使用 OSForensics 从未启动 Android 设备中获取数据

使用 OSForensics 从未启动 Android 设备中获取数据

2024-10-30 15:38:23

天津鸿萌科贸发展有限公司是 OSForensics 数据调查取证软件的授权代理商。

OSForensics 数据调查取证软件协助用户通过高性能文件搜索快速从计算机和智能设备中提取数据调查证据;通过哈希匹配、驱动器签名比较、电子邮件、内存和二进制数据识别可疑文件和活动,管理数字调查任务并根据收集的取证数据创建报告。

OSForensics 支持创建逻辑设备镜像,并从 Android 设备提取文本消息、通话记录和联系方式。

随着 V11 新版本的发布,Android Aritfacts 模块进行了重大升级。

为了手机能够运行OSFExtract应用程序,被调查的Android设备必须运行Android 8.0或更高版本(API级别26或更高)。

通过创建Android 设备逻辑镜像,调查人员可以将文件/目录从 Android 设备复制到目标文件夹或逻辑镜像文件(.vhd),尽可能保留文件系统元数据(例如日期/时间、属性)。这在无法获取证据设备的完整驱动器镜像的情况下非常有用(例如,设备未启动)。

如何获取 Android 设备数据

OSForensic 工具的 Android Artifacts 模块可通过屏幕上的“Android Artifacts”图标访问。

Android 设备调查过程分为两个阶段:

  • 获取 Android 数据,用户可以使用“新获取”按钮启动“Android 获取向导”。
  • 分析用户可以通过以下任一方式启动的 Android 数据;
    • 获取后继续向导。
    • 使用“加载现有”按钮。

获取阶段的工作原理是:

  • 允许用户选择手机。
  • 连接到该手机并上传 OSFExtract,这是一个 PassMark 应用程序,用于查询手机中的数据并将其传输回 OSForensics。
  • 接收 OSFExtract 发回的所有数据并将其保存在名为 OSFExtract.xml 的文件中,该文件在用户指定的 VHD 中的用户指定的目录中创建。

用户启动“Android 获取向导”后,向导的第一阶段允许用户:

  • 选择是否要使用 OSFExtract 应用程序提取通话记录、联系人、短信/彩信。
  • 选择是否要复制可通过 Android 调试桥 (ADB) 访问的文件。

用户还可以选择是否希望将获取的数据(通过 OSFExtract 或 ADB)存储在 VHD 镜像或目录中。用户必须提供 VHD 的位置和名称,或者他们想要存储所获取数据的目录的位置。所需的最后一条信息是在案例中引用 VHD 或目录的名称,此时“下一步”按钮将用户带到向导的下一个阶段。
这里向用户呈现所有可识别手机的列表。需要注意的是,手机连接到 PC 并不意味着它可被识别,更不表示 OSForensics 可以访问它。

OSForensics 需要手机满足一些先决条件:

  • 手机必须连接到电脑。并非所有 USB 端口都相同,因此如果即使执行了以下所有步骤,手机始终无法被识别,那么换一个不同的 USB 端口也可能会增加连接的可能性。
  • 手机必须处于开发者模式(通常通过在设置的“关于”部分找到内部版本号并单击 10 次或更多次来完成)。此时,即使 OSForensics 无法访问手机,它也应该变得可识别。
  • USB 调试必须在设置中打开,并且用户必须在需要 USB 调试时在 Android 出现的对话框中接受 USB 调试。可能需要关闭 USB 调试并重新打开,Android 才能显示该对话框。

一旦被分析的手机变为“已连接”,就可以选择它并使用“开始”按钮来实际获取取证数据。

此时,OSForensics 将根据用户的请求,使用 ADB 复制所有可能的文件,并使用 OSFExtract 获取消息、联系人和通话记录,将结果数据放置在先前指定的位置。
用户可能会在手机上看到多个对话框,OSFExtract 通过这些对话框请求查询手机上取证数据所需的权限。

对于正在收集的每种数据类型,每个权限在 OSFExtract 屏幕上都有一个相应的锁定图标:

  • SMS/MMS 消息和对话
  • 联系方式
  • 通话记录

如果未授予权限,相应的锁将指示已锁定并呈红色,并且不会收集该类型的数据并将其发送回 OSForensics。

该向导将显示一个对话框,其中包含 ADB 复制和 OSFExtract 获取的进度摘要。

数据复制完成后,向导将创建一个封装数据位置(VHD 或目录)的 OSForensics 设备,并将该设备添加到案例中。在此阶段,用户可以使用“下一步”按钮进入扫描阶段,新获取的数据可以加载到 OSForensics 中以进行进一步分析。用户会看到当前案例中的设备列表,以便加载到 OSForensics 中并进行分析。

可以通过以下方式到达向导的此阶段:

  • 要么从头开始执行向导,这是完成 ADB 复制和 OSFExtract 数据收集阶段之后的阶段。
  • 或者使用“加载现有”按钮。

选择要扫描的设备并按“扫描”按钮,OSForensics 将在设备中搜索 Android 工件:

  • 通话记录
  • 彩信/短信
  • 联系方式
  • 对话
  • 照片

分析 Android 取证数据

一旦 Android 取证数据被扫描并加载到 OSForensics 中,就可以对五种类型的取证数据进行查看和搜索。 “通话记录”显示了 Android 手机的 OSFExtracted 通话记录。

“MMS/SMS 消息”显示按时间顺序从手机中提取的所有 MMS 和 SMS 消息的视图(出站消息的发送日期,入站消息的接收日期)。选择一条消息将显示该消息所属的重建对话的视图,在手机上以文本对话的形式呈现。重建的对话是从 Android 手机的角度呈现的。

“联系人”显示从手机中提取的所有联系人的视图。 Android 上的联系人可以有很多附属信息。单击联系人列表中的条目会弹出一个详细信息窗格,其中包含其他详细信息(如果有)。

“对话”显示从电话中提取的所有对话的视图。选择对话会显示重建对话的视图。对话是从被分析的 Android 手机的角度呈现的。

“照片”显示从手机中提取的所有照片的视图,无论它们是彩信的一部分,还是只是在 Android 手机上拍摄并存储在公共目录之一中的照片。