Novinky, Produkty

Belkasoft X v.1.15

Posted on by Jiří Štokr

Belkasoft X v.1.15: XFS, YARA, RSMF, RDSv3, HWP a další zkratky!

Belkasoft Evidence Center X (Belkasoft X) je vlajkový produkt společnosti Belkasoft pro digitální forenzní analýzu, reakci na kybernetické incidenty a eDiscovery.

Hlavní aktualizace pro v.1.15:

  • Podpora souborového systému XFS
  • Představení pravidel YARA
  • Nový typ exportu: Relativity Short Message Format (RSMF)
  • Rozšíření analýzy image založené na Amazon S3 cloud
  • Podpora formátu NIST RDSv3 hashset
  • Další vylepšení klonování SIM karet
  • Podpora stahování dat z Huawei a Telegram cloud, aktualizace metody WhatsApp QR
  • Podpora analýzy a získávání dat z dokumentů Hangul (HWP)
  • Vylepšení integrace s nástrojem Volatility
  • Více automatizace

Podrobnosti o nových funkcích

Počítačová kriminalistika

  • Podpora souborového systému XFS. XFS je populární souborový systém s žurnálováním, který je používán v různých verzích Linuxu. Zvláště slouží jako výchozí souborový systém pro Red Hat Enterprise Linux. Nejnovější verze Belkasoft X plně podporuje tento souborový systém, včetně hloubkového prohlížení v prohlížeči souborového systému a parsování artefaktů.
  • Podpora YARA pravidel. Populární požadavek od našich zákazníků, experti jsou nyní vyzbrojeni podporou YARA pravidel v Belkasoft X Corporate edition! YARA pravidla umožňují expertům vyhledávat malware a další zajímavé položky pomocí pravidlového přístupu, založeného na textových a binárních vzorcích.
  • Podpora nového formátu hashsetu NIST RDSv3. RDSv3 je nový formát hashsetu od NIST a je nyní podporován v Belkasoft X, kromě již dříve podporovaných NSRL, prostých hashset souborů a ProjectVic setů.
  • Podpora formátu Hangul office. Tento formát je velmi populární v Koreji a obvykle je ukládán v souborech .HWP. Tyto soubory nyní mohou být nalezeny a také vyříznuty. Belkasoft X extrahuje prosté texty a obrázky z dokumentů Hangul.

Memory Forensics

  • Vylepšení integrace s nástrojem Volatility. Integrace s nástrojem Volatility je další funkcí poslední verze Belkasoftu, verze 1.14, která získala velký zájem zákazníků. Aktualizovaná podpora zahrnuje lepší diagnostiku při nesprávně instalovaném Volatility a některá vylepšení analýzy.

eDiscovery

  • Export do formátu RSMF. RSMF znamená „Relativity Short Message Format“ a je určen pro naše zákazníky v oblasti eDiscovery. Tento formát je užitečný pro ukládání krátkých zpráv, jako jsou chaty a e-maily, a je nyní k dispozici v Belkasoftu X! Examinátoři nyní mohou exportovat artefakty do formátu RSMF a formátu Concordance, který je vhodný pro export založený na souborech.

Mobile Forenzní analýza

  • Vylepšení funkce klonování SIM karet. Funkce klonování SIM karet byla představena ve verzi 1.14 a okamžitě přilákala pozornost uživatelů Belkasoftu. V verzi 1.15 jsme tuto funkcionalitu nadále zlepšovali a představujeme rozšířenou funkci klonování: nyní produkt nekopíruje pouze artefakty, ale vlastně kopíruje všechny soubory z SIM karty. Binární soubory jsou konvertovány na textové, pokud je to možné, což zjednodušuje vaši analýzu.
  • Podpora SIM karet s PIN kódem. Pokud je SIM karta chráněna PIN kódem, produkt to nyní detekuje a žádá o zadání kódu. Také upozorňuje na počet pokusů, které zůstávají (může se stát, že nemáte 3 pokusy, tak buďte opatrní!). Jakmile jsou všechny dostupné pokusy neúspěšné, nabízí se zadání PUK kódu spolu s počtem zbývajících pokusů.
  • Binární soubory získané z SIM karty jsou nyní zobrazeny v okně souborového systému produktu.
  • Aktualizace zpracování šifrovaných záloh Huawei HiSuite 11.0.
  • Oprava exportu souborů se zkreslenými názvy, zejména pro F2FS.
  • Oprava kopírování souborového systému pro Samsung Galaxy S8+.
  • Vylepšená metoda AFC pro akvizici dat z iOS.
  • Oprava problému s nezobrazením oddílů v některých případech pro fyzické kopie Android.
  • Oprava extrakce hodnoty Facebook klíčenky pro iPhone 7 Plus během akvizice checkm8.

Cloudová forenzní analýza

  • Stahování dat z Huawei a Telegram cloudů. Tyto dva zdroje cloudu byly přidány do seznamu různých cloudů podporovaných Belkasoft X, jako jsou iCloud, Google Suite, WhatsApp, Instagram, Office 365, VK a více webmailových služeb
  • Belkasoft má dva způsoby stahování dat z WhatsApp cloudu a jeden z nich, stahování dat z WhatsApp cloudu pomocí QR kódu, byl aktualizován ve verzi 1.15
  • Hesla jsou nyní skryta v úloze protokolu během stahování dat z cloudu
  • Opraven problém s nedostáváním 2FA kódu při získávání dat z WhatsApp cloudu

Belkasoft X v Cloudu

  • Rozšířena cloudová analýza obrazů. Po obrovském úspěchu nedávno představené podpory Amazon S3 cloudu jsme tuto funkčnost vylepšili tak, aby pokryla vícečástové obrazy (jako jsou E01, Ex01, L01) a také zálohování iTunes uložené v cloudu. Nyní můžete analyzovat jak jednočástové, tak vícečástové image nebo paměťové výpisy uložené v S3 bucketu
  • Přidáno šifrování pro přihlašovací údaje použité pro ověření na S3 cloudu – nyní je bezpečné umožnit produktu uložit tyto údaje.

Vylepšená automatizace

Automatizace přitáhla pozornost mnoha zákazníků, kteří požadovali více a lepších funkcí pro své potřeby. Hodně jsme automatizaci vylepšili, což zahrnuje:

  • Kompletní spuštění bez GUI. Zatímco předchozí verze vám umožňovala vytvořit případ, provést analýzu a zobrazit výsledky v otevřeném uživatelském rozhraní, nová verze vůbec nezobrazuje uživatelské rozhraní!
  • Podpora Tableau TX1. Nyní můžete získávat a analyzovat obrazy pomocí integrace Tableau z příkazové řádky Belkasoft X.
  • Možnosti zpráv. Můžete dokončit cyklus vyšetřování vytvořením zprávy po analýze. Nyní jsou pokryty získávání, analýza a zpravodajství!
  • Vše zahrnuto. Na rozdíl od konkurence, která prodává funkce automatizace jako samostatný produkt, mají uživatelé Belkasoft automatizaci zdarma a bezproblémově integrovanou do Belkasoft X!

Nové a aktualizované artefakty

  • iOS
  • Hovory (extrahují se a vizualizují se nově nepřijaté/odmítnuté/odpovězené stavy)
  • CellularUsage.db (nová)
  • Informace o zařízení jsou nyní extrahovány z obrazů GrayKey a zobrazují se v okně souborového systému (pod Vlastnosti zařízení)
  • Android
  • Pošta (aktualizována)
  • Telefonní číslo je nyní extrahováno z obrazů GrayKey
  • Snapchat v11.51.0.37 (aktualizován)
  • Threema v4.59 (aktualizováno)
  • Hlasová pošta (podporováno šifrování)
  • Zoom (nový)
  • Aktualizované uživatelské rozhraní
  • Do okna záložek byly přidány sloupce místního času.

Více informací o verzi 1.15 najdete zde.

WordPress Appliance - Powered by TurnKey Linux