標題:國際公信力XRY鑑識工具、實體萃取手機內藏資料!
摘要:
適度地利用鑑識工具對智慧型手機進行關鍵證據萃取,一旦發現使用者帳號密碼、Wi-Fi帳號密碼、網頁瀏覽的歷史紀錄、刪除檔案、通訊軟體的對話紀錄等重要資訊,將得以串起所有的片段而還原真相。
XRY 為一款專門作為手機鑑識的商業工具,支援市面上常見的Android、iOS、Windows Mobile、BlackBerry等系統,支援的手機型號更是高達上萬種,但因不同手機製造商對手機的客製化設計,使得XRY對各種不同型號的手機支援程度也有所不同,XRY提供兩種資料萃取的方式,分別為邏輯萃取(Logical Extract)與實體萃取(Physical Extract)。
邏輯萃取方式是針對檔案系統上可以存取的資料進行萃取,亦即將目前已配置的空間(Allocated Space)上的全部檔案萃取出來,以邏輯萃取方式可得到關於使用者的基本資料等,而這種萃取方式僅是從檔案系統中單純複製資料,並無法查看已刪除的檔案,但支援的設備多,可快速提供調查人員基本資訊掌握與使用者互動的社交圈。
在一般情況下,將檔案刪除後,檔案實際資料並不會從磁區上消失,而是刪除其指向實際資料的位址索引,並且將該實際資料存放的空間重新劃分成可用空間,但原先儲存在記憶體中的資料還存在著。
實體萃取方式則是以位元流Bit-by-bit的複製方式將手機或記憶卡等記憶儲存體上所有位置的資料全部萃取出來,利用這種方式可以對被刪掉檔案進行還原,然而在手機上要執行實體萃取,手機必須要先經過ROOT取得最高使用者權限才能執行。
引用來源:
http://www.netadmin.com.tw/article_content.aspx?sn=1705030011