Лидер в области мобильной криминалистики – компания MSAB, недавно обновила свой основной набор инструментов: XRY и XAMN, а также протестировала функциональные возможности XRY v9.3.
Системные требования к платформе операционной системы – Microsoft Windows на странице XRY FAQ:
- Intel 6-го поколения (Core i3 или выше) или аналогичный, минимум 8 ГБ ОЗУ
- 4 ГБ места на жестком диске, необходимое для установки программного обеспечения XRY
- Жесткий диск 256 ГБ для хранения данных минимум ~ рекомендуется 500 ГБ или более
- Минимум 2 USB-порта – рекомендуется 3 и более
- Windows 8 или 10 (64 бит)
- Microsoft .NET Framework 4.7.2
- Минимальное разрешение монитора 1600 x 900
Процесс извлечения данных XRY
В первичном тестировании XRY, специалисты MSAB провели анализ и извлечение данных из устройства Samsung Galaxy S10 (SM-G973u). Специалисты, которые сталкивались с этой моделью телефона в рамках цифровой криминалистики, знают, что в настоящее время получить пользовательские данные с данного устройства довольно проблематично. В данном конкретном случае, приоритетным было извлечение именно сообщений WhatsApp, и именно решение XRY позволило решить эту задачу.
Предварительное извлечение данных из Samsung Galaxy S10 было простым и интуитивно понятным. После ввода модели мобильного устройства в XRY, пользователю отображается список устройств, которые поддерживает решение и доступные для извлечения данные.
После выбора нужного устройства, пользователю будут предложены варианты форм извлечения, такие как физическое, логическое и/или файловое. При этом XRY сообщит о том, что следует ожидать от конкретного типа извлечения на конкретном устройстве.
Одной из самых полезных функций XRY для IT-специалистов и правоохранительных органов является возможность менять продолжительность извлечения данных или выбрать нужные области, например изображения или видео.
Для получения данных WhatsApp из данного устройства использовалась функция понижение версии приложения. А использование этой функций в отношении приложений Chrome, Facebook и Google Maps может предоставить крайне ценные для расследования данные о местоположении и социальных сетях.
При извлечении данных XRY позволяет выбрать все или некоторые из доступных приложений для понижения их версий. Эта опция будет полезной, если нужные данные сохранены только в одном приложении.
Пользователь может отслеживать, какие шаги предпринимались XRY и как проходил сам процесс извлечения данных.
Следует отметить, что понижение версии приложения WhatsApp и извлечение данных через XRY в этом случае для этого устройства было успешным. В случае, если данные WhatsApp следует использовать в качестве улик, важно задокументировать это и понять, какие процедуры выполнялись для извлечения сообщений.
В целом, извлечение данных из Samsung Galaxy S10 было простым и эффективным.
XRY анализ данных
Появление мобильной криминалистической экспертизы и постоянная работа с мобильными устройствами в расследованиях, привело к необходимости создания нового важного инструмента. “Easy-button” – инструмент, созданный компанией MSAB, позволяющий быстрее находить наиболее часто используемые и релевантные данные. В области анализа он позволяет просматривать данные и дает полный обзор наиболее важных разделов информации, таких как звонки, контакты и текстовые сообщения.
XRY кодирует эти разделы цветом в удобном для навигации меню, которое также отображает общее количество этих элементов (чтобы было понятно, сколько времени можно потратить на их просмотр).
Также в XRY доступны “Быстрые просмотры”, с помощью которых пользователь могут отфильтровать данные по файлу, типу, дате, удаленным элементам и т.п. Эта удобная функция помогает упростить процесс расследования и сэкономить время.
С помощью функции присвоения тегов аналитик может выбирать определенные сообщения и добавлять их к одному или нескольким тегам по умолчанию, или добавлять пользовательские теги к определенной области данных. Пример ниже демонстрирует функцию эту функцию в действии относительно WhatsApp.
Данные о местоположении зачастую очень важны во время исследования инцидентов, поэтому разработчики XRY упростили разбор и анализ этих данных. Встроенный инструмент картирования в XRY отображает разные области данных, в которые включена информация о местоположении, которую легко анализировать, дополняя ее гиперссылками, которые связаны с конкретной информацией о местоположении.
В XRY успешно используется один из наиболее эффективных методов анализа – возможность находить, просматривать и анализировать базы данных SQLite. Перейдя в область “Databases”, пользователь может просмотреть, какие базы данных входят в число извлеченных данных, и найти те, которые он хотел бы изучить.
Отчетность
В решении предусмотрено несколько разных вариантов отчетности. В зависимости от потребностей, аналитик может выбрать несколько форматов, включая форматы документов с открытым исходным кодом и интеграцию с Nuix.
В отчет попадают как стандартные опции, такие как добавление имени и контактной информации аналитика, логотипов компании, так и другие опции с возможностью добавления в отчет права собственности.
При подготовке отчета, пользователь может выбрать не только разные типы файлов, но и макеты и форматы, в зависимости от выбранного типа файла. Важно отметить, что эта опция отсутствует в некоторых других мобильных криминалистических инструментах.
Дополнительные функции, касающиеся конкретного места хранения и встроенной возможности архивирования отчета и сопроводительных файлов, также доступны в процессе генерации отчетов, как в данном примере для генерации отчетов в формате PDF:
По результатам тестирования было выявлено, что в XRY есть все необходимые ресурсы для криминалистической экспертизы, специалисты XRY постоянно работают над усовершенствованием инструмента.
Источник MSAB
По вопросам приобретения решений MSAB обращайтесь к нашим специалистам info@softico.ua или+38044 383 4410.