Новые функциональные особенности ПО «Мобильный Криминалист» 9.1.

Содержание

  1. Извлечение данных из устройств Samsung на ОС Android
  2. Извлечение токена iCloud с ПК
  3. Излечение данных из «TOT-образов»
  4. Извлечение фотопотока из iCloud

Извлечение данных из устройств Samsung на ОС Android

На исследование в криминалистические лаборатории обычно попадает большое количество устройств Samsung, поэтому возможность создания полной копии памяти этих устройств особенно важна для экспертов. В данной версии программы значительно увеличен список мобильных устройств, для которых поддерживается извлечение данных с помощью модифицированных образов восстановления. Доступ к командам чтения памяти мобильного устройства осуществляется через уникальный интерфейс, разработанный компанией. При этом эксперт не получает права суперпользователя, что обеспечивает дополнительный уровень сохранности данных как при проведении исследования, так и при дальнейшей эксплуатации мобильного устройства.

Илл. 1. Окно выбора мобильного устройства.

Для любого эксперта важным критерием является время, за которое программа позволяет извлечь данные или создать полную копию памяти мобильного устройства. В версии 9.1 скорость получения информации из мобильного устройства значительно увеличена путем передачи данных с помощью сетевого протокола. Это позволяет экономить время при производстве экспертиз и быстрее получать результаты исследований.

Особо хотелось бы отметить появившийся функционал по декриптовке зашифрованных разделов с пользовательскими данными (для мобильных устройств Samsung). Это достаточно новая задача, с которой, к сожалению, экспертам приходится сталкиваться все чаще и чаще. В этой версии программы «Мобильный Криминалист» появилась возможность расшифровывать подобные логические разделы. Для расшифровки  необходимо ввести пароль в Мастере извлечения данных.

Извлечение токена iCloud с ПК

В ПО «Мобильный Криминалист» 9.1 появилась возможность найти и  расшифровать токен «iCloud» с компьютера пользователя.

Илл. 2. Опция программы «Извлечь iCloud token c Windows ПК».

Для этого из исследуемого компьютера  необходимо:

  1. Скопировать файл C:\ Users\ <Имя пользователя>\ AppData\Roaming\ Apple Computer\ Preferences\ com.apple.AOSKit.plist.
  2. Скопировать каталог «Protect», располагающийся в C:\ Users\ < Имя пользователя >\ AppData\ Roaming\ Microsoft.
  3. Заполнить поле «SID» (дескриптор безопасности). При указании пути к каталогу «Protect» он подставляется автоматически. Но его можно задать и вручную (он совпадает с именем каталога, находящегося внутри каталога «Protect»).
  4. Для расшифровки информации о токене также понадобится пароль от учётной записи пользователя Windows (<Имя пользователя >).

Илл. 3.Внешний вид окна извлечения токена iCloud.

После заполнения соответствующих полей и нажатия кнопки «Извлечь  token» программа отобразит извлечённый токен и имя учётной записи, которой он принадлежит. Также станет активной кнопка «Извлечь сервисы», позволяющая сразу перейти к извлечению данных из iCloud

Этот функционал приобретает особую значимость при изъятии заблокированного iOS устройства. В  таком случае извлечение токена с ПК является единственным шансом получить информацию  из сервисов iCloud Drive, iCloud Applications, iCloud Photo Stream и из резервных копий устройства (iCloud Backup). 

Излечение данных из «TOT-образов»

TOT-образ – это копия памяти мобильного устройства LG под управлением операционной системы Android. Их получают с помощью некоторых программаторов («флешеров»). Особенностью таких образов является то, что они не содержат таблицу разделов. Логические разделы в них упакованы особым образом в файле - контейнере.

В процессе извлечения данных эти логические разделы сохраняются в отдельный каталог, после чего из них извлекается информация. В разделе «Общая информация» в ПО «Мобильный Криминалист» указан путь к каталогу с извлеченными логическими разделами.

 

Извлечение фотопотока из iCloud

В версию 9.1 добавлена возможность извлекать фотографии, сделанные на iOS устройстве и сохраненные в облаке с помощью сервисов iCloud Photo Stream (фотографии, сделанные самим владельцем аккаунта) и Shared Stream (иные фотографии, которые доступны владельцу аккаунта, его друзьям или членами семьи).

iCloud Photo Stream и iCloud Photos являются разными сервисами.

iCloud Photo Stream содержит фотографии, сделанные на iOS устройстве и связанные с учётной записью владельца.

iCloud Photos может содержать фотографии из разных источников: персональный компьютер, фотокамера, сканированные фотографии. В iCloud Photos они попадают не только путем синхронизации, но и путём ручной загрузки через сайт. В зависимости от настроек iOS устройства, некоторые фотографии, снятые например на iPhone, могут встретиться не только в iCloud Photo Stream, но и в iCloud Photos.

Авторизоваться в сервис для извлечения фотографий можно как с помощью логина и пароля, так и с помощью токена. Извлечение происходит через внутренний протокол Apple.

Фотопоток, извлеченный из iCloud содержит следующие данные:

Параметр Описание
«Photo file» Файл с фотографией
«Original name» Оригинальное имя файла
«Created»* Дата создания файла
«Modified»* Дата последнего изменения файла
«Server time stamp»* Временная метка на сервере
«Created (EXIF)» Дата съемки, полученная из EXIF
«Location (EXIF)»** Место съемки, полученное из заголовка файла (EXIF)
«Size» Размер файла
«Photo ID» Идентификатор фотографии на сервере Apple

* - у фотографий, извлеченных из сервиса «Shared Stream» отсутствуют все даты, кроме даты из заголовка файла (EXIF);

** - после извлечения, можно посмотреть геоданные в разделе «Карты».

 

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

0 Комментарии

Статья закрыта для комментариев.