氧气OFD 14.3更新技术指南-麒麟985芯片组的支持,iOS15设备的完整文件系统提取,WhatsAppQR多设备云服务,十六进制搜索
氧气OFD 14.3更新技术指南-麒麟985芯片组的支持,iOS15设备的完整文件系统提取,WhatsAppQR多设备云服务,十六进制搜索

氧气OFD 14.3更新技术指南-麒麟985芯片组的支持,iOS15设备的完整文件系统提取,WhatsAppQR多设备云服务,十六进制搜索

2022-02-21 13:33:33

氧气OFD 14.3升级技术指南


氧气®OFD v.14.3更新版本全新发布,引入了对新的麒麟985芯片组的支持,iOS15设备的完整文件系统提取,支持导入谷歌外卖数据,支持WhatsAppQR多设备云服务,支持通过十六进制列表搜索,以及许多其他功能。


手机取证


支持麒麟985芯片组

氧气®OFD v.14.3新增支持麒麟985芯片组。使用华为数据算法,取证人员现在可以访问更多的屏幕锁定的华为设备,并解密他们的数据。支持的设备包括荣誉30、华为nova7 5G、华为新星7Pro5G、华为新星8 5G、华为新星8Pro4G/5G和荣誉PadV6 10.4。

请注意,SPL(安全补丁级别)应不迟于2021年6月.



Checkm8对iOS15设备的支持

支持iOS15.0-15.3.1的苹果设备中提取完整的文件系统,这些设备包括iPhone6、iPhone6s+、iPhoneSE、iPhone7、iPhone7Plus、iPhone8、iPhone8+和iPhoneX。此外,重新设计了iOS15设备的密钥链提取算法。


图片1.png


通过氧气取证引擎提取Zoom数据

Zoom数据现在可以通过OxyAgent从任何未解锁的安卓设备上快速提取。OxyAgent可以通过USB、Wi-Fi或OTG U盘安装在设备上。证据集包括关于帐户、联系人、私聊和群聊、会议和电话的信息。请注意,此提取方法需要互联网连接。除了氧气取证引擎方法外,调查人员还可以使用其他方法从移动设备、计算机和氧气®OFD中的云数据取证提取Zoom证据。



安卓全文件系统提取能力增强

安卓全文件系统方法中添加了一个新的漏洞。该漏洞覆盖了基于许多高通芯片组的解锁Android设备:MSM8917、MSM8953、SD205、SD210、SD429、SD439、SD450、SD460、SD480、SD632、SD660、SD662等。支持的设备必须具有版本4.9、4.14、4.19和5.4的Linux内核,以及不超过2021年5月的SPL(安全补丁级别)。支持包括小米小米5、MotoG5、三星A11和三星A70。

 

 

应用程序解密与安卓KeyStore

氧气®OFD v.14.3允许解密应用程序与从安卓密钥库的密钥数据。这种方法可以在安卓全文件系统方法中使用,该方法可以在运行5版及更高版本的解锁安卓设备上运行。安卓设备需要与上述方法兼容,或者以根状态连接。目前,两个应用程序,信号和静音手机,支持解密,但名单将会增加。

 

 

应用程序支持

取证人员现在可以从以下新应用程序中提取证据:Spark、小米健身、Burner、Craigslist、SberDisk和大疆无人机Litchi应用。支持的应用版本总数超过28,500个。



云取证相关


支持WhatsAppQR多设备

WhatsApp的多设备功能可以在测试版中广泛使用。它允许用户最多连接四个设备,而不必保持他们的主要移动设备连接到互联网上。根据这一趋势,我们增加了对WhatsAppQR多设备服务的支持。与之前一样,调查人员可以通过使用氧气®OFD云提取器中的移动设备扫描二维码来授权。证据集将包括有关账户、聊天、联系人和未接电话的信息。取证人员现在可以选择特定的WhatsApp聊天对象进行提取。

请注意,WhatsAppQR服务的以前版本也可以在云提取器中使用。

图片2.png



小米健身云提取

欢迎我们支持的第100个云服务——MiFit,这款可以追踪活动、分析睡眠和评估锻炼的应用程序。本服务的授权可通过多种组合获得,包括用户名和密码、唯一标识符和密码,以及来自移动设备的令牌、来自小米、谷歌或Facebook账户的用户名和密码。提取的证据将包括接触者、身体测量数据、波段数据、警报器等。



计算机取证相关更新



新增计算机取证能力

更新后的氧气®OFD KeyScout现在支持APFS文件系统的macOS图像,以及以下驱动器和包含exFAT文件系统的驱动器和图像:E01、RAW/DD、VHD、VDI、VMDK、DMG和ISO。

 

其他重要的KeyScout更新包括:

能够查看有关在macOS上已安装和自动运行的应用程序的信息。

支持在macOS上的Spark应用程序。

从Windows进行更新的跳转列表解析。

对苹果预装应用程序的更新支持:日历、联系人、邮件、地图、信息、笔记、         照片和提醒。

更新的Skype解析。


数据导入


导入谷歌外卖和MTK功能手机

添加了两种新的导入格式。取证人员现在可以导入和分析谷歌的外卖数据谷歌的外卖数据可能包含很多类别,包括谷歌照片,谷歌Home,谷歌联系人,谷歌钱包等。MTK功能手机提取可以摄入和分析在氧气®OFD。


数据搜索


搜索十六进制列表

氧气®OFD v.14.3引入了通过十六进制序列搜索文件内容的能力。它可以在数据导入和在搜索部分中完成。我们还添加了十六进制列表管理器,它存储预安装的和自定义的十六进制列表。要按十六进制序列进行搜索,请进入“搜索”部分,切换到十六进制选项卡,然后手动输入十六进制序列,或从十六进制列表中选择一个。

图片3.png


通用更新


增强了对视频帧的支持

氧气®OFD支持视频分帧功能。在文件部分的视频选项卡上自动完成的。调查人员可以选择

时间间隔从1秒到30秒。在14.3版本中,支持将视频帧添加到关键证据中并为其分配标签的能力。现在,使用视频证据要容易得多了。

图片4.png


已解决的问题

l 使用三星Exynos方法时,在缓存分区中没有足够的空间导致的错误。

l 氧气®OFD KeyScout从Chromium浏览器无法获取全部数据

l 从安检中导入的过滤器只能应用在提取数据列表中的第一个。

l 试图将苹果消息导出为聊天记录时出现无效的乱码错误。

l MPG/MPEG视频文件被归类为音频。

l 在导入的华为备份中加密媒体文件时出现问题。

l 使用氧气®OFD KeyScout通过自定义搜索DD镜像时无法发现应用程序数据

l 当3gp音频文件在自定义搜索中没有被检测到时出现的问题。




0评论
发表评论请 登录
您是不是忘了说点什么?
您的评论已经提交成功!