Лідер в області мобільної криміналістики – компанія MSAB, нещодавно оновила свій основний набір інструментів: XRY і XAMN, а також протестувала функціональні можливості XRY v9.3.

Системні вимоги до платформи операційної системи – Microsoft Windows на сторінці XRY FAQ:

  • Intel 6-го покоління (Core i3 або вище) або аналогічний, мінімум 8 ГБ ОЗУ
  • 4 ГБ місця на жорсткому диску, необхідне для установки програмного забезпечення XRY
  • Жорсткий диск 256 ГБ для зберігання даних мінімум ~ рекомендується 500 ГБ або більше
  • Мінімум 2 USB-порту – рекомендується 3 і більше
    Windows 8 або 10 (64 біт)
  • Microsoft .NET Framework 4.7.2
  • Мінімальна роздільна здатність монітору 1600 x 900

Процес вилучення даних XRY

У первинному тестуванні XRY, фахівці MSAB провели аналіз і вилучення даних з пристрою Samsung Galaxy S10 (SM-G973u). Фахівці, які мали справу з цією моделлю телефону в рамках цифрової криміналістики, знають, що в даний час отримати дані користувача з цього пристрою досить проблематично. В даному конкретному випадку, пріоритетним було вилучити саме повідомлення WhatsApp, і саме рішення XRY дозволило вирішити цю задачу.

Попереднє вилучення даних з Samsung Galaxy S10 було простим і інтуїтивно зрозумілим. Після введення моделі мобільного пристрою в XRY, відображається список пристроїв, які підтримує рішення і доступні для вилучення дані.

Після вибору потрібного пристрою, фахівцю будуть запропоновані варіанти форм вилучення, такі як фізичне, логічне та / або файлове. При цьому XRY повідомить про те, що слід очікувати від конкретного типу вилучення на конкретному пристрої.

Однією з найбільш корисних функцій XRY для IT-фахівців і правоохоронних органів є можливість змінювати тривалість вілучення даних або обирати потрібні області, наприклад зображення або відео.

Для отримання даних WhatsApp з пристрою використовувалась функція пониження версії програми. А використання цієї функцій щодо додатків Chrome, Facebook і Google Maps може надати вкрай цінні для розслідування дані про місцезнаходження і соціальні мережі.

При отриманні даних XRY дозволяє обрати всі або деякі з доступних додатків для пониження їх версій. Ця опція буде корисною, якщо потрібні дані збережені тільки в одному додатку.

Користувач може відстежувати, які кроки робилися XRY і як проходив сам процес вилучення даних.

Варто зазначити, що пониження версії додатка WhatsApp і вилучення даних через XRY в цьому випадку для цього пристрою було успішним. У разі, якщо дані WhatsApp слід використовувати в якості доказів, важливо задокументувати це і зрозуміти, які процедури виконувалися для вилучення повідомлень.

В цілому, вилучення даних з Samsung Galaxy S10 було простим і ефективним.

XRY аналіз даних

Поява мобільної криміналістичної експертизи і постійна робота з мобільними пристроями в розслідуваннях, призвело до необхідності створення нового важливого інструменту. “Easy-button” – інструмент, створений компанією MSAB, що дозволяє швидше знаходити найбільш часто використовувані і релевантні дані. В області аналізу він дозволяє переглядати дані і дає повний огляд найбільш важливих розділів інформації, таких як дзвінки, контакти і текстові повідомлення.

XRY кодує ці розділи кольором в зручному для навігації меню, яке також відображає загальну кількість цих елементів (щоб було зрозуміло, скільки часу можна витратити на їх перегляд).

Також в XRY доступні “Швидкі перегляди”, за допомогою яких користувач може фільтрувати дані по файлу, типу, даті, віддаленим елементам і т.п. Ця зручна функція допомагає спростити процес розслідування і заощадити час.

За допомогою функції присвоєння тегів аналітик може обирати певні повідомлення і додавати їх до одного або декількох тегів за замовчуванням, або додавати власні теги до певної області даних. Приклад нижче демонструє цю функцію в дії щодо WhatsApp.

Дані про місцезнаходження часто дуже важливі під час розслідувань, тому розробники XRY спростили користувачам процес сортування та аналізу цих даних. Вбудований інструмент для роботи з картами відображає різні області даних, включаючи дані про місцезнаходження. Це дозволяє легко аналізувати дані, доповнюючи їх гіперпосиланнями, пов’язаними з конкретною інформацією про місцезнаходження.

У XRY успішно використовується один з найбільш ефективних методів аналізу – можливість знаходити, переглядати і аналізувати бази даних SQLite. Перейшовши в область “Databases”, користувач може переглянути, які бази даних входять в число витягнутих даних, і знайти ті, які він хотів би вивчити.

Звітність

У рішенні передбачено кілька різних варіантів звітності. Залежно від потреб, аналітик може вибрати кілька форматів, включаючи формати документів з відкритим вихідним кодом і інтеграцію з Nuix.

У звіті відображаються, як стандартні опції, такі як додавання імені і контактної інформації аналітика, логотипів компанії, так і інші опції з можливістю додавання в звіт права власності.

При підготовці звіту, користувач може вибрати не тільки різні типи файлів, але і макети і формати, в залежності від обраного типу файлу. Важливо відзначити, що ця опція відсутня в деяких інших мобільних криміналістичних інструментах.

Додаткові функції, що стосуються конкретного місця зберігання і вбудованої можливості архівування звіту та супровідних файлів, також доступні в процесі генерації звітів, як в даному прикладі для генерації звітів в форматі PDF:

За результатами тестування було виявлено, що в XRY є всі необхідні ресурси для криміналістичної експертизи, а фахівці XRY постійно працюють над удосконаленням інструменту.

Джерело MSAB

З питань придбання рішень MSAB звертайтеся до наших спеціалістів +380 (44) 383 4410 або sales@softico.ua