Mobile Phone Extraction & Analysis Training - Participant Guide - T3K-Forensics

Ekstrakcija i analiza mobilnih telefona
1
Sadržaj
Uvod...............................................................................................................................................................5
O T3K- Forenzičkom trerningu.....................................................................................................................6
Principi mobilne forenzike.............................................................................................................................7
Funkcionalni telefoni vs pametni telefoni..................................................................................................8
Mreže mobilnih telefona............................................................................................................................9
Struktura mobilne mreže prve generacije..............................................................................................9
Prebacivanje između ćelija (Handoff).................................................................................................11
Digitalne mreže mobilnih telefona.......................................................................................................11
Druga generacija (2G) mrežni standardi..............................................................................................13
3G i 4G mreže......................................................................................................................................14
Buduće mreže.......................................................................................................................................14
Modul identiteta pretplatnika (Subscriber Identity Module, SIM)......................................................15
Međunarodni identitet mobilne opreme (International Mobile Equipment Identity, IMEI)...............16
Fleš memorija...........................................................................................................................................17
Blokovi / stranice u Flash memoriji.....................................................................................................17
NAND / NOR Flash memorija............................................................................................................18
Ograničenja Flash memorije................................................................................................................19
NAND stranica / struktura bloka.........................................................................................................19
NAND Spare Area...............................................................................................................................19
Osnovne NAND operacije...................................................................................................................20
Nivelisanje habanja..............................................................................................................................21
Garbage Collection (Prikupljanje otpada)...........................................................................................22
Baze podataka......................................................................................................................................23
Zaključak..............................................................................................................................................24
Zaplenena dokaza.........................................................................................................................................25
Motivacija................................................................................................................................................25
Šta da zaplenite........................................................................................................................................25
Dokumentacija.........................................................................................................................................26
Akvizicija.................................................................................................................................................26
Isključivanje uređaja sa mreže.................................................................................................................27
Smart Locks u Androidu..........................................................................................................................31
ID lica u iOS-u.........................................................................................................................................32
2
Otključani telefoni...................................................................................................................................33
Uputstvo za dalje čitanje..........................................................................................................................34
Stablo odlučivanja oduzimanja mobilnih uređaja....................................................................................34
Ekstrahovanje mobilnih uređaja..................................................................................................................35
General.....................................................................................................................................................35
Metode ekstrakcije...............................................................................................................................35
Ekstrakcija tokom rada........................................................................................................................38
Utvrđivanje modela uređaja.................................................................................................................38
Biranje metode ekstrakcije...................................................................................................................41
Odabir režima ekstrakcije....................................................................................................................42
APK Downgrading...............................................................................................................................42
APK Downgrade Failure......................................................................................................................43
Rukovanje memorijskim karticama tokom ekstrakcije........................................................................44
Rukovanje SIM karticama...................................................................................................................45
Kloniranje SIM kartica........................................................................................................................45
Šta ako ekstrakcija nije bila uspešna?..................................................................................................45
Šta ako fizička ekstrakcija nije moguća?.............................................................................................46
Ekstrakcije Cellebrite UFED Touch 2 i UFED 4PC................................................................................50
Pregled.................................................................................................................................................50
Opis UFED Touch2-a..........................................................................................................................51
Opis UFED 4PC...................................................................................................................................53
Ažuriranje softvera...............................................................................................................................54
Podešavanja..........................................................................................................................................57
UFED Detektiv za telefon (UFED Phone detective)...........................................................................62
Izvođenje ekstrakcije Cellebrite UFED-om.........................................................................................63
Analiza mobilnih telefona............................................................................................................................72
Analiza sa Cellebrite-ovim UFED fizičkim analizatorom.......................................................................72
Otvaranje ekstrakcije...........................................................................................................................72
Upravljanje sa više projekata...............................................................................................................76
Spajanje više ekstrakcija......................................................................................................................76
Podešavanja vremenske zone...............................................................................................................78
Verifikacija heševa Image fajla...........................................................................................................81
Rad sa fizičkim analitičarem................................................................................................................83
Centar za obaveštavanje.......................................................................................................................83
Extraction Summary prozor (prozor sa rezimeom ekstrakcije)...........................................................84
3
Stavke u stablu projekta.......................................................................................................................84
Pregled podataka..................................................................................................................................91
Exporting Items (Izvoz stavki).............................................................................................................97
Tagging items (Označavanje stavki)....................................................................................................97
Image Data Carving.............................................................................................................................99
Location Data Carving.......................................................................................................................100
Automated Data Carving (Automatizovano izdvajanje podataka)....................................................101
Timeline Analysis (Analiza vremenske linije)..................................................................................103
Watch Lists (Liste pregleda)..............................................................................................................104
Hash sets (heš skupovi)......................................................................................................................105
Malware Scanner...............................................................................................................................107
Prevod................................................................................................................................................109
Analiza četova....................................................................................................................................113
Pregled slika.......................................................................................................................................114
Redact Images....................................................................................................................................116
Analiza priloženih slika.....................................................................................................................117
Data sources.......................................................................................................................................118
Enrichments.......................................................................................................................................118
Ažuriranja..........................................................................................................................................123
Izveštavanje sa Physical Analyzer.........................................................................................................125
Formati izveštaja................................................................................................................................126
Prilagođavanje izveštaja.....................................................................................................................126
Podaci izveštaja - uključivanje ili isključenje....................................................................................127
Additional Fields................................................................................................................................132
Lokacija i direktorijum izveštaja.......................................................................................................133
Izveštaji o više projekata....................................................................................................................134
UFDR Reports and the UFED Reader...............................................................................................134
Zaštita UFDR izveštaja lozinkom......................................................................................................136
Zaštita drugih formata izveštaja lozinkom.........................................................................................137
Korisni regularni izrazi..........................................................................................................................138
Linkovi...................................................................................................................................................140
UFED.................................................................................................................................................140
Drugo.................................................................................................................................................140
4
22.10. - 24.10.2019 Felix KLIER
Beograd, Srbija
Uvod
Poštovani učesnici,
T3K-Forensics je međunarodna kompanija sa sedištem u Beču, Karsten THEINER
Austrija. Mi smo stručnjaci na polju mobilne forenzike i radimo
kao pružalac usluga i obuke za nacionalne i međunarodne poslove
organa za sprovođenje zakona.
Naš svakodnevni rad sa mobilnim uređajima i bliska

saradnja sa univerzitetima i istraživačkim ustanovama su
i osnova naše ekspertize i direktno utiču na sadržaje naših treninga
i na taj način ih uvek ažuriramo.
Klemens SATTLER
Posetite naše stranice www.t3k-trainings.com i www.t3k-forensics.com za više
informacija o treningu i drugim T3K-Forensics proizvodima i servisima.
Gareth
BALLANCE
5
O T3K- Forenzičkom trerningu
T3K-Forenzika nudi različite obuke iz oblasti mobilne forenzike. Naš koncept treninga je
namenjen da prati učesnike od učenja prvih koraka mobilne forenzike do ekspertskog nivoa
duboke analize.
Naš trening „Ekstrakcija i analiza mobilnih telefona” namenjen je početnicima koji imaju
malo ili nimalo iskustva sa Cellebrite UFED ili MSAB XRY. Obuhvata osnovne principe
mobilne forenzike, prikupljanje, ekstrahovanje i analizu uređaja, kao i odgovarajuće tehnike
izveštavanja i pretrage.
Naše druge obuke namenjene su učesnicima koji su završili Ekstrakcija i analiza mobilnih
telefona ili već imaju iskustva u korišćenju alata za forenziku mobilnih telefona. Ovi treninzi će
pružiti temeljno znanje i veštine koje prevazilaze mogućnosti uobičajenih mobilnih forenzičkih
alata. Napredna smartphone forenzika obuka pokriva teme bezbednosti Smartphone,
zaključavanje i enkripciju, napredne ekstrakcije pametnih telefona, podatke o lokaciji i
vremenske oznake i druge napredne veštine. SQLite forenzika za pametne telefone pokriva
osnove baze podataka, uključujući SQL radionicu i koristi slučaj sa različitim alatkama u vezi s
bazama podataka. Fokus ovog treninga su dubinska analiza baze podataka, uključujući i vraćanje
izbrisanih podataka. Oba treninga uključuju specijalizovano znanje i veštine za rad sa Apple
iOS uređajima kao što su metode fizičke ekstrakcije i analiza aplikacija.
6
Principi mobilne forenzike
Mobilna forenzika je vašan proces u bilo kojoj savremenoj istrazi kriminala. U većini slučajeva
neki od mobilnih uređaja može da sadrži dragocene informacije. Običan mobilni telefon mogao
bi da obezbedi podatke o pozivima i SMS informacije, međutim razvoj pametnih telefona i sve
veći broj funkcija može dovesti do mnogo više dragocenijih podataka.
Budući da većina telefona ima pristojan ekran i kameru, sigurno možemo da nađemo slike i
fotografije na uređaju i neke od njih bi mogle biti korisne u istrazi. Kalendar i office aplikacije
mogu imati podatke o datumu, vremenu i sadržaju dokumenta. Aplikacije za navigaciju mogu da
sadrže podatke o kretanju, a druge aplikacije koje se koriste mogu da sadrže skrivene korisničke
podatke. Jedna od najvažnijih mogućnosti u današnjoj mobilnoj forenzici je svakako izvlačenje
podataka iz komunikacije porukama, kao i mogući pristup podacima u oblaku (cloud).
Ipak, forenzičke mogućnosti nose izazove i prepreke. Istorijski razoj mobilnih uređaja vodi do
različitih hardverskih i softverskih platformi. Različiti utikači, hardverski čipseti i operativni
sistemi sprečavaju jedinstveni i standardizovani pristup podacima. Ovo znači da je najverovatnije
svaki forenzički rad na mobilnim uređajima jedinstven proces i rešenje. Da li ćete dobiti podatke
o telefonu uvek zavisi od njegovih karakteristika. Takođe, korisničko zaključavanje i enkripcija
otežavaju sam proces poslednjih par godina. Što se tiče određenih podataka iz mobilnih
aplikacija, moramo uzeti u obzir i ekstremni broj aplikacija. U 2018. godini u Google Play Store
je bilo oko 3,8 miliona aplikacija i 2,0 miliona u Apple App Store-u. (U 2017. godini bilo je oko
2,8 miliona aplikacija u Google Play Store i 2,2 miliona u Apple App Store-u!)
Iako za nas postoje rešenja koja olakšavaju mobilnu forenziku, nijedan alat ne može podržati sve
mobilne telefone sa svim njihovim konfiguracijama ili sve moguće aplikacije dostupne u tom
trenutku. Stoga, najbolje je uvek imati više alata (opcija) na samom početku i bitno je biti
spreman da se razmišlja izvan okvira.
7
Funkcionalni telefoni vs pametni telefoni
Sa porastom smartfona, tehnologija mobilnih telefona drastično se promenila. Dok neki

proizvođači i dalje proizvode funkcionalne mobilne telefone (feature phones), a vrsta telefona
koja se danas najčešće prodaje jesu pametni telefoni.
Možda najočiglednija razlika između funkcionalnih telefona (feature phones) i pametnih telefona
je njihov izgled. Dok funkcionalni mobilni telefon obično ima mali displej i tastaturu, pametni
telefon uglavnom ima veliki ekran osetljiv na dodir i, ukoliko postoje, nekoliko fizičkih tastera.
Za razliku od funkcionalnih telefona, pametni telefoni svojim korisnicima nude više i lakše
mogućnosti za instaliranje aplikacija na svojim uređajima i za pristup internet uslugama. Ovo
zahteva donekle standardizovanu platformu za aplikacije i složene operativne sisteme, što
rezultira da mnogi pametni telefoni koriste uglavnom standardizovane i široko rasprostranjene
operativne sisteme, kao što su Android ili iOS. Ipak, postoje pametni telefoni sa manje
uobičajenim operativnim sistemima, kao što su Windows Phone i BlackBerry, ali oni danas
imaju samo mali udeo na tržištu. Symbian, Bada, FirefoxOS, Ubuntu phone ili Sailfish OS su
pokušali da se plasiraju na tržište, ali nijedan se nije zadržao tako da je na tržištu njihov broj
beznačajan.
8
S druge strane, funkcionalni telefoni više koriste kernel i vlasničke operativne sisteme. Ovo se
obično prenosi i na konektore telefona, funkcionalni telefoni koriste specifične konektore a
pametni telefoni koriste standardizovane konektore za prenos podataka i punjenje (obično Micro-
USB, USB Tipe-C ili Lightning (Apple), ranije Mini-USB ili Doc-Connector (Apple)).
Zbog ovog povećanja funkcionalnosti, osnovni hardver se izuzetno razlikuje između
funkcionalnih i pametnih telefona. Dok funkcionalni telefoni ne zahtevaju mnogo računarske
snage ili nekoliko megabajta memorije, aktualni pametni telefoni vrhunskog kvaliteta opremljeni
su okta-jezgranim procesorom i do 512 GB interne memorije.
Zbog velike količine memorije i posebno zbog velikih ekrana osetljivih na dodir, životni vek
baterije pametnog telefona je vrlo kratak u poređenju sa telefonima sa tastaturom (obično jedan
do dva dana u poređenju sa više od nedelju dana).
Još jedna posledica različitih hardvera je konačna cena uređaja koja odgovara ugrađenim
komponentama. Pametni telefoni su relativno skupi u odnosu na funkcionalne telefone - ovo
možda neće biti slučaj u svim primerima (npr. „premium” funkcionalni telefon nasuprot
pametnom telefonu lošeg kvaliteta iz pre nekoliko harderskih generacija) ali se može smatrati
uobičajenim pravilom. Međutim, mnogi stariji telefoni sa tastaturom nisu bili jeftini u trenutku
kupovine, naročito ako su iz vremena kada pametni telefoni i 3G/4G usluga još uvek nisu bili
široko rasprostranjeni.
Mreže mobilnih telefona
Struktura mobilne mreže prve generacije

Mobilni telefon koristi dva kanala za poziv (puni dupleks), dok obično
ima sposobnost da komunicira na 1664 kanala ili više. Poređenja radi:
Tipičan CB radio može da komunicira samo na 40 kanala.
Provajder mobilnih telefona dobija određenu količinu kanala za

korišćenje u određenoj oblasti - na primer, nosiocu se obično dodeli 832 frekvencije za prosečan
američki grad.
9
Područje se zatim deli na takozvane ćelije, a bazna stanica opslužuje svaku ćeliju. Veličina ćelija
prve generacije mobilne mreže varira u zavisnosti od tehnologije koja se upotrebljava i od
gustine naseljenosti i obično je prečnika između 8 i 35 km, a čak je i veći u veoma retko
naseljenim oblastima ili na obali.
Napomena: u modernim ćelijskim mrežama mogu se naći femto ćelije prečnika od samo
nekoliko metara u gusto naseljenim urbanim područjima.
Dostupne frekvencije se zatim raspoređuju na bazne stanice i ćelije. Kako se koriste predajnici
niske snage, susedne ćelije mogu da koriste iste frekvencije (vidi sliku ispod). To znači da svaka
ćelija može koristiti jednu sedminu ukupnih raspoloživih frekvencija za područje.
Dve obeležene ćelije mogu koristiti iste frekvencije
U slučaju 832 frekvencije za grad - nakon oduzimanja frekvencija koje se koriste kao kontrolni
kanali - svaka ćelija može da koristi 112 frekvencija i stoga je u mogućnosti da istovremeno
porži 56 poziva.
Sve bazne stanice mobilnog operatera povezane su na Mobile Telephone

Switching Office (MTSO). MTSO je odgovoran za registraciju mobilnih
telefona njihovim IMSI (International Mobile Subscriber Identity,
međunarodni identitet mobilnog pretplatnika) i evidentiranje trenutne
lokacije mobilnog telefona kako bi se uspešno preusmerili pozivi. IMSI je
10
jedinstven za svakog pretplatnika u mobilnoj mreži i čuva se na SIM-u (Subscriber Identity
Module, modul identiteta pretplatnika).
Prebacivanje između ćelija (Handoff)

Dok se uređaj pomera prema ivici ćelije, bazna stanica ćelije primećuje da se umanjuje snaga
signala uređaja. U međuvremenu, bazna stanica u ćeliji (a koja prati i meri snagu signala na svim
frekvencijama, i to ne samo na njenoj jednoj sedmini) prema kojoj se uređaj kreće uočava da se
snaga signala uređaja povećava.
Dve bazne stanice se međusobno usklađuju putem MTSO-a, i u nekom trenutku uređaj dobija
signal sa kontrolnog kanala koji mu govori da promeni frekvenciju.
Digitalne mreže mobilnih telefona

Da bi se omogućilo više istovremenih poziva po ćeliji (a u nekim mrežama se uvede i
šifrovanje), druga generacija mreže korise digitalne signale umesto analognih.
Korišćenjem kompresije i mogućnosti za particioniranje zvuka u paketima podataka nekoliko
poziva se može preneti u isti „prostor” kao jedan analogni poziv. Mreže mobilnih telefona novije
generacije zasnovane su na jednom od sledeća dva principa:
Višestruki pristup vremenske podele (Time Division Multiple Access, TDMA)

Princip rada TDMA je multipleksiranje vremenske podele - deljenje kanala na više vremenskih
slotova i multipleksiranje između veza koje koriste pristup medijumu. Ovo omogućava da
nekoliko korisnika deli isti frekvencijski kanal deljenjem signala na različite vremenske slotove.
Korisnici razmenjuju kroz brze sukcesije, jedna za drugom, a svaki koristi svoj sopstveni
11
vremenski slot. Ovo omogućava da više stanica deli isti prenosni medijum (npr. frekvenciju
radio kanala) koristeći samo deo njegovog kapaciteta kanala.
U ovom slučaju signal je podeljen u tri vremenska slota. Ako se koristi sinhrono
multipleksiranje, signal uvek koristi isti vremenski interval na istoj frekvenciji, omogućavajući
trostruko više konekcija nego što bi analogni sistem omogućio. U asinhronom TDMA sistemu,
signali nemaju određeni vremenski slot ili frekvenciju - ovo omogućava više od trostrukog broja
konekcija jer se paketi podataka šalju samo kada su potrebni bez posebnog rezervisanja
određenog slota na datoj frekvenciji.
Međutim, uprkos tome što su nepotrebni prenosi podataka sada izostavljeni (npr. prenošenje
„praznog” zvuka u rezervisanom vremenskom slotu, jer je nečujan), dolazi do blagog
prepunjavanja sa svakim poslatim paketom podataka, jer su sistemu potrebne identifikacione
informacije iz zaglavlja paketa.
Višestruki pristup kodnom odeljenju (Code Division Multiple Access CDMA)
CDMA digitalizuje podatke i šalje ih preko čitave širokopojasne frekvencije. Višestruki pozivi
jedan pored drugog prekrivaju kanal, a svakom je dodeljen jedinstveni kod sekvence. Na
prijemniku, isti jedinstveni kod koristi se za oporavak signala.
12
Pošto CDMA sistemi moraju da stave tačnu vremensku oznaku na svaki deo signala, on se
poziva na GPS sistem za ovu informaciju. Između 8 i 10 odvojenih poziva može se preneti kroz
istim proctor kanala kao jedan analogni poziv.
Druga generacija (2G) mrežni standardi
Teoretski, CDMA i TDMA mreže su transparentne i jedna drugu ne ometa. U praksi, međutim,
visokonaponski TDMA-signali mogu da ometaju CDMA prijemnike i obrnuto.
Sledeći mrežni standardi su razvijeni i implementirani:
• GSM (zasnovan na TDMA), poreklom iz Evrope, ali se koristi u gotovo svim zemljama na svih
šest naseljenih kontinenata. Nojoj pripada preko 80% svih pretplatnika širom sveta.
• IS-95 takođe poznat i kao cdmaOne (baziran na CDMA, koji se u SAD-u uobičajeno naziva
samo CDMA), koristi se u SAD i delovima Azije. Nalazi oko 17% svih pretplatnika širom sveta.
• PDC (baziran na TDMA), koristi se isključivo u Japanu
• iDEN (zasnovano na GSM-u), vlasnička mreža koja se koristi u Sjedinjenim Državama i
Kanadi
• IS-136 takođe poznat i kao D-AMPS (baziran na TDMA, obično se u SAD-u samo zove
„TDMA”), prevladava u SAD-u, ali je većina predajnika prešla na GSM.
13
3G i 4G mreže
Uvođenje pametnih telefona rezultiralo je povećanom potrebom za prenosom podataka, koji su
bili omogućeni uvođenjem sledećih 3G standarda:
• UMTS, prvi put ponuđen je 2001. godine, koristi se prvenstveno u Evropi, Japanu, Kini (ali sa
drugačijim radio interfejsom) i u drugim regionima u kojima dominira GSM 2G infrastruktura
sistema. Mobilni telefoni su obično UMTS i GSM hibridi. Najviša stopa protoka u poslednjem
izdanju UMTS (HSPA) iznosi 14 Mbit/s.
• CDMA2000, prvi put ponuđen je 2002. godine, koristi se posebno u Severnoj Americi i Južnoj
Koreji, i deli infrastrukturu sa IS-95 2G standardom. Mobilni telefoni su obično CDMA2000 i
IS-95 hibridi. Najnovije izdanje EVDO Rev B nudi maksimalnu brzinu protoka od 14,7 Mbit/s.
Uskoro, novi standardi implementirani su u cilju postizanja veće propusnosti:

• HSDPA+, nadogradnja na HSPA (High Speed Packet Access, pristup brzom paketu) kodira
višestruke protoke podataka u jedan prenos podražavajući veću propusnost. Maksimalna brzina
protoka kreće se do 28 Mbit/s.
• WiMAX, zasniva se na 802.16 bežičnim standardima (Wi-Fi), uveden 2006. u Koreji i 2008. u
SAD sa teoretskim maksimalnim protokom za preuzimanje do 128 Mbit/s (a u stvarnosti je
mnogo manje)
• LTE (Long Term Evolution, dugotrajna evolucija). Prvi put javno dostupan bio je u Stokholmu
i Oslu u decembru 2009. godine. Nudi do 100 Mbit/s protok za preuzimanje.
Obe, HDSPA+ i WiMAX, smatraju se prelaznim tehnologijama. Prava „prava” 4G mreža je

LTE.
Buduće mreže
U međuvremenu, čak i LTE ima svoje prelazne tehnologije pod nazivom LTE+ (ili „Long Term
Evolution-Advanced”). Još jednom, pomerene su granice protoka za slanje i
preuzimanje. Sledeći korak će biti 5G koji je definisan ITU IMT-2020 standardom. Nudiće do 1
Gbit/s za protoka za preuzimanje (čak i 20 Gbit/s maksimalne brzine podataka slanja) i manje od
1 ms („ultra-niske”) kašnjenja. 5G će omogućiti nove mobilne tehnologije poput virtuelne i
14
realne aplikacije u realnom vremenu, povezivanje automobila sa nezavisnom vožnjom i druge
aplikacije „taktilnog internetа”. Drugi primer je mogućnost da specijalista na drugoj strani sveta
upravlja robotom koji pruža medicinsku negu ili obavlja operaciju u realnom vremenu.
Modul identiteta pretplatnika (Subscriber Identity Module, SIM)

SIM je integrisano kolo koje ima namenu da bezbedno skladišti međunarodni identitet mobilnog
pretplatnika (International mobile subscriber identuty IMSI) i odgovarajuće ključeve koji se
koriste za identifikaciju i autenikaciju pretplatnika na uređajima mobilne telefonije.
SIM je deo funkcije univerzalne integrisane kartice (Universal Integrated Circuit Card, UICC)
koja je obično izrađena od PVC sa ugrađenim kontaktima i poluprovodnicima i obično se naziva
„SIM kartica”. Od tehničkog stanovišta, SIM-ovi se mogu opisati kao posebna instanca pametnih
kartica (smart cards).
Na gornjoj slici prikazane su različite veličine SIM-a (sa leva na desno): SIM pune veličine (full-
size SIM), mini-SIM (često se jednostavno naziva SIM), mikro-SIM i nano-SIM. Dok neki
moderni mobilni telefoni i dalje koriste mini-SIM, najnoviji modeli pametnih telefona koriste
mikro- ili nano-SIM slotove kako bi uštedeli dragoceni prostor. Trenutno u prodaji nema
mobilnog telefona koji koristi SIM pune veličine.
SIM se sastoji od malog mikroprocesora i memorije sa mogućnošću da čuva sledeće informacije:

• Identifikator kartice integrisanog kola (Integrated circuit card identifier, ICCID): dužine
od 20 do 22 cifre, jedinstveni ID za svaku SIM karticu
• Međunarodni identitet mobilnog pretplatnika (International mobile subscriber identity,
IMSI): obično je dužine 15 cifara, ali može biti i kraći; koristi se za identifikaciju korisnika u
mreži mobilnih telefona
• Autentikacioni ključ (Autentication key, Ki): 128-bitna vrednost koja se koristi za
autentikaciju SIM kartica na mobilnoj mreži
15
• PIN i PUK: Ključevi za otključavanje korisničke SIM kartice i za otključavanje PIN-a nakon
previše pogrešnih pokušaja
• SMS poruke i kontakti: prvobitni modeli su čuvali samo do pet poruka i 20 kontakata, dok
moderne SIM kartice obično mogu da skladište preko 250 kontakata
• Mali programi poput info-usluga ili usluga kućne zone provajdera mobilnih telefona
• Datoteke se takođe mogu čuvati na SIM kartici, iako uglavnom nude samo osnovni fajl sistem
– veličina ovih fajlova, ipak, ima ograničenja zbog male količine dostupne memorije
Ugrađeni SIM (Embedded SIM, eSIM)
Isto kao SIM-kartica, ugrađena SIM čuva IMSI i druge informacije koje se koriste za
identifikaciju i autentikaciju pretplatnika na uređajima mobilone telefonije. Za razliku od SIM
kartice, eSIM je programabilna SIM kartica koja je direktno ugrađena u uređaj i ne može se
fizički ukloniti. eSIM-om se može daljinski upravljati i biti „SIM kartica za sledeću generaciju
povezanih uređaja potrošača”. Kada kupujete novi mobilni uređaj, pretplata na telefonsku mrežu
biće postavljena putem QR-koda direktno od strane potrošača. Ovo će eliminisati potrebu za
korišćenjem fizičkih SIM kartica i stoga treba omogućiti jednostavu pretplatu, raskid i promenu
mobilnih mreža za sve vrste uređaja. Zato se eSIM smatra široko primenljivim na različite IoT
scenarije. Više „profila”, koji sadrže informacije o pretplatniku, mogu se čuvati na jednom
uređaju. To znači da uređaji mogu imati čak više telefonskih brojeva. Da li će eSIM-ovi nositi
bilo kakve forenzički relevantne podatke? Mi mislimo da će u budućnosti, dobijanje dodatnih
podataka o slučaju iz eSIM-a najverovatnije biti bez podrške provajdera.
Međunarodni identitet mobilne opreme (International Mobile Equipment Identity, IMEI)

IMEI broj se koristi za identifikaciju mobilnih telefona u GSM i UMTS mreži. IMEI se koristi
samo za identifikaciju uređaja i nema trajni ili polu-trajni odnos sa pretplatnikom. IMEI je
obično jedinstven, ali se može promeniti za uređaj. Ovo može biti ilegalno u nekim zemljama.
IMEI (15 decimalnih cifara: 14 cifara plus kontrolna cifra) ili IMEISV (16 cifara) sadrži
informacije o poreklu, modelu i serijskom broju uređaja. Model i poreklo zauzimaju početni 8-
cifreni deo IMEI/SV, poznat kao šifriranje alokacije tipa (Type Allocation Code, TAC). Ostatak
IMEI-ja je definisao proizvođač, sa Luhnovim kontrolnim brojem na kraju.
16
Takođe, možete naići na još dve vrste identifikatora uređaja: ESN znači Elektronski serijski broj
i koristi se (ili bolje rečeno – koristio se) u Sjedinjenim Državama za identifikaciju mobilnih
telefona koji zahtevaju CDMA mrežu za bežične usluge. Pošto nije ostalo prostora za ESN
brojeve, ovde identifikacioni brojevi se postupno ukidaju u korist MEID, kodiranja koje je
sličnije IMEI broju. MEID (Mobile Equipment Identifier, Identifikator mobilne opreme) je kod
od 14 heksa karaktera i koristi se za identifikaciju mobilnog telefona koji koristi CDMA
tehnologiju za bežičnu uslugu. (https://bit.ly/2MN7czX)
Fleš memorija
Flash memorija je elektronski nepromenljiv medijum za skladištenje koji može biti električno
izbrisan i reprogramiran, najčešće se koristi u mobilnim telefonima, tabletima, PC računarima,
mini diskovima, memorijskim karticama, MP3 plejerima, itd. Prethodne generacije pametnih
uređaja, kao što je rani PDA, koristile su samo promenljive memorije korišćenjem njihove RAM
memorije za čuvanje korisničkih podataka, što je rezultiralo potpunim gubitkom svih podataka
kada bi se baterija uklonila ili ispraznila.
Flash memoriju je 1984. godine uveo Toshiba i razvijena je iz EEPROM-a. Razlika između
Flash-a i EEPROM-a je u postupku pisanja; dok je čitav EEPROM morao biti izbrisan pre
upisivanja novog sadržaja u memoriju; kod fleš memorije potrebno je samo prebrisati blokove
koji poseduju sadržaj koji treba izmeniti.
Razlika između fleš memorije i hard diskova, koji se uobičajeno koriste u računarima, je ta da se
fleš memorija u osnovi sastoji od memorijskog čipa, dok hard diskovi imaju rotacione ploče sa
glavama za čitanje i pisanje koje menjaju sadržaj medijuma za skladištenje.
Ovo ne samo da rezultira time da fleš memorija ima veću otpornost na napon i izdržljivost od
njihovih odgovarajućih hard diskova, ali pošto nema potrebe da mehanički delovi budu na
pravom mestu u pravo vreme, manje vremena za pristup i veće brzine čitanja i pisanja mogu se
postići uz održavanje velikog kapaciteta skladištenja na fizički malom prostoru.
Blokovi / stranice u Flash memoriji

Pre nego što prodiskutujemo o dve različite vrste fleš memorije i njihovim prednostima i
nedostacima, trebalo bi pomenuti da je fleš memorija organizovana u blokove i stranice. Svaki
17
blok sadrži fiksni broj stranice fiksne veličine (o prosečnoj veličini bloka ili stranice - vidi
kasnije).
NAND / NOR Flash memorija

Postoje dve široko rasprostranjene vrste fleš memorije koje se koriste u mobilnim uređajima:
NAND i NOR.
NOR fleš je stariji od ove dve vrste i pruža pravi slučajni pristup. To znači da se jednom bajtu na
medijumu može pristupiti. Dok su operacije čitanja na ovoj vrsti memorije veoma brze, rad je
vrlo spor i veličina skladišta je mala. Pored toga, cena po kapacitetu je visoka. NOR fleš je
veoma pogodan za skladištenje koda i aplikacije za koje je potreban brzi slučajni pristup.
S druge strane, fleš memorija tipa NAND pruža veću količinu prostora za skladištenje i jeftinija
je za proizvodnju nego NOR. Takođe, velike su brzine čitanja i pisanja. Ova vrsta memorije je
organizovana u blokove koji rade kao jedinica za brisanje i svaki blok se sastoji od više stranica,
koje rade kao pristupne jedinice; samo se cele stranice mogu učitati i samo se celi blokovi mogu
izbrisati. Cena za NAND fleš po kapacitetu je niska što ga čini od neprocenjive važnosti za
savremene mobilne uređaje.
Za razliku od NOR fleša, NAND fleš je takođe nepouzdana i potrebna joj je aplikacija sa
algoritmom za korekciju koda.
18
Ograničenja Flash memorije
Iako fleš memorija ima brojne prednosti, takođe ima i neka ograničenja.
Jedno od ograničenja je brisanje blokova: Iako flash memorija može da učita bajt (NOR)/
stranicu (NAND) po jedinici vremena, po jedinici vremena se može obrisati samo „blok”. Ovo
resetuje sve bitove u bloku na vrednost „1”. U tek izbrisanom bloku svaka lokacija se može
programirati. Dakle, jednom kada se bit postavi na „0”, može samo da se promeni na „1”
ponovnim brisanjem celog bloka.
Drugo ograničenje je habanje memorije: Flash memorija ima ograničen broj ciklusa brisanja
programa (P/E ciklusi) pre nego što se ishaba i postane neupotrebljiva. Za većinu proizvoda
garantvano je da mogu izdržati oko 100.000 P/E ciklusa pre nego što habanje počne da narušava
integritet skladišta, ali dostupni su i proizvodi sa više od 1.000.000 zagarantovanih P/E ciklusa.
NAND stranica / struktura bloka

NAND stranice su obično veličine 512, 2048 ili 4096 bajta. Sa svakom stranicom povezano je
nekoliko bajtova (obično 1/32 veličine podataka) koji se mogu koristiti za čuvanje sume koda za
korekciju grešaka (ECC, Error Correction Code).
• 32 stranice - 512 + 16 bajta za svaki blok veličine 16 KB
• 128 stranica - 4096 + 128 bajtova za svaki blok veličine 512 KB
NAND Spare Area

Spare (rezervni) prostor se obično koristi za ECC (kod za korekciju grešaka), informacije o
novou habanja i drugim dodatnim softverskim funkcijama, iako se fizički ne razlikuju od ostatka
stranice.
NAND zahteva ECC da osigura integritet podataka. ECC se može izvesti hardverski ili
softverski, ali hardverska implementacija obezbeđuje značajnu prednost u performansama.
Tokom operativnog programiranja, ECC jedinica izračunava kod za korekciju grešaka na osnovu
podataka koji su sačuvani u bloku. ECC kod za respektivni prostor podataka tada se zapisuje u
19
respektivni rezervni prostor. Kada se podaci učitaju, takođe se učita i ECC kod, a na njega se
primenjuje inverzna operacija koja utvrđuje da li su podaci korektni. ECC algoritam može
korigovati greške podataka. Broj grešaka koje se mogu ispraviti zavisi od snage korekcije koju
algoritam upotrebljava.
Greške se mogu pojaviti tokom rada NAND Flash uređaja ili tokom dužih perioda neaktivnosti,
čime je upotreba ECC obavezna. ECC se karakteriše brojem bitova, kod se može ispraviti u 528-
bajtova proverenih podataka sektora. (Stranica sa podacima obično ima 528 bajtova, ali može da
varira kod nekih uređaja.)
Na primer, ako kontroler ima 1-bitni ECC, on može da ispravi jednu 1-bitnu grešku u svakom
sektoru podataka. Detaljnu implementaciju ECC-a potražite u dokumentaciji za korišćenje
kontrolera.
Dostupno je mnogo različitih ECC implementacija, i proširena ECC zaštita sistema zavisi od tipa
podataka koji su uskladišteni i tipa NAND fleš tehnologije koja se koristi.
NAND Spare Area
Osnovne NAND operacije

Kao što je već pomenuto, NAND fleš memorija je organizovana u blokove koji su podeljeni na
stranice.
Učitavanje i akcije programa obrađuju jednu stranicu istovremeno. U okviru stranice moguće je
programirati vrednost svakog bita sa „1” na „0”.
20
Međutim, nije moguće programirati vrednost sa „0” na „1”. Da bi se omogućilo programiranje
vrednosti na „1”, kompletan blok se mora obrisati čime se sadržaj svih bitova postavlja na „1”.
Operacije programa Operacija brisanja
Nivelisanje habanja
Kao što je već spomenuto, habanje memorije može biti pravi problem s obzirom da se određeni
delovi fleš memorije učestalo menjaju tokom vremena, npr. lokacija matične tabele datoteka
(MFT, Master File Table) iz NTFS sistemske datoteke. S obzirom da fleš memorija ima samo
ograničeni broj P/E-ciklusa, ovo može da dovede do gubitka podataka ili neiskoristive memorije.
Da bi se ovo izbeglo i povećao životni vek fleš memorije, koristi se postupak koji se zove
nivelisanje habanja fleš memorije. Umesto da se informacija uvek upisuje u prvi dostupni blok,
kao što čine tradicionalni hard diskovi, ova tehnika pokušava da po celoj memoriji ravnomerno
rasporedi operacije pisanja i brisanja.
21
Odgovoran za implementaciju nivelisanja habanja je takozvani Flash Transition Level (FTL).
FTL je menadžer podataka koji radi sa operativnim sistemom (i njegovih programa) i
memorijskim čipom. Obezbeđuje prepravljanje blokova i podstiče nivelisanje, čime se postiže da
Flash memorija izgleda kao konvencionalni disk drajv operativnog sistema i programa.
Garbage Collection (Prikupljanje otpada)

Kao što je već spomenuto, flash memorija je organizovana u blokove, koji se sastoje od više
stranica. Dok se podaci upisuju na cele stranicame, mogu se izbrisati samo celi blokovi.
Ako podaci na nekim od stranica bloka nisu više potrebni (zovu se „ustajale stranice”), stranice
sa i dalje neophodnim podacima u tom bloku čitaju si i prepisuju u drugi prethodno izbrisan
prazan blok. Tada, slobodne stranice koje su preostale nepomeranjem ustajalih podataka
dostupne su za nove podatke. Ovaj proces se zove prikupljanje otpada.
Radi boljeg razumevanja, ovaj proces jee vizualizovan kroz naredne slike:
(1) Četiri stranice (A-D) upisuju se u blok X.
22
(2) Četiri nove stranice (E-H)
i četiri zamenske stranice (A'- D') upisuju se u blok X.
Sada se originalne stranice A-D se sada markiraju kao nevažeće i postaju ustajale stranice, ali
ne mogu biti izbrisan bez brisanja celog bloka.
(3) Da bi se pristupilo pisanju po ustaljenim stranicama, sve stranice sa ispravnim podacima (E-
H i A'-D') čitaju se i upisuju u novi blok Y, a stari blok X se briše.
Baze podataka
Pametni telefoni čuvaju i organizuju većinu podataka u SQLite bazama podataka umesto u
pojedinačnim fajlovima u memoriji - korišćenje ove prenosive baze podataka je u većini
slučajeva lakše za implementaciju i pouzdanije je rešenje od korišćenja namenskih datoteka za
čuvanje podataka aplikacije.
SQLite baze podataka imaju svoje interne mehanizme za obradu izbrisanih podataka, obično su
postavljene da optimizuju brzinu i smanjuju habanje. Kada se podaci iz SQLite baze podataka
obrišu - zavisno od podešavanja aktuelne baze podataka - najčešće se podaci ne obrišu odmah,
već su samo interno označeni kao izbrisani sve dok se u prostor koji zauzimaju stari podaci ne
upišu novi podaci.
Ovakvo ponašanje SQLite baze podataka mnogo povećava šanse da se vrate izbrisane
informacije u pametnim telefonima.
23
Zaključak
Kao što je rečeno u prethodnim paragrafima, interni procesi mogu uništiti izbrisane podatke, a
koji se mogu oporaviti, u fleš memoriji i SQLite bazi podataka. Ovi procesi se mogu pokrenuti,
na primer, ponovnim pokretanjem sistema, bilo kojim unosom/izlazom podataka ili se može
automatski tempirati. Da bi se maksimizirala mogućnost za oporavak podataka treba izbeći da se
ovi procesi pokrenu, stoga se izbegava nepotrebno ponovno pokretanje, paljenje ili process
sinhronizacije. Kako se procesi sinhronizacije mogu dogoditi kada telefon ima pristup mreži
(npr. Facebook Messenger aplikacija koja se sinhronizuje sa aktivnostima koje se u Messengeru
obavljaju preko internet pretraživača) treba osigurati zabranu pristupa pravilno vršeći zaplenu.
24
Zaplenena dokaza
Motivacija
Zaplena uređaja tokom pretresa kuće obično je prvi kontakt sa mogućim inkriminišućim
podacima. Kao stručnjaci za mobilnu forenziku želimo da nam svi podaci budu dostupni. Dok
postoji određeni službeni protokol koji se odnosi na pretres kuće, može se dogoditi da on nije
prilagođen potrebama stručnjaka za mobilnu forenziku. Činjenica je da se ispravne odluke
moraju doneti prvim kontaktom kako bi se očuvali podaci i kasnije učinili dostupnim. Pogrešne
odluke mogu zakomplikovati forenzičku istragu ili je učiniti nemogućom. Stručnjak za forenziku
treba da pokuša da interveniše i preduzme ispravne korake prilikom zaplene elektronskih uređaja
da bi se postigao najbolji mogući ishod.
Sledeće preporuke zasnovane su na „smernicama o forenzici mobilnih uređaja” američke

organizacije Nacionalni institut za standard i tehnologiju (NIST), a svakodnevno se dopunjuju
našim iskustvima prilikom rada sa policijom.
Šta da zaplenite
Uobičajeno je da tim koji vrši zaplenu ima službeni dokument izdat od strane državnog tužioca
ili adekvatne intitucije. Ovaj dokument treba biti napisan u skladu sa zakonom i na takav način
da timu koji vrši zaplenu omogući oduzimanje svih elektronskih uređaja. Ovo uključuje:
pametne telefone, tablete, pametne satove i čitače e-pošte kao i prenosne računare, desktop
računare, USB diskove, SD-kartice i druge prenosive medije. Poslednje možda ne izgleda kao
relevantno za istragu mobilne forenzike, ali personalni računari mogu da čuvaju dragocene
informacije kako bi se ušlo u zaključani telefon ili čak Bluetooth uređaje poput zvučnika,
slušalica ili upravljača za igrice, i možda je ovo način da se uđe u mobilni telefon korišćenjem
ovih trikova.
25
Dokumentacija
Ne dodirujte ekran nijednog pronađenog uređaja.

Sve mobilne uređaje treba fotografisati zajedno sa svim perifernim kablovima, konektorima za
napajanje, prenosivim medijumima i dodacima. Izbegavajte dodirivanje ili kontaminiranje
mobilnog uređaja kada fotografišete uređaj ili okolinu u kojoj je pronađen.
Ako je ekran uređaja u vidljivom stanju (prikazuje stvarni sadržaj), sadržaj na ekranu treba
fotografisati i, ukoliko je potrebno, snimiti ručno, beležeći vreme, status usluge, nivo baterije i
druge informacije koje su prikazane. Međutim, ako je ekran (sa korisničkim zaključavanjem)
otključan, vaš prioritet će biti sprečavanje da se telefon zaključa. Šta god uradite sa bilo kojim
uređajem na lokaciji, uvek dokumentujte svoj proces.
Akvizicija
Ako je mobilni uređaj povezan sa računarom, preporučuje se ekstrahovanje memorije PC-a pre
nego što isključite mobilni uređaj. Takođe, podatke sa računara treba prikupiti i pronaći
sinhronizovane podatka.
Svu pronađenu opremu kao što su kablovi za napajanje ili prenos podataka, SIM- ili memorijske
kartice, pakovanje, priručnici, spisi ili plastične kartice mobilnog provajdera i beleške koje mogu
sadržati lozinke ili PIN-ove takođe treba dokumentovati i oduzeti.
Nikada ne zaboravite da zaplenite i drugu naizgled nevažnu opremu kao što su prenosivi i
Bluetooth uređaji, poput slušalica. Ovi uređaji mogu se koristiti za otključavanje ako je aktivno
„pametno zaključavanje”. Oni takođe mogu pružiti druge važne podatke.
Ako je uređaj pronađen uronjen u tečnost, izvadite bateriju (ako je moguće) odjednom da biste
sprečili kratak električni spoj. Prenesite ostatak uređaja u laboratoriju u kontejneru koji je
napunjenom istom tečnošću u kojoj je uređaj pronađen. (To se naravno ne odnosi na kaustične
tečnosti). Ako je uređaj pronađen u drugom kompromitovanom stanju kao što je kontaminacija
krvlju ili se upotrebljava kao eksploziv (tj. kao komponenta bombe) treba konsultovati stručnjaka
26
za određena uputstva ili pomoć, jer ovo može predstavljati opasnost za tehničara koji prikuplja
dokaze.
Isključivanje uređaja sa mreže
Nakon zaplene, uređaj treba što je najbrže moguće odvojiti od mobilne mreže!
Inače:
1. vlasnik ili treća strana mogli bi da izbrišu ili zaključaju uređaj daljinskom komandom. Apple
iOS kao i Google Android podržavaju daljinsko brisanje sa uređaja. Na slici ispod možete videti
koje su vrste akcija dostupne vlasniku iPhonea u iClouds „Pronađi moj iPhone”.
2. dolazni pozivi, tekstovi ili drugi podaci mogu da prepišu podatke koji su izbrisani, ali se još
uvek mogu oporaviti fizičkim ekstrakcijom (videti odeljak „fleš memorija”)
3. podaci se mogu generisati nakon zaplene. To bi, naravno, moglo biti problematično na sudu.
27
Uređaj se može isključiti sa mobilne mreže na sledeće načine:
Aktivianjem avionskog režima
Za:
• Brzo, lako
• Pouzdano
Protiv:
• Uređaj će možda morati da se otključa
• GPS može ostati aktivan (na primer za verzije iOS ≥ 8.3)
!!! Ako su za uređaj postavljene određene anti-forenzičke mere i geografska ograničenja,

uređaj može da izbriše svoj sadržaj ako napusti određeno područje i dobija GPS ispravku. Da
bi se ovo sprečilo, savetujemo da se koristi dodatna upotreba Faradejeve kese.
Isključiti uređaj
Za:
• Brzo, lako
• Pouzdano
Protiv:
• Može promeniti podatke/dokaze
• Može aktivirati kodove za autentikaciju (PIN ili lozinku) ili enkripciju što može da
iskomplikuje ili spreči prikupljanje podataka
• Uređaj će možda morati da se otključa
Ovo može biti prihvatljivo rešenje samo ako je uređaj već izvađen i treba da se isključi radi
fizičke ekstrakcije u laboratoriji.
28
Mnogi uređaji nude funkciju alarma. Na starijim uređajima ovaj koristile su se osobine alarma
koje su mogle da uključe neaktivni uređaj, uspostavljajući mrežno povezivanje i potencijal za
daljinsko brisanje
Stavite pokrenuti uređaj u Faradejevu torbu (ili sličan uređaj)
Za:
• Faradejeva torba štiti od prodiranja elektromagnetnih talasa
• Nisu potrebne lozinke, nije potrebno isključivanje
• Ne aktiviraju se nove lozinke pored postojećih
Protiv:
• Može biti nepouzdano zbog nepravilnog zatvaranja
• Može biti nepouzdano zbog lošeg kvaliteta torbe
• Skraćeno trajanje baterije zbog uređaja koji traži ćelijske stanice sa maksimalnim jačinama
signala (povežite eksternu bateriju u torbi – ne ostavljajte kabl izvan torbe, ponašaće se kao
antena!)
Uklanjanje SIM kartice uređaja

Za:
• Isključiti uređaj sa mobilne mreže
• Ne zahteva otključavanje telefona
• Ako je uređaj u Faradejevoj torbi: trajanje baterije se možda neće
skratiti
29
Protiv:
• WiFi i GPS će i dalje biti aktivni
• Ne radi za eSIM uređaje
• Zavisi od uređaju: možda će biti potrebno uklanjanje baterije
Korišćenjem ometača ili provajdera deaktiviraju se ćelijski tornjevi

Ovo bi trebalo biti nemoguće, nepraktično ili u većini slučajeva sasvim nezakonito.
Preporučeni postupak
Preporučujemo da, ukoliko je moguće, aktivirate režim letenja i proverite da li su sve usluge
isključene (GPS, WiFi itd.) Zatim bi uređaj trebalo da bude povezan na spoljni izvor napajanja
(baterija) i oba treba čuvati na odgovarajući način u zatvorenoj Faradejevoj torbi.
Pribavljanje šifre
Ako situacija dozvoljava, od vlasnika uređaja treba zatražiti bilo kakve PIN-ove, obrasce i
lozinke. Ni pod kakvim okolnostima se osumnjičenom ne sme dozvoliti da na bilo koji način
manipuliše uređajem. Resetovanje mašine ili mehanizam za zaključavanje može se aktivirati sa
nekoliko klikova i uništiti dokaze ili ih učiniti nepristupačnim.
Jedini izuzetak od ovog pravila je ako uređaj koristi biometrijsku zaštitu (otisak prsta ili
otključavanje licem). U tom slučaju, od osumnjičenog treba tražiti da otključa uređaj. Nakon
ovoga, ispitivač može da pristupi podešavanju i onemogući zaključavanje (zavisno od uređaja
otisak prsta osumnjičenog ili lozinka mogu biti neophodni da potvrde ovo novo podešavanje) ili
onemogući neaktivan ekran/aktivira opciju za aktivan ekran.
30
Smart Locks u Androidu
Kako bismo korisnicima ponudili više komfora kada koriste zaštitu i samim tim ih ohrabrili da,
na prvom mestu, koriste mehanizme zaključavanja, Android je sa verzijom 5 uveo nekoliko
opcija pametnog zaključavanja.
Pouzdani uređaji (Trusted Devices)

Ovaj mehanizam, takođe poznat kao „uparivanje”, otključava uređaj svaki put kada se nađe u
blizini određenog uređaja koga može da identifikuje Bluetooth ili NFC konekcija. Primeri
mogućih pouzdanih uređaja su pametni satovi, slušalice ili stereo uređaji za automobil. Ovaj
mehanizam omogućava vidljivost svih tehničkih uređaja koji mogu biti povezani na pametni
telefon, čak i ako se ne očekuje da sadrže bilo kakve korisne podatke. U određenim slučajevima
oduzimanje automobila osumnjičenima mogu biti podesan način da se pristupi uređaju!
Pouzdano lice (Trusted Face)

Ovaj mehanizam zamenjuje pristupni kod prepoznavanjem lica vlasnika uređaja. Prve verzije
pouzdanog lica (Trusted Face) bilo je lako prevariti fotografijom vlasnika koju je bilo moguće
pribaviti sa društvenih mreža ili u slučaju pravne istrage od strane policije. Da bi se ovo sprečilo,
kasnije verzije zahtevaju od korisnika da trepne ali, naravno, i ovo se može prevariti,
jednostavnim korišćenjem softvera za manipulaciju slike ili možda čak i štampanjem fotografije
vlasnika, potom odsecanjem očiju može se koristiti kao „maska”.
Pouzdana mesta (Trusted Places)

Pouzdana mesta ili poznatija kao „geofencing” je mehanizam za određivanje mesta (npr. kuća ili
radno mesto korisnika) gde se uređaj automatski otključava. Sudski veštak treba uvek da proveri
da li je na pronađenom otključanom uređaju postavljeno pametno zaključavanje, jer se može
desiti da se više ne može otključati u laboratoriji. Takođe, treba napomenuti, da postoje alati
treće strane dostupni za različite mobilne platforme koje omogućavaju automatsko brisanje
uređaja nakon napuštanja određenog područja.
31
Pouzdan glas (Trusted Voice)
Kada je aktivan Trusted Voice korisnik može da otključa uređaj izgovaranjem „Ok
Google”. Ovaj mehanizam bi, naravno, mogao da se prevari snimanjem glasa vlasnika koji
izgovara ovu frazu. Slično sa Trusted Face, rezervni PIN ili lozinka moraju biti postavljeni i
mogu se koristiti za otključavanje uređaja.
Detekcija telu (On-body Detection)

Kada je aktivirano prepoznavanje tela, uređaj koji korisnik otključava treba da ostane otključan
sve dok se nalazi u ruci ili džepu korisnika. Akcelerometar uređaja koristi se da utvrdi kada je
uređaj podešen, tada će se uređaj zaključati. Dakle, ako je uređaj oduzet od vlasnika ostaće
otključan osim ako nije podešen kao uređaj koji ne razlikuje pravog vlasnika od neke druge
osobe.
Ostalo
Brojna su i eksperimentalna pametna zaključavanja ili pametna zaključavanja trećom stranom
dostupna za različite platforme, sa ciljem da zamene konvencionalne lozinke. Neka
zaključavanja koriste povezane pametne satove, na primer zahtevaju od vlasnika da drži uređaj u
ruci, da nosi pametni sat i da ga protrese. Pokret se snima na oba uređaja i upoređuje, a ukoliko
se poklopi, pametni telefon se otključava.
Pametno zaključavanje znači da se uređaj koji je pronađen otključan može da se neočekivano

ponovo zaključa, nakon što se udalji ili spusti na sto. Dakle, kada je otključani uređaj zaplenjen,
treba proveriti da li su u sigurnosnim opcijama postavljen PIN ili lozinka. Ukoliko ništa od
ovoga nije postavljeno, tada ne mogu biti postavljene ni pametne zaštite. Ali, ako je ispitivač
svestan da je postavljen PIN ili lozinka, ekstakcija se može obaviti na licu mesta kako bi se
osigurala određena količina podataka propraćena merenjem koja bi sprečila aktiviranje
uobičajenih pametnih zaključavanja.
ID lica u iOS-u
Apple je sa iPhon-om X uklonio fizičko dugme za početnu lokaciju da bi ekran popunio čitavu
površinu prednje strane telefona. Apple je pokušao da premesti čitač otiska prsta ispod displeja,
32
ali kako rezultati nisu bili zadovoljavajući, Touch ID je zamenjen sa Face ID-om. Face ID
funkcioniše tako što na lice korisnika projektuje matricu infracrvenih tačkica koje su mnogo
sofisticiranije i mnogo sigurnije od upotrebe metode prepoznavanja lica na osnovu slike sa
fotoaparata - kao što to nude Android uređaji.
Čak jednostavno pregledanje telefona može pokrenuti brojač neuspelih pokušaja, tako da se
preporučuje da se komad papira ili nešto slično zalepi preko infracrvenog senzora. Neuspešni
pokušaji otključavanja mogu dovesti do problema sa otključavanjem ovih telefona u
specijalizovanim laboratorijama!
Otključani telefoni
Ukoliko se uređaj ipak pronađe uključen i otključan (tj. sa ekranom u vidljivom i upotrebljivom
stanju) preporučuje se sprečavanje zaključavanja ekrana. Ako ovo ne učini, može doći do:
• aktiviranja neprobojnve korisničke lozinke,
• pokretanja neprobojne enkripcije
• deaktiviranja svih pametnih zaštita nakon inicijalnog pokretanja (nema „lakšeg” unosa)
Održavanje uređaja otključanim može se postići periodičnim pritiskanjem nevažnog hardverskog

dugmeta ili dodirivanjem ekrana sve dok zaključavanje nije onemogućeno ili dok se podaci na
uređaju ne zaplene.
Napomena: neki uređaji isključe ekran nakon određenog perioda, ali aktiviraju zaključavanje
lozinke tek nakon što je protekao određeni vremenski period. Stoga, ako se pronađe telefon sa
isključenim displejom, i naočigled nema lozinku, preporučljivo je da se proveri da li je podešeno
zaključavanje ekrana ili periodičnim ulazom sprečiti zaključavanje telefona.
Specijalno, uređaji koji nude enkripciju (tj. obični moderni pametni telefoni) treba izdvojiti na
lice mesta da bi se sprečio „gubitak” dokaza kroz mehanizam zaključavanja koji se aktivirao
kasnije.
Nakon zaplene mobilnog uređaja, treba ga doneti u forenzičku laboratoriju i što je brže moguće
ekstrahovati, jer čak i potpuno napunjena baterija se može isprazniti u roku od jednog
33
dana. Možda isključivanje uređaja dovede do aktiviranja zaključavanja uređaja lozinkom i time
ga učiniti neupotrebljivim kao dokaz.
Uputstvo za dalje čitanje
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf
Stablo odlučivanja oduzimanja mobilnih uređaja
34
Ekstrahovanje mobilnih uređaja
General
Zbog inicijalne fragmentacije mobilnih platformi, forenzika mobilnih uređaja je suštinski

drugačija od uobičajene računarske forenzike. Naročito se oduzimanje i ekstakcija uvek razlikuju
od slučaja do slučaja, od uređaja do uređaja. Ovo je zbog razvoja mobilnih uređaja u poslednjih
nekoliko godina. Različiti operativni sistemi, konektori, kablovi, hardverske platforme kao i
korisničko zaključavanje i šifrovanje, dovode do nehomogenih procedura u mobilnoj
forenzici. Skoro svaki put je mobilni forenzički stručnjak podržan u ovom procesu od strane
komercijalnih alata za mobilnu forenziku. Dok svako ižod njih ima različite ključne aspekte, oni
dele osnovne pristupe koje ćemo pokušati da opišemo u narednim redovima.
Metode ekstrakcije
Mobilni uređaji se generalno mogu ekstrahovati na tri različita načina, koji se nazivaju
metodama ekstrakcije. Oni će doprineti različitim količinama dokaza u zavisnosti od režima
ekstrakcije i mobilnog uređaja koji se ispituje.
Različiti podskupovi podataka koji će se izdvojiti pomoću tri različite metode vađenja
35
Logička ekstrakcija (Logical Extractions)
Logička ekstrakcija obično daje najmanju količinu
podataka.
Kada obavljamo logičku ekstrakciju, forenzički alat
koristi softverski interfejs (npr. backup ili funkciju za
izlaz) za pretragu logičkih podataka u uređaju poput
kontakata, SMS poruka ili e-maila. Koji će se tačno
podaci povratiti, zavisi od mobilnog uređaja koji se
ispituje. Forenzički alat će dobiti samo onoliko
podataka, koliko je mobilni uređaj spreman da prikaže
korisniku.
Da bi se obavila logička ekstrakcija uređaj, obično,
mora biti otključan.
Prednost logičke ekstrakcije je što je to najbrža metoda ekstrakcije za dobijanje isključivo
zatraženih podataka, ali ne i nekih dodatnih. Takođe, mobilni uređaj će obaviti i dekodiranje
svojih podataka i povratiti ih u lako čitljiv format.
Ekstrakcija sistemskih fajlova (File System Extractions)

Ekstrakcija sistemskih fajlova izdvaja celokupan fajl
sistem mobilnog uređaja, koji obično takođe sadrži
skrivene - ponekad čak i zaštićene - fajlove. Ova
metoda će dati kompletniju sliku uređaja. Dobiće
dodatne korisničke podatke i podatke koji često ne bi
bili vraćeni kada se radi logička ekstrakcija, na primer poruke označene kao izbrisane u bazi
podataka, ali još uvek nisu izbrisani.
Ove poruke neće biti prikazane korisniku i neće biti u backup-u podataka. U slučaju pametnog
telefona, ispitivač će moći direktno da analizira baze
podataka sistema ili aplikacije, što može dovesti do
dodatnih dokaza.
Sa ekstrakcijom sistemskih fajlova, ekstrakcija će
sadržati samo fajlove podataka i dekodiranje, tj. fizički
36
analizator treba da sprovede interpretaciju fajlova. Ukoliko određeni model nije podržan za
dekodiranje ili je dekodiranje nepotpuno, iskusni forenzički veštak ipak može pregledati fajlove
„ručno” i pokuša da pronađe potreban dokaz.
Ekstrakcija sistemskih fajlova će dati osrednju količinu podataka za prosečno vreme jer se
iščitava samo deo memorije koja zapravo sadrži podatke.
Napomena: Termin „Ekstrakcija sistemskih fajlova (File System Extractions)” trenutno koristi
samo Cellebrite. MSAB sličnu ekstrakciju naziva „Logical (Full read)”, a nasuprot tome je
„Logical (no files)”.
Fizička ekstrakcija (Physical Extractions)

Fizička ekstrakcija daje bitsku kopiju celokupne
memorije mobilnog uređaja. Stoga, čak se vraćaju i
posebno zaštićeni i izbrisani podaci, ali koji još uvek
nisu prepisani. Za fizičku ekstrakciju boot lodear-i ili
mali programi koji se zovu „agenti” ili „klijenti” se
obično koriste da bi se obezbedilo direktno učitavanje memorije bez posredovanja operativnog
sistema uređaja. (Za neke uređaje je ipak moguća fizička ekstrakcija preko API telefona.)
Pozitivan efekat ovoga je da se zaključavanje uređaja može često zaobići ili jednostavno
ignorisati.
Slično kao i ekstrakcija sistemskih fajlova, forenzički alat se mora pobrinuti za dekodiranje
fajlova koji se nalaze u binarnoj slici ekstrakcije.
Fizička ekstrakcija će dati najveću količinu podataka, ali se ona vremenski najduže izvodi, jer se
čitav memorijski sadržaj mora pročitati. U slučaju pametnih telefona sa nekoliko gigabajta
memorije, ovaj proces može da potraje dosta vremena.
Takođe, zbog povećanih sigurnosnih ograničenja u modernim operativnim sistemima pametnih
telefona, fizička ekstrakcija najnovijih uređaja postala je izazov za proizvođače forenzičkih alata
za mobilne uređaje, jer se od njih zahteva dodatni istraživački rad a kao rezultat nije uvek
moguće izvesti fizičku ekstrakciju uređaja.
37
Ekstrakcija tokom rada
Prvi korak ekstrakcije mobilnog telefona jeste određivanje marke i modela mobilnog
uređaja. Nakon ovoga, ispitivač može utvrditi metode i načine ekstakcije koji su dostupni za
određeni uređaj i koji su koraci neophodni za njihovo izvođenje.
Nakon razmatranja specijalnih okolnosti slučaja i stanja uređaja, ispitivač može odlučiti koji
metod ili metode ekstrakcije će koristiti i povezaće mobilni uređaj na forenzički alat i započeće
ekstrakciju prateći uputstva koja daje alat.
Utvrđivanje modela uređaja
Na raspolaganju su različite metode za određivanje marke i modela nepoznatog uređaja:

• Korišćenje funkcije automatskog otkrivanja forenzičkog alata za mobilne uređaje
• Traženje nalepnice na uređaju
• Provera podešavanja („About”)
• Traženje IMEI uređaja
• Korišćenje kataloga, npr. UFED Phone Detective
Napomena: Ako se ne može utvrditi tačan model uređaja ili ga vaš alat ne podržava, ali je poznat
njegov operativni sistem, može se pokušati sa izvođenjem generičke ekstrakcije.
Automatsko otkrivanje (Auto Detect)

Automatsko otkrivanje je obično najlakša i najtačnija opcija za utvrđivanje modela mobilnog
uređaja. Međutim, ono ne radi svaki put i potrebno je otključati telefon. Ovo će možda biti
38
posebno dragoceno u slučaju pametnih telefona bez uočljivih karakteristika različitih modela koji
su prodati pod istim imenom. Na primer, Cellebrite UFED set alata podržava preko 38 različitih
modela koji su prodati pod istim imenom „Samsung Galaxy S III”.
Međutim, s vremena na vreme, nakon automatskog otkrivanja uređaja, od vas će se možda tražiti
da navedete ispravan model. U ovom slučaju možda biste želeli da proverite odakle je uređaj i
koja bi verzija mogla biti verovatna (npr. tablet može imati verziju sa i bez LTE-a, zato proverite
da li ima SIM-slot)
39
40
Traženje nalepnice/oznaka
Na mnogim uređajima mogu se naći nalepnica ili oznaka koji
otkrivaju model, a često i dodatne informacije kao što su IMEI
ili MAC adrese Wi-Fi modula. Nalepnice se mogu naći ispod
baterije, što naravno znači da će uređaj izgubiti napajanje ako
ispitivač ovde potraži nalepnicu. Drugi, pak, uređaji možda čak
ni nemaju bateriju koja se može ukloniti ili poklopac koji se
može skinuti, ali često imaju oznaku na poleđini. Ukoliko je ovo
slučaj, možda se može naći nagoveštaj na zaplenjenom
pakovanju.
Traženje IMEI uređaja

Ako se na uređaju ne mogu pronaći podaci o modelu, ali je IMEI uređaja poznat ili se može
pronaći, IMEI se može direktno uneti u pretraživač alata i odgovarajući model će biti
prikazan. IMEI se često štampa na poleđini uređaja, uvek se štampa na originalnoj kutiji i može
se pronaći u podešavanjima uređaja („About”) i kada kucate *#06# na tastaturi telefona (takođe
može raditi i u hitnom režimu).
Korišćenje kataloškog softvera

Kataloški softver poput UFED telefonskog detektiva (UFED Phone Detective) mapira određene
atribute uređaja na informacije o modelu. Navođenjem različitih atributa može se suziti podskup
modela uređaja koji se ispituje. Pogledajte „UFED telefonski detektiv”.
41
Generička ekstrakcija
Ako alat koji se koristi ne podržava model uređaja ili je neka određena metoda ekstrakcije uvek
neuspešna, može se pokušati sa izvršavanjem generičke ekstrakcije. Generičke ekstrakcije su
metode koje bi trebale da rade za većinu telefona koji koriste određeni operativni sistem (npr. svi
Android telefoni ili svi iOS uređaji) ili koriste određeni čipset.
Biranje metode ekstrakcije
Najčešće je najpodesnija metoda ekstrakcije ona koja daje najveću količinu podataka. U većini
slučajeva, to je fizička ekstrakcija, koja je stoga najčešće prvi izbor ispitivača. Ukoliko fizička
ekstrakcija nije podržana na uređaju koji se ispituje, ekstrakcija sistemskih fajlova je sledeća
najbolja, za kojom sledi logička ekstrakcija.
Međutim, neke od okolnosti koje mogu uticati na odlučivanje:
• Ako je vreme kritično, npr. za brzo skeniranje na licu mesta kako bi se utvrdilo da li je uređaj
relevantan za slučaj, logička ekstrakcija bi bila jedina opcija koja je dovoljno brza.
• U slučajevima kada je moguća ekstrakcija sistemskih fajlova ili fizička ekstrakcija, ali
forenzički softverski alat (još) uvek ne podržava dekodiranje dobijene informacije, logička
ekstrakcija može biti jedini način da se dobiju čitljivi podaci. Svakako, u takvim slučajevima
ispitivač ipak treba da uradi fizičku ekstrakciju ili ekstrakciju sistemskih fajlova i ove fajlove
sačuva u slučaju da se ažuriranjem forenzičkog softverskog alata omogući dekodiranje ovog
uređaja.
• Ako je dobijen otključan telefon, a fizička ekstrakcija zahteva da se uređaj ugasi, preporučuje
se da se prvo izvrši logička ekstrakcija ili ekstrakcija sistemskih fajlova kako bi se zaštitili
podaci koji se mogu sačuvati. Ovo se radi u slučaju kada je uređaj enkriptovan ili bi se nakon
ponovnog pokretanja uređaja aktivirala zaštita lozinkom ili sličan mehanizam za zaključavanje
čime bi se sprečila uspešna fizička ekstrakcija.
• U nekim retkim slučajevima, logička ekstrakcija može čak isporučiti podatke koje fizička
ekstrakciju ili ekstrakcija sistemskih fajlova ne mogu, jer su podaci distribuirani na uređaju i
SIM ili fizički analizator ne mogu dekodirati, a sam uređaj može. Stoga, ako ima dovoljno
vremena, najbolje rešenje bi bilo izvesti sve podržane ekstrakcije za uređaj i uporediti rezultate.
42
Odabir režima ekstrakcije
Kao što je rečeno, uobičajeno je poželjan režim ekstrakcije koji obezbeđuje najveću količinu
podataka. U većini slučajeva, postojaće samo jedna opcija za odabir ili preporučeni
režim. Svakako, dostupni režimi se razlikuju u zavisnosti od alata, odabranog uređaja, modela,
verzije OS itd.
Razlog ovome je to što postoji mnogo različitih proizvođača telefona koji prodaju različite
modele i stoga je ogroman broj različitih tehničkih preduslova koji može postojati za ekstrakciju
određenog mobilnog uređaja. Često se može videti da je određeni model telefona, koji obično
može lako biti ekstrahovan, ne može se više ekstakovati nakon određenog ažuriranja firmvera.
Zbog ovoga, gotovo je nemoguće dati tačan odgovor - da li se može ekstrahovati mobilni
telefon. Stoga, u zajednici mobilne forenzike imamo standardni odgovor sličan mantri: „Zavisi!”
APK Downgrading
Ekstrahovanje sistemskih fajlova ili logička ekstrakcija često preskoče podatke mnogih
popularnih aplikacija (npr. WhatsApp, Facebook Messenger, Skype itd.), jer ove aplikacije
čuvaju svoje podatke u enkriptovanom obliku u novijim verzijama aplikacija. Ključ koji je
korišćen za ovu enkripciju neće sa nalaziti u backup-u, stoga se ovi podaci ne mogu dešiftovati.
Da bi se rešio ovaj problem, alati poput UFED ili XRY nude automatizovani APK Downgrading:
Instalirane aplikacije će automatski biti Downgrade-ovane na verziju, pre nego što je uvedeno
šifrovanje podataka. Podaci aplikacije će zatim biti ekstrahovani i aplikacija će se automatski
opet nadograditi na novu verziju.
Kako ova metoda vrši promene na uređaju, na nju ne treba gledati kao na standardni metod, već,
više kao krajnje sredstvo.
43
Opcija downgrade-ovanja verzije APK-a u Cellebrite UFED
APK Downgrade Failure
U nekim okolnostima tokom procesa će se ispostaviti da je downgrade-ing verzije APK-a

neuspešno, nažalost to se često dešava nakon što je aplikacija uklonjena sa uređaja. Pre
downgrade-inga APK-a treba ponovo pokušati ili pre manualnog pregleda aplikacije, ista verzija
aplikacije mora biti ponovo instalirana, bez uticaja na podatke aplikacije.
Nažalost, UFED4PC kreira backup originalne aplikacije koja je prethodno instalirana na uređaj
na sledećoj podrazumevanoj lokaciji:
C:\Users\%USERNAME%\AppData\Local\Temp\APK
Moguće je da se manualno re-install-ira aplikacija, dok se originalni podaci aplikacije

zadržavaju, korišćenjem sledeće ADB comande:
44
Adb install – r %Appname% (ovo podrazumeva da je aplikacija na adb instaliranom
direktorijumu)
Bitno je uključiti -r da bi se osiguralo da je aplikacija ponovo instalirana (re-instalirana)

zadržavajući originalne podatke iz aplikacije a da ne tretira se kao nova instalacija.
Da bi se pristupilo ADB interfejsu, prvo instalirajte Android SDK alate na vašu mašinu za
forenzička ispitivanja sa https://developer.android.com/studio. Nakon instaliranja može se
testirati da li radi priključivanjem android uređaja putem USB-a i koristeći komandu „adb
uređaj” otkriva se lista priključenih uređaja.
Rukovanje memorijskim karticama tokom ekstrakcije
Memorijske kartice (npr. SD-kartice) proširuju memoriju mobilnog uređaja i često čuvaju
multimedijalne podatke, podatke iz aplikacije i stoga vredne dokaze. S jedne strane, podizanje
uređaja bez prethodno ubačene kartice, može dovesti do problema prilikom ekstrakcije
sadržaja. Takođe, SD-kartica može biti šifrovana i nedostupna izvan uređaja. Ali, s druge strane,
svako mount-ovanje memorijske kartice može izazvati promene podataka jer je reč o flash
memoriji. Preporučujemo:
1. Uvek proverite da li je postavljena SD-kartica!
2. Ako je uređaj isključen:

a. Izvadite memorijsku karticu iz uređaja
b. Izvršite ekstrahovanje memorijske kartice odgovarajućim alatom (blokator pisanja)
c. Vratite memorijsku karticu u uređaj
d. Izvršite ekstrahovanje uređaja pomoću forenzičkog alata za mobilne uređaje
1. Ako je uređaj uključen

a. Ne vadite memorijsku karticu, ne isključujte uređaj!
b. Izvršite ekstrahovanje uređaja pomoću forenzičkog alata za mobilne uređaje
45
c. Izvršite ekstrahovanje memorijske kartice kao što je prethodno navedeno
2. Dodajte ekstrakciju memorijske kartice u slučaj
Rukovanje SIM karticama
Većina modernih pametnih telefona se ne oslanja na SIM kartice kao što je to slučaj sa
funkcionalnim telefonima sa tastaturom. Međutim, preporučujemo sličan postupak kao što je
prethodno navedeno u vezi sa memorijskim karticama.
Kloniranje SIM kartica

Neki funkcionalni telefoni sa tastaturom (retko pametni telefoni) odbiće da se pokrenu kada nije
ubačena SIM kartica. Obično ne želimo da pokrenemo uređaj sa umetnutom SIM karticom,
najverovatnije zato što ne postoji drugi način da se sprečida se funkcionalni telefon sa tastaturom
poveže na mrežu.
U ovakvim slučajevima, može se kreirati klon SIM kartice koja će se telefonu identifikovati kao
njegova poznata SIM kartica, ali će biti onemogućeno povezivanje na bilo koju mrežu. Ovo
može biti presudno jer neki uređaji mogu da ga obrišu svoju memoriju ako je umetnuta
nepoznata SIM kartica. Međutim, ponekad je prazna SIM kartica dovoljna za pokretanje
funkcionalnog telefona sa tastaturom.
Šta ako ekstrakcija nije bila uspešna?

Tokom znatnog broja ekstrakcija može se dogoditi i događaće se da ekstrakcija ne uspe. Ako se
ovo dogodi ispitivač ima sledeće mogućnosti:
• Pokušajte ponovo
Ponekad će neuspešna ekstrakcija uspeti u drugom ili trećem pokušaju, a bez da je urađeno nešto
drugačije. Uvek se u potpunosti pridržavajte uputstava alata za proces. Pažljivo čitajte i odvojite
vreme koliko vam je potrebno. Možete pokušati sutradan.
46
• Koristite antistatičku četku za čišćenje kontaktnih tačaka uređaja
Mobilni telefoni se mnogo nose u džepovima ili torbama iz kojih, vremenom, skupljaju prašinu
ili prljavštinu na portovima konektora, što može uticati da veze postane nepouzdana.
• Pokušajte sa drugim kablom

Prekinut ili oštećen kabl ili oštećen konektor, takođe, može da rezultira nepouzdanom
konekcijom za podatke. Pokušajte sa drugim kablom (ako imate mogućnost, originalnim kablom
za uređaj).
Cellebrite i MSAB će besplatno zameniti većinu oštećenih kablova i konektora.
• Proverite da li je baterija potpuno napunjena
• Ako je baterija prazna ili nepouzdana ili je kontakt sa baterijom nepouzdan, koristite
kabl za napajanje telefona
• Pokušajte na drugi način ili metodom ekstrakcije ili generičkom ekstrakcijom ako je
dostupna
• Opet koristite četkicu, za svaki slučaj kako biste bili sigurni ;)
• Kontaktirajte podršku proizvođača alata
• Pokušajte sa drugim alatkama

Većina forenzičkih stručnjaka se slaže da forenzička laboratorija treba da bude opremljena sa
najmanje dva ili tri različita setova alata za slučaj da jedan alat ne može ekstahuje ili dekodira
određeni uređaj.
Šta ako fizička ekstrakcija nije moguća?

Zbog enkripcije (pogledajte Greška! Referentni izvor nije pronađen. Na stranici Greška!
Oznaka nije definisana.) i drugih povećanih mera bezbednosti kod pametnih telefona, često nije
moguće izvesti fizičku ekstrakciju. U zavisnosti od modela telefona i verzije pokrenutog
47
operativnog sistema, možda će biti moguće uraditi samo osnovnu ekstrakciju, obično zasnovanu
na unutrašnjem rezervnom (backup) mehanizmu telefona, npr. backup iTunes-a ili Android
backup.
Ove backup zasnovane ekstrakcije imaju prednost da rade na gotovo svim uređajima sve dok je
poznat kod zaključavanja. Ako forenzički alat ne podržava određeni uređaj, generička ekstrakcija
koja je zasnovana na rezervnoj kopiji (backup) uređaja, gotovo će uvek raditi. Od iOS 11 i
Android 8, uređaj ne samo da mora biti otključan, već mora biti uneta i šifra uređaja da bi se
izvršila ekstrakcija - ranije, mogla se izvršiti ekstrakcija telefona koji je pronađen otključan na
licu mesta ili je otključan korišćenjem biometrijskih zaključavanja.
Međutim, ponekad su podaci na ovim sigurnosnim kopijama (backup) uređaja veoma
ograničeni.
iTunes sigurnosne kopije (backups)

iTunes backup-ovi su Apple-ov mehanizam za backup-ovanje podataka ili sinhronizaciju
podataka na novi iDevice. iTunes backup-ovima nedostaju neki podaci koji su često presudni za
istrage, npr:
- elekstonski mejlovi (e-mails)
- lokacije koje se često posećuju
- Određene interne baze podataka
- Određene aplikacije za treću stranu (npr. Viber, telegram itd.)
Za aplikacije za treću stranu, proizvođač za svaku aplikaciju odlučuje da li želi da aplikacija

bude uključena u iTunes backup ili ne.
Kako iOS uređaji koriste 64-bitne procesore, uopšte nije bili moguće dobiti pravu fizičku
ekstrakciju iOS uređaja. Svakako, postoje načini da se dobiju svi fajlovi i datoteke iz iOS
uređaja, što je – prema nekim posebnim aspekatima iOS-a – za praktičnu upotrebu podjednako
dobro (neki proizvođači softvera ovaj proces nazivaju „fizička ekstrakcija” za iOS uređaje).
Postoje 3 načina za potpunu ekstrakciju iOS uređaja
- Zatvorite (Jailbreak) uređaj i koristite npr. Elcomsoft iOS Forensic Toolkit za ekstrakciju
48
- Pošaljite telefon u laboratoriju za otključavanje (npr. Cellebrite CAS)
- Izvršite ekstrakciju telefona preko Grayshift Graykey box
Za jailbreak iOS uređaja - što znači uklanjanje ograničenja korisnika - morate koristiti „hakerski
softver” treće strane. Trenutno postoje softverska rešenja dostupna za uređaje sa operativnim
sistemima iOS 12.1.2 i starijim. Ažuriranja možete potražiti na https://canijailbreak.com. Kako
će jailbreak postaviti trajne izmene u vašem dokaznom predmetu i takođe poništiti garanciju
uređaja, uvek biste trebali da dobijete dozvolu pretpostavljenog pre izvođenja jailbreak-a.
Android backup-ovi
Android backup-ovi slični su iTunes backup-ovima. Oni će pored ostalih podataka sadržati
pozive, tekstualne poruke, kontakte, podatke iz kalendara, multimedijalne fajlove i
različite aplikacije treće strane. Međutim, najpopularnije aplikacije za razmenu poruka nedostaju
u Android-ovim backup-ovima.
Kao i kod iTunes backup-ova proizvođač aplikacija treće strane može da odluči hoće li njihova
aplikacija biti uključena u Android backup ili ne. Pored ovoga, većina današnjih aplikacija
uključene su u Android backup, ali imaju svoje baze podataka koje su šifrovane. Ključ za
šifrovanje nije uključen u backup, ali ostaje samo na telefonu, stoga se podaci iz aplikacija ne
mogu čitati izvan telefona, čak i ako je backup dostupan.
Jedan od mogućih načina da se ovo prevaziđe je APK-downgrading koji ne radi na svim Android
verzijama.
Drugi način da se dobiju svi podaci sa Android uređaja je da se izvede rutovanje

(rooting). Rutovanje je isto kao jailbreaking na iOS uređajima: interni nalog administratora će
biti omogućen i korisnička ograničenja se mogu zaobići. I ovde bi trebalo da dobijete dozvolu
nadređenog, jer ćete koristiti softver sa sumnjivog izvora i obavljati radnje koje će trajno
izmeniti dokaze. Štaviše, rutovanje je postalo teško, ako ne i nemoguće od Android-a 7, jer će
telefon proveriti ima li izmena prilikom boot-ovanja i ukoliko otkrije ovakve izmene neće
49
pokrenuti sistem (boot-ovati). Dakle, dok je jailbreaking telefona relativno bezbedno, neuspešni
pokušaj rutovanja može da oštetiti ili uništiti dokaze.
Druga mogućnost da se dobije fizička ekstrakcija uređaja sa nedovoljno fizičke podrške u

forenzičkim alatima je da pošaljete uređaj u specijalizovanu laboratoriju za otključavanje poput
Cellebrite CAIS.
50
Ekstrakcije Cellebrite UFED Touch 2 i UFED 4PC
Pregled
Cellebrite je razvio UFED uređaj kao samostalno rešenje koje obavlja vađenje podataka iz:
- Mobilnih uređaja (telefoni, tablice, GPS uređaji)
- Moduli identiteta pretplatnika (SIM, Subscriber Identity Modules)
- Spoljne medijske kartice (SD / Micro-SD)
UFED Touch2 i UFED 4PC mogu izvesti logičke, sistemske fajlove i fizičke ekstrakcije.
Dodatne funkcije uključuju:

- Zaobilaženje ili onemogućavanje zaključavanja na mnogim uređajima zaštićenim lozinkom
- Ekstrakcija lozinki na nekim uređajima zaštićenim lozinkom
- APK downgrading za ekstrakcije sistemskih fajlova putem backup-a Androida
- Kloniranje SIM kartica
- Kreiranje snimaka ekrana mobilnih uređaja
- Kreiranje fotografija dokaza eksternom kamerom
Uključeni softver:
- UFED fizički analizator
- UFED telefonski detektiv (PC verzija)
- UFED telefonski detektiv (aplikacija za pametne telefone/web verzija)
U ovom poglavlju biće predstavljeni UFED Touch2/4PC uređaji i raspravljaće se o tome kako
izvesti različite ekstrakcije sa ovim uređajima.
51
Opis UFED Touch2-a
Prednja strana
Slotovi za sim kartice
Čitač SIM kartice nalazi se na levoj strani UFED Ultimate Touch uređaja. Slotovi se koriste za
ekstrahovanje informacija sa SIM kartica i/ili kreiranje kloniranih SIM ID-ova. Mogu se
ekstrahovati uobičajena Mini-SIM kartica kao i Micro- ili Nano SIM-ovi. Ne treba stavljati više
SIM kartica u uređaj u isto vreme.
Preko ovog slota se ulazi u Cellebrite Access Card za kloniranje. Tokom procesa kloniranja,
UFED Ultimate Touch uređaj će tražiti SIM karticu za dokaze, a zatim će podatke upisati u
Cellebrite Access karticu koja je smeštena u isti slot.
Izvorni USB priključak i izvorni priključak RJ-45
Dva priključka za konekciju na levoj strani uređaja su „Izvorni priključak RJ-45” (Source port
RJ-45) i „Izvorni USB priključak” (Source port USB). Na ova dva priključka povezujete mobilni
uređaj za dokaze kako bi se ekstrahovale informacije sa mobilnog uređaja.
52
Target port USB
Na desnoj strani uređaja nalazi se konekcija „Target port USB” za pisanje informacija sa
izvornog mobilnog uređaja do ciljanog uređaja kao što je USB flash drive. Target strana se
takođe koristi za povezivanje USB kabla sa UFED Target strane na PC da biste informacije
upisali u softver za fizičku analizu (Physical Analyzer software).
Zadnja strana
Display-Port
Priključak Display-Port može se koristiti za povezivanje monitora ili projektora na UFED
Touch2.
SD kartica
Slot za SD karticu se može koristiti kao ciljni uređaj za čuvanje ekstrakcija.
Prekidač za uključivanje/isključivanje i napajanje

Prekidač za napajanje kao i priključak za napajanje nalaze se na zadnjoj strani uređaja.
Ext-USB
53
Ovi USB portovi se mogu koristiti za ažuriranje softvera uređaja, a takođe i kao izvor napajanja
UFED kabla za napajanje i da povežu HID-ove (miš, tastatura).
UFED uređaj dizajniran je da prihvati samo pakete firmware-a (softver za čitanje) koje potpisuje
Cellebrite. Ako postoji pokušaj da uvede neovlašćeni sadržaj, UFED će se automatski vratiti u
stanje poznato kao dobro nakon sledećeg boot-ovanja.
Ethernet i Wi-Fi priključak

Omogućite Wi-Fi ili priključite Ethernet mrežni kabl da bi se uređaj ažurirao putem interneta.
Opis UFED 4PC

UFED 4PC ima iste mogućnosti i isti GUI i tok rada kao UFED
Touch2 uređaji, ali mu je potreban snažan windows računar da bi se
pokrenuo.
Umesto mobilne uređaje koji predstvaljaju dokaz povežete na UFED

Touch2 uređaj, povežite ih na adapter UFED uređaja koji ima „izvorni
RJ-45 priključak” (Source port RJ-45) i „izvorni USB priključak”
(Source port USB) i slot za SIM karticu baš kao i Touch2 uređaj.
Iako je tehnički moguće da se mobilni uređaj direktno poveže sa

računarom sa pokrenutim UFED 4PC, ovo se ne preporučuje. Povezivanje dokaza direktno na
PC omogući će da softver ili zlonamerni softver sa uređaja kontaminira računar za ispitivanje ili
obrnuto. Štaviše, operativni sistem računara neće prepoznati mnoge uređaje zbog drajvera koji
nedostaju i ispitivač bi morao da se uključi u zamornu i dugotrajnu pretragu za odgovarajućim
drajverima kako bi bio mogućnosti da izvede ekstrakciju. Svi ovi problemi se neće pojaviti kada
se koristi adapter uređaja.
Savet: Budite strpljivi kada priključujete adapter na računar. Može biti neophodno i nekoliko
minuta za instaliranje svih upravljačkih programa. Preuranjena upotreba adaptera može dovesti
do otkazivanja instalacije drajvera i stoga ekstrakcija neće uspeti.
54
Ažuriranje softvera
Presudno za efikasnost UFED sistema je mehanizam za ažuriranje softvera. Brz napredak u
industriji mobilne forenzike (firmware, telefoni, hardver, softver, itd.) uzrokuje stalne
promene. Cellebrite neprestano nadgleda industriju kako bi osigurao da vaš uređaj može uspešno
da obrađuje najnovije uređaje.
Da biste imali koristi od ovog pristupa, morate da ažurirate licencu kao i softver. Cellebrite
godišnje obično objavljuje 10-15 ažuriranja softvera.
Korisnici, koji su registrovani na mi.cellebrite.com, se putem elektronske pošte obaveštavaju o
novim ažuriranjima. Za registraciju
elektronske adrese treba se prijaviti na
mi.cellebrite.com i otići na
podešavanja naloga (kliknite malu
strelicu u gornjem desnom uglu, zatim
„Moj nalog”. Možete registrovati proizvoljan broj elektronskih adresa, pored one na kojoj je već
prijavljen nalog.
U odeljku „Preuzimanja” možete preuzeti najnoviji paket firmwera za UFED Touch2 uređaj ili
UFED 4PC instalaciju.
Da biste ažurirali svoj UFED Touch2 uređaj, kopirajte preuzeti fajl na USB prenosni uređaj i
povežite ga sa jednim od USB portova koji se na uređaju nalaze bočno, a zatim pristupite kartici
„Verzija” u meniju postavki i kliknite na „USB” - dugme.
Alternativno, možete povezati svoj UFED Touch2 uređaj na internet preko Ethernet porta koji se
na uređaju nalazi pozadi ili putem Wi-Fi-ja i izvršite ažuriranje direktno sa weba. Isto tako,
ukoliko PC na kome je pokrenut UFED 4PC ima aktivnu internet konekciju, softver će
automatski proveriti postoje li nova ažuriranja i ponudiće direktno download-ovanje.
55
Odeljak za download-ovanje na my.cellebrite.com
56
Kako biste ažurirali vaš UFED Touch2 uređaj ili UFED 4PC, kliknite na Settings…
…i selektujte „Web” kako biste izvršili ažuriranje direktno sa interneta ili “File”/“USB” da
ažurirate sa prethodno download-ovanog fajla.
57
Podešavanja
U ovom odeljku biće razmatrane najvažnije opcije podešavanja i za UFED Touch2 i za UFED
4PC. Kako obe imaju gotovo identični GUI, sledeće slike ekrana su uglavnom sa 4PC verzije i
treba ih razumeti kao analognu verziji UFED Touch2. Podešavanjima se pristupa pritiskom na
Settings dugme sa simbolom zupčanika u gorenjem desnom uglu glavnog ekrana.
General
U kartici „General” možete odabrati jezik na uređaju. Preporučujemo da uvek koristite UFED
proizvod na engleskom jeziku, jer je on glavni jezik za razvoj i podršku proizvođača.
58
Izveštaji (Reports)
U kartici „Reports” može se promeniti jezik za izveštaje koji se kreiraju u logičkim
ekstrakcijama kao i obrazac za imenovanje datoteka, gde će biti sačuvane ekstrakcije.
Ako želite da uključite i dodatne informacije u svoje ekstrakcije, možete da kliknete na dugme
„Report custom fields” („Prijavi prilagođena polja”) u donjem levom uglu i dodati proizvoljan
broj dodatnih polja. Uređaj će obavestiti ispitivača o poljima kada se izvrši ekstrakcija.
59
Verzija(Version)
U kartici „Verzija” možete ažurirati firmware vašeg uređaja. Pogledajte prethodni odeljak
“Software updates” gde je opisan ovaj proces.
60
Activity Log
U Activity Log (evidenciji aktivnosti) možete pronaći detaljnu tabelu sa podacima o
aktivnostima vašeg UFED Touch2/4PC. Ona sadrži vremenske oznake (timestamps), tipove
ekstrakcija, informacije o statusu i modelu telefona na kome su obavljene ekstrakcije.
61
User Permissions
U kartici User Permissions („Korisničke dozvole”) možete uvesti skup pravila sa korisničkim
dozvolama koje se kreiraju preko UFED Permission Manager-a, koji se nalazi u downloads-delu
na mi.cellebrite.com.
Na primer, određenom korisniku možete dozvoliti da radi samo logičke ekstrakcije.
62
Cellebrite UFED nudi alatku za određivanje marke i modela telefona na osnovu njegovog
izgleda i drugih karakteristika.
UFED Detektiv za telefon (UFED Phone detective)
Detektiv za telefon je softver koji besplatno dolazi sa UFED licencom i pomaže utvrđivanju
marke i modela telefona unošenjem dimenzija i hardverskih karakteristika telefona.
Ovo može da uključi:

• Tip telefona (CandyBar / Clamshell (na preklop) / Slider (klizač) / Tablet itd.)
• Prodavca
• Kameru (da li postoji / položaj)
• Prednju kameru (da li postoji / položaj)
• Blic / Ogledalo kamere
• Dataport (tip / pozicija)
• Konektor za napajanje
(tip / pozicija)
• Konektor za slušalice
(tip / pozicija)
• Tastaturu (izgled / pozicija)
• Dodatne tastere
(Uključivanje / Jačina zvuka/
Kamera)
• Mere tela uređaja
• Itd.
Ispitivač unosi bilo kakvu dostupnu informaciju o uređaju, dok Phone detective filtrira sve
moguće modele u realnom vremenu.
Napomena: Ovde opisani softver Phone Detective ne treba mešati sa Phone Detective
aplikacijom ili njegovom verzijom u prtraživaču.
63
Izvođenje ekstrakcije Cellebrite UFED-om
Način na koji se vrši ekstrakcija zavisi od uređaja koji treba ekstrahovati i odabranog načina
ekstrakcije. Nakon pravilnog oduzimanja telefona, ispitivač mora da utvrdi tačan modela uređaja
koji treba ekstrahovati. Kao što je prethodno navedeno, postoje brojni načini da se izvede
ekstrakcija.
Određivanje modela uređaja preko funkcije Autodetect

Na glavnom ekranu UFED 4PC (ili Touch2) pritisnite dugme „Mobile Device”. Ako je uređaj
već povezan na izvorni port, UFED će pokušati automatski da otkrije marku i model. Inače treba
pokrenuti automatsko otkrivanje klikom na dugme „Automatski otkrivanje”.
Ukoliko je detekcija uspešna, UFED će prikazati jedan ili više otkrivenih uređaja. Zbog
neznatnih razlika u modelima telefona (npr. varijante i izdanja za različita tržišta) može biti
otkriveno više telefona. Morate odabrati ispravnu varijantu telefona! Uvek proverite dva puta
preko drugih metoda za određivanje (npr. nalepnicu na zadnjoj strani uređaja).
Automatsko prepoznavanje možda neće uspeti, posebno ako je telefon zaključan.
64
U tom slučaju moramo potražiti odgovarajući model na druge načine. Jedna ugrađena opcija je
„konzola” (Console) koja će pokušati da otkrije i prikaže više o telefonu tako što će se
automatski povezati sa njim preko ADB-a.
65
U sledećim odeljcima biće razmotreno više metoda za određivanje tačnog modela telefona.
Određivanje modela uređaja preko UFED Detektiva za telefon (UFED Phone detective)
Cellebrite UFED nudi alat za određivanje marke i modela telefona na osnovu njegovog izgleda i
drugih karakteristika. „Detektiv za telefon” je softver koji se dobija besplatno sa UFED-ovom
licencom.
Hardverske karakteristike za pretražvanje mogu obuhvatiti:

• Tip telefona (CandyBar / Clamshell (na
preklapanje) / Slider (klizač) / Tablet itd.)
• Prodavca
• Kameru (da li postoji/položaj)
• Prednju kameru (da li postoji / položaj)
• Blic/Ogledalo kamere
• Port podataka (tip / položaj)
• Konektor za napajanje (tip / položaj)
• Priključak za slušalice (tip / položaj)
66
• Tastatura (izgled / položaj)
• Dodatni tasteri (Uključivanje/Jačina zvuka/ Kamera)
• Mere
Ispitivač unosi bilo kakvu dostupnu informaciju o uređaju, dok Phone detective filtrira sve
moguće modele u realnom vremenu.
Napomena: Ovde opisani softver Phone Detective ne treba mešati sa Phone Detective
aplikacijom ili njegovom verzijom u prtraživaču.
Određivanje modela uređaja preko IMEI

Možete uneti IMEI broj telefona u traku za pretragu UFED 4PC ili Touch2. Prethodno se mora
preskočiti automatsko otkrivanje.
67
Prvih 6 cifara IMEI mogu identifikovati marku i model uređaja. Ako se IMEI ne može pronaći
odštampan na uređaju, može se pronaći odštampan na ambalaži ili u podešavanjima telefona u
odeljku „About”. Takođe, ukucavanjem *#06* na tastaturi telefona prikazaće se IMEI
broj. Može biti više IMEI brojeva, ukoliko je telefon multi-SIM. Savet: Ovo bi se moglo obaviti i
sa zaključanim telefonom pomoću hitne tastature!
68
Ručni izbor modela
Kliknite na dugme „Ručno pregledavanje” na glavnom ekranu i krećite se kroz listu dobavljača i
kroz listu dostupnih modela koje nudi prodavac.
Rezultati se mogu suziti ukucavanjem u gornju traku za pretragu. Ovo je korisno kada se
prikazuju svi modeli proizvođača.
69
Odabir metode i načina ekstrakcije
Nakon odabira modela, UFED uređaj će prikazati koje su metode ekstrakcije dostupne za ovaj
uređaj.
Kad se odabere metoda ekstrakcije, u nekim slučajevima ispitivač mora da odabere između
različitih režima za izvođenje ekstrakcije. UFED će obično preporučiti jedan od ponuđenih
načina. Ukoliko ekstrakcija ne uspe, ispitivač se može vratiti na ovaj ekran i isprobati drugi
režim ili potpuno drugačiji metod ekstrakcije.
70
Odabir cilja
UFED 4PC će zatražiti da odabir ciljnog
direktorijuma. Ako se radi o UFED Touch2
uređaju, ispitivač će takođe morati da odabere koji
će ciljni medij koristiti: USB drajv, SD karticu ili
preuzimanje ekstrakcije direktno na računar. Ako
je izabran drugi navedeni uređaj u nizu, UFED
Touch2 mora biti povezan na PC preko UFED na PC kabl i UFED Downloader mora biti
pokrenut na računaru. To se vrši klikom na „Alati” (Tools) - „Čitaj podatke iz UFED-a” u
Physical Analyzer-u.
Pripremanje izvornog uređaja

Sada će UFED uređaj prikazati ekran sa uputstvima koji kabl/konektor treba koristiti i kako
izvesti ekstrakciju. Od ovog trenutka ispitivač samo mora da sledi uputstva i ekstrakcija može da
počne. Po završenoj ekstrakciji, UFED uređaj će ponuditi mogućnost da se izvede druga
ekstrakcije i pridodaće je u slučaj.
71
U toku je ekstrakcija
iOS ekstrakcije pomoću Physical Analyzer-a

Iako je moguće uraditi logičku i fajl sistem ekstrakciju pomoću UFED 4PC ili Touch2, takođe
postoje i dva dodatna načina za UFED ekstrahovanje iOS uređaja. Korišćenje softvera UFED za
fizičku analizu (UFED Physical Analyzer Software) može se ekstrahovati iPhone-ovi i iPad-ovi
naprednom logičkom i fizičkom ekstrakcijom. Fizička ekstrakcija je ograničena za iPhone
2G/3G/3GS /4, iPad 1 i iPod Touch 1G/2G/3G/4G.
Pošto sve opcije ekstrakcije iOS uređaja daju drugačiji kvalitet rezultata, uvek treba pokušati da
se urade sve ove ekstrakcije a potom ih uporediti/dodati preko UFED multi-projekta u fizički
analizator.
Analiza mobilnih telefona
Analiza sa Cellebrite-ovim UFED fizičkim analizatorom
Otvaranje ekstrakcije
Kada ste vi ili drugi ispitivač kreirali ekstrakciju mobilnog uređaja, fizički analizator može da
otvori fajlove, koji se nalaze unutar UFED-ovih ekstrakcionih direktorijuma, kao što su *.ufd
fajlovi. Pored toga, UFED-ov fizički analizator može da otvori fizičke dump (odbačene) fajlove
iz drugih alata koristeći „Open Advanced” funkciju.
72
Dodatni formati fajlova su:
• UFED logički izlaz (UFED Logical Output) (*.xml)
• UFDX kolekcije (*.ufdx)
• UFED paketi izveštaja (*.ufdr)
• UFED izveštaj (*.xml)
• InField paket (*.zip)
• Binarne fajlove (*.bin)
• BlackBerry backup fajlove(*.idp)
• BlackBerry blackup fajlove (*.bbb)
• Nokia PM (*.pm)
• Sony Ericsson GDFS (*.gdfs, *.bin)
• TomTom CFG (*.cfg)
Da biste otvorili ekstrakciju u okviru UFED fizičkog analizer-a, kliknite na File-Open case u
glavnom meniju ili pritisnite prečicu Crtl+O na tastaturi. U meniju Open case (Otvori slučaj)
kliknite na dugme Dodaj ekstrakciju (Add extraction) i odaberite lokaciju UFED ekstrakcijskog
direktorijuma i izaberite odgovarajuči *.ufd fajl.
73
74
Nakon što odaberete .ufd fajl, možete ponovo da kliknete na dugme Dodaj ekstrakcije (Add
extractions) da biste dodali dodatne ekstrakcije istog telefona (npr. sa različitim tipovima
ekstrakcije) ili povezanih uređaja (npr. SIM-kartica ili SD-kartica) za slučaj. Za više detalja
pogledaj Merging multiple extractions. Ako ste dodali sve ekstrakcije koje ste nameravali u svoj
slučaj, klikom na Start decoding otvara se slučaj ili Next za dodatne korake.
Ako ste kliknuli Next, u sledećem koraku možete odabrati skupove heša za traženje poznatih
fajlova (više na 104 str), odaberite opciju za urezivanje (carve) dodatnih podataka o lokaciji (više
na 100. str u poglavlju Location Data Carving) i oporavak podataka iz arhiva (na str 145. Data
Files). Takođe, ove akcije se mogu izvesti kasnije.
75
Kada se uređaj otvori, informacije će se dekodirati,
kategorizovati i smešteni u „Project Tree” za analizu. Proces
dekodiranja može se obaviti za razumno vreme (od 40 ili 50
minuta za pametne telefone koji sadrže veoma velike količine
podataka). Što je kapacitet skladištenja veći, sadržan je veći broj
podataka, instaliranih aplikacija itd. te će i dekodiranje potrajati.
76
Upravljanje sa više projekata
Fizički analizator omogućava da više projekata bude otvoreno odjednom. Svakom otvorenom
projektu se automatski dodeljuje boja, tako da su kartice različitih projekata pregledne. Sve
kartice su tada označene tom bojom, što se, takođe, može videti pored naziva projekta u Project
Tree (stablu projekta).
Ako se radi o više projekata, npr. ukoliko je otvoreno dva

ili tri telefona istog modela u isto vreme i dalje može
dovesti do zbunjivanja – tada je komfornije preimenovati
svaki projekt desnim klikom na naziv projekta i klikom na
Preimenuj (Rename).
Spajanje više ekstrakcija

Fizički analizator takođe nudi spajanje više ekstrakcija uređaja u višestruki projekat. Ovo se
postiže otvaranjem UFDX fajlova, povezivanjem više ekstrakcija u jedan projekat ili se
višesturki .ufd fajlovi mogu obezbediti otvaranjem slučaja klikom na dugme Dodaj ekstrakcije
nekoliko puta. Ukoliko je otvorena i dekodirana jedna ili više ekstrakcija uređaja, kasnije se,
takođe, može dodati ekstrakcija u projekat. Kad god kliknete Datoteka - otvorite slučaj (File-
Open case) i izaberite jednu ili više ekstrakcija za otvaranje, imate mogućnost da ih spojite sa
već otvorenim uređajem umesto da ih otvarate kao novi projekat.
77
Drugi način da se ekstrakcija direktno doda u otvoren projekat je klikom na dugme Add
extraction koje se nalazi u gornjem desnom uglu prozora Extraction Summary.
Ekstrakcije u višestrukom projektu se mogu

preimenovati na isti način kao i projekat, desnim
klikom na njihova imena i onda na preimenuj
(Rename).
Slično kod više otvorenih projekata, svaka ekstrakcija
višestrukih projekata automatski dobija boju, koja se
može videti u obliku obojene tačke na stablu projekta
(Project Tree). Otvoreni višestruki projekat u stablu projekta
78
Kada pregledate podatke u višestrukom projektu, kolone sa istim malim trakama iste boje
upućivaće u kom redu i u kojoj ekstrakciji je pronađen deo podatka. U narednom primeru, prva
slika je pronađena u „fizičkoj” ekstrakciji i ekstrakciji „sistemskih fajlova (2)”, druga slika je
pronađena u sledećim ekstrakcijama - „fizičkoj”, „sistemskih fajlova (2)” i „logičkoj”, i treća
slika je pronađena samo u fizičkoj ekstrakciji.
Ako u
prvoj koloni kliknete na strelicu nadole, red će se proširiti i prikazaće se podaci koje sadrži svaka
ekstrakcija.
Podešavanja vremenske zone

Kada je otvoren *.ufd fajl i informacije su prikazane u stablu projekta, Extraction Summary
prozor će se pojaviti na desnoj strani fizičkog analizatora sa informacijama koje zavise od
podešavanja i ekstrahovanih informacija iz uređaja.
Jedan od prvih zadataka je prilagođavanje vremenske zone alata fizičkog analitičara da se
podudari sa datumom i vremenom odakle je uređaj koji se ispituje. Kada se sprovodi istraga
kritično je osigurati da se vreme dobijene informacije podudari sa uređajem iz kojeg su
ekstrahovane.
Ako se u uređaju otkrije vremenska zona, pojaviće se dijalog nakon otvaranja ekstrakcije koji
pruža informaciju o otkrivenoj vremenskoj zoni i pitaće da li želite da projekat prilagodite
79
vremenskoj zoni uređaja. Fizički analitičar se može podesiti da podešavanje vremenske zone radi
automatski i to klikom na Tools → Settings odabirom opcije Automatically adjust timestamps
according to the device’s time zone u General Settings-kartici.
Ako se vremenska zona ne prepozna automatski ili vremenskoj zoni želite dati drugu vrednost,
možete podesiti vremensku zonu bilo kada odabirom dugmeta Project Settings (Podešavanja
projekta) u Extraction Summary (u gornjem desnom uglu) ili klikom na Tools-Project Settings.
Zatim možete izabari odgovarajuću vremensku zonu u okviru postavki Project Settings odabirom
Time zone (Vremenska zona) i podešavanjem postavki vremenske zone. Kada je vremenska zona
jednom odabrana, sve vremenske oznake ekstrahovanih faljova i entiteta biće korigovani prema
vremenskoj zoni koju ste odabrali. U novijim verzijama fizičkog analitičara, takođe možete
80
odabrati opciju za prikaz vremenske oznake u originalnoj vremenskoj zoni koju koristi uređaj
koje je zabeleženo u vremenskoj oznaci.
Vremenske oznake mogu se konvertovati ukoliko pre svega sadrže informacije o svojoj
vremenskoj zoni ili ukoliko su u sačuvane u uopštenom formatu (npr. Unix vremenske oznake ili
drugi vremenski formati). Vremenska oznaka poput „2016-16-06 17:01:00” ne sadrži ove
podatke i stoga će biti prikazani nepromenjeni.
Fizički analizator omogućava ispitivaču da razlikuje vremenske oznake sa i bez informacija o

vremenskoj zoni prikazivanjem vremenska zone u zagradama iza vremenske oznake sa oznakom
informacije o vremenskoj zoni. Ako nije prikazana vremenska zona, vremenska oznaka se čuva
bez ovog dela informacija i ispitivač mora pokušati da odluči u kojoj vremenskoj zoni je kreirana
vremenska oznaka.
Napomena: izabrana vremenska zona u srednjem primeru je bila UTC+1 (Berlin), ali
kako je fizički analizator sačuvao dnevno vreme na nalog, vremenske oznake
konvertovane su u UTC+2.
81
82
Verifikacija heševa Image fajla
Fizički analizator omogućava ispitivaču da verifikuje heševe koji su generisani tokom fizičke
ekstrakcije mobilnog uređaja koji se nalaze u *.ufd datoteci.
Da biste pristupili i proverili ove informacije, idite na Extraction Summary (rezime ekstrakcije) i
kliknite na ime ekstrakcije (obojena je i podvučena kao uobičajena hiperveza) ili na karticu
ekstrakcije.
Na kartici ekstrakcije možete kliknuti na dugme „Verify” da biste uporedili heš iz *.ufd fajla sa
trenutnim hešom podataka u image fajlu.
Poređenje će se obaviti i informacije će tada biti dostupne za gledanje i predstavljanje na

sudu. Heš vrednosti se koriste za izračunavanje sadržaja fajla, datoteke, diska ili fleš uređaja.
Heš vrednost predstavlja digitalni otisak sadržaja određenih podataka od strane ispitivača. Heš
potpis se prikuplja tokom fizičke ekstrakcije (SHA/MD5) i iznova se upoređuje tokom analize.
Ako se heševi podudaraju, dobićete poruku „Ekstrakcijske slike su verifikovane” (Extraction
images are verified), koja tvrdi da se sadržaj nije promenio od vremena ekstrakcije do vremena
analize čime se image čini pouzdanim i verifikovanim.
83
Ukoliko slika nije verifikovana, možda ćete želeti ponovo da pogledate mobilni uređaj i ponovo
verifikujete heš za integritet dokaza.
Šta je heš?
Heš vrednost (ili hash) je broj generisan iz niza teksta. Heš je fiksne dužine, obično mnogo manji
od originalnog teksta i generisan određenom formulom. Ova formula je dizajnirana tako da isti
ulaz uvek daje uvek isti heš, ali da je malo verovatno da dva različita ulaza daju isti heš (ovo se
zove kolizija).
Između ostalih oblasti primene, heš funkcije se koriste da verifikuju da digitalni dokaz nije
izmenjen. Za ovu svrhu se posle ekstrakcije cela binarna slika ekstrakcije koristi se kao ulazni
tekst za heš funkciju i šuva se rezultujući heš.
Ukoliko kasnije bude doveden u pitanje integritet dokaza, tada se slika može ponovo heširati i
rezultujući heš se može uporediti sa onim koji je prvobitno izračunat. Ukoliko je u međuvremenu
izmenjen samo jedan bit slike, tada će rezultujući heš biti potpuno drugačiji.
84
Rad sa fizičkim analitičarem
Ispod možete videti različita polja fizičkog analitičara.
Centar za obaveštavanje
Nalazi se levo od globalne pretrage (gornji desni ugao prozora fizičkog analitičara) i novi je
centar za obaveštavanje sa ikonicom zvonastog oblika. Ovaj centar za obaveštavanje zamenjuje
neke dijaloge poruka starijih verzija UFED-a.
Neke poruke će, takođe, izbledeti u donjem desnom uglu prozora fizičkog analitičara.
85
Extraction Summary prozor (prozor sa rezimeom ekstrakcije)
Extraction Summary prozor pruža informacije o ekstrakciji - ili u slučaju spajanja projekata: o
različitim ekstrakcijama - uređaja (tip ekstrakcije, korišćeni UFED uređaj, datum i vreme
ekstrakcije itd), o samom uređaju (marka i model, IMSI, ICCID, korišćena vremenska zona itd) i
o sadržaju pronađenom u uređaju.
Informacije koje su navedene u prozoru sa sadržajem uređaja takođe su prikazane u delu sa

stablom projekta (Project Tree).
Stavke u stablu projekta

Stablo projekata obezbeđuje ispitivaču oštećene informacije koje su izvučene sa mobilnog
telefonskog uređaja. Svaki odeljak stabla projekta predstavlja poseban tip informacije koja se
ekstrahuje sa uređaja.
86
Memorijske slike (Memory Images)
U okviru stabla projekta izbor „Images” pruža listu
svih ekstrahovanih fajlova generisanih iz
memorijskih modula uređaja. Ovo su kompletne
binarne slike ekstrahovane iz mobilnih uređaja. (Ne
treba ih mešati sa slikama fotografija koje se nalaze u
odeljku (Podaci datoteke) Data Files).
Slika se za gledanje otvara

dvostrukim klikom na fajl
slike i HEX-a pregledač će
otvoriti prikaz fizičkog
sadržaja fajla slike. U kasnijim poglavljima koristićemo HEX-a prikaz za napredne funkcije
pretrage.
Opseg memorije (Memory Ranges)

Stablo Memory Ranges izlistava analizirane opsege memorije
za svaki model uređaja na kome je ekstrahovana memorija
(vidi sliku)
Izaberite opseg memorije da:

• Označite deo memorijskog raspona u prikazanim podacima
• Dodajte ga na listu označenih prikaza binarne slike kojoj pripada (nalazi se na dnu
heksa kartici za pregledavanje)
• Dvostrukim klikom na stavku Memory Range (raspon memorije) prikazuje se njen
sadržaj u novoj heksa kartici za pregledavanje.
Nakon odabira raspona memorije, otvoriće se raspon memorije u HEX-a prikazu za

pregledavanje. Sada se u rasponu memorije mogu pretražiti podaci koji se odnose na slučaj.
Napredne funkcije pretrage se, takođe, može izvesti u zavisnosti od raspona memorije, o čemu će
se kasnije diskutovati.
87
File Systems
Drvo File Systems izlistava sve sistemske fajlove (File Systems) koji su pronađeni ili
rekonstruisani iz analiziranog binarnog fajla.
Svaki sistemski fajl označen je ikonom (hard drive). Izbrisani fajlovi označeni su crvenim
krstićem.
• Izaberite stavku sistemski fajl da bi se dodao na listu označenih binarnih podataka i/ili
opsega memorije kojoj pripada.
• Dvostrukim klikom na proizvoljnu stavku sistemskog fajla prikazuje se njen sadržaj u
novoj Hex-a kartici.
U okviru odeljka sistemski fajlovi možete pronaći particiju korisničkih podataka kao i sistemsku
particiju.
88
Analizirani podaci
Stavki analizirani podataka prikazuje grupe analiziranih podataka koji su povezani sa uređajem i
određenih su funkcija kao što su kontakti, SMS poruke,
evidencije poziva (call log) itd...
Sledeće vrste informacija mogu biti prikazane u

analiziranim podacima (Analyzed Data):
• Lične informacije - Kalendar, nalozi, beleške, evidencije
poziva, korisnički rečnici, korisnički nalozi
• Stavke za razmenu poruka - SMS, MMS, elektronska
pošta, instant poruke, četovi
• Instalirane aplikacije - aplikacije na uređaju
• Informacije o lokaciji - informacije o ćeliji/WIFI/GPS
• Web istorija - istorija web surfovanja i keš memorija
• Istorija preuzimanja - preuzimanja korišćenjem
uobičajenih web pretraživača
• Lozinke - lozinke za sačuvane naloge/konekcije
Uporedite informacije dekodirane u okviru analiziranih

podataka iz logičke ekstrakcije i možete videti da ima
mnogo više informacija u fizičkoj ekstrakciji. Ove
informacije bi bile propuštene ukoliko nije izvršena fizička
ekstrakcija.
Analizirani podaci u stablu projekta
89
Fajlovi podataka (Data Files)
Drvo sa fajlovima podataka sortira ekstrahovane podatke
u uobičajeni ili poznati format fajlova koje koriste uređaji
i računari. Ovo uključuje slike, video, audio i tekstualne
faljove. Ovi fajlovi se identifikuju na osnovu potpisa
datoteke (zaglavlje) i ekstenzije fajla. Posebna
podešavanja za ovo nalaze se u „Tools” - „Settings” -
„Data Files”.
Datoteke podataka u stablu projekta

Informacije koje su prikazane u stablu projekta po sledećim kategorijama:
• Slike - fajlovi koji su prepoznati kao formati slika (npr. *.jpg, *.png, *.gif)
• Video - fajlovi koji su prepoznati kao formati video fajlova (npr. *.avi, *.mpg, *.wmv)
• Audio - fajlovi koji su prepoznati kao formati audio fajlova (npr. *.mp3, *.wma)
• Tekst - fajlovi koji su prepoznati kao formati tekstualnih fajlova (npr. *.txt, *.html,
*.xml)
• Arhive - fajlovi koji skladište i uključuju druge fajlove kako bi se redukovao
memorijski prostor (*.zip, *.zipx, *.rar, *.tar, *.gzip, *.7zip, *.7z, *.dar, *.gz;*.arj)
Tipovi fajlova podataka i potpisi (Signatures) u Tools - Settings
Pažnja: UFED će možda biti u stanju da detektuje (kategorizuje) arhive i automatski će uvesti i
predstaviti njihov sadržaj. Svakako, neće svi arhivirani tipovi biti detektovani i neće se svi oni
90
automatski otpakovati. Sledi tabela iz koje se vidi koji arhivirani tipovi zahtevaju manualno
pregledanje. (kao za 01/2019)
Tabela koja opisuje koje će arhivirane tipove UFED i slični alati detektovati i automatski
otpakovati
* Magnet AXIOM ne kategoriše tipove fajlova zbog njihovog pristupa zasnovanog na upotrebi.
Document Viewer
Od verzije 7.23 Cellebrite je predstavio novi prikazivač dokumenata koji omogućava dodatim
PDF i Office (Word, Excel, Powerpoint) fajlovima da budu pregledani u fizičkom analitičaru.
Prethodno je bilo koji dokument mogao da se otvori pomoću eksterne matične aplikacije.
Dvostrukim klikom na PDF ili Office dokument sada se generiše JPG slika dokumenta i
prikazuje je u okviru Document View kartice.
91
Tagovi (Oznake)
Sekcija Tag-ovi se koristi za praćenje stavki koje su
označene kao stvake dokazne vrednosti. Nakon označavanja
stavke, inkrementiraće se Tag sekcija u okviru stabla
projekta i pratiće se svi zadati tagovi.
Kao što možete videti na slici sa leve strane, oznake se mogu

odnositi na različite kategorije. Možete odabrati da obeležite bilo koju stavku ili entitet sa nekim
ili sa nekoliko različitih tagova i čak kreirate sopstvene tagove.
Reports (Izveštaji)
Odeljak Reports koristi se za praćenje izveštaja koji su
generisani softverom UFED fizičkog analitičara. Kada ispitivač
kreira izveštaj, odrednica će se pojaviti u odeljku „Reports” u
stablu projekta.
92
Cloud Data Sources (Izvori podataka u oblaku)
U odeljku Cloud Data Sources, fizički analitičar prikazuje
naloge podržanih usluga oblaka, koji su bili pronađeni
povezani na uređaj.
Možete uvesti autentikacione tokene naloga koji su pronađeni
na uređaju i sačuvajte ih u obliku paketa naloga na računaru
klikom na Tools → Export account package in the main menu.
Ovaj paket naloga može se zatim uvesti u zaseban softver „UFED Cloud Analyzer” i izdvojiće
podatke iz ovih usluga oblaka. UFED Cloud Analyzer koristiće autentikacione tokene uređaja,
povezaće se sa cloud servisima i preuzeće podatke sačuvane na zadatom nalogu.
Pre upotrebe ove funkcije da se pristupi podacima u oblaku, molimo vas proverite odgovarajuće
zakone i postupke svojoj zemlji i/ili razgovarajte sa odgovornim sudijom ili advokatom.
Dodatne datoteke
Počevši od verzije 7.23 moguće je dodati spoljne fajlove u
projekat pomoću opcije Additional Files.
File → Add External File
Napomene i vrsta kategorije mogu biti ručno dodate spoljnim

fajlovima i može im se pristupiti iz kartice Additional Files.
Pregled podataka
Pomoću fizičkog analitičara postoji nekoliko načina da se pregledaju podaci koji se nalaze u
datotekama slika, particijama podataka ili analiziranim sekcijama podataka. U ovom odeljku će
biti razmotreni različiti načini pregledavanja i prikazivanja informacija za analizu.
93
Pregled specifičnih tipova podataka
Da biste pregledali stavke u stablu projekta i otvorili ih za analizu,
dvostrukim klikom na bilo koju stavku u stablu projekta pojaviće se
izabrana stavka u prozoru podataka na desnoj strani fizičkog
analizatora.
Na primer, dvostrukim klikom na SMS poruke u stablu projekta, otvoriće se nova kartica koja
sadrži tabelu sa svim pronađenim SMS porukama vaše ekstrakcije.
Imajte na umu da brojevi u zagradama iza svake stavke u stablu projekta označavaju ukupan broj
stavki pronađenih u projektu, dok crveni broj koji sledi u crvenim zagradama označava izbrisane
stavke koje fizički analizator automatski vrati.
SMS poruke
Sortiranje
U sledećem prikazu vide se informacije povezane sa SMS porukama uključujući sadržaj i stranke
(pošiljalac/parties). Pored toga, možete koristiti naslovnu traku za sortiranje informacije na
osnovu zaglavlja, npr. Vremenska oznaka (Timestamp) ili Status. Da biste sortirali informacije po
nekoj određenoj koloni, kliknite na ime kolone i odaberite rastući ili opadajući redosled.
SMS poruke sortirane po Status-u
94
Odabir prikazanih kolona
Takođe, desnim klikom na ime kolone iz liste kolona možete
odabrati koja će kolona biti prikazana.
Filtriranje informacija
Jedna opcija za filtriranje prikazanih informacija jesu različiti dugmići u Data Pane (panelu
podataka). Postoje tri glavne opcije za filter:
• Prikaži sve
• Prikaži samo izabrane stavke
• Prikaži samo neizabrane predmete
Pored toga, sada postoji dugme za filtriranje sa više opcija filtriranja zavisno od vrste podataka:
95
Padajući filteri
Na levoj strani panela nalaze se filteri koji su postavljeni. Takođe, mogu se obrisati jednim
klikom.
Primenjeni filteri/Filters applied

Pretraga po tabeli
Pored toga, u gornjem desnom uglu panela podataka (Data Pane) naći ćete polje za traženje
tabele (Table Search) koje se može koristiti za brzo pretraživanje tabele podataka koju gledate
takođe, i za filtriranje prikazanih podataka. Za razliku od uopštene pretrage (Global Search),
polje za pretragu tabela a) prikazaće samo rezultate iz tablice podataka koju trenutno pregledate i
b) neće otvoriti karticu s rezultatima, već će, umesto toga, filtrirati tablicu podataka koju gledate.
U polje Pretraživanje tablice (Table Search) ne možete uneti samo ključne reči, već i MD5 heš
vrednosti, vremenske oznake ili slične podatke. Međutim, kao što ćete videti u nastavku, postoje
tačniji i brži načini rada za filtriranje vremenske oznake.
Polje za pretragu tabele (Table Search)
96
Savet: Ako unesete tekst u polje za Table Search, fizički analitičar filtriraće tablicu
podataka nakon svakog pritiska tastera. Ako ste otvorili veliki slučaj koji na vašoj mašini
radi poprilično sporo, bilo bi preporučljivo da u uređivač teksta (text-editor) prvo unesete
svoj filtrirani tekst, kopirate ga i zalepite ga u polje za pretragu tabele (Table Search),
stoga će fizički analitičar ažurirati tabelu samo jednom.
Global Search
Funkcija Global Search daje ispitivaču mogućnost da brzo pronađe informacije u svim
projektima i svim ekstrakcijama u okviru različitih projekata koji su otvoreni. Ispitivači mogu
uneti ključne reči relevantne za istragu u traci Global Search koja se nalazi u gornjem desnom
uglu fizičkog analitičara.
Kada se ključna reč unese u Global Search traku,
pogoci se odmah prikazuju u iskačućem prozoru
ispod trake za pretragu i sortirani su prema projektu.
Kada pritisnete taster Enter nakon unosa termina za
pretragu, pogoci će se prikazati u novoj kartici u
vidu tabele što je mnogo lakše za identifikovanje i
analiziranje pronađenih stavki.
Kartica s rezultatima Globalne pretrage
97
Global Advanced Search (Globalna napredna pretraga)
Sa verzijom 7.23 uvedena je dodatna opcija za napredno pretraživanje koja omogućava globalnu
ili specifičnu pretragu za projekat korišćenjem više ključnih reči sa AND, OR i EXCLUDE
opcijama. Ovoj funkcionalnosti se pristupa klikom na strelicu na dole pored okvira Global
Search u gornjem desnom uglu.
Advanced Filter Options (Napredne opcije filtra)

Kada je potrebno prefinjeno filtriranje, može se koristiti napredna opcija filtriranja.
U prethodnim verzijama UFED Physical Analyzer-a postojao je Advanced (napredni) taster
pored polja Table Filter. Sa verzijom 5.4 je ova opcija premeštena u tabelu kolona sa poljima
naslova.
Da biste iskoristili napredne opcije za filtriranje, samo kliknite bilo koje polje naslova u koloni
tabele i pojaviće se padajući meni. U ovim padajućim menijima možete postaviti filtere za bilo
koju kolonu tabele. Filteri za različite kolone mogu se proizvoljno kombinovati, npr. možete
filtrirati sve dolazne SMS poruke u određenom opsegu za datum koji je napisala neka osoba.
98
Exporting Items (Izvoz stavki)
Za bilo koji prikaz tabele, možete brzo da kreirate brzi izvoz u nekoliko formata koji će se
koristiti u vašoj dokumentaciji ili izveštajima, ili će biti podaci od značaja istražiteljima, drugim
tužiocima itd.
Da biste kreirali izvoz trenutnog prikaza tabele, kliknite dugme za izvoz koje se nalazi u gornjem
desnom uglu panela podataka i odaberite format podataka.
Nekoliko formata je dostupno za izvoz:
• Excel
• HTML
• PDF
• XML
• EML za e-poštu
• KML za lokacije
• Griffeye za slike
Export/ izvoz dugme
Svi filteri koji su trenutno postavljeni u vašoj tabeli podataka automatski će se primeniti na izvoz
(što znači da se svaka trenutno nefiltrirana stavka neće pojaviti u izvozu). Takođe, sve stavke
koje nisu selektovane (dakle bez kvačice u koloni Uključi) neće biti sadržane u izvozu.
Brzi izvoz sadrži samo podatke trenutnih tabela. Za obimnije izveštaje pogledajte poglavlje
Reporting with Physical Analyzer (Izveštavanje sa fizičkim analizatorom).
Tagging items (Označavanje stavki)
Da biste pratili kritične nalaze tokom istrage možete koristiti tag-ove za brzo pronalaženje nalaza
za razmatranje i izveštaj. Tag-ovi se sastoje od fiksnog imena i opcionog opisa. Postoji skup
standardnih tagova (pogledajte hotkeys), međutim u bilo kom trenutku korisnik može da kreira
nove tagove sa prilagođenim imenima.
99
Da biste označili neki deo dokaza, izaberite red tabele i ili pritisnite ikonu Tag za kojom sledi
„Tag” u gornjem desnom uglu panela podataka ili pritisnite odgovarajući hotkey. Standardni
hotkeys tasteri su:
- F6: Dokazi / Evidence
- F7: Važno / Important
- F8: Na čekanju / Pending
- F9: Završeno / Completed
Kada jednom dodelite jedan ili više tagova, videćete odgovarajući

krug u koloni Tag stavke od interesa kao što je prikazano na
prethodnoj slici. Tag sekcija u stablu projekta biće ažurirana da
uključi stavku koja je tagovana.
Ukoliko otvorite Tag sekciju u svom stablu projekta, dobićete pregled svih dodeljenih tagova.
Možete skočiti na prikaz tabele bilo koje obeležene stavke dvostrukim klikom na nju. Nadalje,
možete ukloniti bilo koji dodeljeni tag iz tabele Tagovi ili bilo koji uobičajeni prikaz tabele,
odabirom označene stavke i klikom na ikonu Delete tag nakon klika na ikonu Tag.
100
Takođe je moguće dodeliti tag-ove za nekoliko unosa odjednom obeležavanjem redova koje
želite da tag-ujete (držite Strg/Ctrl i kliknite neki drugi red ili držite Shift da biste obeležili opseg
redova - slično kao obeležvanje fajlova u Windows Explorer), a zatim klikom na tag ikonu ili
pritisnite odgovarajuće hotkeys.
Takođe, možete dodati tag sekciju u svoj izveštaj o nalazima o čemu će biti reči u kasnijem
poglavlju.
Image Data Carving

Data carving je metoda lociranja slikovnih (*.jpg) datoteka,
u alociranom i nealociranom postoru na osnovu potpisa fajla
(zaglavlje/header).
Physical Analyzer sadrži opciju Data Carving koja se nalazi
u odeljku stabla projekta. Ova funkcija ispitivaču omogućava
da izabere Quick Scan (brzo skeniranje) ili Full Scan
(potpuno skeniranje) za traženje slikovnih fajlova smeštenih
u nealociranom prostoru ili u okviru svih slikovnih
fajlova. Kada se pokrene opcija Carving Data, oporaviće se
dodatni fajlovi slika koji nisu bili deo dekodirane informacije
iz mobilnog uređaja.
Quick Scan (Brzo skeniranje)

Opcija za Quick Scan (brzo skeniranje) traži zaglavlje i podnožje *.jpg fajlova i kada ih pronađe,
može da obnovi ove fajlove za pregledavanje.
101
Za:
• Skeniranje je mnogo brže
• Manje lažnih pozitivnih rezultata
• Nađeno je manje „smeća”
Protiv:
• Biće pronađeno potencijalno manje slika
Full Scan (Potpuno skeniranje)

Opcija potpunog skeniranja koristi zaglavlje i podnožje zajedno sa naprednim algoritmom za
opciju obimnijeg skeniranja kako bi se obnovili slikovni fajlovi unutar image-a.
Fizički analitičar takođe pokušava da oporavi blokove jpeg podatka, koji se javljaju bez ikakvog
zaglavlja informacija (u potpunosti rekonstruiše zaglavlja u tim slučajevima).
Za:
• Biće pronađeno potencijalno više slika
Protiv:
• Mnogo sporije skeniranje
• Više lažnih pozitivnih rezultata
• Pronaći ćete više „smeća”
Location Data Carving

Da biste pronašli dodatne podatke o lokaciji - npr. u bazama podataka ili drugim fajlovima
aplikacija koje nisu podržane - možete koristiti funkciju pod nazivom Location carving, koja je
uvedena od verzije 6.3 UFED fizičkog analitičara.
Da biste izdvojili lokacije, kliknite na Tools → Get more data (Carving) → Carve locations
(Alatke → Dohvati više podataka (rezbarenje) → Izrežite lokacije) ili idite na odeljak lokacija u
stablu projekta i kliknite na simbol koji se nalazi iznad prikazane mape.
102
Možete se odlučiti za izdvajanje najposećenijih područja ili definišete radijus ili više radijusa u
okviru koga se izdvaja lokacija. Imajte na umu da - u zavisnosti od sadržaja podataka u telefonu
koji analizirate - definisanje previse radijusa za izdvajanje lokacije može imati negativan efekat
na vreme koje je potrebno za proces izdvajanja.
Automated Data Carving (Automatizovano izdvajanje podataka)
U zavisnosti od izabranih postavki, fizički analitičar će automatski tražiti izbrisane i nadoknadive

podatke.
Da biste pregledali ova podešavanja, kliknite na Tools → Settings (Alatke → Podešavanja) i
dođite do dna kartice General Settings (Opšta podešavanja).
Ako je opcija „Recover deleted data for Android and Windows Phone devices via carving from
unallocated space”„aktivirana” (podrazumevano: uključeno), fizički analitičar će automatski
pretražiti nealocirani prostor pametnih telefona za podatke (npr. fajlove, poruke itd.) i automatski
će popuniti sve pronađene podatke u sekcijama Analyzed Data (Analizirani podaci) i Data
Files stabla projekta. Iz tehničkih razloga izdvajanje nealociranog prostora iPhone za korisne
podatke ili fragmente podataka je nemoguće.
Ako je odabrana opcija „Automatically remove items that are detected as false positive”
(„Automatski ukloni stavke koje su otkrivene kao lažno pozitivne”) (podrazumevano uključeno),
fizički analitičar će sakriti pronađene stavke za koje utvrdi da su lažno pozitivne i stoga su
103
slučajni šum. Međutim, savetujemo da deaktivirate ovu opciju i da sredite lažno pozitivne nalaze,
kao što se pre događalo da je ova opcija isfiltrirala i odbacila nalaze relevantne za slučaj.
Fizički analitičar će automatski pretražiti obrisane, ali vraćene, podatke u SQLite bazama
podataka (koje sadrže većinu podataka u pametnim telefonima). Ukoliko je opcija „Use deep
carving for SQLite” („Koristite duboko rezbarenje za SQLite”) aktivirana (podrazumevano:
isključeno), fizički analitičar će upotrebiti malo više vremena i pokušaće da pronađe još više
nadoknadivih podataka unutar ovih baza podataka.
Slično, opcija „Recover data from archive files” („Obnovi podatke iz arhivskih datoteka”)
(podrazumevano: isključeno) pokušaće da nađe dodatne podatke unutar arhiva.
Ove opcije su moćni (i u poređenju sa drugim forenzičkim alatima veoma temeljni) alati za
automatsko oporavljanje obrisanih podataka. Iako po cenu da fizički analitičar potroši više
vremena za otvaranje ekstrakcije, vredno je čekanja jer je ispitivač skoro uvek zainteresovan za
izbrisane podatke. Stoga, savetujemo da aktivirate opcije „Use deep carving for SQLite” i
„Recover data from archive files” za dobijanje maksimalne količine podataka za Vaše istrage.
Napomena: Kada vršite ažuriranje UFED Physical Analyzer-a, podešavanja se obično

postave na podrazumevane vrednosti. Pre otvaranja slučaja, proverite da li su sva
podešavanja još uvek kako ste želeli da budu. Ukoliko želite da sačuvate svoja
104
podešavanja, kliknite na dugme Export i nakon ažuriranja, kliknite dugme Import u
prozoru podešavanja.
Međutim, moguće je da fragmenti podataka koji se mogu povratiti (tj. fragmenti poruka
ćaskanja) preostanu, a fizički analitičar im ne može automatski pristupiti i samim tim se ne mogu
prikazati. Dakle, izvođenje ručne heksa pretrage kroz fajlove baze podataka ili čak celih
memorijskih image-a ponekad može da obezbedi dragocene nalaze koji bi inače bili propušteni.
Timeline Analysis (Analiza vremenske linije)

Analiza vremenske linije ispitivaču pruža mogućnost da razne artefakte iz mobilnog uređaja
(pozivi, logovanja, SMS poruke itd) poređa po vremenskom kriterijumu (datum i vreme) ili kao
grafički prikaz.
Analizu vremenske linije možete da koristite ukoliko je pretraga ograničena na određeni
vremenski okvir zbog ograničenja same pretrage ili drugih zakonskih restrikcija ili ukoliko treba
uštedeti na vremenu biranjem vremena koje je relevantno za vašu istragu. Takođe, ova funkcija
može da hronološkim redom složi skoro sve artefakte čime se postiže bolja preglednost vremena
kada su se događaji dogodili na uređaju.
Sadržaj vremenske linije se može izmeniti klikom na dugme Timeline Settings (Podešavanja
vremenske linije) i promenom odgovarajućih podešavanja. Takođe, moguće je razdvojiti redove
(po danima) klikom na Actions → Group by → Ungroup (Akcije → Grupisati po →
Razdvajanje).
105
Watch Lists (Liste pregleda)
Ispitivač može postaviti Watch Lists (liste pregleda) koje koriste ključne reči za brzu pretragu
informacija relevantnih za istragu. Ovaj postupak može uštedeti dragoceno vreme i trud
ispitivača. Ispitivači mogu kreirati listu pregleda putem uređivača liste pregleda i kreirati ili
uvesti listu ključnih reči relevantnih za istragu.
Da biste kreirali listu pregleda, u glavnom meniju kliknite Tools → Watch List Editor (Alatke →
Uređivač liste).
Jednom kada se napravi lista praćenja, može se pokrenuti prema ekstrahovanim podacima
klikom na Tools → Run Watch Lists on Active Project u glavnom meniju da biste brzo pronašli
ključne reči u okviru liste praćenja.
Kada se pretraga pokrene, svi pogoci prikazuju se u stablu projekta liste praćenja. Izaberite
Select Watch List za pregled rezultata.
106
Napomena: Takođe, možete dodati MD5 heš vrednosti na listu praćenja da bi fizički
analitičar automatski tražio određene fajlove.
Kako ćete ručno morati da dodajete svaku heš vrednost i kako će fizički analitičar,
takođe, tekstualnu vrednost heša tražiti u svim imenima fajlova i sadržaju fajlova, nije
preporučljivo da se ova metoda koristiti za duže heš liste. U tu svrhu trebalo bi da
koristite Hash set manager koji je uveden sa verzijom 6.3 fizičkog analitičra. (vidi dole)
Hash sets (heš skupovi)

U verziji 6.3 UFED fizičkog analitičara dodata je mogućnost uvoza heš skupova. Pregled
uvezenih heš skupova ili dodavanje novh postiže se klikom na Tools → Watch list → Hash set
manager (Alatke→Lista praćenja → Menadžer heša skupova) ili korišćenjem prečice Ctrl+H.
107
Ako kliknete na dugme „New” („Novo”) možete dodati nove heš skupove iz Project Vic ili
CAID ili uvesti heš skupove u obliku tekstualne fajla ili CSV fajla koji sadrži MD5
heševe. Takođe, možete odlučiti da li želite da pogoci budu isključeni u korisnilkom okruženju
fizičkog analitičara i/ili vašim izveštajima.
Pogoci heš skupova biće prikazani u stablu projekata u kategoriji Liste praćenja.
108
Malware Scanner
(Skener za zlonamerne programe)
Skener zlonamernog softvera omogućava ispitivaču da skenira uređaj radi pronalaska poznatog
zlonamernog softvera.
Prepoznavanje zlonamernog softvera na uređaju je kritično, jer on može učiniti da uređaj ne
funkcioniše na način na koji je bio predviđen, npr. može:
• Sakriti informacije od korisnika
• Preneti informacije sa uređaja
• Ometati funkcije uređaja
• Sačuvati informacije sa uređaja (broj kreditnih kartica, bankarske informacije itd.)
Ukoliko vaš računar ima aktivnu internet konekciju, možete direktno ažurirati bazu zlonamernog
softvera klikom na “Tools” – “Malware Scanner” – “Update signature database”. („Alati” -
„Skeniranje zlonamernog softvera” - „Ažuriranje baze potpisa”).
109
Inače, ažurirani paket možete preuzeti sa drugog računara i ažuriranje izvršiti iz te datoteke.
Da biste ovo obavili, idite u direktorijum gde je instaliran vaš fizički analitičar (podrazumevano:
C:\Program Datoteke\Cellebrite Mobile Synchronization\UFED Physical Analyzer), kopirajte
BitDefenerUpdater koji pronađete tamo na drugi računar korišćenjem USB memorije ili drugog
medijuma za skladištenje podataka i pokrenite Downloader.exe na računaru sa internet
konekcijom. Pratite uputstva koje daje aplikacija.
Fajl za ažuriranje je baza potpisa poznatog
zlonamernog softvera čijim se poređenjem sa
potpisima u fajlu forenzičkog image-a utvrđuje
da li postoji mogućnost da je zaražen.
Nakon ažuriranja baze podataka ikona
zlonamernog softvera na liniji alata će se
aktivirati i može se koristiti za skeniranje
aktivnog zlonamernog softvera na uređaju.
Sistem će skenirati uređaj i ukoliko je
identifikovan malver, biće prikazan u stablu projekta u sekciji Malware Scanner.
110
Prevod
Physical Analyzer nudi automatsko prevođenje sadržaja entiteta (npr. SMS poruke, elektronska
pošta, ćaskanja) i ispitivaču pruža mogućnost da stekne uopštenu predstavu o sadržaju na stranim
jezicima.
Sa licencom za fizički analitičar besplatno ćete moći da odaberete pet od 14 dostupnih jezika
(engleski je već uključen). Ako je potrebno, možete da kupite više jezika.
Da biste omogućili funkciju prevoda, prvo se morate prijaviti na my.cellebrite.com. Kliknite na

„My Products” - karticu na kojoj bi vaš adapter (dongle) trebalo da bude registrovan. Ukoliko
nije registrovan, možete ga registrovati klikom na plavo dugme „Add Device” („Dodaj uređaj”)
u gornjem desnom uglu. Kliknite na simbol zupčanika, a zatim na „Select Languages”.
Odaberite jezike koji su vam potrebni za prevođenje - sa kog jezika (source) na koji jezik
(target). Nakon što ste odabrali jezik, možete i završiti - svakako, ne morate odabrati svih pet
jezika odjednom. Možete odabrati manje jezika, i ostaviti prazne linije a da ih kasnije popunite.
111
U ovom primeru izabran je nemački jezik. Moguće je dodati još dva jezika.
Nakon potvrde izbora, vratite se na

prethodni ekran i ponovo kliknite na
simbol zupčanika. Kliknite na
„Retreive License” („Preuzmi
licencu”) i preuzmite ažurirani fajl
licence.
Otvorite fizički analitičar i kliknite na

“Help” – “Show license details”.
Kliknite na “Update dongle license”

dugme i nađite fajl licence koji ste
upravo preuzeli.
Konačno, morate instalirati paket za prevod. Kliknite na Tool → Translation u glavnom meniju i
otvorite meni za instalaciju. Ukoliko računar na kojem radite ima aktivnu internet konekciju,
možete preuzeti paket za prevod direktno sa mreže. U suprotnom, možete preuzeti paket za
112
prevod sa my.cellebrite.com na kartici Downloads, kopirajte ga na spoljašni medijum za čuvanje
podataka i kliknite Install from file.
Sada će se dugme „Translate” pojaviti u gornjem

desnom uglu prozora za pregled sadržaja za
entitete.
Ako kliknete na Translate dugme, sadržaj će se

automatski prevesti na jezik koji je odabran u
Tools – Settings meniju.
Od Physical Analyzer 7.0 dostupan je i premium prevodilački paket koji nudi 70 dodatnih
jezika. Ako su vam potrebni jezici iz premium paketa, moraćete da se obratite Podršci za prodaju
kompanije Cellebrite.
113
Podržane aplikacije
Informacije koje određena aplikacija (ili app) čuva na mobilnom telefonu biće prikazane samo u
sekciji Analyzed data (Analizirani podaci) i mogu se pretraživati uopštenom pretragom ukoliko
je instalirana verzija aplikacije podržana i može biti dekodirana pomoću verzije Physical
Analyzer koju koristite.
Da biste dobili pregled svih trenutno podržanih aplikacija i verzija aplikacija, kliknite na “Help”
→ “Supported Apps” („Pomoć” →„Podržane aplikacije”).
U sekciji Analizirani podaci stabla projekta naći ćete i kategoriju „Instalirane aplikacije”. Ovde
ćete naći tabelu koja sadrži sve aplikacije koje su instalirane na ekstrahovanom telefonu. Ova
tabela sadrži kolonu pod nazivom „Dekodirano”. Ukoliko u ovoj koloni postoji plava kvačica,
tada Physical Analyzer podržava ovu specifičnu aplikaciju, i u odeljku Analizirani podaci
pronaći ćete informacije o aplikacijama. U suprotonom, moraćete ručno da analizirate ovu
aplikaciju pretraživanjem njenih datoteka i/ili bazu podataka.
U ovoj tabeli možete brzo skenirati instalirane aplikacije koje Physical Analyzer trenutno ne
podržava, ali može sadržati ključnu informaciju.
114
Analiza četova
Četovi se prikazuju drugačije od drugih podataka o
komunikacijama. Ukoliko proširite odeljak za četove
u stablu projekata, pronaći ćete četove na uređaju
sortirane po aplikacijama za razmenu poruka. Za
svaku korišćenu aplikaciju ili servis za slanje poruka,
videćete odrednicu za kojom slede dva broja: prvi označava broj razgovora u toj aplikaciji ili
servisu, a drugi je broj poruka koje su sadržane u ovim razgovorima.
Ukoliko kliknete na neku od ovih app za razmenu poruka ili na Chats da biste ih sve videli,
videćete tabelu sa svim razgovorima i prozor sa porukama odabranog razgovora sa desne strane.
Ukoliko želite da potražite određeni sadržaj, možete koristiti ili polje za pretragu u tabeli (1) ili
polje za pretragu razgovora (2). Ako koristite pretragu po tabeli, rezultat će biti svi razgovori koji
sadrže reč koju ste pretraživali. Ako koristite pretragu za razgovor, rezultat će biti poruke u
okviru razgovora koji sadrže reč koja se pretražuje. Ako koristite uopštenu pretragu ili listu
praćenja, rezultat će biti poruke u okviru razgovora.
Isto tako možete da potvrdite/poništite i označite čitave razgovore u glavnoj tabeli ili posebne
poruke u okviru jednog razgovora.
115
Klikom na dugme za prikaz razgovora (3), izabrana konverzacija će se otvoriti u novoj kartici,
pružajući bolji pregled i mogućnost brzog izvoza sadržaja razgovora. Sličan prikaz razgovora
obezbeđen je i za SMS-razgovore, pozive, e-poštu, itd.
Pregled slika
Pametni telefoni verovatno sadrže desetine hiljada slika zbog čega je izazov pretraživanje
kategorije slike kao dokaza. Razmatraćemo o nekim alatima koji olakšavaju pretragu slika.
Od verzije 5.0, Physical Analyzer će automatski izdvojiti

sistemske slike (tj. slike iz Android-a, iOS-a itd.).
Međutim čak i sa filtriranim sistemskim slikama i dalje
ćete uočiti hiljade neželjenih slika poput ikona, okvira,
GUI elemenata itd. Ove potiču od aplikacija instaliranih na pametnom telefonu. Ovo
podešavanje se može promeniti korišćenjem Filters dropdown.
116
Na padajućem meniju iznad tabele sa slikama naći ćete različite filtere:
Veličina: filter veličine slike za prikaz svih slika ili slika samo između zadatog opsega u
kilobajtima. Ideja koja stoji iza ovoga je da fotografije imaju najmanje 500kb i preuzete slike
veću rezoluciju i to najmanje 100kb, tako da brzo možete izdvojiti hiljade ikona i GUI
elemenata. Svakako, treba imati na umu da se na ovaj način mogu prevideti thumbnails (sličice)
relevantnih ili obrisanih fotografija.
Format: Filtriranje prema formatu slike: JPEG/GIF/Bitmap/PNG
Metapodaci: Samo prikazivanje slika sa/bez metapodataka i sa/bez lokacije: Ovo je još jedan
brzi način pronalaženja slika koje su fotografije, jer obično sadrže metapodatke.
Vreme snimanja: Omogućava da se pronađu fotografije koje su snimljene u određenom
vremenskom okviru
Povezane stavke: Prikaži/sakrij duplirane stavke
Prilozi (Attachments): Prikazuje samo slike koje su/nisu bile priložene
Uputstvo: Prikažite samo slike koje su poslate/primljene/nepoznato
Iznad trake sa alatkama, nalaze se kartice Table View, Thumbnail View i Folder View.
U Thumbnail View možete brzo da se krećete kroz veliki broj slika. Za bolji pregled se klikom na
Actions („Akcije”) i Display Size („Veličina prikaza”) može promeniti veličina thumbnail-ova i
prikaže/sakrije imena fajlova (filenames).
117
U Folder View nalazi se stablo svih
direktorijuma iz kojih su izvučene slike iz
telefona. Mogu se odabrati/poništiti čitavi
direktorijumi (uključujući poddirektoriju-
me) i otvoriti sve slike određenog
direktorijuma u novoj kartici klikom na
ikonicu sa zelenom strelicom pored
naziva fascikle.
Savet: Isto se može postići desnim klikom
na bilo koju sliku u Table View ili
Thumbnail View i klikom na „Otvori sve
slike u istom direktorijumu” (Open all images in the same folder).
Redact Images
(Preuređivanje slika)
Od verzije 7.23 moguće je ručno preuređivanje slika i video zapisa u okviru aplikacija, što može
biti korisno za slučajeve osetljive prirode, npr. kao oni koji uključuju materijale sa
eksploatacijom dece.
Preuređivanje se može izvršiti desnim klikom na sliku/video i odabirom ili preuređivanje
(Redact) ili prečice Ctrl+F8. Kada se jednom izvede akcija preuređeni thumbnail slike zameniće
original i prilikom generisanja izveštaja ovi faljlovi će biti označeni kao preuređeni.
118
Analiza priloženih slika
Često su slike koje su pronađene na pametnim telefonima poslate ili primljene putem e-pošte,
aplikacija za poruke ili na sličan način. Kao što je prethodno navedeno, postavljanjem
odgovarajućeg filtera mogu se filtrirati priložene slike koje su poslate ili primljene.
Ukoliko kliknete na sliku koja je priložena, primetićete karticu Events (Događaji) na bočnoj traci
(vidi dole). Ako se prebacite na karticu Events (događaji), prikazaće se informacije o
slanju/prijemu događaja. Može se kliknuti i padajući meni Go to (Idi na) koji će direktno odvesti
na traženi događaj u vremenskoj traci ili e-pošte/poruke ćaskanja/itd.
119
Data sources
(Izvori podataka)
Od verzije 5.0 Physical Analyzer će odmah prikazati izvorni fajl svakog podatka odmah pored
samog podatka. Ovo nudi lakši i brži način verifikacije izvora i integriteta dokaza. Informacije o
izvornom fajlu mogu se pronaći u tabelama u koloni na krajnjoj desnoj strain, takođe i u prozoru
sa detaljima zdesna. Informacije o izvornom fajlu se takođe mogu naći u sekciji za informacije o
uređaju u Extraction Summary.
Klikom na informaciju o izvornom fajlu može se skočiti direktno na linkovani fajl, koji je obično
u heksa obliku.
Informacija o izvornom fajlu u kartici za elektronsku poštu
Informacija o izvornom fajlu u sekciji informacija o uređaju u Extraction Summary
Enrichments
(Obogaćenja)
Dodatni podaci o lokaciji UFED Physical Analyzer-u može ispitati od spoljnih servisa i ove
dodatne podatke uključiti u izveštaje. Ovi zahtevani podaci se nazivaju Erichments
(obogaćenja).
120
Querying WiFi & Cell Tower Positions
(Upit pozicijaWiFi i ćelijskog tornja)
U zavisnosti od uređaja koji se analizira i njegovog operativnog sistema, moguće je pronaći

pozicije WiFi i ćelijskog tornja bez koordinata zadatih u Physical Analyzers Location kartici. Za
razliku od keširanih pozicija WiFi i ćelijskog tornja koje se koriste za ažuriranje mape servera
kako je gore opisano, ovi ulazi nemaju pridodat nijedan stvarni podatak o poziciji.
U ovom slučaju traže se WiFi i ćelijski tornjevi na koje je telefon u nekom trenutku bio zaista
povezan. Kako su nepoznate pozicije WiFi ili ćelijskog tornja, treba koristiti spoljne izvore
podataka za dobijanje informacija o stvarnoj lokaciji podataka. Za ovu svrhu UFED Physical
Analyzer nudi funkciju koja se zove Erichments (obogaćenja).
Postoje tri načina da se dobiju Erichments za vaš projekat.
Prvo, ukoliko je računar povezan na internet, postoji mogućnost da se od Cellebrites servera

automatski dobiju Erichment podaci koji su zatraženi. Dijalog će vas upitati da li želite ovu
opciju kada otvorite novi slučaj.
121
U suprotnom, sa my.cellebrite.com se može preuzeti BSSID-baza podataka i stoga se traži na
lokalnoj mašini bez internet konekcije. Baza podataka će biti preuzeta u UFED Physical/Logical
Analyzer under Add.
Nakon preuzimanja treba instalirati nove podatke prvenstveno koristeći opiju Tools →
Enrichment of BSSID and cell towers.
122
Druga alternativa je da uvezete informaciju o WiFi i ćelijskom tornju i zatražite podatke lokacije
sa online servisa od Cellebrite.
Da bi se ovo obavilo treba odabrati: Tools → Enrichment of BSSID and cell towers → Export.
Dobićete .xml fajl koji treba poslati na mejl enrichment@cellebrite.com. Nakon nekoliko minuta
dobićete automatski odgovor koji sadrži drugi .xml fajl. U Physical Analyzer klikom Tools →
Enrichment of BSSID and cell towers → Import biće obezbeđeno da fajl koji je preuzet bude
uvezen u vaš projekat.
123
Čak i ako imate instaliranu BSSID bazu podataka, možete izvesti gore navedeni korak uz to da
koristite bazu podataka ukoliko su podaci o lokaciji veoma važni za vaš konkretni slučaj. Naše
iskustvo je pokazalo da često dobijate nekoliko dodatnih lokacija koristeći online uslugu upita
koje još uvek nisu sačuvane u bazi podataka. Ako dobijete dodatne lokacije, one će automatski
biti dodate u vašu lokalnu bazu podataka.
Vraćanje adresa geo pozicija

UFED Physical Analyzer ima funkciju da automatski prevede informacije o geo poziciji u
stvarne adrese ulica klikom na kružno dugme na kartici lokacije.
Morate ručno selektovati redove, za koje tražite adrese.
Ova funkcija zahteva aktivnu internet konekciju i radiće istovremeno samo za 200 pozicija.
Imajte na umu da su ove adrese samo procene.
124
Ažuriranja
Ne zaboravite da ažurirate svoj Physical Analyzer, kao i svoj UFED Touch2 ili UFED 4 PC.
Manja ažuriranja koja obezbeđuju ekstrakcije za više modela uređaja i/ili više/bolja dekodiranja
aplikacija trebalo bi biti dostupna svakih mesec dana, dok se velika ažuriranja sa novim
funkcijama očekuju 4 puta godišnje.
Ako računar na kojem radite ima aktivnu internet konekciju, Physical Analyzer će sam proveriti
ima li novih ažuriranja i obavestiće vas ukoliko je dostupna nova verzija.
U suprotnom, uvek možete preuzeti instalaciju za najnoviju verziju na my.cellebrite.com u

odeljku za preuzimanje.
125
Ako odete na podešavanja naloga (klikom na strelicu u gornjem desnom uglu, a zatim My
Account (Moj nalog)), dodatno možete da registrujete svoju elektronsku adresu pored one na
koju ste registrovani, tako da će vas putem elektronske pošte uvek obaveštavati da li je dostupna
nova verzija za preuzimanje i koje nove uređaje sada podržava.
126
Izveštavanje sa Physical Analyzer
Physical Analyzer može kreirati prilagođene izveštaje kao deo ispitivanja i nalaza. Funkcija
izveštavanja može da generiše izveštaje različitih formata koji se dostavljaju inicijalnom
istražitelju ili kao nalaz analitičarima, tužilaštvu ili timu odbrane.
Različiti formati omogućavaju ispitivačima da brzo ekstrahuju informacije i generišu izveštaje

koje je jednostavno otvoriti. Takođe, nude bezbednosne mere protiv radoznalih očiju ukoliko je
slučaj interna istraga ili ako su informacije poverljive.
Uz to, u mogućnosti ste da filtrirate koje su informacije obuhvaćene generinjem izveštaja. Pravna
ograničenja i politike mogu ograničiti informacije koje se mogu ekstrahovati i uključiti u
izveštaj. Physical Analyzer ispitivaču daje mogućnost da doda neophodne informacije u izveštaj.
Izveštaj o ekstrakciji
127
Formati izveštaja
Physical Analyzer omogućava ispitivaču da kreira izveštaj u više različitih formata. Ovi različiti
formati obezbeđuju ispitivaču različite funkcionalnosti i, takođe, jednostavan pregled. Formati
koje podržava fizički analizator su:
• Microsoft Word
• Microsoft Excel
• HTML
• PDF
• UFED (UFDR) paket izveštaja
• XML
Iako biste trebali da sledite standardizovani postupak izveštavanja, možda će vaš izveštaj morati
da uključi specijalne delove i informacije na osnovu toga kome podnosite izveštaj, specifičnosti
vaše organizacije ili specifični slučaj koji potkrepljujete.
Možda je internim izveštajima potreban dodatni nivo sigurnosti i možda će zahtevati upotrebu
PDF izveštaja. Tužioci i sudije će možda koristiti izveštaj zasnovan na HTML-u kako bi se
potkrepio nalaz procesa jer ih je jednostavno iščitati i podržava ih većina pretraživača.
Analitičari mogi i samostalno da sprovedu pretragu ili filtriranje, što mogu sprovesti UFDR
izveštajima i UFED čitačem.
Prilagođavanje izveštaja
Sa svakim od različitih vrsta izveštaja, ispitivač ima mogućnost da postavi prilagođena
podešavanja za izveštaj. Neke od najčešće korišćenih podešavanja su:
• Podrazumevano sortiranje
• Računanje heševa
• Logo Header
• Logo
• Logo Footer
• Prikaži ukupne vrednosti za stavke koje
nisu u izveštaju
128
• Prikaži prošireno izbrisano stanje
• Broj linija za pregled e-pošte
• Broj poruka po ćaskanju
• Prikaži celo telo e-pošte
• Prikažite sve chat poruke
Koja će podešavanja ispitivač uključiti u svaki izveštaj zavisi od informacije koje ispitivač treba
da ima u izveštaju i ako zakonska regulativa ograničava koji podaci se mogu uključiti.
Podaci izveštaja - uključivanje ili isključenje

Podaci u izveštaju su podaci koje je ekstrahovao i dekodirao Physical Analyzer. Ispitivači mogu
dodati selekcije u izveštaj uključujući i svaki Entity Bookmarks (entitetski obeleživač) koji je
kreiran tokom analize i faze ispitivanja.
Ukoliko ste ograničeni zakonskom regulativom ovde možete ograničiti vašu ekstrakciju i dobiti
samo rezultate potrebne za slučaj. Pored toga, ispitivaču možda neće biti potrebne ili ne želi sve
informacije iz slučaja, i može biti zainteresovan samo za kontakte ili SMS poruke. Dakle,
ispitivači mogu odabrati samo informacije koje su im potrebne za slučaj ili koje ispunjavaju
zakonske zahteve.
Svaki tip podataka možete odabrati ili ne selektovanjem ili poništavanjem selekcije. Ako ste
kreirali tag-ove (oznake) tokom ispitivanja i želite da ih uključite u izveštaj, takođe ćete morati
da odabere tag-ovanu vrstu podataka.
Takođe, za izveštaj možete obezbediti filter za opseg vremena koji uključuje dokaze samo u
okviru ovog vremenskog raspona.
Na primer:
Ako ste tag-ovali (obeležili) dve SMS poruke i želite da ih uključite u izveštaj, takođe ćete
morati da selektujete i SMS tip podataka inače tagovi neće biti uključene.
129
Brz način kreiranja izveštaja koji sadrži samo dokaze koje ste pronašli je kreiranje izveštaja –
Tags Only. Da biste to učinili, kliknite na opciju Tags Only u odeljku Examiner (Ispitivač).
Rezultujući izveštaj uključuje vaše oznake (ime/opis/datum je dodat) i entitete kojima su vaši
tagovi pridruženi.
Od verzije 7.23 takođe je moguće automatski redigovati sve priloge u okviru izveštaja. Ovo
može biti korisno za osetljive istrage, poput onih čiji se materijali odnose na eksploataciju dece.
130
Uključivanje/ isključivanje određene pojedinačne stavke
Takođe, možete da isključite određene stavke (npr. određene SMS poruke) ili da uključite samo
određene stavke prilikom generisanja izveštaja.
Da biste izuzeli određene stavke iz izveštaja, jednostavno otvorite prikaz tabele relevantnih
stavki i poništite selekciju stavke koje želite da budu isključene iz izveštaja.
Ako želite da uključite samo određene stavke, na primer

želite da generišete izveštaj koji sadrži samo poruke koje
sadrže dokaze relevantne za slučaj, prvo morate poništite
sve stavke u grupi i zatim markirate odgovarajuće. Možete
jednostavno da kliknete na dugme u naslovnom redu
Exclude all from report (Izuzmi sve iz izveštaja) i poništite
sve stavke.
131
Ako želite da uključite određene stavke nakon korišćenja funkcije pretrage ili filtera, morate
osigurati da nijedna stavka nije markirana pre primene pretrage ili filtera. Imajte na umu da će se
čak i stavke koje su trenutno skrivene pojaviti u izveštaju ako su markirane.
Napomena: Ako kliknete dugme Exclude all from report (Izuzmi sve iz izveštaja) ili
Select all for report (Odaberi sve za izveštaj) ova akcija će se primeniti samo na stavke
koje su trenutno vidljive. Neće biti uticaja na skrivene stavke.
Ukoliko često treba da generišete izveštaje koji sadrže samo određene stavke, možete poništiti
opciju Check entities by default u General Settings meniju podešavanja. Na ovaj način će sve
stvake biti podrazumevano isključene iz izveštaja, a u izveštaju će se naći samo one koje
specijalno uključite.
Primer:
U svoj izveštaj želite da uključite samo velike slike. Vaša namera je da isključite sve slike koje
pripadaju operativnom sistemu uređaja, a da dobijete samo fotografije koje je napravio korisnik
ili se preuzete.
• Korak 1: Kliknite na Data Files → Images u stablu projekta.

Kliknite na dugme Exclude all from report da biste poništili sve stavke.
132
• Korak 2: Kliknite na dugme Display images above 500 kb da sakrijete sve male slike koje
sadrže ikone itd.
• Korak 3: Kliknite na dugme Select all for report (Izaberi sve za izveštaj) i kreirajte svoj
izveštaj.
133
Čak i ako sada ponovo prikažete sve slike, videćete da su selektovane samo slike veće od 500kb
koje će biti uključene u izveštaj.
Imajte na umu da uključivanje/isključivanje stavki u izveštaj takođe radi po principu tagova. Da

biste kreirali Tags Only izveštaj koji sadrži samo određene tagove, kliknite na stavku Tags na
vašem stablu projekta, gde možete da odaberite/poništite odabir i filter tagova koje želite da
imate u svom izveštaju.
Additional Fields
(Dodatna polja)
U podešavanjima Additional Fields možete dodati informacije relevantne za slučaj kao što su:
• Broj predmeta
• Naziv predmeta
• Broj dokaza
134
• Ime ispitivača
• Odeljenje
• Lokacija
• Napomene
• Sva dodatna polja koja ste postavili u meniju Settings
(Podešavanja)
Možete prilagoditi polja izveštaja i dodati posebna polja za vašu organizaciju Additional Report
Fields funkcijom koja se nalazi u meniju Settings (Podešavanja).
Ako polja imaju opciju Required označenu, tada se informacije moraju uneti u odgovarajuća
polja pre nego što se izveštaj može generisati.
Lokacija i direktorijum izveštaja

Po završetku prethodno navedenih koraka, treba da unesete naziv izveštaja koji je obično
povezan za istragu. Takođe, možete da izaberete lokaciju na kojoj će se čuvati izveštaj. Lokacija
na kojoj ćete pisati svoje izveštaje može izgledati trivijalno, ali informacije upisane na particiji
operativnog sistema na hard disku se mogu izgubiti ili oštetiti virusima, malverom ili oštećenjem
sistema.
Dobra forenzička praksa je da se svi dokazi čuvaju na udaljenom upravljačkom programu

(remote drive) koji je forenzički pripremljen za upis dokaza. Ova metoda sprečava gubitak
podataka i pruža mogućnost drugim ispitivačima da koriste informacije, ukoliko je potrebno jer
je uređaj mobilni.
Završni element procedure u ovoj fazi je generisanje izveštaja i provera njegove tačnosti.
135
Izveštaji o više projekata
Ako je izveštaj kreiran za višestruki projekat, redovi podataka će se pojaviti isto kao u
uobičajenom izveštaju. Uz to, Source Extraction (izvor ekstrakcije) će biti prikazan u svakom
redu. U zaglavlju izveštaja, biće prikazane sve ekstrakcije i detalji ekstrakcije.
UFDR Reports and the UFED Reader

(UFDR izveštaji i UFED čitač)
Ukoliko kolegama, analitičarima, tužiocima ili advokatima želite da omogućite da samostalno
pregledaju ili pretražju dokaze, jednostavno spakujte sve podatke u jedan veliki PDF, Word ili
HTML fajl, jer izveštaj dug nekoliko stotina stranica često nije pogodno rešenje. Posebno kod
pametnih telefona, količina podataka može biti poražavajuća i neophodno je profesionalno
softversko rešenje.
U ovakvim slučajevima, možete da napravite izveštaj koji se može otvoriti pomoću UFED
Reader-a.
UFED Reader je besplatni softver koji se distribuira sa svakom licencom Physical Analyzer-a ili
Logical Analyzer-a. To dolazi kao pojedinačna .exe datoteka koja ne zahteva instalaciju i ne
pokreće dongle, a nudi gotovo istu funkcionalnost kao Physical Analyzer i koristi vrlo sličan
GUI.
136
UFDR izveštaj otvoren u UFED Reader-u
Najnovija verzija UFED Readera se uvek može naći u direktorijumu „UFEDReader” koji se
nalazi u instalacijskom direktorijumu Physical Analyzer-a (podrazumevana likacija: C:\Program
Files\Cellebrite Mobile Synchronization\UFED Physical Analyzer\UFEDReader).
Napomena: Ako predajete UFDR izveštaj kreiran pomoću Physical Analyzer-a, čitač koji
ga obično otvara mora biti barem ista - ili novija - verzija kao i Physical Analyzer koji ga
kreira. Dobra je praksa da uvek predate najnoviju kopiju čitača zajedno sa fajlom
izveštaja.
UFED Reader se možete koristiti za pretraživanje i filtriranje podataka za dokaze, a zatim za

generisanje izveštaja na isti način kao što biste to uradili u Physical Analyzer-u. Čak je moguće
kreiranje i novih UFDR izveštaja.
137
Ukoliko zakonska ograničenja ili pravila ograničavaju informacije koje je dozvoljeno predati
određenom analitičaru ili kojem god primaocu podataka, možete isključiti sve osetljive ili
klasifikovane podatke koristeći metodu opisanu u poglavlju Report Data – Inclusion or
Exclusion (Podaci podataka - uključivanje ili isključivanje), a zatim generisati UFDR fajl koji
sadrži sve podatke sa uređaja, osim izuzetih delova.
UFDR fajlovi se mogu otvarati i uređivati pomoću:

• UFED Reader-a
• UFED Physical Analyzer-a
• UFED Logcal Analyzer-a
• UFED Analytics Desktop-a
Pregled HEX-a slike uređaja i napredna HEX-a pretraga mogu se izvršiti samo pomoću Physical
Analyzer-a i u originalnom fajlu projekta.
Pomoću alata poput UFED Reader-a, možete postići efikasnu podelu posla u vašem odeljenju,
gde se forenzički stručnjaci koncentrišu na rad za koji su obučeni, kao što su ekstrakcija, HEX-a
pretrage, analize baza podataka ili drugi tehnički zahtevni zadaci, dok analizu podataka, koja
zahteva mnogo vremena, i traženje dokaza obavljaju specijalizovani analitičari podataka ili
istražitelji.
Zaštita UFDR izveštaja lozinkom

Sa UFED Phisycal Analyzer verzijom 7.2 postoji ugrađena opcija zaštite UFDR izveštaja
lozinkom. Možete izabrati da vaši UFDR izveštaji budu nezaštićeni, zaštićeni bez lozinke tako
da ih mogu čitati samo Cellebrite softverski proizvodi ili zaštićeni lozinkom koju navedete (vidi
sliku ispod).
138
Zaštita drugih formata izveštaja lozinkom
Kao što je ranije pomenuto, ispitivač će možda želeti da izveštaj koji sadrži osetljive podatke
zaštiti od znatiželjnih očiju. Phisycal Analyzer nudi zaštititu izveštaja u Microsoft Word,
Microsoft Excel ili PDF formatu sa lozinkom protiv neovlašćenog otvaranja.
Svakako, treba napomenuti da profesionalni softver za krekovanje lozinki ili čak besplatni
programi mogu u relativno kratkom vremenu onesposobe ugrađenu zaštitu lozinkom Word-ovih,
Excel-ovih ili PDF fajlova. Ako treba pouzdano da osigurate osetljive podatke, moraćete da
sačuvate izveštaj enkriptovanom kontejneru ili drajvu koji kreira softver kao što je VeraCrypt.
139
Korisni regularni izrazi
Imena
Ime za kojim sledi prezime, a između je proizvoljan karakter:

John . Doe
Ime za kojim sledi proizvoljan broj praznih karaktera, a zatim sledi prezime:
John \ s+Doe
Internet
Pronalaženje uobičajenih email adresa:

[a-zA-Z0-9\ . \-_] {2,} @ [a-zA-Z0-9\. \-_] {2,} \. [a-zA-Z] {2,}
Tehnički, dozvoljava upotrebu više karaktera u email adresi:

[A-Za-z0-9.!#$%&'*+\-/=?^_`{|}~] + @ [A-Za-z0-9. \-] + \. [a-zA-Z] {2,}
Nalaženje Web-adrese:
https?://(www\.)?[a-zA-Z0-9\.\-_]{2,}\.[a-zA-Z]{2,}
Traženje IP adrese:
(25 [0-5] | 2 [0-4] [0-9] | [01] ? [0-9] [0-9] ?) \. (25 [0-5] | 2 [0-4] [09] | [01] ? [0-9] [0-9] ? ) \.
(25 [0-5] | 2 [0-4] [0-9] | [01] ? [0-9] [0-9] ? ) \. (25 [05] | 2 [0-4] [0-9] | [01] ? [0-9] [0-9] ? )
Datumi
Format datuma dd.mm.yyyy, dd/mm/yyyy, dd-mm-yyyy:

(0 [1-9] | [12] [0-9] | 3 [01]) [-/\.] (0 [1-9] | 1 [012]) [-/\.] (19 | 20) [0-9] [0-9]
140
Format datuma mm.dd.yyyy, mm/dd/yyyy, mm-dd-yyyy:
(0 [1-9] | 1 [012]) [-/\.] (0 [1-9] | [12] [0-9] | 3 [01]) [-/\.] (19 |20) [0-9] [0-9]
Format datuma yyyy-mm-dd, yyyy/mm/dd:

(19 |20) [0-9] [0-9] [-/] (0 [1-9] | 1 [012]) [-/] (0 [1-9] | [12] [0-9] | 3 [01])
141
Linkovi
UFED
My Cellebrite (ažuriranja, slekcija jezika za prevod, dokumentacija, aplikacija List)
my.cellebrite.com
UFED Phone Detective za Android i iOS:

https://play.google.com/store/apps/details?id=com.cellebrite.phonedetective
https://itunes.apple.com/uk/app/ufed-phone-detective/id803864046?mt=8
Drugo
Kratak pregled koja od iOS verzija može trenutno biti jailbroken:

https://canijailbreak.com
Publikacija “Guidelines on Mobile Device Forensics” od NIST-a:

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf
Meta-blog koji prikuplja nedeljni pregled forenzičkih vesti:

http://thisweekin4n6.com
Forensic Focus (web portal za forenziku računara i eDiscovery profesionalce):

www.forensicfocus.com
Forensics Wiki:
http://forensicswiki.org
142

Mobile Phone Extraction & Analysis Training - Participant Guide - T3K-Forensics

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mobile Phone Extraction & Analysis Training - Participant Guide - T3K-Forensics

Uploaded by

Copyright:

Available Formats

Ekstrakcija i analiza mobilnih telefona

Naš svakodnevni rad sa mobilnim uređajima i bliska

Sa porastom smartfona, tehnologija mobilnih telefona drastično se promenila. Dok neki

Mreže mobilnih telefona

Struktura mobilne mreže prve generacije

Provajder mobilnih telefona dobija određenu količinu kanala za

Dve obeležene ćelije mogu koristiti iste frekvencije

Sve bazne stanice mobilnog operatera povezane su na Mobile Telephone

Prebacivanje između ćelija (Handoff)

Digitalne mreže mobilnih telefona

Višestruki pristup vremenske podele (Time Division Multiple Access, TDMA)

Višestruki pristup kodnom odeljenju (Code Division Multiple Access CDMA)

Druga generacija (2G) mrežni standardi

Uskoro, novi standardi implementirani su u cilju postizanja veće propusnosti:

Obe, HDSPA+ i WiMAX, smatraju se prelaznim tehnologijama. Prava „prava” 4G mreža je

Modul identiteta pretplatnika (Subscriber Identity Module, SIM)

SIM se sastoji od malog mikroprocesora i memorije sa mogućnošću da čuva sledeće informacije:

Ugrađeni SIM (Embedded SIM, eSIM)

Međunarodni identitet mobilne opreme (International Mobile Equipment Identity, IMEI)

Blokovi / stranice u Flash memoriji

NAND / NOR Flash memorija

NAND stranica / struktura bloka

NAND Spare Area

NAND Spare Area

Osnovne NAND operacije

Operacije programa Operacija brisanja

Garbage Collection (Prikupljanje otpada)

(1) Četiri stranice (A-D) upisuju se u blok X.

Sledeće preporuke zasnovane su na „smernicama o forenzici mobilnih uređaja” američke

Ne dodirujte ekran nijednog pronađenog uređaja.

Isključivanje uređaja sa mreže

Aktivianjem avionskog režima

!!! Ako su za uređaj postavljene određene anti-forenzičke mere i geografska ograničenja,

Stavite pokrenuti uređaj u Faradejevu torbu (ili sličan uređaj)

Uklanjanje SIM kartice uređaja

Korišćenjem ometača ili provajdera deaktiviraju se ćelijski tornjevi

Pouzdani uređaji (Trusted Devices)

Pouzdano lice (Trusted Face)

Pouzdana mesta (Trusted Places)

Detekcija telu (On-body Detection)

Pametno zaključavanje znači da se uređaj koji je pronađen otključan može da se neočekivano

Održavanje uređaja otključanim može se postići periodičnim pritiskanjem nevažnog hardverskog

Uputstvo za dalje čitanje

Stablo odlučivanja oduzimanja mobilnih uređaja

Zbog inicijalne fragmentacije mobilnih platformi, forenzika mobilnih uređaja je suštinski

Ekstrakcija sistemskih fajlova (File System Extractions)

Fizička ekstrakcija (Physical Extractions)

Utvrđivanje modela uređaja

Na raspolaganju su različite metode za određivanje marke i modela nepoznatog uređaja:

Automatsko otkrivanje (Auto Detect)

Traženje IMEI uređaja

Korišćenje kataloškog softvera

Biranje metode ekstrakcije

APK Downgrade Failure

U nekim okolnostima tokom procesa će se ispostaviti da je downgrade-ing verzije APK-a

Moguće je da se manualno re-install-ira aplikacija, dok se originalni podaci aplikacije

Bitno je uključiti -r da bi se osiguralo da je aplikacija ponovo instalirana (re-instalirana)

Rukovanje memorijskim karticama tokom ekstrakcije

1. Uvek proverite da li je postavljena SD-kartica!

2. Ako je uređaj isključen:

1. Ako je uređaj uključen

2. Dodajte ekstrakciju memorijske kartice u slučaj

Rukovanje SIM karticama