UFED Physical Analyzer, UFED Logical Analyzer and Cellebrite Reader v7.31更新說明

[高田科技_許貿鈞]

App versions: 10,517

App support

．Facebook Messenger Lite(Android) - 新增Facebook Messenger Lite(Android)的解析，可以解析出的內容有聯絡人 詳細資料、聊天訊息及使用者帳戶。

．Natice Weather App(iOS) - 新增從此App上可以取得位置資訊。

．Signal (iOS) - 更新對系統、位置還有共享聯絡人的解析。

．TikTok (iOS) - 更新TikTok在裝置上擁有多個帳號的解析。

．WhatsApp Dual Mode (小米、華為) - 新增WhatsApp雙模式在小米及華為裝置上所有資訊的解析。

·．新增74個 Apps 解析 (iOS & Android)

SQLite引導功能加強

從Application Insights視窗中或SQLite資料庫徹圖中，可以清楚的看到資料庫彈出視窗，列出了與所選應用程式的所有資料庫。

詳細的表格視窗，顯示可用的資料列數和資料內容，可以協助各位想檢視哪個資料庫。

加強KaiOS裝置的解析

新增KaiOS的設備內可以檢視WiFi和與Web相關資訊。

更新Apple File System的檔案時間戳記

Apple文件系統（APFS）包含4個時間戳記，描述如下：

·Birth (建立檔案) –  ( birthtime ) 檔案建立的時間點。

·Change (狀態更改) – ( ctime ) 檔案狀態 ( inode ) 最後更改時間點（不論是屬性、權限等）。

·Modify  (內容修改) – ( mtime ) 檔案內容最後修改的時間點（例如，write，mknod，utimes）。

·Access  (檔案讀取) – ( atime ) 上次讀取檔案的時間點（例如，read，mknod，utimes）。

 

UFED Checkm8 iOS 採用 DAR 格式提取。 但 DAR 提取格式僅能解析出 3 個時間戳記：狀態更改 (change), 修改 (modify), 讀取 (access) 。

在此版本的 UFED Physical Analyzer 中，新增了對建立檔案（Birth）時間戳記的解析，因此可以完全呈現 4 個時間戳記。

鑑識人員不需重新提取舊有手機，只要透過 7.31 版本的 PA 開啟之前透過 Checkm8 提取的 DAR 檔案，即可正確解析出這四個時間戳記。

問題修補 - UFED Physical Analyzer

·開啟 UFED Physical Analyzer 時出現錯誤。

·當 App Genie 有帶標籤，產生報告時會當機。

·iOS 裝置提取下可解析 Wickr。

·Checkm8 Full File System 提取的 DAR 格式可呈現讀取、修改的時間戳記。

 解析 Facebook Messenger（iOS）版本 254.1 – Facebook Messenger 進行 Lightspeed 專案更新後，資料庫已改為 SQLite格式（舊有版本為 orca2.db）。

·Line（iOS）的聊天訊息中缺少擁有者 ID。

·Facebook Messenger 中的未接來電解析出的時間不正確。

·支援匯入 VIC JSON 1.3 版格式。

·VIC JSON 匯出檔案中缺少日期和時間。

·當 UFDR 報告勾選 ‘Redact all attachments’ ( 包含已編輯附件) 時，所選附件不包含在報告內。

·匯出 PDF 檔案時有多餘的空白處。

·離線地圖未顯示在時間軸檢視中。