天津鸿萌科贸发展有限公司是 OSForensics 数据调查取证软件的授权代理商。
OSForensics 数据调查取证软件协助用户通过高性能文件搜索快速从计算机和智能设备中提取数据调查证据;通过哈希匹配、驱动器签名比较、电子邮件、内存和二进制数据识别可疑文件和活动,管理数字调查任务并根据收集的取证数据创建报告。
OSForensics 支持创建逻辑设备镜像,并从 Android 设备提取文本消息、通话记录和联系方式。
随着 V11 新版本的发布,Android Aritfacts 模块进行了重大升级。
为了手机能够运行OSFExtract应用程序,被调查的Android设备必须运行Android 8.0或更高版本(API级别26或更高)。
通过创建Android 设备逻辑镜像,调查人员可以将文件/目录从 Android 设备复制到目标文件夹或逻辑镜像文件(.vhd),尽可能保留文件系统元数据(例如日期/时间、属性)。这在无法获取证据设备的完整驱动器镜像的情况下非常有用(例如,设备未启动)。
OSForensic 工具的 Android Artifacts 模块可通过屏幕上的“Android Artifacts”图标访问。
Android 设备调查过程分为两个阶段:
获取阶段的工作原理是:
用户启动“Android 获取向导”后,向导的第一阶段允许用户:
用户还可以选择是否希望将获取的数据(通过 OSFExtract 或 ADB)存储在 VHD 镜像或目录中。用户必须提供 VHD 的位置和名称,或者他们想要存储所获取数据的目录的位置。所需的最后一条信息是在案例中引用 VHD 或目录的名称,此时“下一步”按钮将用户带到向导的下一个阶段。
这里向用户呈现所有可识别手机的列表。需要注意的是,手机连接到 PC 并不意味着它可被识别,更不表示 OSForensics 可以访问它。
OSForensics 需要手机满足一些先决条件:
一旦被分析的手机变为“已连接”,就可以选择它并使用“开始”按钮来实际获取取证数据。
此时,OSForensics 将根据用户的请求,使用 ADB 复制所有可能的文件,并使用 OSFExtract 获取消息、联系人和通话记录,将结果数据放置在先前指定的位置。
用户可能会在手机上看到多个对话框,OSFExtract 通过这些对话框请求查询手机上取证数据所需的权限。
对于正在收集的每种数据类型,每个权限在 OSFExtract 屏幕上都有一个相应的锁定图标:
如果未授予权限,相应的锁将指示已锁定并呈红色,并且不会收集该类型的数据并将其发送回 OSForensics。
该向导将显示一个对话框,其中包含 ADB 复制和 OSFExtract 获取的进度摘要。
数据复制完成后,向导将创建一个封装数据位置(VHD 或目录)的 OSForensics 设备,并将该设备添加到案例中。在此阶段,用户可以使用“下一步”按钮进入扫描阶段,新获取的数据可以加载到 OSForensics 中以进行进一步分析。用户会看到当前案例中的设备列表,以便加载到 OSForensics 中并进行分析。
可以通过以下方式到达向导的此阶段:
选择要扫描的设备并按“扫描”按钮,OSForensics 将在设备中搜索 Android 工件:
一旦 Android 取证数据被扫描并加载到 OSForensics 中,就可以对五种类型的取证数据进行查看和搜索。 “通话记录”显示了 Android 手机的 OSFExtracted 通话记录。
“MMS/SMS 消息”显示按时间顺序从手机中提取的所有 MMS 和 SMS 消息的视图(出站消息的发送日期,入站消息的接收日期)。选择一条消息将显示该消息所属的重建对话的视图,在手机上以文本对话的形式呈现。重建的对话是从 Android 手机的角度呈现的。
“联系人”显示从手机中提取的所有联系人的视图。 Android 上的联系人可以有很多附属信息。单击联系人列表中的条目会弹出一个详细信息窗格,其中包含其他详细信息(如果有)。
“对话”显示从电话中提取的所有对话的视图。选择对话会显示重建对话的视图。对话是从被分析的 Android 手机的角度呈现的。
“照片”显示从手机中提取的所有照片的视图,无论它们是彩信的一部分,还是只是在 Android 手机上拍摄并存储在公共目录之一中的照片。