Oxygen Forensic Suite põhjalik õpetus

Hapnikuekspertiisi sviit on kohtuekspertiisi tarkvara, mida kasutatakse peaaegu igasuguste mobiilseadmete, nende varukoopiate ja piltide, SIM-kaardi andmete, messenger-logide ja pilvemälu andmete hankimiseks. Hapnikuekspertiisi sviit kasutatakse paljude kriminaaluurimisasutuste, õiguskaitseasutuste, armee osakondade, tolli ja muude suuremate valitsussektorite poolt nutitelefonide, IoT-seadmete, droonide, nutikellade jms digitaalrünnakute uurimiseks. See toetab erinevaid seadmeid ja tootjaid ning seda saab kasutada mitmel eesmärgil, näiteks:

• MTK kiibistikke kasutavate nutikellade andmete hankimine.
• Andmete hankimine Interneti-seadmetest (Amazon Alexa ja Google Home)
• Andmete ammutamine ülaltoodud 60 pilveallikast, sealhulgas Huawei, ICloud, MI pilvemälu, Microsoft, Samsung, e-posti server Amazon Drive jne.
• Lennuajaloo hankimine metaandmete, videote ja kõigi piltidega.
• Andmete hankimine droonidest, droonilogidest, droonide mobiilirakendustest ja droonipilvede salvestusruumidest nagu DJI pilv ja SkyPixel.
• Mobiilsideteenuse pakkujatelt saadud kõneandmete kirjete analüüsimine.

Oxygen Forensics paketi abil saadud andmeid saab analüüsida kasutajasõbralikus ja sisseehitatud analüütilises jaotises, mis sisaldab õiget ajajoont, graafikuid ja peamisi tõendusmaterjali. Siin saab meie vajaduste kohta andmeid hõlpsasti otsida, kasutades erinevaid otsimistehnikaid, näiteks märksõnu, räsikomplekte, regulaaravaldisi jne. Andmeid saab eksportida erinevatesse vormingutesse, nagu PDF-failid, RTF ja XLS jne.

Hapnikuekspertiisi sviit töötab süsteemides, mis kasutavad Windows 7, Windows 10 ja Windows 8. See toetab USB-kaabli ja Bluetooth-ühendusi ning võimaldab meil ka importida ja analüüsida andmeid mitmesugustest seadme varukoopiatest (Apple iOS, Windowsi operatsioonisüsteem, Androidi operatsioonisüsteem, Nokia, BlackBerry jne.) ja pildid (mis on saadud muude kohtuekspertiisi jaoks kasutatud vahendite abil). Teenuse praegune versioon Hapnikuekspertiisi sviit toetab 25000+ mobiilseadmed, mis võivad töötada mis tahes tüüpi operatsioonisüsteemiga, näiteks Windows, Android, iOS, Qualcomm kiibistikud, BlackBerry, Nokia, MTK jne.

Paigaldamine:

Selleks, et kasutada Hapnikuekspertiisi sviit, pakend peab olema ühendatud USB-seadmega. Pärast pakendi USB-mälupulga ühendamist ühendage see arvutisüsteemiga ja oodake draiveri lähtestamist, seejärel käivitage põhiprogramm.

Ekraanil kuvatakse valikud, kus küsitakse tarkvara installimise asukohta, kasutatavat keelt, ikoonide loomist jne. Pärast nende hoolikat lugemist klõpsake nuppu Installige.

Kui installimine on lõpule jõudnud, peate võib-olla installima draiveripaketi, mis sobib antud viisil kõige paremini. Teine oluline asi, mida tuleb märkida, on see, et peate kogu aja, mil töötate, USB-draivi sisestama Hapnikuekspertiisi sviit.

Kasutamine:

Esimene asi, mida peame tegema, on mobiilseadme ühendamine. Selleks peame veenduma, et kõik vajalikud draiverid on installitud, ja kontrollima, kas seadet toetatakse või mitte, klõpsates nuppu ABI valik.

Andmete väljavõtmise alustamiseks ühendage seade arvutisüsteemiga Hapnikuekspertiisi sviit sellesse installitud. Ühendage USB-kaabel või ühendage see Bluetoothi ​​kaudu sisse lülitades.

Ühenduste loend varieerub sõltuvalt seadme võimalustest. Nüüd vali ekstraheerimismeetod. Kui seade on lukustatud, saame ekraanilukust ja turvakoodist mööda hiilida ning teostada füüsilist andmete otsimist mõnes androidi operatsioonisüsteemis (Motorola, LG ja isegi Samsung), valides Füüsiliste andmete hankimine meie valitud seadetüübiga.

Nüüd otsib see seadet ja kui see on valmis, küsib see teavet juhtumi numbri, juhtumi, uurija nime, kuupäeva ja kellaaja jne kohta. seadme teabe süstemaatiliseks haldamiseks.

Kogu teabe väljavõtmise hetkel saate vidina teabe vaatamiseks ja uurimiseks avada või käivitada ekspordi- ja printimisviisardi, kui peate vidina kohta kiiresti aruande saama. Pange tähele, et vidina andmetega töötades võime käitada ekspordi- või printimisviisardi.

Ekstraheerimismeetodid:

Androidi andmete väljavõtmine:

Androidi varundamine:

Ühendage Androidi vidin ja valige programmi aknas Androidi varundamise ekstraktimismeetod. Oxygen Forensic Suite kogub selle tehnika abil juurdepääsetavat teavet. Iga rakenduse kujundaja valib, millise klienditeabe tugevdusse paigutada. See tähendab, et pole mingit garantiid, et rakenduse teave leitakse. See meetod töötab edasi Android 4.0 või kõrgem ning seadet ei tohiks lukustada turvakoodi ega parooliga.

OxyAgenti meetod:

See on tehnika, mis teeb pildi igast toetatud Android-süsteemist. Võimalusel, et erinevad tehnikad on lühikesed, hangib see strateegia igal juhul teabe baaskorralduse. OxyAgentil pole sissepääsu sisemälu korraldajatesse; järelikult ei tagasta see sisemälu kirjeid ega ka kustutatud teavet. See aitab otsida lihtsalt kontakte, sõnumeid, kõnesid, ajakavasid ja kirjeid ribakettalt. Juhul, kui USB-port on katki või see seal ei tööta, peaksime sisestama SD-kaardi ja see teeb töö ära.

Juurdepääs juurile:

Juurjuurdepääs isegi väikeseks ajaks aitab uurijatel taastada kõik andmed, sealhulgas failid, kaustad, pildidokumendid, kustutatud failid jne. Enamasti nõuab see tehnika teatud teadmisi, kuid Oxygen Forensic Suite'i esemed suudavad seda loomulikult täita. Toode kasutab Androidi vidinate juurutamiseks piiravat seiklust. 100% edu garantii puudub, kuid toetatud androidiversioonide jaoks (2.0-7.0), võime sellest sõltuda. Selle teostamiseks peaksime järgima neid samme:

• Ühendage android-seade kaabli abil hapnikuekspertiisi tarkvaraga.
• Valige seadme hankimine, et Oxygen Forensics Suite saaks seadme automaatselt tuvastada.
• Valige füüsiline meetod juurdumisvõimaluse abil ja valige paljudest antud kasutustest (DirtyCow töötab enamikul juhtudel).

MTK Androidi dump:

Kasutame seda meetodit igasuguste ekraanilukkude, paroolide, tihvtide jms ümbersõitmiseks. seadmetega, mis kasutavad MTK kiibistikke. Selle meetodi kasutamiseks tuleb seade ühendada väljalülitatud režiimis.

Seda suvandit ei saa kasutada lukustatud alglaaduriga.

LG Android dump:

LG mudelite seadmete puhul kasutame LG android dump meetodit. Selle meetodi toimimiseks peame veenduma, et seade on sisse pandud Seadme püsivara värskendusrežiim.

Samsungi seadmete kohandatud taastamine:

Oxygen Forensics Suite pakub Samsungi seadmetest toetatud mudelite jaoks andmete saamiseks väga head meetodit. Toetatud mudeli loend suureneb iga päevaga. Pärast menüü Füüsiliste andmete hankimine Samsungi Androidi prügikasti valimist on meil nimekiri populaarsetest toetatud Samsungi seadmetest.

Valige seade vastavalt meie vajadustele ja meil on hea minna.

Motorola füüsiline prügila:

Oxygen Forensics Suite pakub viisi andmete hankimiseks parooliga kaitstud Motorola seadmetest, mis toetavad uusimaid Motorola seadmeid (alates 2015. aastast). See tehnika võimaldab teil kõrvale hiilida mis tahes ekraaniluku salajast võtmest, lukustatud alglaadimislaadijast või sisse viidud FRP-st ja pääseda juurde kriitilistele andmetele, sealhulgas rakenduse teabele ja kustutatud kirjetele. Teabe väljavõtmine Motorola vidinatest viiakse läbi analüüsitava vidina paari käsitsi juhtimisega. Oxygen Forensics Suite edastab Fastboot-pildi seadmesse, mis tuleb vahetada Fastboot Flash-režiimi. Tehnika ei mõjuta kasutaja andmeid. Füüsiline väljatõmbamine on lõpetatud Jet Imageri abil, mis on kõige uuem uuendus Androidi vidinatest teabe hankimisel, mis võimaldab teavet hankida mõne minutiga.

Qualcomm Physical dump:

Oxygen Forensics Suite võimaldab kohtuekspertiisi uurijatel kasutada Qualcommi kiibistikku silmas pidades pealetükkimatut füüsilist hankimisprotseduuri EDL-režiimi ja ekraani lukustuse kõrvalehoidmise abil 400+ erakordsel Androidi vidinal. EDL-i kasutamine koos teabe väljavõtmisega on regulaarselt palju kiirem kui Chip-Off, JTAG või ISP ja tavaliselt ei vaja see telefoni lammutamist. Pealegi ei muuda selle tehnika kasutamine kasutaja ega süsteemi andmeid

Oxygen Forensics Suite pakub abi kaasasolevate kiibistikega seadmetele:

MSM8909, MSM8916, MSM8917, MSM8926, MSM8929, MSM8936, ja nii edasi. Toetatud seadmete ülevaade sisaldab mudeleid alates Acer, Alcatel, Asus, BLU, Coolpad, Gionee, Huawei, Infinix, Lenovo, LG, LYF, Micromax, Motorola, Nokia, OnePlus, Oppo, Swipe, Vivo, Xiaomi, ja paljud teised.

iOS-i andmete ekstraktimine:

Klassikaline loogika:

See on kõikehõlmav tehnika ja seda soovitatakse teabe saamiseks kõigi iOS-i vidinate ja iTunes'i tugevdussüsteemide jaoks. Võimalusel, et iTunes'i tugevdamine on segatud, püüab toode leida parooli mitmesuguste toetatud rünnakute (toore jõu, sõnaraamatu rünnak jne) abil.). Strateegia tagastab piisavalt kasutajainfot, sealhulgas kustutatud kirjeid ja rakendusi.

iTunes'i varundamine:

ITunes'is tehtud iOS-i seadmete varukoopiaid saab importida Oxygen Forensic Analysti kaudu, kasutades Oxygen Forensics Extractor. Iga mõõdetav inspektor saab Oxygen Forensic Suite'i liideses abivalmilt Apple'i vidinate teavet lahata või seejärel uuesti saadud teabe kohta aruandeid luua. Selleks minge:

Importfail >> Impordi Apple'i varukoopia >> importige iTunes'i varukoopia

Varukoopiate jaoks minge:

Importfail >> Importige Apple'i varukoopia

Windowsi andmete ekstraktimine:

Oluliste kasutajaandmete saamiseks peab inspektor omandama füüsilise pildi kas mitteinvasiivsete või pealetükkivate strateegiate abil. Enamik inspektoreid kasutab Windows Phone'i jaoks JTAG-i strateegiaid, kuna see pakub vidinile juurdepääsuks mitteäratavat strateegiat, ilma et oleks vaja täielikku demonteerimist, ja toetatakse paljusid Windows Phone'i mudeleid. Windows Phone 8 on praegu lihtsalt toetatud ja vidin tuleb avada. Kogumist teostav süsteem peab olema Windows 7 ja uuem.

Oxygen Forensics Suite saab teavet lingi kaudu või Windowsi jõudmise kaudu

Telefoni pilvemälu. Esmane metoodika võimaldab meil saada meediumidokumente lingi ja telefoniraamatu kontaktide kaudu ning läheneda Microsofti Bluetoothi ​​ühendusele ja seda aktiivselt üle tuua. Selle olukorra jaoks saadakse teavet seadmetest, mis on kohapeal ühendatud nii USB-kaabli kui ka Bluetooth-ühenduse kaudu. See on ette nähtud kahe metoodika järelmõju konsolideerimiseks tervikpildi jaoks.

Toetatud kogumise asjad hõlmavad järgmist:

• Telefoniraamat
• Sündmuste logid
• Failibrauser (sisaldab meediumit (pildid, dokumendid, videod))

Mälukaardi väljavõtmine:

Hapnikuekspertiisi sviit pakub viisi andmete väljavõtmiseks FAT32 ja EXT vormindatud mälukaartidelt. Selleks tuleb kaardilugeja kaudu ühendada mälukaart Oxygen Forensics detektiiviga. Valige käivitamisel valik nimega „Mälukaardi prügikast”Füüsiliste andmete hankimisel.

Väljatõmmatud andmed võivad sisaldada kõike, mida mälukaart mahutab, näiteks pilte, videoid, dokumente ja ka jäädvustatud andmete geograafilisi asukohti. Kustutatud andmed taastatakse, kui sellel on prügikasti märk.

SIM-kaardi andmete väljavõtmine:

Hapnikuekspertiisi sviit pakub viisi SIM-kaartidelt andmete väljavõtmiseks. Selleks tuleb ühendada SIM-kaart Oxygen Forensics detektiiviga (korraga saab ühendada mitu SIM-kaarti). Kui see on parooliga kaitstud, kuvatakse parooli sisestamise võimalus, sisestage parool ja teil on hea minna. Väljavõetud andmed võivad sisaldada kõnesid, sõnumeid, kontakte ning kustutatud kõnesid ja sõnumeid.

Varukoopiate ja piltide importimine:

Hapnikuekspertiisi sviit pakub lisaks andmete väljavõtmisele ka viisi, kuidas andmeid analüüsida, lubades importida erinevaid varukoopiaid ja pilte.

Oxygen Forensics Suite toetab:

• Hapnikupilve varundamine (Cloud Extractor-OCB-fail)
• Hapniku varundamine (OFB-fail)
• iTunes Backup
• Apple'i varundamine / pilt

o Krüpteerimata Apple DMG-pilt
o Apple'i failisüsteem Tarball / Zipo dekrüpteeritud Elcomsoft DMG
o krüptitud Elcomsoft DMG
o dekrüpteeritud laterna DMG
o Krüpteeritud laterna DMG
o XRY DMG
o Õunatoodangu DMG

• Windowsi telefoni varundamine
• Windows Phone 8 JTAG-pilt
• UFED-i varukoopia / pilt
• Androidi varundamine / pilt

o Androidi varundamine
o Failisüsteemi pildikaust
o failisüsteem Tarball / ZIP
o Androidi füüsiline pilt / JTAG
o Nandroidi varundamine (CWM)
o Nandroidi varundamine (TWRP)
o Android YAFFS2
o Android TOT konteiner
o Xiaomi varundamine
o Oppo varundamine
o Huawei varundamine

• BlackBerry varundamine
• Nokia varukoopia
• Mälukaardi pilt
• Drooni pilt

Eemaldatud andmete vaatamine ja analüüsimine:

The seadmeid Akna vasakus servas asuvas jaotises kuvatakse kõik seadmed, mille abil andmed eraldati. Kui täpsustame juhtumi, kuvatakse siin ka juhtumi nimi.

The Avatud juhtum nupp aitab meil juhtumeid leida neile määratud juhtumi numbri ja juhtumi nime järgi.
Salvesta juhtum - võimaldab meil salvestada loodud juhtumi a-ga .ofb laiendus.
Lisage juhtum - võimaldab luua uue juhtumi, lisades juhtumi nime ja juhtumimärkused
Eemalda juhtum - eemaldab valitud ümbrise ja seadmed Oxygen Forensic tarkvarast
Salvesta seade - salvestab teavet seadmete kohta a .ofb varukoopia. Faili saab kasutada teabe taastamiseks hiljem rakenduses Extractor
Eemaldage seade - eemaldab valitud seadmed loendist
Seadmete salvestusruum - võimaldab tarkvara andmebaaside salvestamist teisele kettale. Kasutage seda siis, kui teil on andmebaasi hoidmiseks kindel draiv (näiteks eemaldatav mälupulk) või kui kettaruumi on vähe.
Salvesta arhiivi nupp aitab juhtumeid salvestada .ofb laiendus, et saaksime seda jagada sõbraga, kellel on selle avamiseks Oxygen Forensics Suits.
Eksportimine või printimine nupp võimaldab meil eksportida või printida konkreetse tõendite osa, näiteks põhitõendite või piltide osa jne
Põhisektsioonid:

On mitmeid jaotisi, mis näitavad teatud tüüpi väljavõtteid.

Telefoniraamatu jaotis:

Telefoniraamatu jaotis sisaldab kontaktide loendit, millel on isiklikud pildid, kohandatud väljade sildid ja muud andmed. Apple iOS-i ja Android OS-i seadmetest kustutatud kontaktid tähistatakse ikooniga „korv“.

Kalendriosa:

Jaotises Kalender kuvatakse kõik koosolekud, sünnipäevad, meeldetuletused ja muud sündmused nii seadme vaikekalendrist kui ka kolmandate osapoolte kalendritest.

Märkuste jaotis: Märkmete jaotis võimaldab vaadata märkmeid koos nende kuupäeva / kellaaja ja manustega.

Sõnumite jaotis: SMS, MMS, e-post, iMessages ja muud tüüpi sõnumid kuvatakse jaotises Sõnumid. Apple iOS-i ja Android OS-i seadmetest kustutatud sõnumid on esile tõstetud sinise värviga ja tähistatud "korvi" ikooniga. Need taastatakse automaatselt SQLite'i andmebaasidest.

Failibrauseri jaotis: See annab teile juurdepääsu kogu mobiilseadme failisüsteemile, sealhulgas fotodele, videotele, kõnesalvestustele ja muudele failidele. Kustutatud failide taastamine on samuti saadaval, kuid sõltub suuresti seadme platvormist.

Sündmuse sektsioon: Sissetulevate, väljaminevate, vastamata, Facetime kõnede ajalugu - kogu see teave on saadaval jaotises Sündmuste logi. Kustutatud kõned Apple iOS-i ja Android OS-i seadmetest on esile tõstetud sinise värviga ja tähistatud prügikasti ikooniga.

Veebiühenduste jaotis: Segmendis Veebiühendused kuvatakse kõik veebiühendused ühes loendis ja see võimaldab analüüsida juhendis olevaid levialasid. Selles ülevaates saavad kohtuekspertiisi analüütikud teada, millal ja kus kasutaja oma asukohta jõudmiseks ja tuvastamiseks Internetti kasutas. Esimene järjehoidja võimaldab klientidel uurida kõiki WiFi-ühendusi. Oxygen Forensics Suite programmeerimine muudab ebatäpse geograafilise piirkonna, kus Wi-Fi ühendust kasutati. Vähendatud Google Mapsi loovad ja kuvavad mobiiltelefonist eraldatud SSID, BSSID ja RSSI andmed. Teine järjehoidja võimaldab uurida teavet asukohtade kohta. See esitab teavet seadme kogu võrgutegevuse kohta (mobiil, WiFi ja GPS). Seda toetavad Apple iOS (jailbroken) ja Android OS (juurdunud) seadmed.

Paroolide jaotis: Tarkvara Oxygen Forensic® eraldab paroolide kohta teabe kõigist võimalikest allikatest: iOS-i võtmehoidjast, rakenduste andmebaasidest jne. Paroole saab hankida Apple iOS, Android OS ja Windows Phone 8 seadmetest.

Rakenduste sektsioon: Rakenduste jaotises on üksikasjalik teave Apple iOS-i, Androidi, BlackBerry 10 ja Windows Phone 8 seadmetesse installitud süsteemi ja kasutajarakenduste kohta. Oxygen Forensics Suite toetab 450+ rakendust ja 9000+ rakenduse versiooni.

Igal rakendusel on erakordne vahekaart Kasutajaandmed, kust leiate kogu sõelutud klienditeabe. See vahekaart sisaldab rakenduse akumuleeritud teavet, mis on korraldatud abistamiseks (paroolid, sisselogimised, kõik sõnumid ja kontaktid, geograafilised piirkonnad, külastatud kohad koos juhiste ja juhistega, kustutatud teave jne.)

Muud kui vahekaart Kasutajaandmed Rakenduse vaaturil on:

• Rakenduse andmete vahekaardil kuvatakse kogu rakenduse varamu, millest teave sõelutakse
• Taotlusdokumentide vahekaardil kuvatakse kõik kirjed (.plist, .db, .png ja nii edasi.), mis on seotud rakendusega

Sotsiaalsete võrgustike sektsioon: See jaotis sisaldab andmeid, mis on ammutatud kõige populaarsematest sotsiaalsetest platvormidest ja tutvumisrakendustest, sealhulgas Facebook, Instagram, Linkedin, Twitter jne. Facebooki jaotis võimaldab uurida seadme omaniku sõprade loendit koos sõnumite, fotode, otsinguajaloo, geograafilise asukoha ja muu olulise teabega.

Sõnumitoojate sektsioon: Messengerite jaotis sisaldab alajaotisi, kus on andmeid kõige populaarsematest messengeritest: Facebook Messenger, Kik, Line, Skype, WeChat, Whatsapp, Viber jne. WhatsApp Messenger võimaldab vaadata kontaktide loendit, sõnumeid, jagatud andmeid, kustutatud teavet ja muid tõendeid.

Märkuste jaotis: Evernote'i jaotis võimaldab vaadata kõiki seadme kasutaja tehtud, jagatud ja sobitatud märkmeid. Iga märkus tehakse koos seadme omaniku geograafilise asukohaga

leitud ja neile andmetele on juurdepääs Oxygen Forensics Suite'is. On võimalus uurida ka kustutatud märkmeid.

Veebibrauserite jaotis: Veebibrauserite jaotis võimaldab kasutajal eraldada ja uurida vahemälufaile, näiteks Interneti-saitide loendit ja kõige populaarsemate mobiilsete veebibrauserite (eelinstallitud ja ka kolmandate osapoolte) allalaaditud faile, sealhulgas, kuid mitte ainult, Safari, Vaikimisi Android Veebibrauser, Dolphin, Google Chrome, Opera jne. See taastab ka brauseri ajaloo.

Navigeerimisjaotis: See sisaldab andmeid, mis on saadud kõige populaarsematest navigeerimisrakendustest (Google Maps, kaardid jne.).

Multimeedia sektsioon: Multimeediumide jaotis sisaldab alajaotisi, kus on andmeid kõige populaarsematest multimeediumirakendustest: Hide It Pro, YouTube jne. Jaotis Hide It Pro näitab meediumifaile (pilte ja videoid), mille seadme omanik peitis. Nende nägemiseks seadmes on vaja parooli. Oxygen Forensics Suite annab paroolist mööda juurdepääsu nendele varjatud andmetele.

Droonide sektsioon: Droonide jaotis sisaldab alajaotisi, mis sisaldavad andmeid kõige populaarsematest droonirakendustest, näiteks DJI GO, DJI GO 4, Free Flight Pro jne. Kohtueksperdid saavad välja võtta rakendusse üles laaditud drooni lennuloo, pilte ja videoid, drooni omaniku konto üksikasju ja isegi kustutatud andmeid. Hapnikuekspertiisi komplekt suudab droonide mobiilirakendustest välja võtta ja dekrüpteerida ka DJI-märke. See märk annab juurdepääsu DJI pilvandmetele.

Korrastatud andmed:

Ajaskaala:

Ajaskaala sektsioonis korraldatakse kõik kõned, sõnumid, kalendrisündmused, rakendustegevused, veebiühenduste ajalugu jne. kronoloogilisel viisil, nii et seadme kasutusajalugu on lihtne analüüsida, ilma et oleks vaja eri sektsioonide vahel vahetada. Ajaskaala jaotist toetatakse ühele või mitmele mobiilseadmele, nii et saate grupitegevust ühes graafilises vaates hõlpsalt analüüsida. Andmeid saab sortida, filtreerida ja rühmitada kuupäevade, kasutustegevuse, kontaktide või geoandmete järgi. Vahekaart GEO ajaskaala võimaldab ekspertidel vaadata seadmest kogu geograafilise asukoha teavet, leida kohti, kus kahtlusalune mobiilseadet kasutas. Kaartide ja marsruutide abil saavad nuppude uurijad luua marsruute, et jälgida seadme omaniku liikumisi määratud aja jooksul või leida sageli külastatud kohti.

Kokkuvõtlikud kontaktid:

Programm koos jaotisega Aggregated Contacts võimaldab kohtuekspertiisi spetsialistidel analüüsida kontakte mitmest allikast, nagu telefoniraamat, sõnumid, sündmuste logid, erinevad Messengerid ja suhtlusvõrgustikud ning muud rakendused. Samuti kuvatakse seadmeülesed kontaktid mitmest seadmest ja kontaktid rühmades, mis on loodud erinevates rakendustes. Koondkontaktide koondanalüüsi võimaldamise abil lihtsustab tarkvara uurijate tööd oluliselt ning võimaldab leida seoseid ja sõltuvusi, mis muidu võivad silma jääda.

Põhitõendid:

Peamiste tõendite ala pakub täiuslikku, piiramatut vaatenurka tõenditele, mille kohtueksperdid on põhimõtteliselt eraldanud. Mõõdetavad ametiasutused saavad teatud tõendina kontrollida, et teatud aladel on koht erinevate piirkondadega, uurides neid samal ajal nende ainulaadsele alale vähe tähelepanu pöörates. Põhitõendid on kokkuvõtlik vaade, mis näitab valitud asju kõigist Oxygen Forensics Suite'i juurdepääsetavatest aladest. Segment pakub oluliste andmete auditeerimise võimalust üksildase pilguga, keskendudes oma püüdlustele peamisele ja läbi ebaolulise teabe suunamise.

SQL-i andmebaasivaatur:

SQLite Database Viewer võimaldab analüüsida Appleite, Androidi, BlackBerry 10, WP 8 seadmete andmebaasifaile SQLite-vormingus. Failides on märkmeid, kõnesid, SMS-e.

PList Viewer:

Plist Viewer võimaldab analüüsida .plistifailid Apple'i seadmetest. Need failid sisaldavad teavet Wi-Fi pöörduspunktide, kiirvalimiste, viimase mobiilsideoperaatori, Apple Store'i sätete, Bluetoothi ​​sätete, globaalsete rakenduste seadete jne kohta.

Droonilogide import:

Toode võimaldab lisaks tuua droonilogi .dat salvestab seaduslikult Oxygen Forensics Suite Mapsi, et kujutada alasid ja jälgida automaatkurssi. Logisid saab võtta automaadi prügimäelt või drooni arvuti omaniku juurutatud rakendusest DJI Assistant.

Otsing:

See on tavaline olukord, kui peate väljavõetud mobiilseadme teabest leidma mõne teksti, isiku või telefoninumbri. OxygenForensics Suite'il on täpsem otsingumootor. Globaalne otsing võimaldab leida klienditeavet vidina igast segmendist. Aparaat pakub teksti, telefoninumbrite, sõnumite, geokoordinaatide, IP-aadresside, MAC-aadresside, krediitkaardinumbrite ja räsikomplektide (MD5, SHA1, SHA256, Project VIC) otsimist. Standardne liigendusraamatukogu on järk-järgult kohandatud. Spetsialistid saavad teavet vaadata seadmest või mitmest seadmest. Nad saavad valida segmendid, kust küsimust läbi vaadata, rakendada tõeväärtusega termineid või valida mis tahes eelnevalt määratletud kujunduse. Märksõnaloendi direktor lubab luua spetsiaalseid tingimusi ja otsida neid kõiki viivitamata. Näiteks võivad need olla nimede paigutus või vaenulike sõnade ja väljendite paigutus. Ülemaailmne otsinguseade säästab kõiki tulemusi ning pakub printimise ja planeerimise aruandeid mis tahes arvu otsingute jaoks.

Mõned olulised asjad, mida meeles pidada, on

• Kõigepealt veenduge, et olete seadme draiverid installinud. Draiveripaki saate alla laadida oma kliendipiirkonnast
• Kui ühendate seadme, vajutage Oxygen Forensics Suite'i käivitamiseks tööriistariba nuppu Ühenda seade
• Kui ühendate Apple iOS-i seadme, ühendage see sisse, avage lukk ja usaldage seadmes olevat arvutit.
• Kui loote ühenduse Android OS-i seadmega, lubage sellel arendajarežiim. Minema Seaded> Teave telefoni kohta> Järjenumber ja puudutage seda 7 Siis minge Seaded> Arendaja valikud> USB silumine seadme menüü. Puudutage märkeruutu USB silumine ja ühendage seade arvutiga.
• Kui Android OS-i seade on parooliga kaitstud, kontrollige, kas seda toetavad möödumismeetodid, mis asuvad jaotises Füüsiline andmete hankimine Hapnikuekspertiisi sviit.

Järeldus:

Analüüsi ulatus Hapnikuekspertiisi sviit pakub palju suuremat võimalust kui ükski teine ​​kohtuekspertiisi tööriist ja võime hapniku kohtuekspertiisi paketi abil nutitelefonist hankida palju rohkem teavet kui mis tahes muu loogilise kohtuekspertiisi uurimise tööriist, eriti mobiilseadmete puhul. Oxygen Forensics Suite'i abil saate hankida kogu mobiilseadmete kohta käiva teabe, sealhulgas mobiiltelefoni asukoha, tekstsõnumid, kõned, paroolid, kustutatud andmed ja paljude populaarsete rakenduste andmed. Kui seade on lukustatud Hapnikuekspertiisi sviit saab mööda lukustusekraani pääsukoodist, paroolist, PIN-koodist jne. ja eraldage andmed toetatud seadmete loendist (kaasa arvatud android, IO, Blackberry, Windowsi telefonid), see on tohutu nimekiri ja kirjed suurenevad iga päevaga. Oxygen Forensics on sõlminud partnerluse MITER Corporation pakub Android-seadmetele kiireimat ekstraktimismeetodit. Tänu uuele Jet-Imageri moodulile omandatakse Android-seadmed mitu korda kiiremini, kui eelmised meetodid lubasid. Jet-Imageri moodul võimaldab kasutajatel luua Android-seadmetest täielikke füüsilisi prügimägesid keskmiselt kuni 25% kiiremini. Ekstraheerimise kiirus sõltub seadme andmemahust. Hapnikuekspertiisi sviit on kõigi kohtuekspertiiside jaoks mobiilseadmes kohtuekspertiisi võimalus.