Novinky, Produkty

Oxygen Forensic® Detective v.15.5

Posted on by Jiří Štokr

Tato verze přináší následující klíčové funkce:

  • Podpora pro zařízení s čipovou sadou MT6761
  • Analýza oddílů disků chráněných BitLockerem
  • Analýza souborů hibernace systému Windows
  • Import exportovaných dat z aplikace Telegram
  • Parsování služby přizpůsobení Samsung

Aktualizace mobilní forenzní analýzy

Podpora čipsetů UNISOC T610/T618/T700

V Oxygen Forensic® Detective verze 15.5 byla přidána možnost extrahovat hardwarové klíče a dešifrovat fyzické image zařízení s čipsety UNISOC T610/T618/T700, které používají operační systém Android verze 10-13 a mají šifrování souborového systému (FBE). Pro tyto typy extrakcí použijte metodu Spreadtrum.

Podporovaná zařízení zahrnují Blackview Tab 15, Digma Pro 1480E 4G, Infinix Hot 12 Play Unisoc T610, Lenovo Tab M10 (3. generace), Micromax In 2b, Realme C21Y, Teclast T40 plus a další.

Podpora pro čipset MT6761

V Oxygen Forensic® Detective verze 15.5 je rozšířena metoda získávání dat zařízení Android s čipsetem MTK. Tato verze umožňuje extrakci hardwarových klíčů a dešifrování zařízení s čipsetem MT6761. Naše podpora zahrnuje modely jako Xiaomi Poco C50, Xiaomi Redmi A1, Xiaomi Redmi A1+, Honor 8S 2020, Huawei Y5 2019, Huawei Y6 Prime 2019, Xiaomi Redmi 6A a další.

Rozšířená podpora pro zařízení Samsung Exynos

V Oxygen Forensic® Detective verze 15.5 je přidána podpora pro zařízení Samsung Exynos, která mají šifrování celého disku (FDE) a byla upgradována z operačního systému Android 9 na verzi 10-11. Tato metoda nabízí útok hrubou silou na heslo.

Další aktualizace extraktoru

Aktualizovaný Oxygen Forensic® Device Extractor přináší několik dalších vylepšení:

  • Aktualizovaná extrakce dat z Twitteru, Viberu, WhatsAppu a WhatsApp Business prostřednictvím Android Agent.
  • Přidána extrakce klíčenky prostřednictvím iOS Agent z Apple iOS zařízení s verzemi 15.0 – 15.5.
  • Přidána extrakce souborového systému prostřednictvím iOS Agent z Apple iOS zařízení s verzemi 15.0 – 15.7.1 a 16.0 – 16.1.2.
  • Přidána extrakce celého souborového systému a klíčenky prostřednictvím checkm8 z Apple iOS zařízení s verzí 15.7.5.

Podpora aplikací

Byla přidána podpora pro následující nové aplikace:

  • Hide It Pro (Android)
  • Notepad Vault-AppHider (Android)
  • Notion (Android)
  • Tappsk (Apple iOS)

Navíc je přidaná podpora pro cenný artefakt – Samsung Customization Service (com.Samsung.Android.rubin.app). Tento artefakt shromažďuje a ukládá informace o aktivitách uživatele: historii používání aplikací, kroky, historii polohy, pohybovou historii, historii webových stránek, historii vyhledávání, historii připojení k Wi-Fi, nastavení, oznámení a záznamy událostí.

Aktualizace importu

Import dat exportovaných z Telegramu

Byl přidán další způsob získávání dat z aplikace Telegram. Nyní mohou vyšetřovatelé importovat a analyzovat soubory s daty exportovanými z Telegramu, které lze uložit pomocí volby „Exportovat data Telegramu“ v nastavení aplikace Telegram. Pro import těchto souborů do softwaru klikněte na možnost „Stažená datová konta“, která se nachází na úvodní obrazovce softwaru.

Aktualizace pro forenzní analýzy cloudu

Bylo přidáno několik vylepšení do nástroje Cloud Extractor:

  • Extrakce Telegram artefaktů: reakce, avatary, blokovaní uživatelé, žádosti o připojení ke skupinám a kanálům a informace o prémiových účtech
  • Aktualizace extrakce dat z Facebooku
  • Aktualizace možnosti autorizace v Tinderu

Počítačové artefakty

Analýza oddílů disků chráněných BitLockerem

V Oxygen Forensic® Detective verze 15.5 byla přidána schopnost analyzovat oddíly disků chráněné BitLockerem. Existují čtyři metody analýzy:

  • Pokud je oddíl disku chráněn a uzamčen, Oxygen Forensic® KeyScout jej může dešifrovat pomocí známého hesla nebo BitLocker recover klíče.
  • Pokud je oddíl disku chráněn a uzamčen, Oxygen Forensic® KeyScout jej také může dešifrovat pomocí FVEK (klíče pro šifrování celého objemu) nebo VMK (klíče hlavního objemu) extrahovaných z paměti RAM.
  • Pokud je oddíl disku chráněn, ale ochranné prvky jsou smazány nebo deaktivovány, Oxygen Forensic® KeyScout tento stav detekuje a automaticky dešifruje disk.
  • Pokud je oddíl disku chráněn, ale odemčen během práce s Oxygen Forensic® KeyScout, vyšetřovatelé mohou použít Oxygen Forensic® KeyScout k jeho dešifrování nebo pomocí OS API najít data na dešifrovaném logickém disku.

Analýza souborů hibernace

Vyšetřovatelé nyní mohou analyzovat soubory hibernace, které ukazují stav zařízení před hibernací. Tyto soubory mohou obsahovat nedávné procesy, analýzu malwaru, seznam otevřených aplikací, informace o otevřených aplikacích, historii internetu, média, jako jsou videa, fotografie, hesla, informace o geolokaci a časové razítko.

Nové a aktualizované artefakty

S aktualizovaným Oxygen Forensic® KeyScout mohou uživatelé získávat následující nové artefakty:

  • Známá síťová připojení z Windows
  • Uložené vyskakovací oznámení z macOS
  • Briar data z Windows a Linuxu
  • Notepad++ z Windows a Linuxu
  • Informace o instalovaných balíčcích Debian Package/Advanced Packaging Tool z Linuxu

Aktualizovaná podpora artefaktů zahrnuje:

  • Uživatelské přihlašovací údaje z Windows Credential Manager
  • Telegram data z macOS

Podrobnější informace o nové verzi najdete zde.

WordPress Appliance - Powered by TurnKey Linux