Олег Фёдоров: «Мобильный криминалист» – орудие борьбы с мошенниками»

Извлечение данных на логическом уровне

Разумеется, наиболее простой способ логического извлечения — пресловутое резервное копирование посредством Android Debug Bridge. Сделать это довольно легко — достаточно активировать в настройках устройства отладку по USB, подключить его к компьютеру и воспользоваться следующей командой:

adb backup -f «F:\forensic_backup.ab» -apk -shared -all

Первый ключ, -apk, говорит ADB бэкапить APK-приложения; второй, -shared, позволяет включить в бэкап данные приложений и содержимое карты памяти, если последняя имеется; третий, -all, добавит в резервную копию все приложения, в том числе системные, что может пригодиться при расследовании инцидентов, связанных с малварью. И все бы ничего, вот только современные устройства позволяют сохранять в такую резервную копию далеко не все. Например, в него не входит ни список контактов, ни SMS-сообщения, разве что их фрагменты из logs.db.

Чтобы побороть такую несправедливость, разработчики криминалистического программного обеспечения, например Oxygen Software и Magnet Forensics, включают в свои инструменты так называемые приложения-агенты, которые устанавливаются на целевое устройство и позволяют извлечь вожделенные базы данных. Например, mmssms.db, как несложно догадаться, содержит сведения о переданных и полученных SMS и MMS. Как ты уже понял, зачастую форензик-софтом для логического извлечения используется все тот же ADB, а полученный бэкап распаковывается и обогащается данными, извлеченными приложением-агентом. Кстати, если ты хочешь сам распаковать такой бэкап, то благодаря опенсорсному инструменту adbextractor ты можешь с легкостью это сделать:

java -jar abe.jar unpack backup.ab backup.tar

В результате получишь tar-архив с содержимым твоего ADB-бэкапа.

Мобильный криминалист

НАЗНАЧЕНИЕ И ВОЗМОЖНОСТИ. Мобильный Криминалист является эффективным средством, позволяющим быстро провести извлечение данных из телефона. Мобильный Криминалист гарантирует неизменность данных мобильного устройства в процессе работы с программой. Использование специализированных протоколов доступа позволяет программе извлекать основные данные памяти телефона и данные SIM-карты, список контактов, абонентские группы, быстрые наборы, пропущенные, входящие и исходящие звонки, сообщения SMS, MMS и электронной почты из стандартных и пользовательских папок удалённые сообщения SMS (с некоторыми ограничениями) , время и дату поступления сообщений SMS в Центр Отправки Сообщений (SMSC) провайдера связи, расписание календарных событий, задачи, текстовые заметки, фотографии, видео, мелодии, данные секции Lifeblog (все главные события в телефоне с географическими координатами), приложения Java, файловую систему памяти телефона и карты памяти, данные по трафику GPRS и Wi-Fi, голосовые записи и многое другое. Список поддерживаемых возможностей зависит от определённой модели телефона. Мобильный Криминалист извлекает данные из Nokia, iPhone, Sony Ericsson, Samsung, Motorola, Blackberry, Panasonic, Siemens, HTC, HP, E-Ten, Gigabyte, i-Mate, Vertu и многих других мобильных телефонов. Мобильный Криминалист поддерживает смартфоны под управлением ОС Symbian, Nokia S60, Sony Ericsson UIQ, Windows Mobile 5/6 (без использования ActiveSync), Blackberry, Android и Apple. Имеет в своем составе модуль Root-доступ для поддержки смартфонов на базе Android и модуль поддержки китайских телефонов Интерфейс программы специально разработан для проведения судебно-технической экспертизы, анализа, поиска данных и формирования отчётов. С помощью Мобильного Криминалиста можно как выводить отчёты на печать, так и сохранять их в популярные файловые форматы (PDF,RTF,XLS) Позволяет извлекать данные WebKit из iOS и Android устройств. Анализ данных WebKit позволяет получить доступ к содержимому посещенных веб-страниц и текстам сообщений почтовых сервисов. ПО “Мобильный Криминалист” дает возможность извлечь заблокированные телефонные номера и список Wi-Fi точек из учетной записи Google, а также заметки из Google Keep. ПО Мобильный криминалист начиная с версии 11.7 — реализует возможность извлечения и расшифровки физических образов Qualcomm-устройств на чипсетах MSM8917, MSM8937, MSM8940 и MSM8953 с аппаратным шифрованием и активированным режимом Secure StartUp, — поддерживает приложения Android: SCRUFF (6.0019), Speedtest (4.4.26), Discord (9.9.3), Endomondo (19.3.5), Evernote (8.12.2), FaceApp (3.5.1), Facebook (247.0.0.42.116), Facebook Messenger (241.0.0.17.116), Google Maps (10.27.2), Google Photos (4.32.1.282438324), Instagram (121.0.0.29.119), Kik Messenger (5.18.2.21835), Line (9.19.3), LinkedIn (4.1.383), Romeo (3.7.2), Samsung Health (6.7.1.003), SHAREiT (5.0.78_ww), Skype (8.54.0.91), Slack (19.11.20.0), TamTam (2.9.0), Telegram (5.12.0), Telegram X (0.22.0.1205-arm64-v8a), Threema (4.2), TikTok (13.9.3), Twitter (8.22.0-release.00), UC Browser (12.13.2.1208), Viber (11.9.1.1), VIPole Private Messenger (2.0.95), VK (5.49)Waze (4.55.3.0), WeChat (7.0.7), WhatsApp Business (2.19.124), WhatsApp Messenger (2.19.345), WickrMe (5.40.2), Xabber (2.6.4), Yahoo! Mail (6.1.4), YouTube (14.46.52) — поддерживает приложения iOS: SCRUFF (6.0111), Speedtest (4.1.10), UC Browser (11.3.5.1203), CoverMe (3.1.3), Discord (3.1.5), Evernote (8.24.2), FaceApp (3.5.5), Facebook (247.0), Firefox (20.2), Fitbit (3.11), Google Chrome (78.0.3904.84), Google Keep (2.2019.46203), Google Maps (5.29), Google Translate (6.3.0), Instagram (121.0), Likee (3.9.0), Line (9.18.1), LinkedIn (9.1.157), Microsoft Outlook (4.13.0), OK (8.27.1), OneDrive (11.9.3), SHAREit (3.1.68), Skype (8.54), Slack (19.11.20), TamTam (2.6.8), Telegram (5.12.1), Threema (4.4.2), Viber (11.9)VIPole Private Messenger (2.6.4)VK (5.28)VSCO (139.0)Waze (4.55.2), WeChat (7.0.8), WhatsApp Messenger (2.19.120), Yandex Disk (2.86), Yandex.Mail (4.1.0), Zangi Private Messenger (4.6.5) Начиная с версии 2.0 Мобильный кримиалист Эксперт поддерживает: — устройства на чипсетах Exynos, включая получиние информации из устройств линейки Samsung Galaxy моделей A2 — A8, S7 — S9+, J2 — J7 и других устройствах Samsung на операционной системе Android от 7 до 9 версии — более 38 600 моделей мобильных устройств, более 18 000 версий приложений, 562 уникальных приложения, 85 облачных сервисов и 83 источника данных из ПК — автоматическое исследование изображения с помощью аналитических инструментов, встроенные в программу, в том числе на предмет присутствия на них одинаковых лиц и текста — облачные сервисыв приложения для видеосвязи Zoom, хранилища паролей Firefox Lockwise и сервиса резервного копирования Huawei Cloud Backup

Извлечение данных на уровне файловой системы

Так как в последнее время, особенно с выходом Android Nougat, смартфоны с шифрованием перестали быть редкостью, этот способ извлечения данных наиболее приемлем. Как ты наверняка знаешь, просто так получить полный доступ к файловой системе пользовательского раздела нельзя, для этого нужны права суперпользователя. На этом подробно останавливаться я не буду. Уверен, в твоем арсенале найдется с десяток инструментов, позволяющих получить заветный root-доступ на Android-девайсе (а если нет, советую изучить материал по этой ссылке, ну и Гугл тебе в помощь).

Как понимаешь, это не самый гуманный способ, особенно если говорить о мобильной криминалистике, ведь он оставляет массу следов в памяти устройства, например добавит приложение SuperSU, а в случае KingoRoot и еще парочку бесполезных приложений. Тем не менее временами приходится использовать и такие сомнительные методы: здесь главное — все тщательно документировать. Разумеется, не все root-методы одинаково вредны, иногда можно получить временный root-доступ, который вполне себе криминалистически правильный.

Есть и более приемлемый способ — так называемый Nandroid-бэкап. Здесь на помощь криминалисту приходят всевозможные кастомные рекавери-прошивки, например TWRP. Кстати, ребята из Oxygen Software сделали свои собственные, очищенные от всевозможного мусора и максимально приближенные к криминалистическим стандартам, о них мы поговорим позже, когда займемся извлечением данных на физическом уровне.

Вернемся к TWRP и Nandroid. Такой бэкап, в отличие от пресловутого ADB, позволяет сделать практически точную копию состояния твоего Android-девайса в определенный момент времени, а это значит, что абсолютно все данные приложений достанутся криминалистам. И да, сложный графический пароль твои данные едва ли спасет. А вот заблокированный загрузчик очень даже может, так как в этом случае прошить кастомное рекавери едва ли получится. Такие смартфоны очень расстраивают криминалистов, уж поверь мне.

Итак, что же нам понадобится для создания Nandroid-бэкапа? Рассмотрим на примере самых распространенных Android-девайсов — тех, что произведены группой компаний Samsung. Во-первых, нужен подходящий образ рекавери, его можно найти на официальном сайте TWRP. Во-вторых, свеженькая (а иногда и не очень свеженькая) версия Odin — он-то и позволит залить прошивку в смартфон.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Криминалистика

ООО «АйПи ТелКом» является официальным представителем , Москва, РФ.

https://www.oxygensoftware.ru/ru/company

«Оксиджен Софтвер» — ведущий российский разработчик программного обеспечения для проведения компьютерно-технической экспертизы мобильных устройств, дронов, облачных сервисов и ПК.

Компания разрабатывает программные инструменты для извлечения и анализа информации, охватывающие широкий спектр мобильных устройств (под управлением Android, Apple iOS, BlackBerry, Windows Phone и других операционных систем), облачных сервисов (Google, Apple, Yandex, Microsoft, Samsung, WhatsApp и др.) и ПК.

Решениями «Оксиджен Софтвер» в вопросах получения и исследования данных, в том числе и удаленной информации, пользуются правоохранительные органы и государственные учреждения Российской Федерации и стран СНГ, службы безопасности коммерческих организаций. Клиентами компании являются МВД, ФСБ, ФСО, Минюст, Управление «К», Следственный комитет, банки и крупные компании.

ООО «АйПи ТелКом» предлагает следующие продукты:

https://www.oxygensoftware.ru/download/articles/MK_Expert_Brochure.pdf

«Мобильный Криминалист Эксперт» (флагманский продукт)

Совершенный многофункциональный инструмент для высокоскоростной и эффективной работы с данными из мобильных устройств, дронов, облачных сервисов и ПК, сочетающий в себе все возможности ПО «МК Детектив» и новый уникальный функционал.

«Мобильный Криминалист» поддерживает более 31 500 устройств, 12 000 версий приложений, 478 уникальных приложений и 76 облачных сервисов.

Основной функционал программы:

Мобильные гаджеты и мультимедийные устройства:

• Создает физические образы устройств Android, Kai и др.
• Создает логические образы устройств iOS, Android, Blackberry, Windows Phone, Symbian и др.
• Извлекает и расшифровывает все данные, в том числе удаленные.
• Импортирует физические образы и резервные копии множества устройств.
• Получает данные из дронов и выстраивает маршруты полетов.

Облачные сервисы:

• Позволяет авторизоваться в учетной записи и пройти 2FA.
• Извлекает информацию из нескольких десятков облачных хранилищ: Apple, Google, Yandex, iCloud, WhatsApp, Viber, Telegram и др.
• Расшифровывает резервные копии.

Персональные компьютеры:

• Извлекает переписку, медиафайлы и контакты из мессенджеров Viber, Unigram, Skype, Wickr Me.
• Получает письма и контакты из почтовых агентов Mozilla Thunderbird, Microsoft Outlook, Microsoft Mail.
• Извлекает данные из веб-браузеров Google Chrome, Mozilla FireFox, Opera, Microsoft Edge, Internet Explorer.
• Получает информацию о системе.

Аналитические инструменты

• Анализирует данные одновременно из нескольких устройств в одном деле.
• Собирает все звонки, а также сообщения из устройства, в том числе из мессенджеров в разделы «Звонки» и «Сообщения».
• Объединяет контакты по индивидуальным настройкам.
• Исследует коммуникации между несколькими устройствами.
• Производит высокоскоростной поиск как внутри дела, так и внутри отдельно взятого документа.

https://www.oxygensoftware.ru/download/articles/MK_Detective_Brochure.pdf

«Мобильный Криминалист Детектив»

Универсальный инструмент для извлечения и анализа информации, охватывающий широкий спектр мобильных устройств, дронов, облачных сервисов и ПК.

Особенности программы:

• установление связей между владельцами устройств и их контактами;
• объединение контактов из разных источников;
• отчеты в различных форматах;
• построение всех событий в хронологическом порядке;
• возможность объединения нескольких устройств в одном деле;
• группировка всех важных улик в одном месте;
• импорт и просмотр физических образов и резервных копий различных устройств;
• просмотрщики баз данных SQLITE, файлов PLIST, HTML, HEX и др.;
• поиск и извлечение учетных данных и токенов из мобильных устройств и ПК;
• поиск данных по ключевым словам, регулярным выражениям, наборам хешей, номерам телефонов, паспортов, СНИЛС и другим важным критериям;
• построение маршрутов передвижения одного или нескольких объектов;
• определение самых посещаемых и общих мест пребывания.

https://www.oxygensoftware.ru/download/articles/MK_Business_Brochure.pdf

«Мобильный Криминалист Бизнес»

Инструмент для расследования и предотвращения корпоративных преступлений на основе извлечения и анализа информации из мобильных устройств и облачных сервисов.

«МК Бизнес»:

• Позволяет провести аудит мобильного устройства;
• Дает доступ к информации из мобильных устройств и облачных сервисов;
• Предотвращает разглашение коммерческой тайны и кражу интеллектуальной собственности;
• Помогает выявлять и расследовать инциденты.

Основной функционал программы:

— Мобильные устройства:

• Создает физические образы устройств Android, Windows Phone и др.
• Создает логические образы устройств iOS, Android, Blackberry, Symbian и др.
• Восстанавливает удаленные данные из мессенджеров и соц. сетей.
• Извлекает доступные данные: контакты, чаты, данные приложений, медиафайлы и многое другое.
• Проводит анализ полученной информации.

— Облачные сервисы

• Позволяет авторизоваться в учетной записи и пройти 2FA.
• Извлекает данные из облачных сервисов: Apple, Google, Yandex, Microsoft, Dropbox.
• Извлекает чаты из облачных сервисов мессенджеров WhatsApp, Viber, Telegram и др.
• Анализирует полученные данные.
• Расшифровывает резервные копии.

«Мобильный Криминалист Скаут»

Модуль ПО «Мобильный Криминалист» версий «Эксперт» и «Детектив». Находит и извлекает криминалистически важную информацию из исследуемых ноутбуков и персональных компьютеров:

— Учетные данные и токены

• из программ iCloud for Windows, WhatsApp Desktop, TamTam Desktop, Line, Viber for Desktop, Skype for Desktop, Unigram X, Wickr Me Desktop, Telegram;
• из почтовых сервисов Mozilla Thunderbird, Microsoft Outlook, Microsoft Mail;
• из портативных версий программ и программ, установленных по нестандартному пути.

— Данные веб-браузеров: учетные записи, закладки, данные форм автозаполнения, история посещений и cookies из интернет-браузеров Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer.

• Wi-Fi точки доступа и пароли к ним.
• Резервные копии iTunes.
• Информация о системе ПК.

«Мобильный Криминалист Скаут Плюс»

Расширение ПО «Мобильный Криминалист Эксперт», позволяющее анализировать данные приложений для ОС Windows, извлеченные с помощью модуля «Мобильный Криминалист Скаут»:

• Сообщения, контакты и медиа-файлы из Viber, Unigram, Skype, Wickr Me.
• Переписка и контакты из Mozilla Thunderbird, Microsoft Outlook, Microsoft Mail.

https://www.oxygensoftware.ru/download/articles/MK_Desktop_Brochure.pdf

«Мобильный Криминалист Десктоп»

«МК Десктоп» — это высокоскоростной, портативный, многофункциональный инструмент, позволяющий извлекать, расшифровывать и анализировать ключевые данные из персональных компьютеров, ноутбуков и серверов на операционных системах Windows, macOS, GNU/Linux.

3 основных преимущества продукта:

• Высокая скорость извлечения и анализа информации
• Портативный инструмент
• Простой и удобный интерфейс

Почему выбирают «МК Десктоп»:

• Продукт для извлечения и исследования критически важных данных из персональных компьютеров
• Быстрая обработка всей извлеченной информации
• Большой набор аналитических инструментов для проведения расследования
• Регулярное обновление функционала в соответствии с самыми современными IT-технологиями
• Постоянный доступ к видео-урокам, инструкциям и вебинарам для получения навыков работы с продуктом

Для правоохранительных органов:

«МК Десктоп» обладает широким спектром решаемых задач и является незаменимым помощником в работе правоохранительных органов, помогая извлечь и проанализировать данные за короткий промежуток времени, провести первичную экспертизу данных и сформировать портрет владельца ноутбука или персонального компьютера.

Для корпоративных клиентов:

Для специалистов служб безопасности коммерческих компаний открываются возможности для расследования и предотвращения различных видов корпоративных инцидентов, таких как кража интеллектуальной собственности, раскрытие инсайдерства, утечка конфиденциальных данных и многое другое.

«МК Десктоп» является ключевым инструментом для проведения аудита системы информационной безопасности.