,计算机取证技术将随着技术的不断进步和犯罪形式的不断演变而不断发展。
趋势包括数字取证、云取证、移动设备取证、大数据分析、自动化取证和区块链取证等。
美亚取证工具使用方法
美亚取证工具使用方法一、前言随着互联网的普及和应用范围的不断扩大, 安全漏洞和信息泄露问题也日益突出。
美亚取证工具是一款专业的电子取证工具,被广泛应用于网络安全、法律调查、企业内部审计等领域。
本文将详细介绍美亚取证工具的使用方法,旨在帮助用户能够熟练使用这一工具进行各类取证工作。
二、美亚取证工具的基本原理美亚取证工具是基于网络取证技术的一种工具,它通过监听网络流量、抓取数据包等技术手段,收集目标主机的信息,进而进行取证。
美亚取证工具可以实现对数据包的捕获、过滤、解析、重组等功能,可以对取证对象的网络活动进行全面监控和记录,对于追踪黑客攻击、调查网络犯罪、监控员工网络行为等方面具有重要的意义。
三、美亚取证工具的使用方法1. 网络环境准备在使用美亚取证工具之前,需要确保所处的网络环境稳定,并且能够连接到目标网络。
通常情况下,美亚取证工具需要与目标网络处于同一网段,以便进行数据包的捕获和分析。
2. 安装和配置美亚取证工具下载并安装美亚取证工具,根据具体的操作系统版本进行安装,安装完成后进行基本的配置,设置监听端口、过滤规则、存储路径等参数,确保美亚取证工具能够正常工作。
3. 开始捕获数据包启动美亚取证工具,选择合适的捕获模式和过滤规则,开始进行数据包的捕获。
根据实际需求,可以选择全局捕获或者指定目标主机的数据包捕获,对于大规模网络环境,还可以设置多台美亚取证工具进行协同工作,实现全面的监控和取证。
4. 数据包分析对于捕获到的数据包进行分析,可以通过美亚取证工具提供的分析工具对数据包进行解析、重组、提取关键信息等操作,从中获取目标主机的网络活动轨迹,进而进行进一步的取证。
5. 结果输出和报告根据分析的结果,生成相应的取证报告,对于取证结果所涉及的关键信息进行整理和解释,最终形成一份完整的取证报告,供相关人员进行审阅和分析。
四、美亚取证工具的应用场景美亚取证工具主要适用于网络安全监控、网络攻击追踪、网络犯罪取证、企业内部审计等领域,其广泛的应用场景包括但不限于:1. 监控黑客攻击,追踪攻击者的行为和手法,为网络安全提供重要的技术支持;2. 对企业内部员工的网络活动进行监控和记录,防范泄密和内部不端行为;3. 在法律调查和案件取证中,对涉案主机进行全面监控和记录,提供有效的取证依据。
美亚柏科财务建模 国内电子数据取证龙头
美亚柏科财务建模国内电子数据取证龙头今天我们要研究的这个赛道,之前曾因意外事件,备受打击。
自今年2月以来,其持续下杀,从峰值高位25.26元,一路跌至峰值低位17.53元,下跌幅度达到30%。
图:走势图来源:东方财富Choice数据然而,如果我们反观海外类似赛道的龙头,近日刚刚提交上市申请的独角兽Palantir,其主要为政商两界提供大数据分析软件。
在2015年,这家公司估值就已经达到200亿美元(折合人民币1368亿元)。
而本次上市,有部分媒体报道称其估值高达400亿美元(也有称260亿美元)。
而作为和Palantir类似赛道的国内龙头,本案如今的估值却仅为171亿元。
它,就是美亚柏科,国内电子数据取证龙头,几乎占据国内电子数据取证市场的半壁江山。
这个赛道下游多为to G,因而,我们将其归类为“新基建”系列研究中。
根据2019年数据,其营业收入为20.67亿元,同比增长29.11%;净利润为2.89亿元,同比下降4.3%;经营活动现金流为3.96亿元,毛利率为55.74%,净利率为13.96%。
从机构持仓上来看,2020年中报,本案的机构持仓者包括交银施罗德基金、泓德基金、高毅资本等。
研究到这里,有几个值得我们仔细思考的问题:1)电子数据取证行业的增长驱动力是什么?未来的前景如何?大数据智能化平台业务未来的发展空间究竟有多大?2)该行业的竞争格局怎样?护城河到底在哪里?—01 —███████龙头,模式▼美亚柏科,成立于1999年9月,2011年在深交所创业板挂牌上市。
大股东为郭永芳,国投智能持股15.58%,具有22.32%的表决权,为其控股股东,实际控制人为国资委。
图:股权结构来源:wind从2020年上半年机构持仓情况来看,交银施罗德基金、泓德基金、中欧基金等大型机构均有持仓。
2017年至2020年半年报,其营业收入分别为13.37亿元、16.01亿元、20.67亿元、6.12亿元;净利润分别为2.62亿元、3.02亿元、2.89亿元、-0.01亿元;经营活动现金流净额分别为2.00亿元、0.72亿元、3.96亿元、-4.59亿元;毛利率分别为64.18%、59.49%、55.74%、53.48%;净利率分别为19.62%、18.87%、13.96%、-0.15%。
电子证据的数字取证技术研究
电子证据的数字取证技术研究随着人们生活越来越离不开电子设备和网络,以及社会对数字化的要求越来越高,电子证据的价值和重要性也变得不可忽视。
作为一种权威有效的证据形式,电子证据越来越得到了司法机关和公众的认可。
但是,电子证据的获取和呈现相对传统证据要复杂得多,如何确保电子证据的真实性和完整性,成为取证过程中的关键问题。
而数字取证技术,就是为了解决这些问题而出现的。
首先,什么是数字取证技术?数字取证技术(Digital Forensics)是指通过科学技术手段,对一些数字化的证据物进行寻找、收集、分析和保护的一系列操作。
数字取证技术主要针对的是数字化设备和储存媒介,如计算机、手机、存储卡等。
数字取证技术的目的是通过收集、保护和分析储存在这些设备和媒介中的证据信息,以便为司法机构和其他调查机构提供证据支持。
数字取证技术的主要应用领域包括:网络取证、计算机取证、移动设备取证、存储设备取证等。
这些应用非常广泛,例如在刑事案件中查明罪犯的违法证据、在公司调查中找出泄密者,或者在金融案件中检查数据错误等。
而电子证据是指一些通过电子形式储存的、可供证明案件事实的信息或资料,例如电子邮件、通话记录、短信、照片、视频、声音等。
与传统证据相比,电子证据具备信息量大、准确性高、时效性好等特点。
因此,随着互联网和电子设备的不断发展,电子证据在诉讼过程中的地位越来越重要。
但是,由于电子证据的数字化特点,其取证和呈现过程要比传统证据复杂得多。
比如,如果处理不当,很容易造假、被篡改、遗漏部分信息或文件完整性被破坏等。
因此,在电子证据调查中应用数字取证技术来确保取证过程的可追溯性、可重现性、可证据性等非常重要。
数字取证技术包括以下三个方面的内容:1. 数据采集:数字取证技术通过各种手段将储存在设备或媒介中的证据数据获取出来,包括通过软件获取数据、通过硬件设备获取数据等。
2. 数据处理:数字取证技术将采集来的证据数据进行分析、整理和还原,使其更符合电子证据呈现的要求。
手机犯罪取证,IOS和Android系统实例
手机犯罪取证,IOS和Android系统实例随着移动互联网技术发展,手机已成为人们工作生活中不可或缺的联系工具,与此同时,利用手机进行诈骗、伪造和传播色情等犯罪活动也屡见不鲜。
手机取证正是打击这类犯罪的一个有效手段。
手机取证就是从手机安装手机应用程序、手机内/外置存储卡及SIM 卡中收集和分析相关的数据证据。
目前牵涉到手机的犯罪行为大致有以下几种 :•在犯罪行为的实施过程中使用手机来通信联络 ;•被用作犯罪证据的存储介质,如照片、短信、QQ、微信聊天记录 ;•手机被作为短信骚扰、诈骗和病毒软件传播等犯罪活动的工具。
•用于民事取证,如婚外情调查。
手机取证所面临的一些问题:•厂商与用户的安全意识不断提高,不断产生的新的保护措施和加密技术手段.•手机存储容量日益增大,取证平均耗时大大增加•手机存储容量日益增大,取证平均耗时大大增加•从“怎么取”逐渐转换为“怎么看”和“怎么用”下面我们说一下手机取证遇到的一些常见问题,按照IOS(苹果系统)和Android(安卓系统)进行了区分:•iOS: 高版本有密码\iTunes备份加密\应用程序数据加密\删除文件恢复\删除应用程序恢复•Android:有密码未开调试\高版本root问题\BL锁\应用程序备份限制\应用程序删除填充•以及对损坏、被破坏手机的取证手机取证的一些常用方法1,App备份限制Android 6.0版本下,目前微信无法通过备份方式获取导致微信提取结果为0。
解决思路:1. 利用厂商自带备份工具,将手机数据备份,随后将厂商备份数据转换为可解析格式后,进行数据提取和分析。
2. 少数非原生Android 6.0手机,通过提取root权限方式取得应用程序数据。
Android 4.x以及5.x版本下,部分应用程序限制了自身的备份,如腾讯QQ、微信、WhatsApp等。
解决思路: 1. 首先将手机中的应用程序替换为旧版本。
2. 通过支持备份的旧版本进行备份。
手机取证技术讨与分析
一.手机取证的技术手段
1.4 JTAG/ISP提取
对于低端智能机、国产机以及非智 能手机取证有时候需要JTAG/ISP测试协 议方式,利用手机主板触点连机进行数 据提取和解析。此种技术对于无法正常 开机、未获得root权限或者存在开机密 码的手机取证很有帮助。但数据被覆盖 或是被检手机进行过全盘加密,那么 JTAG/ISP也仅仅获得是的全盘加密的镜 像文件。
二一.L手E机D显取示证屏的的技常术用手术段语
1.5.1 功能机芯片布局实物图
一.手机取证的技术手段
1.5.2 智能机芯片布局实物图
一.手机取证的技术手段
1.5.3 chipp-off技术特点
手机FLASH芯片为陶瓷密封封装,在极端情况下(如手机被摔裂、破坏
1
、进水、腐蚀),仍可通过对FLASH芯片的数据提取来获得所需信息;
三.手机取证工具简介
3.2 厦门美亚柏科
DC-4501手机取证系统是厦门美 亚柏科信息股份有限公司自主研 制生产的、用于手机数据提取和 恢复并进行深度分析及数据检索 的调查取证产品。该产品作为 DC-4500手机取证系统的升级换代产品,集成了更高性能的主机设备, 采集速度更快。
三.手机取证工具简介
二.手机取证的技术难点
2.1.4 安卓手机root获取及无损检材与解析 司法取证中对于电子数据的有效性有严格DM5校验规定,这就限
制了提取的镜像文件必须是原始数据。但是现在升级版本的安卓系 统都有root,无论是通过第三方代理软件,或者直接物理方式提取,
都难免存在有 损检材的风险, 无法严格进行 存储芯片的数 据读写保护。 在安卓2.3.4版 本以前都是可以 一键root, 但是从6.0以后,以下几点都是需要突破的:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【美亚技术分享】第十六期:手机取证技术最新进展手机取证技术不断发展,今年六月Belkasoft公司在Forensic Focus上发表了题为“手机取证的未来”的文章,并与网友进行了交流讨论。
文章发表后,手机取证技术发生了很多变化,上个月Belkasoft公司又发表了一篇题为“手机取证的未来——十一月续”的新文章,继续讨论手机取证前沿技术。
本文由美亚柏科技术专家翻译自《手机取证的未来——十一月续》,并做了适当的删改。
配图为美亚柏科手机取证系统部分产品。
1 iOS 8.4取证iOS 8.x取证方面变化不大,但还是有一些进展。
iOS 8.4越狱问题已经被太极越狱团队(/en/)成功攻破,越狱后的32位iOS设备可以进行物理提取。
然而,64位的苹果公司设备(包括iPad mini Retina,iPhone 5S以及所有更新的型号)成功地抵抗住了物理提取,全盘加密使得chip-off依然无效,而且苹果公司设备上从来就没有JTAG接口。
未分配空间的数据依然不可恢复,因为iOS系统并不保存未分配区域的解密密钥。
有人提及“高级逻辑提取”方式,,这是除了物理获取方式外唯一能够提取邮件的方法。
据我们了解的情况,苹果公司在iOS 8.3就对此方法进行了封堵,所以只有比较老的设备可以尝试此办法。
由于苹果公司并不公布详细的iOS版本分布情况,我们不知道能够尝试利用此漏洞的iOS设备到底占多大比例。
苹果公司不断加强iCloud的安全性,调整二进制认证令牌的生命周期,该令牌主要被多数专业人士用于替代用户的登录帐号和密码(以及绕过双重验证)。
DC-4501手机取证系统:一款用于手机数据提取、恢复、分析、检索和报告处理的调查取证产品2 iOS 9取证最新版的iOS是手机取证中的热点话题。
截止2015年11月30日,已经有70%的iOS 设备运行着最新版的iOS系统,iOS 9是取证人员最为关注的问题之一。
作为被称作“不可攻破”的安全系统,新一代的苹果公司iOS系统内置了多种技术以限制对其进行安全研究。
但这并未阻止盘古团队发布可行的越狱方法(/pangu-9-download.html)。
让我们来总结一下对iOS 9设备可用的提取方法。
2.1物理提取对于运行iOS 9的设备,物理提取仍然仅限于理论的可能性。
64位的设备(iPhone5及更新的型号、iPad mini 2及更新的型号)就不用说了,即使是32位的系统,运行iOS 9后仍然可以抵抗现有的物理提取方法——即使设备未锁定并且已越狱。
因此,目前尚没有一款取证工具可以对任意一部运行iOS 9的设备进行物理提取,无关其是否越狱或其构架。
现状:目前对于所有的iOS 9设备,物理获取都是不可行的,这种情况在未来也许会改变,因为32位设备的物理提取在理论上依然存在可能性。
2.2高级逻辑提取答案是否定的。
高级逻辑提取方式在iOS 9设备上不适用,而且很不幸,在以后的工作中这种方法可能也不会奏效。
2.3逻辑提取普通的逻辑提取依然是可行的。
苹果公司改变了iTunes备份的格式和加密方法,所以你得更新所有的取证工具以保证对iOS 9的支持。
2.4云取证iOS 9的云提取方式相比以前更棘手。
苹果公司在iOS 9中对云备份做了很多改变,使用了新的数据格式、新的加密方式。
然而最大的变化是云备份的位置,之前保存在Apple iCloud,如今iOS 9的备份保存到了iCloud Drive,内部机制变化很大。
目前大多数取证软件厂商还没有调整他们的产品以支持从iCloud Drive中获取iOS 9的数据。
近期发布的Elcomsoft Phone Breaker是支持最新iOS 9云取证的工具之一。
值得注意的是,二进制认证令牌的工作原理尚未改变,如果你碰巧遇到一个未过期的令牌,可以用来绕过两步验证。
FL-900手机取证塔:一款适用于取证实验室,支持多路手机并行取证和手机仿真的手机取证分析工作站3 安卓取证这方面进展不多。
Check Point在一个报告中介绍了一个漏洞,此漏洞可被专家利用并获取一些远程安卓设备数据。
我们的一个读者指出,很多型号的安卓设备中存在Bootloader 级别的漏洞,并被Cellebrite应用在他们的提取工具中,使得在不Root的情况下Dump出安卓设备的数据。
3.1认证门在拉斯维加斯的黑帽大会上,Check Point Software公布了一个重要的安卓漏洞,这个漏洞被称为“认证门”,存在于包括LG、三星、HTC、中兴在内的数以百万的设备中,利用此漏洞可以远程控制设备。
这一漏洞存在于厂商预装的远程支持工具中,这些工具通常被用来帮助用户远程解决问题。
这些工具包括TeamViewer,MobileSupport(由Rsupport公司提供)和CommuniTake Remote Care。
显然,这些工具中存在的这一漏洞可以让攻击者利用他们的安全证书来控制此设备。
目前用户没有办法撤销或销毁对应证书,目前唯一的解决办法是等待补丁或者卸载受影响的工具。
即使这样,仍然会留下一个脆弱的证书。
Check Point宣称数百万设备受此漏洞影响。
目前我们还不清楚利用此漏洞来访问安卓设备的可能性以及是否已经有取证工具应用到了实践中。
3.2Stagefright及Stagefright 2.0这个著名的漏洞有一些潜在价值,但是目前这一漏洞能的取证用途——获取手机data 区数据是否可行还值得商榷。
目前,还没有利用此漏洞的取证解决方案。
3.3Bootloader漏洞大多数知名厂商(包括三星、LG、SONY、HTC、ASUS以及许多其他品牌)永久锁定Bootloader以防止设备被未签名的代码引导启动。
物理提取对Bootloader锁定的设备存在限制,尤其是Android的最新版本设备。
在很多设备上,解锁Bootloader是Root甚至临时root 的先决条件。
我们的一个读者指出,很多设备上存在Bootloader级别的漏洞,并被Cellebrite的提取工具成功利用。
Cellebrite UFED在一些Bootloader锁定的设备上成功让未经签名的启动镜像修改包引导启动设备,并从而获取设备镜像。
这一漏洞存在于许多使用高通解决方案平台及使用高通解决方案软件的设备。
因此,如果没有合适的安全认证,受影响设备可以被修改过的image文件引导启动。
Cellebrite利用此漏洞,使用他们自己的修改过的image文件可以成功启动引导很多受影响的型号的设备。
这是一件不容易的事情,因为必须对每个型号的设备适配单独的内核。
据报道,数百种型号的设备受此漏洞影响。
对于某一特定设备,如果Bootloader攻击方法适用,那么将是最具司法有效性的获取方法,因为从外部image文件引导启动不会写入任何数据也不会修改系统分区的任何数据,这种方法可以多次提取镜像出设备未经修改数据,并经得起哈希校验。
其他的方法需要获得权限并安装提取客户端,这不可避免地改变了设备中的数据。
Bootloader漏洞的利用方式对每个设备都不尽相同,Cellebrite宣称支持采用了高通芯片组的大部分摩托罗拉,部分三星、LG的GSM和CDMA安卓设备。
这种方法请谨慎使用,因为部分设备从第三方image文件引导启动时会擦除数据分区数据。
3.4 第三方Recovery曾经有人问我们诸如TERP、CWM之类的第三方Recovery是否可以用来引导启动手机并获取data分区数据。
虽然这在技术上是可行的,特别是在Bootloader已解锁或者存在已知的Bootloader漏洞的设备,但从未签名的Recovery引导启动可能会触发手机的保护模式,在没有任何警告的情况下自动清空data分区的数据。
从这一角度来说,我们不推荐大家使用第三方Recovery启动引导来获取数据。
DC-4701手机取证一体机:一款硬件高度集成,并支持手机数据提取、恢复、检索、分析、可视化关联和报告处理的手机调查取证一体化设备4 Windows Phone 8取证随着Windows10 Mobile即将发布并且考虑到其所占的份额比较小,Windows Phone 8取证正逐渐变成一种累赘,往往代价高昂成效小。
然而,Windows手机的提取也还是有一些进展的。
4.1 Windows Phone 8/8.1加密破解当提到Windows手机提取的时候,我们必须要讲一下JTAG和chip-off方式。
由于大多数Windows Phone平台手机都是消费级产品,数据并没有加密,JTAG方式可以使用。
但一个客户曾我们寻求帮助,声称他手头有一部加密过的Windows Phone设备。
Windows Phone 8/8.1并没有选项可以让用户选择是否加密他的智能手机,然而,是否加密可以由企业MDM管理员(Microsoft Mobile Device Manager)使用组策略控制。
如果加密设置被触发,那么设备会自动使用Bitlocker加密整个用户分区的数据。
结果就是JTAG 和chip-off方法只能得到一个不可解密的镜像。
那么Bitlocker托管密钥呢?按照微软公司的说法,Windows Phone系统的设备并不能像桌面版Windows系统一样将托管密钥保存到设备以外。
由于用户个人不能手动激活Windows Phone 8的加密,之前从https:///recoverykey抓获取托管密钥的方法对Windows Phone不再有效。
那么,如果一定要提取使用Bitlocker加密过的Lumia手机数据该怎么办呢?你可以寻求技术手段,例如/bitlocker-cyan-update-problems-windows-phones。
但托管密钥本身是不会创建、存储或上传到任何地方的。
4.2 Windows Phone Bootloader漏洞正如一个读者所提醒的,对部分Windows Phone设备,还有一种可行的提取方式。
一些流行的Windows Phone8设备,例如Lumia 520,可以利用Bootloader漏洞进行进行物理提取。
Cellebrite UFED就可以在部分Windows Phone设备上进行物理提取。
通过这种方式获取的未加密的镜像包含了手机存储的所有原始内容。
此方法支持的Windows Phone 8设备可以使用Cellebrite UFED通过数据线获取。
5 Windows 8/8.1/10及BitLocker有人询问我们从企业MBAM(Microsoft BitLocker Administration and Monitoring)恢复托管密钥的方法。
如果某个Windows电脑使用着企业帐号,第一件需要确认的事情就是检查MBAM是否有不使用托管密钥的策略。