【电子数据】OFD v14升级技术指南
OFD发布最新重大更新,氧气®OFD 14.0版本对软件性能和提取分析能力有了显著的提升
密码管理器
取证工作人员可以通过“密码管理器中轻松地为暴力密码破解创建自定义词典。它可以在软件的“选项”部分或“帐户和“密码”部分的工具栏上找到。这个全新的工具可以积累从“帐户和密码”部分提取的所有密码。调查人员还可以选择从.txt文件中导入密码或手动输入密码。一旦创建,密码列表将在暴力模块的“密码攻击管理器”中可用,并可用于密码攻击。
现在,用户还可以使用密码工具包移动中的可用的选项创建自定义攻击。一旦创建,自定义攻击将显示在“密码攻击管理器”中。
安卓应用程序降级
使用安卓备份方法,取证人员通常无法提取最新版本的应用程序,因为数据通常不包含在备份中。在这种情况下,需要APK降级程序来访问应用程序的证据。氧气®OFDv.14.0引入了一种安卓应用程序降级方法,这将允许调查人员从各种解锁的安卓设备中提取有价值的应用程序证据。该方法与Android操作系统5-11版本兼容。
根据全面的说明,研究人员需要选择要降级的应用程序,复制原始应用程序,降级他们的版本,提取数据,并将应用程序恢复到原始状态。目前,APK降级方法涵盖了超过45个可以被降级的流行应用程序,包括whatts应用程序、脸书、Instagram、推特、Tinder等。
支持MT6753芯片组
“MTK安卓转储”方法现在支持芯片组MT6753。这种方法允许屏幕锁绕过、硬件密钥提取和基于该芯片组的150多个设备的证据解密。请注意,目前还不支持具有DAA(数据身份验证算法)的设备。
通过氧气提取引擎提取Telegram
从氧气®OFD v.14.0开始,取证热木年末可以使用OxyAgent从任何未锁定的安卓设备上收集Telegram数据。将其安装在设备上,选择需要收集的电信工件,并在提取后,将它们导入氧气®OFD。这种方法与安卓操作系统7及更高版本兼容。
证据集将包括帐户信息、授权会话、联系人、聊天、通道、已保存的消息和电话。此方法不支持秘密聊天。如果使用了几个帐户,它们都可以被提取出来。如果电报被密码锁定,软件将提供输入它。否则,将不会开始提取。
注:Telegram数据也可以通过其他方法从移动设备、云和计算机中提取。
新的应用程序支持
氧气®OFDv.14.0引入了对6个新应用程序的支持,并更新了对900个+应用程序版本的数据解析。我们的新应用程序包括Digital Wellbeing、Beekeeper、Solocator、Chatwork、Grindr和GPS Camera。支持的应用程序版本的总数现在超过了24,200个。
合并提取数据
氧气®OFDv.14.0显著的增强了数据分析。取证人员可以将几种提取数据合并。当使用各种方法提取证据并需要合并在一起时,这通常是需要的。让我们举几个例子:
•安卓设备和SIM卡的单独提取现在可以合并并在一起查看。
•使用各种方法从安卓设备中提取的证据,如从安卓设备中提取的证据。
•从同一所有者中提取的设备和云计算。
若要合并提取,请在右侧边栏的提取树中选择它们,并在上下文菜单中选择“合并提取”。然后,按照说明操作。提取物可以在所分析的数据或文件系统级别上进行合并。当需要合并设备和云服务等不同平台的提取时,第一种方法很好。当使用多种提取方法获取证据时,推荐第二种方法提取同一装置。
应用程序数据恢复增强
我们已经显著改进了从应用程序中删除的数据恢复。如果在导入时启用了应用程序删除的数据恢复,用户将看到以下结果:
•删除数据恢复的质量有所提高——我们现在可以用更少的重复和垃圾记录恢复更多的删除数据。
•包含超过2GB数据的文件现在可以完全从数据库中恢复。
•从应用程序中恢复被删除数据的速度显著提高。
因此,将备份或映像导入到软件中所需的时间更少。
与以前版本的氧气®OFD相比,启用了具有数据恢复的导入速度
删除了每个应用程序恢复的有效记录,与以前版本的氧气®OFD相比
我们还扩展了SQLite查看器的功能。增强包括数据库、日志和WAL文件的散列计算,以及位于查看器的“所有删除数据”部分中的可查看和搜索免费和未使用页面中的记录的能力。
云提取器增强
取证人员现在可以使用相应的iCloud登录和密码从GrindriCloud备份中提取证据。证据集包括账户信息、联系人、文件,以及私人聊天和小组聊天。同样支持2FA验证绕过
更新后的氧气®OFD云提取器还提供了提取新型的Instagram信息、语音信息、视频聊天通知、喜欢信息和贴纸。我们还更新了Slack、Evernote、iCloud联系人和WhatsApp云的授权和提取算法。
KeyScout增强
KeyScout中引入了大量对新数据的增强和支持。
首先,添加了新的原始格式的导入和解析:DD、BIN和IMG。导入选项位于氧气®OFD的主屏幕上的“桌面提取物”下。
其次,更新后的密钥侦察机提供了从外部驱动器中提取数据的能力。在氧气®KeyScout的主屏幕中选择“驱动器”选项,并按照说明操作。仅通过提高特权才能进行提取。
第三,重新设计了关键侦察兵的主屏幕。它现在为研究人员提供了在开始提取之前方便地选择搜索模板的选项。最后,还添加了新的工件:
•从macOS中提取苹果统一日志。
•从谷歌Chrome中提取基于网络版本的Instagram
•以及提取谷歌Chrome浏览器缓存。
支持你的手机和聊天工作的应用程序。
其他改进
氧气法医®侦探现在可以摄取两种新型的第三方图像
-UFDR报告由非智能手机和在UFED中创建的华为备份组成。