数据恢复与取证: 使用 OSForensics 从未启动 Android 设备中获取数据

server/2024/10/15 16:59:27/

天津鸿萌科贸发展有限公司是 OSForensics 数据调查取证软件的授权代理商。

OSForensics 数据调查取证软件协助用户通过高性能文件搜索快速从计算机和智能设备中提取数据调查证据;通过哈希匹配、驱动器签名比较、电子邮件、内存和二进制数据识别可疑文件和活动,管理数字调查任务并根据收集的取证数据创建报告。

OSForensics 支持创建逻辑设备镜像,并从 Android 设备提取文本消息、通话记录和联系方式。

随着 V11 新版本的发布,Android Aritfacts 模块进行了重大升级。

为了手机能够运行OSFExtract应用程序,被调查的Android设备必须运行Android 8.0或更高版本(API级别26或更高)。

通过创建Android 设备逻辑镜像,调查人员可以将文件/目录从 Android 设备复制到目标文件夹或逻辑镜像文件(.vhd),尽可能保留文件系统元数据(例如日期/时间、属性)。这在无法获取证据设备的完整驱动器镜像的情况下非常有用(例如,设备未启动)。

如何获取 Android 设备数据

OSForensic 工具的 Android Artifacts 模块可通过屏幕上的“Android Artifacts”图标访问。

Android 设备调查过程分为两个阶段:

  • 获取 Android 数据,用户可以使用“新获取”按钮启动“Android 获取向导”。
  • 分析用户可以通过以下任一方式启动的 Android 数据;
    • 获取后继续向导。
    • 使用“加载现有”按钮。

获取阶段的工作原理是:

  • 允许用户选择手机。
  • 连接到该手机并上传 OSFExtract,这是一个 PassMark 应用程序,用于查询手机中的数据并将其传输回 OSForensics。
  • 接收 OSFExtract 发回的所有数据并将其保存在名为 OSFExtract.xml 的文件中,该文件在用户指定的 VHD 中的用户指定的目录中创建。

用户启动“Android 获取向导”后,向导的第一阶段允许用户:

  • 选择是否要使用 OSFExtract 应用程序提取通话记录、联系人、短信/彩信。
  • 选择是否要复制可通过 Android 调试桥 (ADB) 访问的文件。

用户还可以选择是否希望将获取的数据(通过 OSFExtract 或 ADB)存储在 VHD 镜像或目录中。用户必须提供 VHD 的位置和名称,或者他们想要存储所获取数据的目录的位置。所需的最后一条信息是在案例中引用 VHD 或目录的名称,此时“下一步”按钮将用户带到向导的下一个阶段。
这里向用户呈现所有可识别手机的列表。需要注意的是,手机连接到 PC 并不意味着它可被识别,更不表示 OSForensics 可以访问它。

OSForensics 需要手机满足一些先决条件:

  • 手机必须连接到电脑。并非所有 USB 端口都相同,因此如果即使执行了以下所有步骤,手机始终无法被识别,那么换一个不同的 USB 端口也可能会增加连接的可能性。
  • 手机必须处于开发者模式(通常通过在设置的“关于”部分找到内部版本号并单击 10 次或更多次来完成)。此时,即使 OSForensics 无法访问手机,它也应该变得可识别。
  • USB 调试必须在设置中打开,并且用户必须在需要 USB 调试时在 Android 出现的对话框中接受 USB 调试。可能需要关闭 USB 调试并重新打开,Android 才能显示该对话框。

一旦被分析的手机变为“已连接”,就可以选择它并使用“开始”按钮来实际获取取证数据。

此时,OSForensics 将根据用户的请求,使用 ADB 复制所有可能的文件,并使用 OSFExtract 获取消息、联系人和通话记录,将结果数据放置在先前指定的位置。
用户可能会在手机上看到多个对话框,OSFExtract 通过这些对话框请求查询手机上取证数据所需的权限。

对于正在收集的每种数据类型,每个权限在 OSFExtract 屏幕上都有一个相应的锁定图标:

  • SMS/MMS 消息和对话
  • 联系方式
  • 通话记录

如果未授予权限,相应的锁将指示已锁定并呈红色,并且不会收集该类型的数据并将其发送回 OSForensics。

该向导将显示一个对话框,其中包含 ADB 复制和 OSFExtract 获取的进度摘要。

数据复制完成后,向导将创建一个封装数据位置(VHD 或目录)的 OSForensics 设备,并将该设备添加到案例中。在此阶段,用户可以使用“下一步”按钮进入扫描阶段,新获取的数据可以加载到 OSForensics 中以进行进一步分析。用户会看到当前案例中的设备列表,以便加载到 OSForensics 中并进行分析。

可以通过以下方式到达向导的此阶段:

  • 要么从头开始执行向导,这是完成 ADB 复制和 OSFExtract 数据收集阶段之后的阶段。
  • 或者使用“加载现有”按钮。

选择要扫描的设备并按“扫描”按钮,OSForensics 将在设备中搜索 Android 工件:

  • 通话记录
  • 彩信/短信
  • 联系方式
  • 对话
  • 照片

分析 Android 取证数据

一旦 Android 取证数据被扫描并加载到 OSForensics 中,就可以对五种类型的取证数据进行查看和搜索。 “通话记录”显示了 Android 手机的 OSFExtracted 通话记录。

“MMS/SMS 消息”显示按时间顺序从手机中提取的所有 MMS 和 SMS 消息的视图(出站消息的发送日期,入站消息的接收日期)。选择一条消息将显示该消息所属的重建对话的视图,在手机上以文本对话的形式呈现。重建的对话是从 Android 手机的角度呈现的。

“联系人”显示从手机中提取的所有联系人的视图。 Android 上的联系人可以有很多附属信息。单击联系人列表中的条目会弹出一个详细信息窗格,其中包含其他详细信息(如果有)。

“对话”显示从电话中提取的所有对话的视图。选择对话会显示重建对话的视图。对话是从被分析的 Android 手机的角度呈现的。

“照片”显示从手机中提取的所有照片的视图,无论它们是彩信的一部分,还是只是在 Android 手机上拍摄并存储在公共目录之一中的照片。


http://www.ppmy.cn/server/132279.html

相关文章

Java基础:面向对象编程4

1 Java 访问修饰符 1.1 概述 Java 提供了四种访问权限控制: 默认访问权限(包访问权限)publicprivateprotected 类只能使用默认访问权限和 public 修饰,而变量和方法则可以使用所有四种修饰符。 1.2 修饰类 默认访问权限&…

科研绘图系列:R语言绘制中国地理地图

文章目录 介绍加载R包导入数据图a图b图c图d系统信息介绍 文章提供了绘制图a,图b和图d的数据和代码。该图展示了不同省份的物种分布情况。 加载R包 library(geojsonsf) library(sf) library(ggplot2) library(RColorBrewer) library(ggspatial) library(</

SQL之什么是窗口函数OVER

文章目录 一、OVER 的定义二、OVER 的语法三、OVER 的用法 一、OVER 的定义 OVER 用于为行定义一个窗口&#xff0c;它对一组值进行操作&#xff0c;不需要使用 GROUP BY 子句对数据进行分组&#xff0c;能够在同一行中同时返回基础行的列和聚合列。 二、OVER 的语法 OVER (…

获取京东商品历史价格接口item_history_price介绍

接口开发背景 京东作为中国知名的电商平台&#xff0c;提供了丰富的商品和服务。为了更好地满足用户和商家的需求&#xff0c;京东开放平台推出了多种API接口&#xff0c;其中“item_history_price”接口用于获取指定商品的历史价格信息。这一接口的开发背景在于帮助用户判断当…

2013 lost connection to MySQL server during query

1.问题 使用navicat连接doris&#xff0c;会有这个错误。 2.解决 换低版本的navicat比如navicat11。

鸿蒙进入“无人区”:该如何闯关?

按照华为方面的说法&#xff0c;“打造鸿蒙操作系统是三大战役&#xff0c;目前已经完成了底座和体验两大战役&#xff0c;第三大战役则是生态。”生态固然重要&#xff0c;但要让鸿蒙与当今世界主流操作系统抗衡&#xff0c;乃至成为新一代操作系统中的翘楚&#xff0c;其实还…

Matlab 类方法中没用到类实例对象的情况

背景描述: 自定义一个类&#xff0c;在类方法中&#xff0c;不需要使用类对象的相关属性&#xff0c;如果不将类实例传入参数列表&#xff0c;会报错。 解决方案: 方法一: 把类实例写入参数列表中 classdef MyClassmethods function obj MyClass()% 构造函数: 初始化属性endf…

10- Cesium 中动态处理与两个圆形渐变过渡材质相关的属性

这段代码定义了一个名为 GradientTransitionTwoCircleMaterialProperty 的类,用于处理两个圆形渐变过渡材质的属性。构造函数接受 options 参数,用于设置两个圆的起始和结束颜色及其比例。类包含以下主要部分: 构造函数:初始化 _definitionChanged 事件以及两个圆的起始颜色…