Professional Documents
Culture Documents
Mobile Phone Extraction & Analysis Training - Participant Guide - T3K-Forensics
Mobile Phone Extraction & Analysis Training - Participant Guide - T3K-Forensics
1
Sadržaj
Uvod...............................................................................................................................................................5
O T3K- Forenzičkom trerningu.....................................................................................................................6
Principi mobilne forenzike.............................................................................................................................7
Funkcionalni telefoni vs pametni telefoni..................................................................................................8
Mreže mobilnih telefona............................................................................................................................9
Struktura mobilne mreže prve generacije..............................................................................................9
Prebacivanje između ćelija (Handoff).................................................................................................11
Digitalne mreže mobilnih telefona.......................................................................................................11
Druga generacija (2G) mrežni standardi..............................................................................................13
3G i 4G mreže......................................................................................................................................14
Buduće mreže.......................................................................................................................................14
Modul identiteta pretplatnika (Subscriber Identity Module, SIM)......................................................15
Međunarodni identitet mobilne opreme (International Mobile Equipment Identity, IMEI)...............16
Fleš memorija...........................................................................................................................................17
Blokovi / stranice u Flash memoriji.....................................................................................................17
NAND / NOR Flash memorija............................................................................................................18
Ograničenja Flash memorije................................................................................................................19
NAND stranica / struktura bloka.........................................................................................................19
NAND Spare Area...............................................................................................................................19
Osnovne NAND operacije...................................................................................................................20
Nivelisanje habanja..............................................................................................................................21
Garbage Collection (Prikupljanje otpada)...........................................................................................22
Baze podataka......................................................................................................................................23
Zaključak..............................................................................................................................................24
Zaplenena dokaza.........................................................................................................................................25
Motivacija................................................................................................................................................25
Šta da zaplenite........................................................................................................................................25
Dokumentacija.........................................................................................................................................26
Akvizicija.................................................................................................................................................26
Isključivanje uređaja sa mreže.................................................................................................................27
Smart Locks u Androidu..........................................................................................................................31
ID lica u iOS-u.........................................................................................................................................32
2
Otključani telefoni...................................................................................................................................33
Uputstvo za dalje čitanje..........................................................................................................................34
Stablo odlučivanja oduzimanja mobilnih uređaja....................................................................................34
Ekstrahovanje mobilnih uređaja..................................................................................................................35
General.....................................................................................................................................................35
Metode ekstrakcije...............................................................................................................................35
Ekstrakcija tokom rada........................................................................................................................38
Utvrđivanje modela uređaja.................................................................................................................38
Biranje metode ekstrakcije...................................................................................................................41
Odabir režima ekstrakcije....................................................................................................................42
APK Downgrading...............................................................................................................................42
APK Downgrade Failure......................................................................................................................43
Rukovanje memorijskim karticama tokom ekstrakcije........................................................................44
Rukovanje SIM karticama...................................................................................................................45
Kloniranje SIM kartica........................................................................................................................45
Šta ako ekstrakcija nije bila uspešna?..................................................................................................45
Šta ako fizička ekstrakcija nije moguća?.............................................................................................46
Ekstrakcije Cellebrite UFED Touch 2 i UFED 4PC................................................................................50
Pregled.................................................................................................................................................50
Opis UFED Touch2-a..........................................................................................................................51
Opis UFED 4PC...................................................................................................................................53
Ažuriranje softvera...............................................................................................................................54
Podešavanja..........................................................................................................................................57
UFED Detektiv za telefon (UFED Phone detective)...........................................................................62
Izvođenje ekstrakcije Cellebrite UFED-om.........................................................................................63
Analiza mobilnih telefona............................................................................................................................72
Analiza sa Cellebrite-ovim UFED fizičkim analizatorom.......................................................................72
Otvaranje ekstrakcije...........................................................................................................................72
Upravljanje sa više projekata...............................................................................................................76
Spajanje više ekstrakcija......................................................................................................................76
Podešavanja vremenske zone...............................................................................................................78
Verifikacija heševa Image fajla...........................................................................................................81
Rad sa fizičkim analitičarem................................................................................................................83
Centar za obaveštavanje.......................................................................................................................83
Extraction Summary prozor (prozor sa rezimeom ekstrakcije)...........................................................84
3
Stavke u stablu projekta.......................................................................................................................84
Pregled podataka..................................................................................................................................91
Exporting Items (Izvoz stavki).............................................................................................................97
Tagging items (Označavanje stavki)....................................................................................................97
Image Data Carving.............................................................................................................................99
Location Data Carving.......................................................................................................................100
Automated Data Carving (Automatizovano izdvajanje podataka)....................................................101
Timeline Analysis (Analiza vremenske linije)..................................................................................103
Watch Lists (Liste pregleda)..............................................................................................................104
Hash sets (heš skupovi)......................................................................................................................105
Malware Scanner...............................................................................................................................107
Prevod................................................................................................................................................109
Analiza četova....................................................................................................................................113
Pregled slika.......................................................................................................................................114
Redact Images....................................................................................................................................116
Analiza priloženih slika.....................................................................................................................117
Data sources.......................................................................................................................................118
Enrichments.......................................................................................................................................118
Ažuriranja..........................................................................................................................................123
Izveštavanje sa Physical Analyzer.........................................................................................................125
Formati izveštaja................................................................................................................................126
Prilagođavanje izveštaja.....................................................................................................................126
Podaci izveštaja - uključivanje ili isključenje....................................................................................127
Additional Fields................................................................................................................................132
Lokacija i direktorijum izveštaja.......................................................................................................133
Izveštaji o više projekata....................................................................................................................134
UFDR Reports and the UFED Reader...............................................................................................134
Zaštita UFDR izveštaja lozinkom......................................................................................................136
Zaštita drugih formata izveštaja lozinkom.........................................................................................137
Korisni regularni izrazi..........................................................................................................................138
Linkovi...................................................................................................................................................140
UFED.................................................................................................................................................140
Drugo.................................................................................................................................................140
4
22.10. - 24.10.2019 Felix KLIER
Beograd, Srbija
Uvod
Poštovani učesnici,
T3K-Forensics je međunarodna kompanija sa sedištem u Beču, Karsten THEINER
Austrija. Mi smo stručnjaci na polju mobilne forenzike i radimo
kao pružalac usluga i obuke za nacionalne i međunarodne poslove
organa za sprovođenje zakona.
Gareth
BALLANCE
5
O T3K- Forenzičkom trerningu
T3K-Forenzika nudi različite obuke iz oblasti mobilne forenzike. Naš koncept treninga je
namenjen da prati učesnike od učenja prvih koraka mobilne forenzike do ekspertskog nivoa
duboke analize.
Naš trening „Ekstrakcija i analiza mobilnih telefona” namenjen je početnicima koji imaju
malo ili nimalo iskustva sa Cellebrite UFED ili MSAB XRY. Obuhvata osnovne principe
mobilne forenzike, prikupljanje, ekstrahovanje i analizu uređaja, kao i odgovarajuće tehnike
izveštavanja i pretrage.
Naše druge obuke namenjene su učesnicima koji su završili Ekstrakcija i analiza mobilnih
telefona ili već imaju iskustva u korišćenju alata za forenziku mobilnih telefona. Ovi treninzi će
pružiti temeljno znanje i veštine koje prevazilaze mogućnosti uobičajenih mobilnih forenzičkih
alata. Napredna smartphone forenzika obuka pokriva teme bezbednosti Smartphone,
zaključavanje i enkripciju, napredne ekstrakcije pametnih telefona, podatke o lokaciji i
vremenske oznake i druge napredne veštine. SQLite forenzika za pametne telefone pokriva
osnove baze podataka, uključujući SQL radionicu i koristi slučaj sa različitim alatkama u vezi s
bazama podataka. Fokus ovog treninga su dubinska analiza baze podataka, uključujući i vraćanje
izbrisanih podataka. Oba treninga uključuju specijalizovano znanje i veštine za rad sa Apple
iOS uređajima kao što su metode fizičke ekstrakcije i analiza aplikacija.
6
Principi mobilne forenzike
Mobilna forenzika je vašan proces u bilo kojoj savremenoj istrazi kriminala. U većini slučajeva
neki od mobilnih uređaja može da sadrži dragocene informacije. Običan mobilni telefon mogao
bi da obezbedi podatke o pozivima i SMS informacije, međutim razvoj pametnih telefona i sve
veći broj funkcija može dovesti do mnogo više dragocenijih podataka.
Budući da većina telefona ima pristojan ekran i kameru, sigurno možemo da nađemo slike i
fotografije na uređaju i neke od njih bi mogle biti korisne u istrazi. Kalendar i office aplikacije
mogu imati podatke o datumu, vremenu i sadržaju dokumenta. Aplikacije za navigaciju mogu da
sadrže podatke o kretanju, a druge aplikacije koje se koriste mogu da sadrže skrivene korisničke
podatke. Jedna od najvažnijih mogućnosti u današnjoj mobilnoj forenzici je svakako izvlačenje
podataka iz komunikacije porukama, kao i mogući pristup podacima u oblaku (cloud).
Ipak, forenzičke mogućnosti nose izazove i prepreke. Istorijski razoj mobilnih uređaja vodi do
različitih hardverskih i softverskih platformi. Različiti utikači, hardverski čipseti i operativni
sistemi sprečavaju jedinstveni i standardizovani pristup podacima. Ovo znači da je najverovatnije
svaki forenzički rad na mobilnim uređajima jedinstven proces i rešenje. Da li ćete dobiti podatke
o telefonu uvek zavisi od njegovih karakteristika. Takođe, korisničko zaključavanje i enkripcija
otežavaju sam proces poslednjih par godina. Što se tiče određenih podataka iz mobilnih
aplikacija, moramo uzeti u obzir i ekstremni broj aplikacija. U 2018. godini u Google Play Store
je bilo oko 3,8 miliona aplikacija i 2,0 miliona u Apple App Store-u. (U 2017. godini bilo je oko
2,8 miliona aplikacija u Google Play Store i 2,2 miliona u Apple App Store-u!)
Iako za nas postoje rešenja koja olakšavaju mobilnu forenziku, nijedan alat ne može podržati sve
mobilne telefone sa svim njihovim konfiguracijama ili sve moguće aplikacije dostupne u tom
trenutku. Stoga, najbolje je uvek imati više alata (opcija) na samom početku i bitno je biti
spreman da se razmišlja izvan okvira.
7
Funkcionalni telefoni vs pametni telefoni
8
S druge strane, funkcionalni telefoni više koriste kernel i vlasničke operativne sisteme. Ovo se
obično prenosi i na konektore telefona, funkcionalni telefoni koriste specifične konektore a
pametni telefoni koriste standardizovane konektore za prenos podataka i punjenje (obično Micro-
USB, USB Tipe-C ili Lightning (Apple), ranije Mini-USB ili Doc-Connector (Apple)).
Zbog ovog povećanja funkcionalnosti, osnovni hardver se izuzetno razlikuje između
funkcionalnih i pametnih telefona. Dok funkcionalni telefoni ne zahtevaju mnogo računarske
snage ili nekoliko megabajta memorije, aktualni pametni telefoni vrhunskog kvaliteta opremljeni
su okta-jezgranim procesorom i do 512 GB interne memorije.
Zbog velike količine memorije i posebno zbog velikih ekrana osetljivih na dodir, životni vek
baterije pametnog telefona je vrlo kratak u poređenju sa telefonima sa tastaturom (obično jedan
do dva dana u poređenju sa više od nedelju dana).
Još jedna posledica različitih hardvera je konačna cena uređaja koja odgovara ugrađenim
komponentama. Pametni telefoni su relativno skupi u odnosu na funkcionalne telefone - ovo
možda neće biti slučaj u svim primerima (npr. „premium” funkcionalni telefon nasuprot
pametnom telefonu lošeg kvaliteta iz pre nekoliko harderskih generacija) ali se može smatrati
uobičajenim pravilom. Međutim, mnogi stariji telefoni sa tastaturom nisu bili jeftini u trenutku
kupovine, naročito ako su iz vremena kada pametni telefoni i 3G/4G usluga još uvek nisu bili
široko rasprostranjeni.
9
Područje se zatim deli na takozvane ćelije, a bazna stanica opslužuje svaku ćeliju. Veličina ćelija
prve generacije mobilne mreže varira u zavisnosti od tehnologije koja se upotrebljava i od
gustine naseljenosti i obično je prečnika između 8 i 35 km, a čak je i veći u veoma retko
naseljenim oblastima ili na obali.
Napomena: u modernim ćelijskim mrežama mogu se naći femto ćelije prečnika od samo
nekoliko metara u gusto naseljenim urbanim područjima.
Dostupne frekvencije se zatim raspoređuju na bazne stanice i ćelije. Kako se koriste predajnici
niske snage, susedne ćelije mogu da koriste iste frekvencije (vidi sliku ispod). To znači da svaka
ćelija može koristiti jednu sedminu ukupnih raspoloživih frekvencija za područje.
U slučaju 832 frekvencije za grad - nakon oduzimanja frekvencija koje se koriste kao kontrolni
kanali - svaka ćelija može da koristi 112 frekvencija i stoga je u mogućnosti da istovremeno
porži 56 poziva.
10
jedinstven za svakog pretplatnika u mobilnoj mreži i čuva se na SIM-u (Subscriber Identity
Module, modul identiteta pretplatnika).
11
vremenski slot. Ovo omogućava da više stanica deli isti prenosni medijum (npr. frekvenciju
radio kanala) koristeći samo deo njegovog kapaciteta kanala.
U ovom slučaju signal je podeljen u tri vremenska slota. Ako se koristi sinhrono
multipleksiranje, signal uvek koristi isti vremenski interval na istoj frekvenciji, omogućavajući
trostruko više konekcija nego što bi analogni sistem omogućio. U asinhronom TDMA sistemu,
signali nemaju određeni vremenski slot ili frekvenciju - ovo omogućava više od trostrukog broja
konekcija jer se paketi podataka šalju samo kada su potrebni bez posebnog rezervisanja
određenog slota na datoj frekvenciji.
Međutim, uprkos tome što su nepotrebni prenosi podataka sada izostavljeni (npr. prenošenje
„praznog” zvuka u rezervisanom vremenskom slotu, jer je nečujan), dolazi do blagog
prepunjavanja sa svakim poslatim paketom podataka, jer su sistemu potrebne identifikacione
informacije iz zaglavlja paketa.
CDMA digitalizuje podatke i šalje ih preko čitave širokopojasne frekvencije. Višestruki pozivi
jedan pored drugog prekrivaju kanal, a svakom je dodeljen jedinstveni kod sekvence. Na
prijemniku, isti jedinstveni kod koristi se za oporavak signala.
12
Pošto CDMA sistemi moraju da stave tačnu vremensku oznaku na svaki deo signala, on se
poziva na GPS sistem za ovu informaciju. Između 8 i 10 odvojenih poziva može se preneti kroz
istim proctor kanala kao jedan analogni poziv.
Teoretski, CDMA i TDMA mreže su transparentne i jedna drugu ne ometa. U praksi, međutim,
visokonaponski TDMA-signali mogu da ometaju CDMA prijemnike i obrnuto.
Sledeći mrežni standardi su razvijeni i implementirani:
• GSM (zasnovan na TDMA), poreklom iz Evrope, ali se koristi u gotovo svim zemljama na svih
šest naseljenih kontinenata. Nojoj pripada preko 80% svih pretplatnika širom sveta.
• IS-95 takođe poznat i kao cdmaOne (baziran na CDMA, koji se u SAD-u uobičajeno naziva
samo CDMA), koristi se u SAD i delovima Azije. Nalazi oko 17% svih pretplatnika širom sveta.
• PDC (baziran na TDMA), koristi se isključivo u Japanu
• iDEN (zasnovano na GSM-u), vlasnička mreža koja se koristi u Sjedinjenim Državama i
Kanadi
• IS-136 takođe poznat i kao D-AMPS (baziran na TDMA, obično se u SAD-u samo zove
„TDMA”), prevladava u SAD-u, ali je većina predajnika prešla na GSM.
13
3G i 4G mreže
Uvođenje pametnih telefona rezultiralo je povećanom potrebom za prenosom podataka, koji su
bili omogućeni uvođenjem sledećih 3G standarda:
• UMTS, prvi put ponuđen je 2001. godine, koristi se prvenstveno u Evropi, Japanu, Kini (ali sa
drugačijim radio interfejsom) i u drugim regionima u kojima dominira GSM 2G infrastruktura
sistema. Mobilni telefoni su obično UMTS i GSM hibridi. Najviša stopa protoka u poslednjem
izdanju UMTS (HSPA) iznosi 14 Mbit/s.
• CDMA2000, prvi put ponuđen je 2002. godine, koristi se posebno u Severnoj Americi i Južnoj
Koreji, i deli infrastrukturu sa IS-95 2G standardom. Mobilni telefoni su obično CDMA2000 i
IS-95 hibridi. Najnovije izdanje EVDO Rev B nudi maksimalnu brzinu protoka od 14,7 Mbit/s.
Buduće mreže
U međuvremenu, čak i LTE ima svoje prelazne tehnologije pod nazivom LTE+ (ili „Long Term
Evolution-Advanced”). Još jednom, pomerene su granice protoka za slanje i
preuzimanje. Sledeći korak će biti 5G koji je definisan ITU IMT-2020 standardom. Nudiće do 1
Gbit/s za protoka za preuzimanje (čak i 20 Gbit/s maksimalne brzine podataka slanja) i manje od
1 ms („ultra-niske”) kašnjenja. 5G će omogućiti nove mobilne tehnologije poput virtuelne i
14
realne aplikacije u realnom vremenu, povezivanje automobila sa nezavisnom vožnjom i druge
aplikacije „taktilnog internetа”. Drugi primer je mogućnost da specijalista na drugoj strani sveta
upravlja robotom koji pruža medicinsku negu ili obavlja operaciju u realnom vremenu.
Na gornjoj slici prikazane su različite veličine SIM-a (sa leva na desno): SIM pune veličine (full-
size SIM), mini-SIM (često se jednostavno naziva SIM), mikro-SIM i nano-SIM. Dok neki
moderni mobilni telefoni i dalje koriste mini-SIM, najnoviji modeli pametnih telefona koriste
mikro- ili nano-SIM slotove kako bi uštedeli dragoceni prostor. Trenutno u prodaji nema
mobilnog telefona koji koristi SIM pune veličine.
15
• PIN i PUK: Ključevi za otključavanje korisničke SIM kartice i za otključavanje PIN-a nakon
previše pogrešnih pokušaja
• SMS poruke i kontakti: prvobitni modeli su čuvali samo do pet poruka i 20 kontakata, dok
moderne SIM kartice obično mogu da skladište preko 250 kontakata
• Mali programi poput info-usluga ili usluga kućne zone provajdera mobilnih telefona
• Datoteke se takođe mogu čuvati na SIM kartici, iako uglavnom nude samo osnovni fajl sistem
– veličina ovih fajlova, ipak, ima ograničenja zbog male količine dostupne memorije
Isto kao SIM-kartica, ugrađena SIM čuva IMSI i druge informacije koje se koriste za
identifikaciju i autentikaciju pretplatnika na uređajima mobilone telefonije. Za razliku od SIM
kartice, eSIM je programabilna SIM kartica koja je direktno ugrađena u uređaj i ne može se
fizički ukloniti. eSIM-om se može daljinski upravljati i biti „SIM kartica za sledeću generaciju
povezanih uređaja potrošača”. Kada kupujete novi mobilni uređaj, pretplata na telefonsku mrežu
biće postavljena putem QR-koda direktno od strane potrošača. Ovo će eliminisati potrebu za
korišćenjem fizičkih SIM kartica i stoga treba omogućiti jednostavu pretplatu, raskid i promenu
mobilnih mreža za sve vrste uređaja. Zato se eSIM smatra široko primenljivim na različite IoT
scenarije. Više „profila”, koji sadrže informacije o pretplatniku, mogu se čuvati na jednom
uređaju. To znači da uređaji mogu imati čak više telefonskih brojeva. Da li će eSIM-ovi nositi
bilo kakve forenzički relevantne podatke? Mi mislimo da će u budućnosti, dobijanje dodatnih
podataka o slučaju iz eSIM-a najverovatnije biti bez podrške provajdera.
16
Takođe, možete naići na još dve vrste identifikatora uređaja: ESN znači Elektronski serijski broj
i koristi se (ili bolje rečeno – koristio se) u Sjedinjenim Državama za identifikaciju mobilnih
telefona koji zahtevaju CDMA mrežu za bežične usluge. Pošto nije ostalo prostora za ESN
brojeve, ovde identifikacioni brojevi se postupno ukidaju u korist MEID, kodiranja koje je
sličnije IMEI broju. MEID (Mobile Equipment Identifier, Identifikator mobilne opreme) je kod
od 14 heksa karaktera i koristi se za identifikaciju mobilnog telefona koji koristi CDMA
tehnologiju za bežičnu uslugu. (https://bit.ly/2MN7czX)
Fleš memorija
Flash memorija je elektronski nepromenljiv medijum za skladištenje koji može biti električno
izbrisan i reprogramiran, najčešće se koristi u mobilnim telefonima, tabletima, PC računarima,
mini diskovima, memorijskim karticama, MP3 plejerima, itd. Prethodne generacije pametnih
uređaja, kao što je rani PDA, koristile su samo promenljive memorije korišćenjem njihove RAM
memorije za čuvanje korisničkih podataka, što je rezultiralo potpunim gubitkom svih podataka
kada bi se baterija uklonila ili ispraznila.
Flash memoriju je 1984. godine uveo Toshiba i razvijena je iz EEPROM-a. Razlika između
Flash-a i EEPROM-a je u postupku pisanja; dok je čitav EEPROM morao biti izbrisan pre
upisivanja novog sadržaja u memoriju; kod fleš memorije potrebno je samo prebrisati blokove
koji poseduju sadržaj koji treba izmeniti.
Razlika između fleš memorije i hard diskova, koji se uobičajeno koriste u računarima, je ta da se
fleš memorija u osnovi sastoji od memorijskog čipa, dok hard diskovi imaju rotacione ploče sa
glavama za čitanje i pisanje koje menjaju sadržaj medijuma za skladištenje.
Ovo ne samo da rezultira time da fleš memorija ima veću otpornost na napon i izdržljivost od
njihovih odgovarajućih hard diskova, ali pošto nema potrebe da mehanički delovi budu na
pravom mestu u pravo vreme, manje vremena za pristup i veće brzine čitanja i pisanja mogu se
postići uz održavanje velikog kapaciteta skladištenja na fizički malom prostoru.
17
blok sadrži fiksni broj stranice fiksne veličine (o prosečnoj veličini bloka ili stranice - vidi
kasnije).
NOR fleš je stariji od ove dve vrste i pruža pravi slučajni pristup. To znači da se jednom bajtu na
medijumu može pristupiti. Dok su operacije čitanja na ovoj vrsti memorije veoma brze, rad je
vrlo spor i veličina skladišta je mala. Pored toga, cena po kapacitetu je visoka. NOR fleš je
veoma pogodan za skladištenje koda i aplikacije za koje je potreban brzi slučajni pristup.
S druge strane, fleš memorija tipa NAND pruža veću količinu prostora za skladištenje i jeftinija
je za proizvodnju nego NOR. Takođe, velike su brzine čitanja i pisanja. Ova vrsta memorije je
organizovana u blokove koji rade kao jedinica za brisanje i svaki blok se sastoji od više stranica,
koje rade kao pristupne jedinice; samo se cele stranice mogu učitati i samo se celi blokovi mogu
izbrisati. Cena za NAND fleš po kapacitetu je niska što ga čini od neprocenjive važnosti za
savremene mobilne uređaje.
Za razliku od NOR fleša, NAND fleš je takođe nepouzdana i potrebna joj je aplikacija sa
algoritmom za korekciju koda.
18
Ograničenja Flash memorije
Iako fleš memorija ima brojne prednosti, takođe ima i neka ograničenja.
Jedno od ograničenja je brisanje blokova: Iako flash memorija može da učita bajt (NOR)/
stranicu (NAND) po jedinici vremena, po jedinici vremena se može obrisati samo „blok”. Ovo
resetuje sve bitove u bloku na vrednost „1”. U tek izbrisanom bloku svaka lokacija se može
programirati. Dakle, jednom kada se bit postavi na „0”, može samo da se promeni na „1”
ponovnim brisanjem celog bloka.
Drugo ograničenje je habanje memorije: Flash memorija ima ograničen broj ciklusa brisanja
programa (P/E ciklusi) pre nego što se ishaba i postane neupotrebljiva. Za većinu proizvoda
garantvano je da mogu izdržati oko 100.000 P/E ciklusa pre nego što habanje počne da narušava
integritet skladišta, ali dostupni su i proizvodi sa više od 1.000.000 zagarantovanih P/E ciklusa.
NAND zahteva ECC da osigura integritet podataka. ECC se može izvesti hardverski ili
softverski, ali hardverska implementacija obezbeđuje značajnu prednost u performansama.
Tokom operativnog programiranja, ECC jedinica izračunava kod za korekciju grešaka na osnovu
podataka koji su sačuvani u bloku. ECC kod za respektivni prostor podataka tada se zapisuje u
19
respektivni rezervni prostor. Kada se podaci učitaju, takođe se učita i ECC kod, a na njega se
primenjuje inverzna operacija koja utvrđuje da li su podaci korektni. ECC algoritam može
korigovati greške podataka. Broj grešaka koje se mogu ispraviti zavisi od snage korekcije koju
algoritam upotrebljava.
Greške se mogu pojaviti tokom rada NAND Flash uređaja ili tokom dužih perioda neaktivnosti,
čime je upotreba ECC obavezna. ECC se karakteriše brojem bitova, kod se može ispraviti u 528-
bajtova proverenih podataka sektora. (Stranica sa podacima obično ima 528 bajtova, ali može da
varira kod nekih uređaja.)
Na primer, ako kontroler ima 1-bitni ECC, on može da ispravi jednu 1-bitnu grešku u svakom
sektoru podataka. Detaljnu implementaciju ECC-a potražite u dokumentaciji za korišćenje
kontrolera.
Dostupno je mnogo različitih ECC implementacija, i proširena ECC zaštita sistema zavisi od tipa
podataka koji su uskladišteni i tipa NAND fleš tehnologije koja se koristi.
20
Međutim, nije moguće programirati vrednost sa „0” na „1”. Da bi se omogućilo programiranje
vrednosti na „1”, kompletan blok se mora obrisati čime se sadržaj svih bitova postavlja na „1”.
Nivelisanje habanja
Kao što je već spomenuto, habanje memorije može biti pravi problem s obzirom da se određeni
delovi fleš memorije učestalo menjaju tokom vremena, npr. lokacija matične tabele datoteka
(MFT, Master File Table) iz NTFS sistemske datoteke. S obzirom da fleš memorija ima samo
ograničeni broj P/E-ciklusa, ovo može da dovede do gubitka podataka ili neiskoristive memorije.
Da bi se ovo izbeglo i povećao životni vek fleš memorije, koristi se postupak koji se zove
nivelisanje habanja fleš memorije. Umesto da se informacija uvek upisuje u prvi dostupni blok,
kao što čine tradicionalni hard diskovi, ova tehnika pokušava da po celoj memoriji ravnomerno
rasporedi operacije pisanja i brisanja.
21
Odgovoran za implementaciju nivelisanja habanja je takozvani Flash Transition Level (FTL).
FTL je menadžer podataka koji radi sa operativnim sistemom (i njegovih programa) i
memorijskim čipom. Obezbeđuje prepravljanje blokova i podstiče nivelisanje, čime se postiže da
Flash memorija izgleda kao konvencionalni disk drajv operativnog sistema i programa.
Ako podaci na nekim od stranica bloka nisu više potrebni (zovu se „ustajale stranice”), stranice
sa i dalje neophodnim podacima u tom bloku čitaju si i prepisuju u drugi prethodno izbrisan
prazan blok. Tada, slobodne stranice koje su preostale nepomeranjem ustajalih podataka
dostupne su za nove podatke. Ovaj proces se zove prikupljanje otpada.
Radi boljeg razumevanja, ovaj proces jee vizualizovan kroz naredne slike:
22
(2) Četiri nove stranice (E-H)
i četiri zamenske stranice (A'- D') upisuju se u blok X.
Sada se originalne stranice A-D se sada markiraju kao nevažeće i postaju ustajale stranice, ali
ne mogu biti izbrisan bez brisanja celog bloka.
(3) Da bi se pristupilo pisanju po ustaljenim stranicama, sve stranice sa ispravnim podacima (E-
H i A'-D') čitaju se i upisuju u novi blok Y, a stari blok X se briše.
Baze podataka
Pametni telefoni čuvaju i organizuju većinu podataka u SQLite bazama podataka umesto u
pojedinačnim fajlovima u memoriji - korišćenje ove prenosive baze podataka je u većini
slučajeva lakše za implementaciju i pouzdanije je rešenje od korišćenja namenskih datoteka za
čuvanje podataka aplikacije.
SQLite baze podataka imaju svoje interne mehanizme za obradu izbrisanih podataka, obično su
postavljene da optimizuju brzinu i smanjuju habanje. Kada se podaci iz SQLite baze podataka
obrišu - zavisno od podešavanja aktuelne baze podataka - najčešće se podaci ne obrišu odmah,
već su samo interno označeni kao izbrisani sve dok se u prostor koji zauzimaju stari podaci ne
upišu novi podaci.
Ovakvo ponašanje SQLite baze podataka mnogo povećava šanse da se vrate izbrisane
informacije u pametnim telefonima.
23
Zaključak
Kao što je rečeno u prethodnim paragrafima, interni procesi mogu uništiti izbrisane podatke, a
koji se mogu oporaviti, u fleš memoriji i SQLite bazi podataka. Ovi procesi se mogu pokrenuti,
na primer, ponovnim pokretanjem sistema, bilo kojim unosom/izlazom podataka ili se može
automatski tempirati. Da bi se maksimizirala mogućnost za oporavak podataka treba izbeći da se
ovi procesi pokrenu, stoga se izbegava nepotrebno ponovno pokretanje, paljenje ili process
sinhronizacije. Kako se procesi sinhronizacije mogu dogoditi kada telefon ima pristup mreži
(npr. Facebook Messenger aplikacija koja se sinhronizuje sa aktivnostima koje se u Messengeru
obavljaju preko internet pretraživača) treba osigurati zabranu pristupa pravilno vršeći zaplenu.
24
Zaplenena dokaza
Motivacija
Zaplena uređaja tokom pretresa kuće obično je prvi kontakt sa mogućim inkriminišućim
podacima. Kao stručnjaci za mobilnu forenziku želimo da nam svi podaci budu dostupni. Dok
postoji određeni službeni protokol koji se odnosi na pretres kuće, može se dogoditi da on nije
prilagođen potrebama stručnjaka za mobilnu forenziku. Činjenica je da se ispravne odluke
moraju doneti prvim kontaktom kako bi se očuvali podaci i kasnije učinili dostupnim. Pogrešne
odluke mogu zakomplikovati forenzičku istragu ili je učiniti nemogućom. Stručnjak za forenziku
treba da pokuša da interveniše i preduzme ispravne korake prilikom zaplene elektronskih uređaja
da bi se postigao najbolji mogući ishod.
Šta da zaplenite
Uobičajeno je da tim koji vrši zaplenu ima službeni dokument izdat od strane državnog tužioca
ili adekvatne intitucije. Ovaj dokument treba biti napisan u skladu sa zakonom i na takav način
da timu koji vrši zaplenu omogući oduzimanje svih elektronskih uređaja. Ovo uključuje:
pametne telefone, tablete, pametne satove i čitače e-pošte kao i prenosne računare, desktop
računare, USB diskove, SD-kartice i druge prenosive medije. Poslednje možda ne izgleda kao
relevantno za istragu mobilne forenzike, ali personalni računari mogu da čuvaju dragocene
informacije kako bi se ušlo u zaključani telefon ili čak Bluetooth uređaje poput zvučnika,
slušalica ili upravljača za igrice, i možda je ovo način da se uđe u mobilni telefon korišćenjem
ovih trikova.
25
Dokumentacija
Akvizicija
Ako je mobilni uređaj povezan sa računarom, preporučuje se ekstrahovanje memorije PC-a pre
nego što isključite mobilni uređaj. Takođe, podatke sa računara treba prikupiti i pronaći
sinhronizovane podatka.
Svu pronađenu opremu kao što su kablovi za napajanje ili prenos podataka, SIM- ili memorijske
kartice, pakovanje, priručnici, spisi ili plastične kartice mobilnog provajdera i beleške koje mogu
sadržati lozinke ili PIN-ove takođe treba dokumentovati i oduzeti.
Nikada ne zaboravite da zaplenite i drugu naizgled nevažnu opremu kao što su prenosivi i
Bluetooth uređaji, poput slušalica. Ovi uređaji mogu se koristiti za otključavanje ako je aktivno
„pametno zaključavanje”. Oni takođe mogu pružiti druge važne podatke.
Ako je uređaj pronađen uronjen u tečnost, izvadite bateriju (ako je moguće) odjednom da biste
sprečili kratak električni spoj. Prenesite ostatak uređaja u laboratoriju u kontejneru koji je
napunjenom istom tečnošću u kojoj je uređaj pronađen. (To se naravno ne odnosi na kaustične
tečnosti). Ako je uređaj pronađen u drugom kompromitovanom stanju kao što je kontaminacija
krvlju ili se upotrebljava kao eksploziv (tj. kao komponenta bombe) treba konsultovati stručnjaka
26
za određena uputstva ili pomoć, jer ovo može predstavljati opasnost za tehničara koji prikuplja
dokaze.
Nakon zaplene, uređaj treba što je najbrže moguće odvojiti od mobilne mreže!
Inače:
1. vlasnik ili treća strana mogli bi da izbrišu ili zaključaju uređaj daljinskom komandom. Apple
iOS kao i Google Android podržavaju daljinsko brisanje sa uređaja. Na slici ispod možete videti
koje su vrste akcija dostupne vlasniku iPhonea u iClouds „Pronađi moj iPhone”.
2. dolazni pozivi, tekstovi ili drugi podaci mogu da prepišu podatke koji su izbrisani, ali se još
uvek mogu oporaviti fizičkim ekstrakcijom (videti odeljak „fleš memorija”)
3. podaci se mogu generisati nakon zaplene. To bi, naravno, moglo biti problematično na sudu.
27
Uređaj se može isključiti sa mobilne mreže na sledeće načine:
Za:
• Brzo, lako
• Pouzdano
Protiv:
• Uređaj će možda morati da se otključa
• GPS može ostati aktivan (na primer za verzije iOS ≥ 8.3)
Isključiti uređaj
Za:
• Brzo, lako
• Pouzdano
Protiv:
• Može promeniti podatke/dokaze
• Može aktivirati kodove za autentikaciju (PIN ili lozinku) ili enkripciju što može da
iskomplikuje ili spreči prikupljanje podataka
• Uređaj će možda morati da se otključa
Ovo može biti prihvatljivo rešenje samo ako je uređaj već izvađen i treba da se isključi radi
fizičke ekstrakcije u laboratoriji.
28
Mnogi uređaji nude funkciju alarma. Na starijim uređajima ovaj koristile su se osobine alarma
koje su mogle da uključe neaktivni uređaj, uspostavljajući mrežno povezivanje i potencijal za
daljinsko brisanje
Za:
• Faradejeva torba štiti od prodiranja elektromagnetnih talasa
• Nisu potrebne lozinke, nije potrebno isključivanje
• Ne aktiviraju se nove lozinke pored postojećih
Protiv:
• Može biti nepouzdano zbog nepravilnog zatvaranja
• Može biti nepouzdano zbog lošeg kvaliteta torbe
• Skraćeno trajanje baterije zbog uređaja koji traži ćelijske stanice sa maksimalnim jačinama
signala (povežite eksternu bateriju u torbi – ne ostavljajte kabl izvan torbe, ponašaće se kao
antena!)
29
Protiv:
• WiFi i GPS će i dalje biti aktivni
• Ne radi za eSIM uređaje
• Zavisi od uređaju: možda će biti potrebno uklanjanje baterije
Preporučeni postupak
Preporučujemo da, ukoliko je moguće, aktivirate režim letenja i proverite da li su sve usluge
isključene (GPS, WiFi itd.) Zatim bi uređaj trebalo da bude povezan na spoljni izvor napajanja
(baterija) i oba treba čuvati na odgovarajući način u zatvorenoj Faradejevoj torbi.
Pribavljanje šifre
Ako situacija dozvoljava, od vlasnika uređaja treba zatražiti bilo kakve PIN-ove, obrasce i
lozinke. Ni pod kakvim okolnostima se osumnjičenom ne sme dozvoliti da na bilo koji način
manipuliše uređajem. Resetovanje mašine ili mehanizam za zaključavanje može se aktivirati sa
nekoliko klikova i uništiti dokaze ili ih učiniti nepristupačnim.
Jedini izuzetak od ovog pravila je ako uređaj koristi biometrijsku zaštitu (otisak prsta ili
otključavanje licem). U tom slučaju, od osumnjičenog treba tražiti da otključa uređaj. Nakon
ovoga, ispitivač može da pristupi podešavanju i onemogući zaključavanje (zavisno od uređaja
otisak prsta osumnjičenog ili lozinka mogu biti neophodni da potvrde ovo novo podešavanje) ili
onemogući neaktivan ekran/aktivira opciju za aktivan ekran.
30
Smart Locks u Androidu
Kako bismo korisnicima ponudili više komfora kada koriste zaštitu i samim tim ih ohrabrili da,
na prvom mestu, koriste mehanizme zaključavanja, Android je sa verzijom 5 uveo nekoliko
opcija pametnog zaključavanja.
31
Pouzdan glas (Trusted Voice)
Kada je aktivan Trusted Voice korisnik može da otključa uređaj izgovaranjem „Ok
Google”. Ovaj mehanizam bi, naravno, mogao da se prevari snimanjem glasa vlasnika koji
izgovara ovu frazu. Slično sa Trusted Face, rezervni PIN ili lozinka moraju biti postavljeni i
mogu se koristiti za otključavanje uređaja.
Ostalo
Brojna su i eksperimentalna pametna zaključavanja ili pametna zaključavanja trećom stranom
dostupna za različite platforme, sa ciljem da zamene konvencionalne lozinke. Neka
zaključavanja koriste povezane pametne satove, na primer zahtevaju od vlasnika da drži uređaj u
ruci, da nosi pametni sat i da ga protrese. Pokret se snima na oba uređaja i upoređuje, a ukoliko
se poklopi, pametni telefon se otključava.
ID lica u iOS-u
Apple je sa iPhon-om X uklonio fizičko dugme za početnu lokaciju da bi ekran popunio čitavu
površinu prednje strane telefona. Apple je pokušao da premesti čitač otiska prsta ispod displeja,
32
ali kako rezultati nisu bili zadovoljavajući, Touch ID je zamenjen sa Face ID-om. Face ID
funkcioniše tako što na lice korisnika projektuje matricu infracrvenih tačkica koje su mnogo
sofisticiranije i mnogo sigurnije od upotrebe metode prepoznavanja lica na osnovu slike sa
fotoaparata - kao što to nude Android uređaji.
Čak jednostavno pregledanje telefona može pokrenuti brojač neuspelih pokušaja, tako da se
preporučuje da se komad papira ili nešto slično zalepi preko infracrvenog senzora. Neuspešni
pokušaji otključavanja mogu dovesti do problema sa otključavanjem ovih telefona u
specijalizovanim laboratorijama!
Otključani telefoni
Ukoliko se uređaj ipak pronađe uključen i otključan (tj. sa ekranom u vidljivom i upotrebljivom
stanju) preporučuje se sprečavanje zaključavanja ekrana. Ako ovo ne učini, može doći do:
• aktiviranja neprobojnve korisničke lozinke,
• pokretanja neprobojne enkripcije
• deaktiviranja svih pametnih zaštita nakon inicijalnog pokretanja (nema „lakšeg” unosa)
Napomena: neki uređaji isključe ekran nakon određenog perioda, ali aktiviraju zaključavanje
lozinke tek nakon što je protekao određeni vremenski period. Stoga, ako se pronađe telefon sa
isključenim displejom, i naočigled nema lozinku, preporučljivo je da se proveri da li je podešeno
zaključavanje ekrana ili periodičnim ulazom sprečiti zaključavanje telefona.
Specijalno, uređaji koji nude enkripciju (tj. obični moderni pametni telefoni) treba izdvojiti na
lice mesta da bi se sprečio „gubitak” dokaza kroz mehanizam zaključavanja koji se aktivirao
kasnije.
Nakon zaplene mobilnog uređaja, treba ga doneti u forenzičku laboratoriju i što je brže moguće
ekstrahovati, jer čak i potpuno napunjena baterija se može isprazniti u roku od jednog
33
dana. Možda isključivanje uređaja dovede do aktiviranja zaključavanja uređaja lozinkom i time
ga učiniti neupotrebljivim kao dokaz.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf
34
Ekstrahovanje mobilnih uređaja
General
Metode ekstrakcije
Mobilni uređaji se generalno mogu ekstrahovati na tri različita načina, koji se nazivaju
metodama ekstrakcije. Oni će doprineti različitim količinama dokaza u zavisnosti od režima
ekstrakcije i mobilnog uređaja koji se ispituje.
Različiti podskupovi podataka koji će se izdvojiti pomoću tri različite metode vađenja
35
Logička ekstrakcija (Logical Extractions)
Logička ekstrakcija obično daje najmanju količinu
podataka.
Kada obavljamo logičku ekstrakciju, forenzički alat
koristi softverski interfejs (npr. backup ili funkciju za
izlaz) za pretragu logičkih podataka u uređaju poput
kontakata, SMS poruka ili e-maila. Koji će se tačno
podaci povratiti, zavisi od mobilnog uređaja koji se
ispituje. Forenzički alat će dobiti samo onoliko
podataka, koliko je mobilni uređaj spreman da prikaže
korisniku.
Da bi se obavila logička ekstrakcija uređaj, obično,
mora biti otključan.
Prednost logičke ekstrakcije je što je to najbrža metoda ekstrakcije za dobijanje isključivo
zatraženih podataka, ali ne i nekih dodatnih. Takođe, mobilni uređaj će obaviti i dekodiranje
svojih podataka i povratiti ih u lako čitljiv format.
36
analizator treba da sprovede interpretaciju fajlova. Ukoliko određeni model nije podržan za
dekodiranje ili je dekodiranje nepotpuno, iskusni forenzički veštak ipak može pregledati fajlove
„ručno” i pokuša da pronađe potreban dokaz.
Ekstrakcija sistemskih fajlova će dati osrednju količinu podataka za prosečno vreme jer se
iščitava samo deo memorije koja zapravo sadrži podatke.
Napomena: Termin „Ekstrakcija sistemskih fajlova (File System Extractions)” trenutno koristi
samo Cellebrite. MSAB sličnu ekstrakciju naziva „Logical (Full read)”, a nasuprot tome je
„Logical (no files)”.
37
Ekstrakcija tokom rada
Prvi korak ekstrakcije mobilnog telefona jeste određivanje marke i modela mobilnog
uređaja. Nakon ovoga, ispitivač može utvrditi metode i načine ekstakcije koji su dostupni za
određeni uređaj i koji su koraci neophodni za njihovo izvođenje.
Nakon razmatranja specijalnih okolnosti slučaja i stanja uređaja, ispitivač može odlučiti koji
metod ili metode ekstrakcije će koristiti i povezaće mobilni uređaj na forenzički alat i započeće
ekstrakciju prateći uputstva koja daje alat.
Napomena: Ako se ne može utvrditi tačan model uređaja ili ga vaš alat ne podržava, ali je poznat
njegov operativni sistem, može se pokušati sa izvođenjem generičke ekstrakcije.
38
posebno dragoceno u slučaju pametnih telefona bez uočljivih karakteristika različitih modela koji
su prodati pod istim imenom. Na primer, Cellebrite UFED set alata podržava preko 38 različitih
modela koji su prodati pod istim imenom „Samsung Galaxy S III”.
Međutim, s vremena na vreme, nakon automatskog otkrivanja uređaja, od vas će se možda tražiti
da navedete ispravan model. U ovom slučaju možda biste želeli da proverite odakle je uređaj i
koja bi verzija mogla biti verovatna (npr. tablet može imati verziju sa i bez LTE-a, zato proverite
da li ima SIM-slot)
39
40
Traženje nalepnice/oznaka
Na mnogim uređajima mogu se naći nalepnica ili oznaka koji
otkrivaju model, a često i dodatne informacije kao što su IMEI
ili MAC adrese Wi-Fi modula. Nalepnice se mogu naći ispod
baterije, što naravno znači da će uređaj izgubiti napajanje ako
ispitivač ovde potraži nalepnicu. Drugi, pak, uređaji možda čak
ni nemaju bateriju koja se može ukloniti ili poklopac koji se
može skinuti, ali često imaju oznaku na poleđini. Ukoliko je ovo
slučaj, možda se može naći nagoveštaj na zaplenjenom
pakovanju.
41
Generička ekstrakcija
Ako alat koji se koristi ne podržava model uređaja ili je neka određena metoda ekstrakcije uvek
neuspešna, može se pokušati sa izvršavanjem generičke ekstrakcije. Generičke ekstrakcije su
metode koje bi trebale da rade za većinu telefona koji koriste određeni operativni sistem (npr. svi
Android telefoni ili svi iOS uređaji) ili koriste određeni čipset.
Najčešće je najpodesnija metoda ekstrakcije ona koja daje najveću količinu podataka. U većini
slučajeva, to je fizička ekstrakcija, koja je stoga najčešće prvi izbor ispitivača. Ukoliko fizička
ekstrakcija nije podržana na uređaju koji se ispituje, ekstrakcija sistemskih fajlova je sledeća
najbolja, za kojom sledi logička ekstrakcija.
Međutim, neke od okolnosti koje mogu uticati na odlučivanje:
• Ako je vreme kritično, npr. za brzo skeniranje na licu mesta kako bi se utvrdilo da li je uređaj
relevantan za slučaj, logička ekstrakcija bi bila jedina opcija koja je dovoljno brza.
• U slučajevima kada je moguća ekstrakcija sistemskih fajlova ili fizička ekstrakcija, ali
forenzički softverski alat (još) uvek ne podržava dekodiranje dobijene informacije, logička
ekstrakcija može biti jedini način da se dobiju čitljivi podaci. Svakako, u takvim slučajevima
ispitivač ipak treba da uradi fizičku ekstrakciju ili ekstrakciju sistemskih fajlova i ove fajlove
sačuva u slučaju da se ažuriranjem forenzičkog softverskog alata omogući dekodiranje ovog
uređaja.
• Ako je dobijen otključan telefon, a fizička ekstrakcija zahteva da se uređaj ugasi, preporučuje
se da se prvo izvrši logička ekstrakcija ili ekstrakcija sistemskih fajlova kako bi se zaštitili
podaci koji se mogu sačuvati. Ovo se radi u slučaju kada je uređaj enkriptovan ili bi se nakon
ponovnog pokretanja uređaja aktivirala zaštita lozinkom ili sličan mehanizam za zaključavanje
čime bi se sprečila uspešna fizička ekstrakcija.
• U nekim retkim slučajevima, logička ekstrakcija može čak isporučiti podatke koje fizička
ekstrakciju ili ekstrakcija sistemskih fajlova ne mogu, jer su podaci distribuirani na uređaju i
SIM ili fizički analizator ne mogu dekodirati, a sam uređaj može. Stoga, ako ima dovoljno
vremena, najbolje rešenje bi bilo izvesti sve podržane ekstrakcije za uređaj i uporediti rezultate.
42
Odabir režima ekstrakcije
Kao što je rečeno, uobičajeno je poželjan režim ekstrakcije koji obezbeđuje najveću količinu
podataka. U većini slučajeva, postojaće samo jedna opcija za odabir ili preporučeni
režim. Svakako, dostupni režimi se razlikuju u zavisnosti od alata, odabranog uređaja, modela,
verzije OS itd.
Razlog ovome je to što postoji mnogo različitih proizvođača telefona koji prodaju različite
modele i stoga je ogroman broj različitih tehničkih preduslova koji može postojati za ekstrakciju
određenog mobilnog uređaja. Često se može videti da je određeni model telefona, koji obično
može lako biti ekstrahovan, ne može se više ekstakovati nakon određenog ažuriranja firmvera.
Zbog ovoga, gotovo je nemoguće dati tačan odgovor - da li se može ekstrahovati mobilni
telefon. Stoga, u zajednici mobilne forenzike imamo standardni odgovor sličan mantri: „Zavisi!”
APK Downgrading
Ekstrahovanje sistemskih fajlova ili logička ekstrakcija često preskoče podatke mnogih
popularnih aplikacija (npr. WhatsApp, Facebook Messenger, Skype itd.), jer ove aplikacije
čuvaju svoje podatke u enkriptovanom obliku u novijim verzijama aplikacija. Ključ koji je
korišćen za ovu enkripciju neće sa nalaziti u backup-u, stoga se ovi podaci ne mogu dešiftovati.
Da bi se rešio ovaj problem, alati poput UFED ili XRY nude automatizovani APK Downgrading:
Instalirane aplikacije će automatski biti Downgrade-ovane na verziju, pre nego što je uvedeno
šifrovanje podataka. Podaci aplikacije će zatim biti ekstrahovani i aplikacija će se automatski
opet nadograditi na novu verziju.
Kako ova metoda vrši promene na uređaju, na nju ne treba gledati kao na standardni metod, već,
više kao krajnje sredstvo.
43
Opcija downgrade-ovanja verzije APK-a u Cellebrite UFED
Nažalost, UFED4PC kreira backup originalne aplikacije koja je prethodno instalirana na uređaj
na sledećoj podrazumevanoj lokaciji:
C:\Users\%USERNAME%\AppData\Local\Temp\APK
44
Adb install – r %Appname% (ovo podrazumeva da je aplikacija na adb instaliranom
direktorijumu)
Da bi se pristupilo ADB interfejsu, prvo instalirajte Android SDK alate na vašu mašinu za
forenzička ispitivanja sa https://developer.android.com/studio. Nakon instaliranja može se
testirati da li radi priključivanjem android uređaja putem USB-a i koristeći komandu „adb
uređaj” otkriva se lista priključenih uređaja.
Memorijske kartice (npr. SD-kartice) proširuju memoriju mobilnog uređaja i često čuvaju
multimedijalne podatke, podatke iz aplikacije i stoga vredne dokaze. S jedne strane, podizanje
uređaja bez prethodno ubačene kartice, može dovesti do problema prilikom ekstrakcije
sadržaja. Takođe, SD-kartica može biti šifrovana i nedostupna izvan uređaja. Ali, s druge strane,
svako mount-ovanje memorijske kartice može izazvati promene podataka jer je reč o flash
memoriji. Preporučujemo:
45
c. Izvršite ekstrahovanje memorijske kartice kao što je prethodno navedeno
Većina modernih pametnih telefona se ne oslanja na SIM kartice kao što je to slučaj sa
funkcionalnim telefonima sa tastaturom. Međutim, preporučujemo sličan postupak kao što je
prethodno navedeno u vezi sa memorijskim karticama.
• Pokušajte ponovo
Ponekad će neuspešna ekstrakcija uspeti u drugom ili trećem pokušaju, a bez da je urađeno nešto
drugačije. Uvek se u potpunosti pridržavajte uputstava alata za proces. Pažljivo čitajte i odvojite
vreme koliko vam je potrebno. Možete pokušati sutradan.
46
• Koristite antistatičku četku za čišćenje kontaktnih tačaka uređaja
Mobilni telefoni se mnogo nose u džepovima ili torbama iz kojih, vremenom, skupljaju prašinu
ili prljavštinu na portovima konektora, što može uticati da veze postane nepouzdana.
• Ako je baterija prazna ili nepouzdana ili je kontakt sa baterijom nepouzdan, koristite
kabl za napajanje telefona
• Pokušajte na drugi način ili metodom ekstrakcije ili generičkom ekstrakcijom ako je
dostupna
47
operativnog sistema, možda će biti moguće uraditi samo osnovnu ekstrakciju, obično zasnovanu
na unutrašnjem rezervnom (backup) mehanizmu telefona, npr. backup iTunes-a ili Android
backup.
Ove backup zasnovane ekstrakcije imaju prednost da rade na gotovo svim uređajima sve dok je
poznat kod zaključavanja. Ako forenzički alat ne podržava određeni uređaj, generička ekstrakcija
koja je zasnovana na rezervnoj kopiji (backup) uređaja, gotovo će uvek raditi. Od iOS 11 i
Android 8, uređaj ne samo da mora biti otključan, već mora biti uneta i šifra uređaja da bi se
izvršila ekstrakcija - ranije, mogla se izvršiti ekstrakcija telefona koji je pronađen otključan na
licu mesta ili je otključan korišćenjem biometrijskih zaključavanja.
Međutim, ponekad su podaci na ovim sigurnosnim kopijama (backup) uređaja veoma
ograničeni.
- Zatvorite (Jailbreak) uređaj i koristite npr. Elcomsoft iOS Forensic Toolkit za ekstrakciju
48
- Pošaljite telefon u laboratoriju za otključavanje (npr. Cellebrite CAS)
- Izvršite ekstrakciju telefona preko Grayshift Graykey box
Za jailbreak iOS uređaja - što znači uklanjanje ograničenja korisnika - morate koristiti „hakerski
softver” treće strane. Trenutno postoje softverska rešenja dostupna za uređaje sa operativnim
sistemima iOS 12.1.2 i starijim. Ažuriranja možete potražiti na https://canijailbreak.com. Kako
će jailbreak postaviti trajne izmene u vašem dokaznom predmetu i takođe poništiti garanciju
uređaja, uvek biste trebali da dobijete dozvolu pretpostavljenog pre izvođenja jailbreak-a.
Android backup-ovi
Android backup-ovi slični su iTunes backup-ovima. Oni će pored ostalih podataka sadržati
pozive, tekstualne poruke, kontakte, podatke iz kalendara, multimedijalne fajlove i
različite aplikacije treće strane. Međutim, najpopularnije aplikacije za razmenu poruka nedostaju
u Android-ovim backup-ovima.
Kao i kod iTunes backup-ova proizvođač aplikacija treće strane može da odluči hoće li njihova
aplikacija biti uključena u Android backup ili ne. Pored ovoga, većina današnjih aplikacija
uključene su u Android backup, ali imaju svoje baze podataka koje su šifrovane. Ključ za
šifrovanje nije uključen u backup, ali ostaje samo na telefonu, stoga se podaci iz aplikacija ne
mogu čitati izvan telefona, čak i ako je backup dostupan.
Jedan od mogućih načina da se ovo prevaziđe je APK-downgrading koji ne radi na svim Android
verzijama.
49
pokrenuti sistem (boot-ovati). Dakle, dok je jailbreaking telefona relativno bezbedno, neuspešni
pokušaj rutovanja može da oštetiti ili uništiti dokaze.
50
Ekstrakcije Cellebrite UFED Touch 2 i UFED 4PC
Pregled
Cellebrite je razvio UFED uređaj kao samostalno rešenje koje obavlja vađenje podataka iz:
- Mobilnih uređaja (telefoni, tablice, GPS uređaji)
- Moduli identiteta pretplatnika (SIM, Subscriber Identity Modules)
- Spoljne medijske kartice (SD / Micro-SD)
UFED Touch2 i UFED 4PC mogu izvesti logičke, sistemske fajlove i fizičke ekstrakcije.
Uključeni softver:
- UFED fizički analizator
- UFED telefonski detektiv (PC verzija)
- UFED telefonski detektiv (aplikacija za pametne telefone/web verzija)
U ovom poglavlju biće predstavljeni UFED Touch2/4PC uređaji i raspravljaće se o tome kako
izvesti različite ekstrakcije sa ovim uređajima.
51
Opis UFED Touch2-a
Prednja strana
Čitač SIM kartice nalazi se na levoj strani UFED Ultimate Touch uređaja. Slotovi se koriste za
ekstrahovanje informacija sa SIM kartica i/ili kreiranje kloniranih SIM ID-ova. Mogu se
ekstrahovati uobičajena Mini-SIM kartica kao i Micro- ili Nano SIM-ovi. Ne treba stavljati više
SIM kartica u uređaj u isto vreme.
Preko ovog slota se ulazi u Cellebrite Access Card za kloniranje. Tokom procesa kloniranja,
UFED Ultimate Touch uređaj će tražiti SIM karticu za dokaze, a zatim će podatke upisati u
Cellebrite Access karticu koja je smeštena u isti slot.
Dva priključka za konekciju na levoj strani uređaja su „Izvorni priključak RJ-45” (Source port
RJ-45) i „Izvorni USB priključak” (Source port USB). Na ova dva priključka povezujete mobilni
uređaj za dokaze kako bi se ekstrahovale informacije sa mobilnog uređaja.
52
Target port USB
Na desnoj strani uređaja nalazi se konekcija „Target port USB” za pisanje informacija sa
izvornog mobilnog uređaja do ciljanog uređaja kao što je USB flash drive. Target strana se
takođe koristi za povezivanje USB kabla sa UFED Target strane na PC da biste informacije
upisali u softver za fizičku analizu (Physical Analyzer software).
Zadnja strana
Display-Port
Priključak Display-Port može se koristiti za povezivanje monitora ili projektora na UFED
Touch2.
SD kartica
Slot za SD karticu se može koristiti kao ciljni uređaj za čuvanje ekstrakcija.
Ext-USB
53
Ovi USB portovi se mogu koristiti za ažuriranje softvera uređaja, a takođe i kao izvor napajanja
UFED kabla za napajanje i da povežu HID-ove (miš, tastatura).
UFED uređaj dizajniran je da prihvati samo pakete firmware-a (softver za čitanje) koje potpisuje
Cellebrite. Ako postoji pokušaj da uvede neovlašćeni sadržaj, UFED će se automatski vratiti u
stanje poznato kao dobro nakon sledećeg boot-ovanja.
54
Ažuriranje softvera
Presudno za efikasnost UFED sistema je mehanizam za ažuriranje softvera. Brz napredak u
industriji mobilne forenzike (firmware, telefoni, hardver, softver, itd.) uzrokuje stalne
promene. Cellebrite neprestano nadgleda industriju kako bi osigurao da vaš uređaj može uspešno
da obrađuje najnovije uređaje.
Da biste imali koristi od ovog pristupa, morate da ažurirate licencu kao i softver. Cellebrite
godišnje obično objavljuje 10-15 ažuriranja softvera.
Korisnici, koji su registrovani na mi.cellebrite.com, se putem elektronske pošte obaveštavaju o
novim ažuriranjima. Za registraciju
elektronske adrese treba se prijaviti na
mi.cellebrite.com i otići na
podešavanja naloga (kliknite malu
strelicu u gornjem desnom uglu, zatim
„Moj nalog”. Možete registrovati proizvoljan broj elektronskih adresa, pored one na kojoj je već
prijavljen nalog.
U odeljku „Preuzimanja” možete preuzeti najnoviji paket firmwera za UFED Touch2 uređaj ili
UFED 4PC instalaciju.
Da biste ažurirali svoj UFED Touch2 uređaj, kopirajte preuzeti fajl na USB prenosni uređaj i
povežite ga sa jednim od USB portova koji se na uređaju nalaze bočno, a zatim pristupite kartici
„Verzija” u meniju postavki i kliknite na „USB” - dugme.
Alternativno, možete povezati svoj UFED Touch2 uređaj na internet preko Ethernet porta koji se
na uređaju nalazi pozadi ili putem Wi-Fi-ja i izvršite ažuriranje direktno sa weba. Isto tako,
ukoliko PC na kome je pokrenut UFED 4PC ima aktivnu internet konekciju, softver će
automatski proveriti postoje li nova ažuriranja i ponudiće direktno download-ovanje.
55
Odeljak za download-ovanje na my.cellebrite.com
56
Kako biste ažurirali vaš UFED Touch2 uređaj ili UFED 4PC, kliknite na Settings…
…i selektujte „Web” kako biste izvršili ažuriranje direktno sa interneta ili “File”/“USB” da
ažurirate sa prethodno download-ovanog fajla.
57
Podešavanja
U ovom odeljku biće razmatrane najvažnije opcije podešavanja i za UFED Touch2 i za UFED
4PC. Kako obe imaju gotovo identični GUI, sledeće slike ekrana su uglavnom sa 4PC verzije i
treba ih razumeti kao analognu verziji UFED Touch2. Podešavanjima se pristupa pritiskom na
Settings dugme sa simbolom zupčanika u gorenjem desnom uglu glavnog ekrana.
General
U kartici „General” možete odabrati jezik na uređaju. Preporučujemo da uvek koristite UFED
proizvod na engleskom jeziku, jer je on glavni jezik za razvoj i podršku proizvođača.
58
Izveštaji (Reports)
U kartici „Reports” može se promeniti jezik za izveštaje koji se kreiraju u logičkim
ekstrakcijama kao i obrazac za imenovanje datoteka, gde će biti sačuvane ekstrakcije.
Ako želite da uključite i dodatne informacije u svoje ekstrakcije, možete da kliknete na dugme
„Report custom fields” („Prijavi prilagođena polja”) u donjem levom uglu i dodati proizvoljan
broj dodatnih polja. Uređaj će obavestiti ispitivača o poljima kada se izvrši ekstrakcija.
59
Verzija(Version)
U kartici „Verzija” možete ažurirati firmware vašeg uređaja. Pogledajte prethodni odeljak
“Software updates” gde je opisan ovaj proces.
60
Activity Log
U Activity Log (evidenciji aktivnosti) možete pronaći detaljnu tabelu sa podacima o
aktivnostima vašeg UFED Touch2/4PC. Ona sadrži vremenske oznake (timestamps), tipove
ekstrakcija, informacije o statusu i modelu telefona na kome su obavljene ekstrakcije.
61
User Permissions
U kartici User Permissions („Korisničke dozvole”) možete uvesti skup pravila sa korisničkim
dozvolama koje se kreiraju preko UFED Permission Manager-a, koji se nalazi u downloads-delu
na mi.cellebrite.com.
Na primer, određenom korisniku možete dozvoliti da radi samo logičke ekstrakcije.
62
Cellebrite UFED nudi alatku za određivanje marke i modela telefona na osnovu njegovog
izgleda i drugih karakteristika.
Detektiv za telefon je softver koji besplatno dolazi sa UFED licencom i pomaže utvrđivanju
marke i modela telefona unošenjem dimenzija i hardverskih karakteristika telefona.
Ispitivač unosi bilo kakvu dostupnu informaciju o uređaju, dok Phone detective filtrira sve
moguće modele u realnom vremenu.
Napomena: Ovde opisani softver Phone Detective ne treba mešati sa Phone Detective
aplikacijom ili njegovom verzijom u prtraživaču.
63
Izvođenje ekstrakcije Cellebrite UFED-om
Način na koji se vrši ekstrakcija zavisi od uređaja koji treba ekstrahovati i odabranog načina
ekstrakcije. Nakon pravilnog oduzimanja telefona, ispitivač mora da utvrdi tačan modela uređaja
koji treba ekstrahovati. Kao što je prethodno navedeno, postoje brojni načini da se izvede
ekstrakcija.
Ukoliko je detekcija uspešna, UFED će prikazati jedan ili više otkrivenih uređaja. Zbog
neznatnih razlika u modelima telefona (npr. varijante i izdanja za različita tržišta) može biti
otkriveno više telefona. Morate odabrati ispravnu varijantu telefona! Uvek proverite dva puta
preko drugih metoda za određivanje (npr. nalepnicu na zadnjoj strani uređaja).
Automatsko prepoznavanje možda neće uspeti, posebno ako je telefon zaključan.
64
U tom slučaju moramo potražiti odgovarajući model na druge načine. Jedna ugrađena opcija je
„konzola” (Console) koja će pokušati da otkrije i prikaže više o telefonu tako što će se
automatski povezati sa njim preko ADB-a.
65
U sledećim odeljcima biće razmotreno više metoda za određivanje tačnog modela telefona.
Određivanje modela uređaja preko UFED Detektiva za telefon (UFED Phone detective)
Cellebrite UFED nudi alat za određivanje marke i modela telefona na osnovu njegovog izgleda i
drugih karakteristika. „Detektiv za telefon” je softver koji se dobija besplatno sa UFED-ovom
licencom.
66
• Tastatura (izgled / položaj)
• Dodatni tasteri (Uključivanje/Jačina zvuka/ Kamera)
• Mere
Ispitivač unosi bilo kakvu dostupnu informaciju o uređaju, dok Phone detective filtrira sve
moguće modele u realnom vremenu.
Napomena: Ovde opisani softver Phone Detective ne treba mešati sa Phone Detective
aplikacijom ili njegovom verzijom u prtraživaču.
67
Prvih 6 cifara IMEI mogu identifikovati marku i model uređaja. Ako se IMEI ne može pronaći
odštampan na uređaju, može se pronaći odštampan na ambalaži ili u podešavanjima telefona u
odeljku „About”. Takođe, ukucavanjem *#06* na tastaturi telefona prikazaće se IMEI
broj. Može biti više IMEI brojeva, ukoliko je telefon multi-SIM. Savet: Ovo bi se moglo obaviti i
sa zaključanim telefonom pomoću hitne tastature!
68
Ručni izbor modela
Kliknite na dugme „Ručno pregledavanje” na glavnom ekranu i krećite se kroz listu dobavljača i
kroz listu dostupnih modela koje nudi prodavac.
Rezultati se mogu suziti ukucavanjem u gornju traku za pretragu. Ovo je korisno kada se
prikazuju svi modeli proizvođača.
69
Odabir metode i načina ekstrakcije
Nakon odabira modela, UFED uređaj će prikazati koje su metode ekstrakcije dostupne za ovaj
uređaj.
Kad se odabere metoda ekstrakcije, u nekim slučajevima ispitivač mora da odabere između
različitih režima za izvođenje ekstrakcije. UFED će obično preporučiti jedan od ponuđenih
načina. Ukoliko ekstrakcija ne uspe, ispitivač se može vratiti na ovaj ekran i isprobati drugi
režim ili potpuno drugačiji metod ekstrakcije.
70
Odabir cilja
UFED 4PC će zatražiti da odabir ciljnog
direktorijuma. Ako se radi o UFED Touch2
uređaju, ispitivač će takođe morati da odabere koji
će ciljni medij koristiti: USB drajv, SD karticu ili
preuzimanje ekstrakcije direktno na računar. Ako
je izabran drugi navedeni uređaj u nizu, UFED
Touch2 mora biti povezan na PC preko UFED na PC kabl i UFED Downloader mora biti
pokrenut na računaru. To se vrši klikom na „Alati” (Tools) - „Čitaj podatke iz UFED-a” u
Physical Analyzer-u.
71
U toku je ekstrakcija
Pošto sve opcije ekstrakcije iOS uređaja daju drugačiji kvalitet rezultata, uvek treba pokušati da
se urade sve ove ekstrakcije a potom ih uporediti/dodati preko UFED multi-projekta u fizički
analizator.
Otvaranje ekstrakcije
Kada ste vi ili drugi ispitivač kreirali ekstrakciju mobilnog uređaja, fizički analizator može da
otvori fajlove, koji se nalaze unutar UFED-ovih ekstrakcionih direktorijuma, kao što su *.ufd
fajlovi. Pored toga, UFED-ov fizički analizator može da otvori fizičke dump (odbačene) fajlove
iz drugih alata koristeći „Open Advanced” funkciju.
72
Dodatni formati fajlova su:
• UFED logički izlaz (UFED Logical Output) (*.xml)
• UFDX kolekcije (*.ufdx)
• UFED paketi izveštaja (*.ufdr)
• UFED izveštaj (*.xml)
• InField paket (*.zip)
• Binarne fajlove (*.bin)
• BlackBerry backup fajlove(*.idp)
• BlackBerry blackup fajlove (*.bbb)
• Nokia PM (*.pm)
• Sony Ericsson GDFS (*.gdfs, *.bin)
• TomTom CFG (*.cfg)
Da biste otvorili ekstrakciju u okviru UFED fizičkog analizer-a, kliknite na File-Open case u
glavnom meniju ili pritisnite prečicu Crtl+O na tastaturi. U meniju Open case (Otvori slučaj)
kliknite na dugme Dodaj ekstrakciju (Add extraction) i odaberite lokaciju UFED ekstrakcijskog
direktorijuma i izaberite odgovarajuči *.ufd fajl.
73
74
Nakon što odaberete .ufd fajl, možete ponovo da kliknete na dugme Dodaj ekstrakcije (Add
extractions) da biste dodali dodatne ekstrakcije istog telefona (npr. sa različitim tipovima
ekstrakcije) ili povezanih uređaja (npr. SIM-kartica ili SD-kartica) za slučaj. Za više detalja
pogledaj Merging multiple extractions. Ako ste dodali sve ekstrakcije koje ste nameravali u svoj
slučaj, klikom na Start decoding otvara se slučaj ili Next za dodatne korake.
Ako ste kliknuli Next, u sledećem koraku možete odabrati skupove heša za traženje poznatih
fajlova (više na 104 str), odaberite opciju za urezivanje (carve) dodatnih podataka o lokaciji (više
na 100. str u poglavlju Location Data Carving) i oporavak podataka iz arhiva (na str 145. Data
Files). Takođe, ove akcije se mogu izvesti kasnije.
75
Kada se uređaj otvori, informacije će se dekodirati,
kategorizovati i smešteni u „Project Tree” za analizu. Proces
dekodiranja može se obaviti za razumno vreme (od 40 ili 50
minuta za pametne telefone koji sadrže veoma velike količine
podataka). Što je kapacitet skladištenja veći, sadržan je veći broj
podataka, instaliranih aplikacija itd. te će i dekodiranje potrajati.
76
Upravljanje sa više projekata
Fizički analizator omogućava da više projekata bude otvoreno odjednom. Svakom otvorenom
projektu se automatski dodeljuje boja, tako da su kartice različitih projekata pregledne. Sve
kartice su tada označene tom bojom, što se, takođe, može videti pored naziva projekta u Project
Tree (stablu projekta).
77
Drugi način da se ekstrakcija direktno doda u otvoren projekat je klikom na dugme Add
extraction koje se nalazi u gornjem desnom uglu prozora Extraction Summary.
78
Kada pregledate podatke u višestrukom projektu, kolone sa istim malim trakama iste boje
upućivaće u kom redu i u kojoj ekstrakciji je pronađen deo podatka. U narednom primeru, prva
slika je pronađena u „fizičkoj” ekstrakciji i ekstrakciji „sistemskih fajlova (2)”, druga slika je
pronađena u sledećim ekstrakcijama - „fizičkoj”, „sistemskih fajlova (2)” i „logičkoj”, i treća
slika je pronađena samo u fizičkoj ekstrakciji.
Ako u
prvoj koloni kliknete na strelicu nadole, red će se proširiti i prikazaće se podaci koje sadrži svaka
ekstrakcija.
79
vremenskoj zoni uređaja. Fizički analitičar se može podesiti da podešavanje vremenske zone radi
automatski i to klikom na Tools → Settings odabirom opcije Automatically adjust timestamps
according to the device’s time zone u General Settings-kartici.
Ako se vremenska zona ne prepozna automatski ili vremenskoj zoni želite dati drugu vrednost,
možete podesiti vremensku zonu bilo kada odabirom dugmeta Project Settings (Podešavanja
projekta) u Extraction Summary (u gornjem desnom uglu) ili klikom na Tools-Project Settings.
Zatim možete izabari odgovarajuću vremensku zonu u okviru postavki Project Settings odabirom
Time zone (Vremenska zona) i podešavanjem postavki vremenske zone. Kada je vremenska zona
jednom odabrana, sve vremenske oznake ekstrahovanih faljova i entiteta biće korigovani prema
vremenskoj zoni koju ste odabrali. U novijim verzijama fizičkog analitičara, takođe možete
80
odabrati opciju za prikaz vremenske oznake u originalnoj vremenskoj zoni koju koristi uređaj
koje je zabeleženo u vremenskoj oznaci.
Vremenske oznake mogu se konvertovati ukoliko pre svega sadrže informacije o svojoj
vremenskoj zoni ili ukoliko su u sačuvane u uopštenom formatu (npr. Unix vremenske oznake ili
drugi vremenski formati). Vremenska oznaka poput „2016-16-06 17:01:00” ne sadrži ove
podatke i stoga će biti prikazani nepromenjeni.
Napomena: izabrana vremenska zona u srednjem primeru je bila UTC+1 (Berlin), ali
kako je fizički analizator sačuvao dnevno vreme na nalog, vremenske oznake
konvertovane su u UTC+2.
81
82
Verifikacija heševa Image fajla
Fizički analizator omogućava ispitivaču da verifikuje heševe koji su generisani tokom fizičke
ekstrakcije mobilnog uređaja koji se nalaze u *.ufd datoteci.
Da biste pristupili i proverili ove informacije, idite na Extraction Summary (rezime ekstrakcije) i
kliknite na ime ekstrakcije (obojena je i podvučena kao uobičajena hiperveza) ili na karticu
ekstrakcije.
Na kartici ekstrakcije možete kliknuti na dugme „Verify” da biste uporedili heš iz *.ufd fajla sa
trenutnim hešom podataka u image fajlu.
83
Ukoliko slika nije verifikovana, možda ćete želeti ponovo da pogledate mobilni uređaj i ponovo
verifikujete heš za integritet dokaza.
Šta je heš?
Heš vrednost (ili hash) je broj generisan iz niza teksta. Heš je fiksne dužine, obično mnogo manji
od originalnog teksta i generisan određenom formulom. Ova formula je dizajnirana tako da isti
ulaz uvek daje uvek isti heš, ali da je malo verovatno da dva različita ulaza daju isti heš (ovo se
zove kolizija).
Između ostalih oblasti primene, heš funkcije se koriste da verifikuju da digitalni dokaz nije
izmenjen. Za ovu svrhu se posle ekstrakcije cela binarna slika ekstrakcije koristi se kao ulazni
tekst za heš funkciju i šuva se rezultujući heš.
Ukoliko kasnije bude doveden u pitanje integritet dokaza, tada se slika može ponovo heširati i
rezultujući heš se može uporediti sa onim koji je prvobitno izračunat. Ukoliko je u međuvremenu
izmenjen samo jedan bit slike, tada će rezultujući heš biti potpuno drugačiji.
84
Rad sa fizičkim analitičarem
Ispod možete videti različita polja fizičkog analitičara.
Centar za obaveštavanje
Nalazi se levo od globalne pretrage (gornji desni ugao prozora fizičkog analitičara) i novi je
centar za obaveštavanje sa ikonicom zvonastog oblika. Ovaj centar za obaveštavanje zamenjuje
neke dijaloge poruka starijih verzija UFED-a.
Neke poruke će, takođe, izbledeti u donjem desnom uglu prozora fizičkog analitičara.
85
Extraction Summary prozor (prozor sa rezimeom ekstrakcije)
Extraction Summary prozor pruža informacije o ekstrakciji - ili u slučaju spajanja projekata: o
različitim ekstrakcijama - uređaja (tip ekstrakcije, korišćeni UFED uređaj, datum i vreme
ekstrakcije itd), o samom uređaju (marka i model, IMSI, ICCID, korišćena vremenska zona itd) i
o sadržaju pronađenom u uređaju.
86
Memorijske slike (Memory Images)
U okviru stabla projekta izbor „Images” pruža listu
svih ekstrahovanih fajlova generisanih iz
memorijskih modula uređaja. Ovo su kompletne
binarne slike ekstrahovane iz mobilnih uređaja. (Ne
treba ih mešati sa slikama fotografija koje se nalaze u
odeljku (Podaci datoteke) Data Files).
87
File Systems
Drvo File Systems izlistava sve sistemske fajlove (File Systems) koji su pronađeni ili
rekonstruisani iz analiziranog binarnog fajla.
Svaki sistemski fajl označen je ikonom (hard drive). Izbrisani fajlovi označeni su crvenim
krstićem.
• Izaberite stavku sistemski fajl da bi se dodao na listu označenih binarnih podataka i/ili
opsega memorije kojoj pripada.
• Dvostrukim klikom na proizvoljnu stavku sistemskog fajla prikazuje se njen sadržaj u
novoj Hex-a kartici.
U okviru odeljka sistemski fajlovi možete pronaći particiju korisničkih podataka kao i sistemsku
particiju.
88
Analizirani podaci
Stavki analizirani podataka prikazuje grupe analiziranih podataka koji su povezani sa uređajem i
određenih su funkcija kao što su kontakti, SMS poruke,
evidencije poziva (call log) itd...
89
Fajlovi podataka (Data Files)
Drvo sa fajlovima podataka sortira ekstrahovane podatke
u uobičajeni ili poznati format fajlova koje koriste uređaji
i računari. Ovo uključuje slike, video, audio i tekstualne
faljove. Ovi fajlovi se identifikuju na osnovu potpisa
datoteke (zaglavlje) i ekstenzije fajla. Posebna
podešavanja za ovo nalaze se u „Tools” - „Settings” -
„Data Files”.
Pažnja: UFED će možda biti u stanju da detektuje (kategorizuje) arhive i automatski će uvesti i
predstaviti njihov sadržaj. Svakako, neće svi arhivirani tipovi biti detektovani i neće se svi oni
90
automatski otpakovati. Sledi tabela iz koje se vidi koji arhivirani tipovi zahtevaju manualno
pregledanje. (kao za 01/2019)
Tabela koja opisuje koje će arhivirane tipove UFED i slični alati detektovati i automatski
otpakovati
* Magnet AXIOM ne kategoriše tipove fajlova zbog njihovog pristupa zasnovanog na upotrebi.
Document Viewer
Od verzije 7.23 Cellebrite je predstavio novi prikazivač dokumenata koji omogućava dodatim
PDF i Office (Word, Excel, Powerpoint) fajlovima da budu pregledani u fizičkom analitičaru.
Prethodno je bilo koji dokument mogao da se otvori pomoću eksterne matične aplikacije.
Dvostrukim klikom na PDF ili Office dokument sada se generiše JPG slika dokumenta i
prikazuje je u okviru Document View kartice.
91
Tagovi (Oznake)
Sekcija Tag-ovi se koristi za praćenje stavki koje su
označene kao stvake dokazne vrednosti. Nakon označavanja
stavke, inkrementiraće se Tag sekcija u okviru stabla
projekta i pratiće se svi zadati tagovi.
Reports (Izveštaji)
Odeljak Reports koristi se za praćenje izveštaja koji su
generisani softverom UFED fizičkog analitičara. Kada ispitivač
kreira izveštaj, odrednica će se pojaviti u odeljku „Reports” u
stablu projekta.
92
Cloud Data Sources (Izvori podataka u oblaku)
U odeljku Cloud Data Sources, fizički analitičar prikazuje
naloge podržanih usluga oblaka, koji su bili pronađeni
povezani na uređaj.
Možete uvesti autentikacione tokene naloga koji su pronađeni
na uređaju i sačuvajte ih u obliku paketa naloga na računaru
klikom na Tools → Export account package in the main menu.
Ovaj paket naloga može se zatim uvesti u zaseban softver „UFED Cloud Analyzer” i izdvojiće
podatke iz ovih usluga oblaka. UFED Cloud Analyzer koristiće autentikacione tokene uređaja,
povezaće se sa cloud servisima i preuzeće podatke sačuvane na zadatom nalogu.
Pre upotrebe ove funkcije da se pristupi podacima u oblaku, molimo vas proverite odgovarajuće
zakone i postupke svojoj zemlji i/ili razgovarajte sa odgovornim sudijom ili advokatom.
Dodatne datoteke
Počevši od verzije 7.23 moguće je dodati spoljne fajlove u
projekat pomoću opcije Additional Files.
Pregled podataka
Pomoću fizičkog analitičara postoji nekoliko načina da se pregledaju podaci koji se nalaze u
datotekama slika, particijama podataka ili analiziranim sekcijama podataka. U ovom odeljku će
biti razmotreni različiti načini pregledavanja i prikazivanja informacija za analizu.
93
Pregled specifičnih tipova podataka
Da biste pregledali stavke u stablu projekta i otvorili ih za analizu,
dvostrukim klikom na bilo koju stavku u stablu projekta pojaviće se
izabrana stavka u prozoru podataka na desnoj strani fizičkog
analizatora.
Na primer, dvostrukim klikom na SMS poruke u stablu projekta, otvoriće se nova kartica koja
sadrži tabelu sa svim pronađenim SMS porukama vaše ekstrakcije.
Imajte na umu da brojevi u zagradama iza svake stavke u stablu projekta označavaju ukupan broj
stavki pronađenih u projektu, dok crveni broj koji sledi u crvenim zagradama označava izbrisane
stavke koje fizički analizator automatski vrati.
SMS poruke
Sortiranje
U sledećem prikazu vide se informacije povezane sa SMS porukama uključujući sadržaj i stranke
(pošiljalac/parties). Pored toga, možete koristiti naslovnu traku za sortiranje informacije na
osnovu zaglavlja, npr. Vremenska oznaka (Timestamp) ili Status. Da biste sortirali informacije po
nekoj određenoj koloni, kliknite na ime kolone i odaberite rastući ili opadajući redosled.
94
Odabir prikazanih kolona
Takođe, desnim klikom na ime kolone iz liste kolona možete
odabrati koja će kolona biti prikazana.
Filtriranje informacija
Jedna opcija za filtriranje prikazanih informacija jesu različiti dugmići u Data Pane (panelu
podataka). Postoje tri glavne opcije za filter:
• Prikaži sve
• Prikaži samo izabrane stavke
• Prikaži samo neizabrane predmete
Pored toga, sada postoji dugme za filtriranje sa više opcija filtriranja zavisno od vrste podataka:
95
Padajući filteri
Na levoj strani panela nalaze se filteri koji su postavljeni. Takođe, mogu se obrisati jednim
klikom.
U polje Pretraživanje tablice (Table Search) ne možete uneti samo ključne reči, već i MD5 heš
vrednosti, vremenske oznake ili slične podatke. Međutim, kao što ćete videti u nastavku, postoje
tačniji i brži načini rada za filtriranje vremenske oznake.
96
Savet: Ako unesete tekst u polje za Table Search, fizički analitičar filtriraće tablicu
podataka nakon svakog pritiska tastera. Ako ste otvorili veliki slučaj koji na vašoj mašini
radi poprilično sporo, bilo bi preporučljivo da u uređivač teksta (text-editor) prvo unesete
svoj filtrirani tekst, kopirate ga i zalepite ga u polje za pretragu tabele (Table Search),
stoga će fizički analitičar ažurirati tabelu samo jednom.
Global Search
Funkcija Global Search daje ispitivaču mogućnost da brzo pronađe informacije u svim
projektima i svim ekstrakcijama u okviru različitih projekata koji su otvoreni. Ispitivači mogu
uneti ključne reči relevantne za istragu u traci Global Search koja se nalazi u gornjem desnom
uglu fizičkog analitičara.
Kada se ključna reč unese u Global Search traku,
pogoci se odmah prikazuju u iskačućem prozoru
ispod trake za pretragu i sortirani su prema projektu.
Kada pritisnete taster Enter nakon unosa termina za
pretragu, pogoci će se prikazati u novoj kartici u
vidu tabele što je mnogo lakše za identifikovanje i
analiziranje pronađenih stavki.
97
Global Advanced Search (Globalna napredna pretraga)
Sa verzijom 7.23 uvedena je dodatna opcija za napredno pretraživanje koja omogućava globalnu
ili specifičnu pretragu za projekat korišćenjem više ključnih reči sa AND, OR i EXCLUDE
opcijama. Ovoj funkcionalnosti se pristupa klikom na strelicu na dole pored okvira Global
Search u gornjem desnom uglu.
98
Exporting Items (Izvoz stavki)
Za bilo koji prikaz tabele, možete brzo da kreirate brzi izvoz u nekoliko formata koji će se
koristiti u vašoj dokumentaciji ili izveštajima, ili će biti podaci od značaja istražiteljima, drugim
tužiocima itd.
Da biste kreirali izvoz trenutnog prikaza tabele, kliknite dugme za izvoz koje se nalazi u gornjem
desnom uglu panela podataka i odaberite format podataka.
Nekoliko formata je dostupno za izvoz:
• Excel
• HTML
• PDF
• XML
• EML za e-poštu
• KML za lokacije
• Griffeye za slike
Export/ izvoz dugme
Svi filteri koji su trenutno postavljeni u vašoj tabeli podataka automatski će se primeniti na izvoz
(što znači da se svaka trenutno nefiltrirana stavka neće pojaviti u izvozu). Takođe, sve stavke
koje nisu selektovane (dakle bez kvačice u koloni Uključi) neće biti sadržane u izvozu.
Brzi izvoz sadrži samo podatke trenutnih tabela. Za obimnije izveštaje pogledajte poglavlje
Reporting with Physical Analyzer (Izveštavanje sa fizičkim analizatorom).
Da biste pratili kritične nalaze tokom istrage možete koristiti tag-ove za brzo pronalaženje nalaza
za razmatranje i izveštaj. Tag-ovi se sastoje od fiksnog imena i opcionog opisa. Postoji skup
standardnih tagova (pogledajte hotkeys), međutim u bilo kom trenutku korisnik može da kreira
nove tagove sa prilagođenim imenima.
99
Da biste označili neki deo dokaza, izaberite red tabele i ili pritisnite ikonu Tag za kojom sledi
„Tag” u gornjem desnom uglu panela podataka ili pritisnite odgovarajući hotkey. Standardni
hotkeys tasteri su:
- F6: Dokazi / Evidence
- F7: Važno / Important
- F8: Na čekanju / Pending
- F9: Završeno / Completed
Ukoliko otvorite Tag sekciju u svom stablu projekta, dobićete pregled svih dodeljenih tagova.
Možete skočiti na prikaz tabele bilo koje obeležene stavke dvostrukim klikom na nju. Nadalje,
možete ukloniti bilo koji dodeljeni tag iz tabele Tagovi ili bilo koji uobičajeni prikaz tabele,
odabirom označene stavke i klikom na ikonu Delete tag nakon klika na ikonu Tag.
100
Takođe je moguće dodeliti tag-ove za nekoliko unosa odjednom obeležavanjem redova koje
želite da tag-ujete (držite Strg/Ctrl i kliknite neki drugi red ili držite Shift da biste obeležili opseg
redova - slično kao obeležvanje fajlova u Windows Explorer), a zatim klikom na tag ikonu ili
pritisnite odgovarajuće hotkeys.
Takođe, možete dodati tag sekciju u svoj izveštaj o nalazima o čemu će biti reči u kasnijem
poglavlju.
101
Za:
• Skeniranje je mnogo brže
• Manje lažnih pozitivnih rezultata
• Nađeno je manje „smeća”
Protiv:
• Biće pronađeno potencijalno manje slika
Za:
• Biće pronađeno potencijalno više slika
Protiv:
• Mnogo sporije skeniranje
• Više lažnih pozitivnih rezultata
• Pronaći ćete više „smeća”
102
Možete se odlučiti za izdvajanje najposećenijih područja ili definišete radijus ili više radijusa u
okviru koga se izdvaja lokacija. Imajte na umu da - u zavisnosti od sadržaja podataka u telefonu
koji analizirate - definisanje previse radijusa za izdvajanje lokacije može imati negativan efekat
na vreme koje je potrebno za proces izdvajanja.
103
slučajni šum. Međutim, savetujemo da deaktivirate ovu opciju i da sredite lažno pozitivne nalaze,
kao što se pre događalo da je ova opcija isfiltrirala i odbacila nalaze relevantne za slučaj.
Fizički analitičar će automatski pretražiti obrisane, ali vraćene, podatke u SQLite bazama
podataka (koje sadrže većinu podataka u pametnim telefonima). Ukoliko je opcija „Use deep
carving for SQLite” („Koristite duboko rezbarenje za SQLite”) aktivirana (podrazumevano:
isključeno), fizički analitičar će upotrebiti malo više vremena i pokušaće da pronađe još više
nadoknadivih podataka unutar ovih baza podataka.
Slično, opcija „Recover data from archive files” („Obnovi podatke iz arhivskih datoteka”)
(podrazumevano: isključeno) pokušaće da nađe dodatne podatke unutar arhiva.
Ove opcije su moćni (i u poređenju sa drugim forenzičkim alatima veoma temeljni) alati za
automatsko oporavljanje obrisanih podataka. Iako po cenu da fizički analitičar potroši više
vremena za otvaranje ekstrakcije, vredno je čekanja jer je ispitivač skoro uvek zainteresovan za
izbrisane podatke. Stoga, savetujemo da aktivirate opcije „Use deep carving for SQLite” i
„Recover data from archive files” za dobijanje maksimalne količine podataka za Vaše istrage.
104
podešavanja, kliknite na dugme Export i nakon ažuriranja, kliknite dugme Import u
prozoru podešavanja.
Međutim, moguće je da fragmenti podataka koji se mogu povratiti (tj. fragmenti poruka
ćaskanja) preostanu, a fizički analitičar im ne može automatski pristupiti i samim tim se ne mogu
prikazati. Dakle, izvođenje ručne heksa pretrage kroz fajlove baze podataka ili čak celih
memorijskih image-a ponekad može da obezbedi dragocene nalaze koji bi inače bili propušteni.
Sadržaj vremenske linije se može izmeniti klikom na dugme Timeline Settings (Podešavanja
vremenske linije) i promenom odgovarajućih podešavanja. Takođe, moguće je razdvojiti redove
(po danima) klikom na Actions → Group by → Ungroup (Akcije → Grupisati po →
Razdvajanje).
105
Watch Lists (Liste pregleda)
Ispitivač može postaviti Watch Lists (liste pregleda) koje koriste ključne reči za brzu pretragu
informacija relevantnih za istragu. Ovaj postupak može uštedeti dragoceno vreme i trud
ispitivača. Ispitivači mogu kreirati listu pregleda putem uređivača liste pregleda i kreirati ili
uvesti listu ključnih reči relevantnih za istragu.
Da biste kreirali listu pregleda, u glavnom meniju kliknite Tools → Watch List Editor (Alatke →
Uređivač liste).
Jednom kada se napravi lista praćenja, može se pokrenuti prema ekstrahovanim podacima
klikom na Tools → Run Watch Lists on Active Project u glavnom meniju da biste brzo pronašli
ključne reči u okviru liste praćenja.
Kada se pretraga pokrene, svi pogoci prikazuju se u stablu projekta liste praćenja. Izaberite
Select Watch List za pregled rezultata.
106
Napomena: Takođe, možete dodati MD5 heš vrednosti na listu praćenja da bi fizički
analitičar automatski tražio određene fajlove.
Kako ćete ručno morati da dodajete svaku heš vrednost i kako će fizički analitičar,
takođe, tekstualnu vrednost heša tražiti u svim imenima fajlova i sadržaju fajlova, nije
preporučljivo da se ova metoda koristiti za duže heš liste. U tu svrhu trebalo bi da
koristite Hash set manager koji je uveden sa verzijom 6.3 fizičkog analitičra. (vidi dole)
107
Ako kliknete na dugme „New” („Novo”) možete dodati nove heš skupove iz Project Vic ili
CAID ili uvesti heš skupove u obliku tekstualne fajla ili CSV fajla koji sadrži MD5
heševe. Takođe, možete odlučiti da li želite da pogoci budu isključeni u korisnilkom okruženju
fizičkog analitičara i/ili vašim izveštajima.
Pogoci heš skupova biće prikazani u stablu projekata u kategoriji Liste praćenja.
108
Malware Scanner
(Skener za zlonamerne programe)
Skener zlonamernog softvera omogućava ispitivaču da skenira uređaj radi pronalaska poznatog
zlonamernog softvera.
Prepoznavanje zlonamernog softvera na uređaju je kritično, jer on može učiniti da uređaj ne
funkcioniše na način na koji je bio predviđen, npr. može:
• Sakriti informacije od korisnika
• Preneti informacije sa uređaja
• Ometati funkcije uređaja
• Sačuvati informacije sa uređaja (broj kreditnih kartica, bankarske informacije itd.)
Ukoliko vaš računar ima aktivnu internet konekciju, možete direktno ažurirati bazu zlonamernog
softvera klikom na “Tools” – “Malware Scanner” – “Update signature database”. („Alati” -
„Skeniranje zlonamernog softvera” - „Ažuriranje baze potpisa”).
109
Inače, ažurirani paket možete preuzeti sa drugog računara i ažuriranje izvršiti iz te datoteke.
Da biste ovo obavili, idite u direktorijum gde je instaliran vaš fizički analitičar (podrazumevano:
C:\Program Datoteke\Cellebrite Mobile Synchronization\UFED Physical Analyzer), kopirajte
BitDefenerUpdater koji pronađete tamo na drugi računar korišćenjem USB memorije ili drugog
medijuma za skladištenje podataka i pokrenite Downloader.exe na računaru sa internet
konekcijom. Pratite uputstva koje daje aplikacija.
Fajl za ažuriranje je baza potpisa poznatog
zlonamernog softvera čijim se poređenjem sa
potpisima u fajlu forenzičkog image-a utvrđuje
da li postoji mogućnost da je zaražen.
Nakon ažuriranja baze podataka ikona
zlonamernog softvera na liniji alata će se
aktivirati i može se koristiti za skeniranje
aktivnog zlonamernog softvera na uređaju.
Sistem će skenirati uređaj i ukoliko je
identifikovan malver, biće prikazan u stablu projekta u sekciji Malware Scanner.
110
Prevod
Physical Analyzer nudi automatsko prevođenje sadržaja entiteta (npr. SMS poruke, elektronska
pošta, ćaskanja) i ispitivaču pruža mogućnost da stekne uopštenu predstavu o sadržaju na stranim
jezicima.
Sa licencom za fizički analitičar besplatno ćete moći da odaberete pet od 14 dostupnih jezika
(engleski je već uključen). Ako je potrebno, možete da kupite više jezika.
Odaberite jezike koji su vam potrebni za prevođenje - sa kog jezika (source) na koji jezik
(target). Nakon što ste odabrali jezik, možete i završiti - svakako, ne morate odabrati svih pet
jezika odjednom. Možete odabrati manje jezika, i ostaviti prazne linije a da ih kasnije popunite.
111
U ovom primeru izabran je nemački jezik. Moguće je dodati još dva jezika.
Konačno, morate instalirati paket za prevod. Kliknite na Tool → Translation u glavnom meniju i
otvorite meni za instalaciju. Ukoliko računar na kojem radite ima aktivnu internet konekciju,
možete preuzeti paket za prevod direktno sa mreže. U suprotnom, možete preuzeti paket za
112
prevod sa my.cellebrite.com na kartici Downloads, kopirajte ga na spoljašni medijum za čuvanje
podataka i kliknite Install from file.
Od Physical Analyzer 7.0 dostupan je i premium prevodilački paket koji nudi 70 dodatnih
jezika. Ako su vam potrebni jezici iz premium paketa, moraćete da se obratite Podršci za prodaju
kompanije Cellebrite.
113
Podržane aplikacije
Informacije koje određena aplikacija (ili app) čuva na mobilnom telefonu biće prikazane samo u
sekciji Analyzed data (Analizirani podaci) i mogu se pretraživati uopštenom pretragom ukoliko
je instalirana verzija aplikacije podržana i može biti dekodirana pomoću verzije Physical
Analyzer koju koristite.
Da biste dobili pregled svih trenutno podržanih aplikacija i verzija aplikacija, kliknite na “Help”
→ “Supported Apps” („Pomoć” →„Podržane aplikacije”).
U sekciji Analizirani podaci stabla projekta naći ćete i kategoriju „Instalirane aplikacije”. Ovde
ćete naći tabelu koja sadrži sve aplikacije koje su instalirane na ekstrahovanom telefonu. Ova
tabela sadrži kolonu pod nazivom „Dekodirano”. Ukoliko u ovoj koloni postoji plava kvačica,
tada Physical Analyzer podržava ovu specifičnu aplikaciju, i u odeljku Analizirani podaci
pronaći ćete informacije o aplikacijama. U suprotonom, moraćete ručno da analizirate ovu
aplikaciju pretraživanjem njenih datoteka i/ili bazu podataka.
U ovoj tabeli možete brzo skenirati instalirane aplikacije koje Physical Analyzer trenutno ne
podržava, ali može sadržati ključnu informaciju.
114
Analiza četova
Četovi se prikazuju drugačije od drugih podataka o
komunikacijama. Ukoliko proširite odeljak za četove
u stablu projekata, pronaći ćete četove na uređaju
sortirane po aplikacijama za razmenu poruka. Za
svaku korišćenu aplikaciju ili servis za slanje poruka,
videćete odrednicu za kojom slede dva broja: prvi označava broj razgovora u toj aplikaciji ili
servisu, a drugi je broj poruka koje su sadržane u ovim razgovorima.
Ukoliko kliknete na neku od ovih app za razmenu poruka ili na Chats da biste ih sve videli,
videćete tabelu sa svim razgovorima i prozor sa porukama odabranog razgovora sa desne strane.
Ukoliko želite da potražite određeni sadržaj, možete koristiti ili polje za pretragu u tabeli (1) ili
polje za pretragu razgovora (2). Ako koristite pretragu po tabeli, rezultat će biti svi razgovori koji
sadrže reč koju ste pretraživali. Ako koristite pretragu za razgovor, rezultat će biti poruke u
okviru razgovora koji sadrže reč koja se pretražuje. Ako koristite uopštenu pretragu ili listu
praćenja, rezultat će biti poruke u okviru razgovora.
Isto tako možete da potvrdite/poništite i označite čitave razgovore u glavnoj tabeli ili posebne
poruke u okviru jednog razgovora.
115
Klikom na dugme za prikaz razgovora (3), izabrana konverzacija će se otvoriti u novoj kartici,
pružajući bolji pregled i mogućnost brzog izvoza sadržaja razgovora. Sličan prikaz razgovora
obezbeđen je i za SMS-razgovore, pozive, e-poštu, itd.
Pregled slika
Pametni telefoni verovatno sadrže desetine hiljada slika zbog čega je izazov pretraživanje
kategorije slike kao dokaza. Razmatraćemo o nekim alatima koji olakšavaju pretragu slika.
116
Na padajućem meniju iznad tabele sa slikama naći ćete različite filtere:
Veličina: filter veličine slike za prikaz svih slika ili slika samo između zadatog opsega u
kilobajtima. Ideja koja stoji iza ovoga je da fotografije imaju najmanje 500kb i preuzete slike
veću rezoluciju i to najmanje 100kb, tako da brzo možete izdvojiti hiljade ikona i GUI
elemenata. Svakako, treba imati na umu da se na ovaj način mogu prevideti thumbnails (sličice)
relevantnih ili obrisanih fotografija.
Format: Filtriranje prema formatu slike: JPEG/GIF/Bitmap/PNG
Metapodaci: Samo prikazivanje slika sa/bez metapodataka i sa/bez lokacije: Ovo je još jedan
brzi način pronalaženja slika koje su fotografije, jer obično sadrže metapodatke.
Vreme snimanja: Omogućava da se pronađu fotografije koje su snimljene u određenom
vremenskom okviru
Povezane stavke: Prikaži/sakrij duplirane stavke
Prilozi (Attachments): Prikazuje samo slike koje su/nisu bile priložene
Uputstvo: Prikažite samo slike koje su poslate/primljene/nepoznato
Iznad trake sa alatkama, nalaze se kartice Table View, Thumbnail View i Folder View.
U Thumbnail View možete brzo da se krećete kroz veliki broj slika. Za bolji pregled se klikom na
Actions („Akcije”) i Display Size („Veličina prikaza”) može promeniti veličina thumbnail-ova i
prikaže/sakrije imena fajlova (filenames).
117
U Folder View nalazi se stablo svih
direktorijuma iz kojih su izvučene slike iz
telefona. Mogu se odabrati/poništiti čitavi
direktorijumi (uključujući poddirektoriju-
me) i otvoriti sve slike određenog
direktorijuma u novoj kartici klikom na
ikonicu sa zelenom strelicom pored
naziva fascikle.
Savet: Isto se može postići desnim klikom
na bilo koju sliku u Table View ili
Thumbnail View i klikom na „Otvori sve
slike u istom direktorijumu” (Open all images in the same folder).
Redact Images
(Preuređivanje slika)
Od verzije 7.23 moguće je ručno preuređivanje slika i video zapisa u okviru aplikacija, što može
biti korisno za slučajeve osetljive prirode, npr. kao oni koji uključuju materijale sa
eksploatacijom dece.
Preuređivanje se može izvršiti desnim klikom na sliku/video i odabirom ili preuređivanje
(Redact) ili prečice Ctrl+F8. Kada se jednom izvede akcija preuređeni thumbnail slike zameniće
original i prilikom generisanja izveštaja ovi faljlovi će biti označeni kao preuređeni.
118
Analiza priloženih slika
Često su slike koje su pronađene na pametnim telefonima poslate ili primljene putem e-pošte,
aplikacija za poruke ili na sličan način. Kao što je prethodno navedeno, postavljanjem
odgovarajućeg filtera mogu se filtrirati priložene slike koje su poslate ili primljene.
Ukoliko kliknete na sliku koja je priložena, primetićete karticu Events (Događaji) na bočnoj traci
(vidi dole). Ako se prebacite na karticu Events (događaji), prikazaće se informacije o
slanju/prijemu događaja. Može se kliknuti i padajući meni Go to (Idi na) koji će direktno odvesti
na traženi događaj u vremenskoj traci ili e-pošte/poruke ćaskanja/itd.
119
Data sources
(Izvori podataka)
Od verzije 5.0 Physical Analyzer će odmah prikazati izvorni fajl svakog podatka odmah pored
samog podatka. Ovo nudi lakši i brži način verifikacije izvora i integriteta dokaza. Informacije o
izvornom fajlu mogu se pronaći u tabelama u koloni na krajnjoj desnoj strain, takođe i u prozoru
sa detaljima zdesna. Informacije o izvornom fajlu se takođe mogu naći u sekciji za informacije o
uređaju u Extraction Summary.
Klikom na informaciju o izvornom fajlu može se skočiti direktno na linkovani fajl, koji je obično
u heksa obliku.
Enrichments
(Obogaćenja)
Dodatni podaci o lokaciji UFED Physical Analyzer-u može ispitati od spoljnih servisa i ove
dodatne podatke uključiti u izveštaje. Ovi zahtevani podaci se nazivaju Erichments
(obogaćenja).
120
Querying WiFi & Cell Tower Positions
(Upit pozicijaWiFi i ćelijskog tornja)
U ovom slučaju traže se WiFi i ćelijski tornjevi na koje je telefon u nekom trenutku bio zaista
povezan. Kako su nepoznate pozicije WiFi ili ćelijskog tornja, treba koristiti spoljne izvore
podataka za dobijanje informacija o stvarnoj lokaciji podataka. Za ovu svrhu UFED Physical
Analyzer nudi funkciju koja se zove Erichments (obogaćenja).
121
U suprotnom, sa my.cellebrite.com se može preuzeti BSSID-baza podataka i stoga se traži na
lokalnoj mašini bez internet konekcije. Baza podataka će biti preuzeta u UFED Physical/Logical
Analyzer under Add.
Nakon preuzimanja treba instalirati nove podatke prvenstveno koristeći opiju Tools →
Enrichment of BSSID and cell towers.
122
Druga alternativa je da uvezete informaciju o WiFi i ćelijskom tornju i zatražite podatke lokacije
sa online servisa od Cellebrite.
Da bi se ovo obavilo treba odabrati: Tools → Enrichment of BSSID and cell towers → Export.
Dobićete .xml fajl koji treba poslati na mejl enrichment@cellebrite.com. Nakon nekoliko minuta
dobićete automatski odgovor koji sadrži drugi .xml fajl. U Physical Analyzer klikom Tools →
Enrichment of BSSID and cell towers → Import biće obezbeđeno da fajl koji je preuzet bude
uvezen u vaš projekat.
123
Čak i ako imate instaliranu BSSID bazu podataka, možete izvesti gore navedeni korak uz to da
koristite bazu podataka ukoliko su podaci o lokaciji veoma važni za vaš konkretni slučaj. Naše
iskustvo je pokazalo da često dobijate nekoliko dodatnih lokacija koristeći online uslugu upita
koje još uvek nisu sačuvane u bazi podataka. Ako dobijete dodatne lokacije, one će automatski
biti dodate u vašu lokalnu bazu podataka.
Ova funkcija zahteva aktivnu internet konekciju i radiće istovremeno samo za 200 pozicija.
124
Ažuriranja
Ne zaboravite da ažurirate svoj Physical Analyzer, kao i svoj UFED Touch2 ili UFED 4 PC.
Manja ažuriranja koja obezbeđuju ekstrakcije za više modela uređaja i/ili više/bolja dekodiranja
aplikacija trebalo bi biti dostupna svakih mesec dana, dok se velika ažuriranja sa novim
funkcijama očekuju 4 puta godišnje.
Ako računar na kojem radite ima aktivnu internet konekciju, Physical Analyzer će sam proveriti
ima li novih ažuriranja i obavestiće vas ukoliko je dostupna nova verzija.
125
Ako odete na podešavanja naloga (klikom na strelicu u gornjem desnom uglu, a zatim My
Account (Moj nalog)), dodatno možete da registrujete svoju elektronsku adresu pored one na
koju ste registrovani, tako da će vas putem elektronske pošte uvek obaveštavati da li je dostupna
nova verzija za preuzimanje i koje nove uređaje sada podržava.
126
Izveštavanje sa Physical Analyzer
Physical Analyzer može kreirati prilagođene izveštaje kao deo ispitivanja i nalaza. Funkcija
izveštavanja može da generiše izveštaje različitih formata koji se dostavljaju inicijalnom
istražitelju ili kao nalaz analitičarima, tužilaštvu ili timu odbrane.
Uz to, u mogućnosti ste da filtrirate koje su informacije obuhvaćene generinjem izveštaja. Pravna
ograničenja i politike mogu ograničiti informacije koje se mogu ekstrahovati i uključiti u
izveštaj. Physical Analyzer ispitivaču daje mogućnost da doda neophodne informacije u izveštaj.
Izveštaj o ekstrakciji
127
Formati izveštaja
Physical Analyzer omogućava ispitivaču da kreira izveštaj u više različitih formata. Ovi različiti
formati obezbeđuju ispitivaču različite funkcionalnosti i, takođe, jednostavan pregled. Formati
koje podržava fizički analizator su:
• Microsoft Word
• Microsoft Excel
• HTML
• PDF
• UFED (UFDR) paket izveštaja
• XML
Iako biste trebali da sledite standardizovani postupak izveštavanja, možda će vaš izveštaj morati
da uključi specijalne delove i informacije na osnovu toga kome podnosite izveštaj, specifičnosti
vaše organizacije ili specifični slučaj koji potkrepljujete.
Možda je internim izveštajima potreban dodatni nivo sigurnosti i možda će zahtevati upotrebu
PDF izveštaja. Tužioci i sudije će možda koristiti izveštaj zasnovan na HTML-u kako bi se
potkrepio nalaz procesa jer ih je jednostavno iščitati i podržava ih većina pretraživača.
Analitičari mogi i samostalno da sprovedu pretragu ili filtriranje, što mogu sprovesti UFDR
izveštajima i UFED čitačem.
Prilagođavanje izveštaja
Sa svakim od različitih vrsta izveštaja, ispitivač ima mogućnost da postavi prilagođena
podešavanja za izveštaj. Neke od najčešće korišćenih podešavanja su:
• Podrazumevano sortiranje
• Računanje heševa
• Logo Header
• Logo
• Logo Footer
• Prikaži ukupne vrednosti za stavke koje
nisu u izveštaju
128
• Prikaži prošireno izbrisano stanje
• Broj linija za pregled e-pošte
• Broj poruka po ćaskanju
• Prikaži celo telo e-pošte
• Prikažite sve chat poruke
Koja će podešavanja ispitivač uključiti u svaki izveštaj zavisi od informacije koje ispitivač treba
da ima u izveštaju i ako zakonska regulativa ograničava koji podaci se mogu uključiti.
Ukoliko ste ograničeni zakonskom regulativom ovde možete ograničiti vašu ekstrakciju i dobiti
samo rezultate potrebne za slučaj. Pored toga, ispitivaču možda neće biti potrebne ili ne želi sve
informacije iz slučaja, i može biti zainteresovan samo za kontakte ili SMS poruke. Dakle,
ispitivači mogu odabrati samo informacije koje su im potrebne za slučaj ili koje ispunjavaju
zakonske zahteve.
Svaki tip podataka možete odabrati ili ne selektovanjem ili poništavanjem selekcije. Ako ste
kreirali tag-ove (oznake) tokom ispitivanja i želite da ih uključite u izveštaj, takođe ćete morati
da odabere tag-ovanu vrstu podataka.
Takođe, za izveštaj možete obezbediti filter za opseg vremena koji uključuje dokaze samo u
okviru ovog vremenskog raspona.
Na primer:
Ako ste tag-ovali (obeležili) dve SMS poruke i želite da ih uključite u izveštaj, takođe ćete
morati da selektujete i SMS tip podataka inače tagovi neće biti uključene.
129
Brz način kreiranja izveštaja koji sadrži samo dokaze koje ste pronašli je kreiranje izveštaja –
Tags Only. Da biste to učinili, kliknite na opciju Tags Only u odeljku Examiner (Ispitivač).
Rezultujući izveštaj uključuje vaše oznake (ime/opis/datum je dodat) i entitete kojima su vaši
tagovi pridruženi.
Od verzije 7.23 takođe je moguće automatski redigovati sve priloge u okviru izveštaja. Ovo
može biti korisno za osetljive istrage, poput onih čiji se materijali odnose na eksploataciju dece.
130
Uključivanje/ isključivanje određene pojedinačne stavke
Takođe, možete da isključite određene stavke (npr. određene SMS poruke) ili da uključite samo
određene stavke prilikom generisanja izveštaja.
Da biste izuzeli određene stavke iz izveštaja, jednostavno otvorite prikaz tabele relevantnih
stavki i poništite selekciju stavke koje želite da budu isključene iz izveštaja.
131
Ako želite da uključite određene stavke nakon korišćenja funkcije pretrage ili filtera, morate
osigurati da nijedna stavka nije markirana pre primene pretrage ili filtera. Imajte na umu da će se
čak i stavke koje su trenutno skrivene pojaviti u izveštaju ako su markirane.
Napomena: Ako kliknete dugme Exclude all from report (Izuzmi sve iz izveštaja) ili
Select all for report (Odaberi sve za izveštaj) ova akcija će se primeniti samo na stavke
koje su trenutno vidljive. Neće biti uticaja na skrivene stavke.
Ukoliko često treba da generišete izveštaje koji sadrže samo određene stavke, možete poništiti
opciju Check entities by default u General Settings meniju podešavanja. Na ovaj način će sve
stvake biti podrazumevano isključene iz izveštaja, a u izveštaju će se naći samo one koje
specijalno uključite.
Primer:
U svoj izveštaj želite da uključite samo velike slike. Vaša namera je da isključite sve slike koje
pripadaju operativnom sistemu uređaja, a da dobijete samo fotografije koje je napravio korisnik
ili se preuzete.
132
• Korak 2: Kliknite na dugme Display images above 500 kb da sakrijete sve male slike koje
sadrže ikone itd.
• Korak 3: Kliknite na dugme Select all for report (Izaberi sve za izveštaj) i kreirajte svoj
izveštaj.
133
Čak i ako sada ponovo prikažete sve slike, videćete da su selektovane samo slike veće od 500kb
koje će biti uključene u izveštaj.
Additional Fields
(Dodatna polja)
U podešavanjima Additional Fields možete dodati informacije relevantne za slučaj kao što su:
• Broj predmeta
• Naziv predmeta
• Broj dokaza
134
• Ime ispitivača
• Odeljenje
• Lokacija
• Napomene
• Sva dodatna polja koja ste postavili u meniju Settings
(Podešavanja)
Možete prilagoditi polja izveštaja i dodati posebna polja za vašu organizaciju Additional Report
Fields funkcijom koja se nalazi u meniju Settings (Podešavanja).
Ako polja imaju opciju Required označenu, tada se informacije moraju uneti u odgovarajuća
polja pre nego što se izveštaj može generisati.
Završni element procedure u ovoj fazi je generisanje izveštaja i provera njegove tačnosti.
135
Izveštaji o više projekata
Ako je izveštaj kreiran za višestruki projekat, redovi podataka će se pojaviti isto kao u
uobičajenom izveštaju. Uz to, Source Extraction (izvor ekstrakcije) će biti prikazan u svakom
redu. U zaglavlju izveštaja, biće prikazane sve ekstrakcije i detalji ekstrakcije.
U ovakvim slučajevima, možete da napravite izveštaj koji se može otvoriti pomoću UFED
Reader-a.
UFED Reader je besplatni softver koji se distribuira sa svakom licencom Physical Analyzer-a ili
Logical Analyzer-a. To dolazi kao pojedinačna .exe datoteka koja ne zahteva instalaciju i ne
pokreće dongle, a nudi gotovo istu funkcionalnost kao Physical Analyzer i koristi vrlo sličan
GUI.
136
UFDR izveštaj otvoren u UFED Reader-u
Najnovija verzija UFED Readera se uvek može naći u direktorijumu „UFEDReader” koji se
nalazi u instalacijskom direktorijumu Physical Analyzer-a (podrazumevana likacija: C:\Program
Files\Cellebrite Mobile Synchronization\UFED Physical Analyzer\UFEDReader).
Napomena: Ako predajete UFDR izveštaj kreiran pomoću Physical Analyzer-a, čitač koji
ga obično otvara mora biti barem ista - ili novija - verzija kao i Physical Analyzer koji ga
kreira. Dobra je praksa da uvek predate najnoviju kopiju čitača zajedno sa fajlom
izveštaja.
137
Ukoliko zakonska ograničenja ili pravila ograničavaju informacije koje je dozvoljeno predati
određenom analitičaru ili kojem god primaocu podataka, možete isključiti sve osetljive ili
klasifikovane podatke koristeći metodu opisanu u poglavlju Report Data – Inclusion or
Exclusion (Podaci podataka - uključivanje ili isključivanje), a zatim generisati UFDR fajl koji
sadrži sve podatke sa uređaja, osim izuzetih delova.
Pregled HEX-a slike uređaja i napredna HEX-a pretraga mogu se izvršiti samo pomoću Physical
Analyzer-a i u originalnom fajlu projekta.
Pomoću alata poput UFED Reader-a, možete postići efikasnu podelu posla u vašem odeljenju,
gde se forenzički stručnjaci koncentrišu na rad za koji su obučeni, kao što su ekstrakcija, HEX-a
pretrage, analize baza podataka ili drugi tehnički zahtevni zadaci, dok analizu podataka, koja
zahteva mnogo vremena, i traženje dokaza obavljaju specijalizovani analitičari podataka ili
istražitelji.
138
Zaštita drugih formata izveštaja lozinkom
Kao što je ranije pomenuto, ispitivač će možda želeti da izveštaj koji sadrži osetljive podatke
zaštiti od znatiželjnih očiju. Phisycal Analyzer nudi zaštititu izveštaja u Microsoft Word,
Microsoft Excel ili PDF formatu sa lozinkom protiv neovlašćenog otvaranja.
Svakako, treba napomenuti da profesionalni softver za krekovanje lozinki ili čak besplatni
programi mogu u relativno kratkom vremenu onesposobe ugrađenu zaštitu lozinkom Word-ovih,
Excel-ovih ili PDF fajlova. Ako treba pouzdano da osigurate osetljive podatke, moraćete da
sačuvate izveštaj enkriptovanom kontejneru ili drajvu koji kreira softver kao što je VeraCrypt.
139
Korisni regularni izrazi
Imena
Ime za kojim sledi proizvoljan broj praznih karaktera, a zatim sledi prezime:
John \ s+Doe
Internet
Nalaženje Web-adrese:
https?://(www\.)?[a-zA-Z0-9\.\-_]{2,}\.[a-zA-Z]{2,}
Traženje IP adrese:
(25 [0-5] | 2 [0-4] [0-9] | [01] ? [0-9] [0-9] ?) \. (25 [0-5] | 2 [0-4] [09] | [01] ? [0-9] [0-9] ? ) \.
(25 [0-5] | 2 [0-4] [0-9] | [01] ? [0-9] [0-9] ? ) \. (25 [05] | 2 [0-4] [0-9] | [01] ? [0-9] [0-9] ? )
Datumi
140
Format datuma mm.dd.yyyy, mm/dd/yyyy, mm-dd-yyyy:
(0 [1-9] | 1 [012]) [-/\.] (0 [1-9] | [12] [0-9] | 3 [01]) [-/\.] (19 |20) [0-9] [0-9]
141
Linkovi
UFED
My Cellebrite (ažuriranja, slekcija jezika za prevod, dokumentacija, aplikacija List)
my.cellebrite.com
Drugo
Forensics Wiki:
http://forensicswiki.org
142