Oxygen Forensics představuje nový update pro jejich hlavní produkt Oxygen Forensic® Detective v.14.4. Tato verze zavádí podporu pro:
- Čipset Huawei 820
- Dešifrování ProtonMail
- Extrakce dat z cloudu RunKeeper
- Akvizice dat Wickr Pro ze zařízení Android
- Import záloh macOS Time Machine
Úplný seznam aktualizací naleznete v souboru „Co je nového“ v nabídce Možnosti softwaru.
Podpora čipset Kirin 820
Oxygen Forensic® Detective v.14.4 zavádí podporu pro nový čipset Kirin 820. Pomocí metody Huawei Dump mají nyní vyšetřovatelé přístup k více zařízením Huawei s uzamčenou obrazovkou, včetně následujících modelů: Huawei 30S, Huawei 30S 5G, Huawei Mate Pad 5G, Huawei P40 Lite 5G, Huawei X10 5G, Huawei nova 7 SE a Huawei nova 7 SE 5G. Vezměte prosím na vědomí, že SPL (Security Patch Level) by mělo být nejpozději v červnu 2021. Celkově Oxygen Forensic® Detective nyní podporuje následující čipové sady Kirin: 710, 710F, 810, 820, 659, 960, 970, 980, 99085, 99085, 99085 a 990 5G.
Aktualizace podpory Checkm8
Nyní mohou vyšetřovatelé extrahovat celý souborový systém prostřednictvím zranitelnosti checkm8 ze zařízení Apple s verzemi iOS 15.4-15.4.1. Navíc, oproti předchozí verzi softwaru je kompletně přepracovaný algoritmus extrakce klíčenky pro zařízení se systémem iOS 15. V Oxygen Forensic® Detective v.14.4 tato nová metoda extrakce funguje pro zařízení s verzemi iOS nižšími než 15.0. Nyní také na konci extrakce, místo restartování zařízení iOS, jej Oxygen Forensic® Detective vypne.
Extrakce Wickr Pro přes OxyAgent
Data Wickr Pro lze nyní rychle shromažďovat z jakéhokoli odemčeného zařízení Android prostřednictvím OxyAgent. OxyAgent lze nainstalovat na zařízení přes USB, Wi-Fi nebo OTG zařízení. Sada důkazů obsahuje informace o účtu, kontaktech, soukromých chatech, místnostech a hovorech. Jakmile je proces akvizice dokončen, lze extrakci OxyAgent importovat do Oxygen Forensic® Detective pro kontrolu a analýzu.
Extrakce RunKeeper
Přidali jsme podporu pro 101. cloudovou službu – RunKeeper, oblíbenou aplikaci pro sledování fitness GPS. K získání cloudových důkazů se mohou vyšetřovatelé autorizovat prostřednictvím přihlašovacích údajů, hesla z Googlu nebo Facebooku nebo tokenu. Pro tuto službu neexistuje žádná 2FA. Extrahované důkazy budou obsahovat informace o účtu, výzvách, kontaktech, trasách, cvičeních atd.
Navíc jsou nadále udržované již podporované cloudové služby. V tomto vydání Je aktualizovaná podpora pro Mi Fit, Google Android Cloud Data, MEGA a VKontakte.
Podpora aplikací
Oxygen Forensic® Detective v.14.4 zavádí možnost dešifrovat kontakty a e-maily aplikace ProtonMail ze zařízení Android. Upozorňujeme, že podpora dešifrování je k dispozici pouze v rámci metody systému souborů Android Full File System, která funguje na odemčených zařízeních Android s verzí 5 a novější. Tato metoda umožňuje získat šifrovací klíče, které se používají pro dešifrování ProtonMail.
Kromě toho mohou nyní vyšetřovatelé získávat důkazy z následujících nových aplikací: Craigslist (Android) a Rocket.Chat (Apple iOS, Android). Celkový počet podporovaných verzí aplikací nyní přesahuje 29 000.
Aktualizace KeyScout
Aktualizovaný Oxygen Forensic® KeyScout nyní podporuje import a analýzu záloh macOS Time Machine. Navíc jsme přidali možnost analyzovat snímky Windows Volume Shadow Copy. Navíc je nyní k dispozici vyhledávání souborů podle hash. Jsou podporovány následující typy hash: MD5, SHA1, SHA256, SHA512 a SHA3-256.
Mezi nové počítačové artefakty patří:
- • Extrakce WhatsApp QR Multi-device a telegramu pro macOS tokeny.
- • Extrahování kalendáře Apple, kontaktů, zpráv, map, poznámek, připomenutí a fotografií na macOS 12.1.
- • Analýza zašifrovaných zpráv WhatsApp z Windows a macOS.
- • Analýza souborů mezipaměti Thumbcache_xxx.db z WIndows.
- • Aktualizovaná podpora pro Viber a Microsoft Outlook.
Importovat aktualizace
V Oxygen Forensic® Detective v.14.4 mohou vyšetřovatelé importovat a plně analyzovat XRY zálohy verze 12. Nyní při importu dat mohou uživatelé zvolit časové pásmo zobrazení pro extrakci. Toto časové pásmo se zobrazí v rámci celé extrakce, jakmile bude analyzováno v softwaru. Tato možnost je dostupná v části Obecné nastavení importu v Průvodci importem.
Exportovat aktualizace
Do exportního enginu jsou přidané dvě vylepšení. Za prvé, vyšetřovatelé nyní mohou přejmenovat pole v datových sestavách. Tato funkce je dostupná na kartě Sekce v Nastavení exportu. Za druhé, sestavy s dlouhými cestami jsou nyní plně podporovány; dříve nebyly plně zpracovány.
Tato verze také řeší následující problémy:
• Jména účastníků v RSMF reportech nebylo možné správně zobrazit.
• Přílohy nebyly v RSMF reportech správně propojeny.
• Po exportu do HTML nebyly ve zprávách žádné odkazy
• KeyScout se neotevřel v macOS Monterey 12.2.
• Export EML do dlouhé cesty k souboru vedl k prázdné složce.
• Nelze nainstalovat Agent na zařízení s Android 12.
• Chyba postu HTTP při ověřování zálohy Google přes WhatsApp.
Podrobný seznam změn v této verzi naleznete zde.