支持物理提取三星Exynos芯片组设备

移动取证

氧气®OFD13.0新增了绕过屏幕锁，执行基于Exynos芯片组三星设备物理提取，以及解密数据。 该功能可用于运行AndroidOS7、8和9的三星设备，涵盖76种不同的设备型号。 如果三星设备不受支持，取证人员可以直接从氧气OFD界面中选择并提取。

氧气®OFD可以执行物理提取，而不更新KNOX平台计数器。 如果在设备上启用了安全启动，则软件提供了一个独有的能力来暴力破解并解密提取物理转储。

Exynos是氧气OFD绕过屏幕锁方法支持的第五个芯片组。 其他的是麒麟、MTK、高通和Spreadtrum。

数据分析

取证人员不再需要花时间在一张图片中手动转录文本。 氧气®OFD13.0包括一个新的OCR模块，它允许取证人员轻松地将屏幕截图或照片中包含的任何单词转换为文本。 要启用和配置此功能，请到软件中的选项/高级分析。 然后，在OCR部分，通过按工具栏上的相关按钮来运行图像OCR。 一旦OCR被运行，取证人员可以使用快速过滤器在处理的图像中搜索许多不同语言的文本。

支持新的云服务

云提取器

支持的云服务总数已经达到86款，OFD加强了对许多现有云服务的支持，并在目录中添加了3个新的云服务。

Zoom。 使用登录凭据或在AppleIOS和Android设备中找到的令牌访问Zoom云。 提取的证据将包括账户信息、联系人、聊天和会议。

华为云备份。 除了已经支持的华为云数据服务外，现在还有机会使用登录凭据、令牌、QR代码或SMS代码提取完整的华为云备份。

火狐Lockwise。 通过登录凭据或在AppleIOS设备中找到的令牌可以访问此服务。 调查人员可以提取账户信息，以及保存的登录和密码。

计算机取证

本次更新了氧气OFD®KeyScout，现在能够从计算机收集更多数据。 首先，它允许调查人员从Windows和MacOS上的TelegramDesktop、Skype、Drobox、WhatsApp desktop和谷歌同步中提取所有可用的用户数据。

调查人员可以提取几个新的系统文件，例如NTFS文件系统信息的$MFT文件、Windows注册表中的事件和包含PC上运行的应用程序信息的Prefetch文件。 此外，还有机会运行具有管理员权限的KeyScout，以获得对Windows驱动器的低级别访问，从而获得更完整的信息。 最后，所有提取的系统文件都没有显示在氧气®OFD的系统文件选项中。

加强对WhatsApp的支持

移动取证

我们在我们的WhatsApp提取方法中增加了两个改进。

使用已安装的Oxy Agent，调查人员现在可以从Android设备中收集更多的数据，例如音频和视频通话、参与小组聊天的联系人的完整信息、联系图片等等。

新的关于WhatsAppiCloud和App Google的解密方法允许备份解密使用AppCloud令牌。 此AppCloud令牌解密与相同电话号码相关的任何App备份。 在使用了WhatAppCloud服务后，这个令牌会自动保存在软件中。

支持导入美亚手机取证系统数据

移动取证

调查人员现在可以导入和分析美亚的手机提取系统针对苹果iOS和Android设备提取的数据。 氧气®OFD将美亚提取的数据完全解析。

数据分析

调查人员可以更快地使用预设搜索模板搜索数据。 这些模板可以包含任何支持的搜索条件，包括正则表达式、关键词、哈希集、文本等。 可以对解析的数据、文件名或文件内容进行搜索。 用户有能力创建自己的搜索模板，稍后可以保存在搜索部分。

设备支持

移动取证

我们增加了对500多种新Android设备的支持：Oysters AntarcticE、小米10Lite_5G、中兴BLADEV8MINI、三星GalaxyTab S7_5G、三星GalaxyNote20 Ultra 5G、三星GalaxyZ Fold 25G、三星GalaxyZ Flip 5G等，支持设备总数为38,611个。

应用程序支持

移动取证

氧气®OFD 13.0增加了几个新应用支持，包括Zynn，谷歌，火狐Lockwise和Gallery Vault，苹果iOS和Android设备更新数据解析增加800多个新的应用版本，目前支持的版本总数超过18000个。