Мобильный криминалист от oxygen

Мобильный криминалист теперь в России 19.04.2007 8:51 Николаев Виталий

Созданный для серьезных государственных организаций Мобильный Криминалист не оставляет следов. Одна из особенностей программы в том, что при работе с ней данные в мобильном телефоне ни при каких условиях не меняются. Также Мобильный Криминалист поддерживает стандарт Unicode, благодаря чему корректно читается и отображается информация на любом языке мира. Новая версия программы полностью русифицирована, она поставляется с русским интерфейсом, файлом справки и другими текстовыми документами.

Функциональные возможности программы:

О компании существует с февраля 2000 года и специализируется на разработке сервисного программного обеспечения для мобильных телефонов и смартфонов. С ноября 2001 года компания является официальным членом проекта Nokia Trade Point и партнером СЦ «Ладофон», который владеет крупнейшей сетью авторизованных Сервисных центров NOKIA. А

#0#0 #0 Страница продукта: %1% Веб-страница компании: %2% Почтовый адрес: Россия, 117216, Москва, ул. Феодосийская, 1.

Иностранные комплексы

Российские силовые структуры закупают инструменты для взлома смартфонов и зарубежного производства. Например, в 2020 г. управление Следственного комитета по Волгоградской области закупило за 800 тыс. руб. переносной аппаратный комплекс UFED Touch2 Ultimate Ruggedized производства израильской компании Cellebrite. Поставщиком выступила «ЛАН-проект». В 2020 г. управление МВД по Хабаровскому краю обновило ПО UFED Touch до версии UFED Touch2 Ultimate, закупив соответствующие услуги за 1,26 млн руб. у «ЛАН-проект». Через эту же компанию UFED Touch2 закупил Сбербанк, заплативший 4,1 млн руб. за 11 единиц.

Через «Экспертэкспресс» в 2020 г. Военное следственное управление Следственного комитета России в Центральном и Восточном военном округах закупило аппаратно-программные комплексы для взлома смартфонов стоимостью свыше 5 млн руб. Речь шла о китайском решении MagiCube и израильском UFED 4PC Ultimate.

Почём сегодня объектное хранилище на 2 000 Гб? Предложения десятков поставщиков ― на ИТ-маркетплейсе Market.CNews

Короткая ссылка
Распечатать

Доступ к зашифрованным данным ОС Android

Пользователи ОС Android могут использовать функцию шифрования на своих устройствах. Новое программное решение от компаний Оксиджен Софтвер и Passware позволит экспертам обойти механизмы, используемые ОС Android для полного шифрования данных, и получить прямой доступ к пользовательским данным (к примеру, фотографиям, переписке и приложениям). Информация из приложений может быть извлечена и проанализирована даже в тех случаях, когда данные или само приложение были удалены из устройства.

«Смартфоны под управлением ОС Android доминируют на международном рынке мобильных устройств, по прогнозам к концу этого года их доля достигнет 90%

Мы понимаем, насколько важно использование передовых технологий, если речь идет об экспертном исследовании устройств на базе Android, — Сергей Соколов, генеральный директор ООО «Оксиджен Софтвер». — Было принято решение о сотрудничестве с компанией Passware, благодаря которому наши клиенты получили возможность доступа к зашифрованным данным Android-устройств, и тем самым ускорить процесс раскрытия преступлений»

«Экспертиза может затянуться вплоть до полного прекращения расследования, если доступ к данным устройства ограничен шифрованием, — отметил Дмитрий Сумин, генерельный директор компании Passware. — Общими усилиями с Оксиджен Софтвер нам удалось изменить эту ситуацию и предоставить экспертам-криминалистам возможность расшифровки данных Android-устройств с использованием комплексных, современных решений».

Извлечение данных на уровне файловой системы

Так как в последнее время, особенно с выходом Android Nougat, смартфоны с шифрованием перестали быть редкостью, этот способ извлечения данных наиболее приемлем. Как ты наверняка знаешь, просто так получить полный доступ к файловой системе пользовательского раздела нельзя, для этого нужны права суперпользователя. На этом подробно останавливаться я не буду. Уверен, в твоем арсенале найдется с десяток инструментов, позволяющих получить заветный root-доступ на Android-девайсе (а если нет, советую изучить материал по этой ссылке, ну и Гугл тебе в помощь).

Как понимаешь, это не самый гуманный способ, особенно если говорить о мобильной криминалистике, ведь он оставляет массу следов в памяти устройства, например добавит приложение SuperSU, а в случае KingoRoot и еще парочку бесполезных приложений. Тем не менее временами приходится использовать и такие сомнительные методы: здесь главное — все тщательно документировать. Разумеется, не все root-методы одинаково вредны, иногда можно получить временный root-доступ, который вполне себе криминалистически правильный.

Есть и более приемлемый способ — так называемый Nandroid-бэкап. Здесь на помощь криминалисту приходят всевозможные кастомные рекавери-прошивки, например TWRP. Кстати, ребята из Oxygen Software сделали свои собственные, очищенные от всевозможного мусора и максимально приближенные к криминалистическим стандартам, о них мы поговорим позже, когда займемся извлечением данных на физическом уровне.

Вернемся к TWRP и Nandroid. Такой бэкап, в отличие от пресловутого ADB, позволяет сделать практически точную копию состояния твоего Android-девайса в определенный момент времени, а это значит, что абсолютно все данные приложений достанутся криминалистам. И да, сложный графический пароль твои данные едва ли спасет. А вот заблокированный загрузчик очень даже может, так как в этом случае прошить кастомное рекавери едва ли получится. Такие смартфоны очень расстраивают криминалистов, уж поверь мне.

Итак, что же нам понадобится для создания Nandroid-бэкапа? Рассмотрим на примере самых распространенных Android-девайсов — тех, что произведены группой компаний Samsung. Во-первых, нужен подходящий образ рекавери, его можно найти на официальном сайте TWRP. Во-вторых, свеженькая (а иногда и не очень свеженькая) версия Odin — он-то и позволит залить прошивку в смартфон.

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

“>

Мобильный Криминалист Эксперт 2.0: добавлена поддержка Samsung Exynos

выпустила очередное обновление анализатора кода приложений Solar appScreener 3.7. Ключевым изменением новой версии стала поддержка интегрированных сред разработки IntelliJ IDEA от JetBrains и Visual Studio от Microsoft для исправления уязвимостей на более ранних стадиях создания ПО.

IntelliJ IDEA представляет собой среду разработки для многих языков программирования, в частности Java, JavaScript, Python, разработанную компанией JetBrains. В свою очередь Visual Studio от Microsoft является инструментом разработки программного обеспечения, используемого для создания веб-приложений, веб-сайтов, мобильных приложений и программ Windows. Реализованная в новой версии Solar appScreener поддержка IDE-сред позволяет встраивать статический анализ приложений на уязвимости в процесс разработки уже на этапе сборки кода.

Помимо раннего обнаружения уязвимостей авторы системы поработали и над ускорением запуска сканирований. В личном кабинете Solar appScreener появился подраздел «Настройки» для создания шаблонов сканирований. Теперь пользователь анализатора может сохранить свои шаблоны настроек сканирования и использовать их для быстрого запуска проектов.

В соответствии с этой целью в Solar appScreener 3.7 была дополнена и значительно улучшена функциональность пользовательского интерфейса. Так, в разделе «О продукте» появилось руководство администратора системы. Все инструкции по установке, обновлению и настройке анализатора теперь можно скачать непосредственно из интерфейса системы, а не запрашивать у вендора.

Кроме того, повышена производительность раздела интерфейса «Подробные результаты»: теперь страница загружается быстрее, и работать с большим количеством уязвимостей будет удобнее. А в разделе «Формы создания/редактирования групп проектов, наборов правил, паттернов» появились радиокнопки «Приватный» и «Публичный», которые позволяют настроить видимость тех или иных элементов проекта сразу для всех пользователей анализатора или только для ограниченного круга лиц. В предыдущих версиях эта функциональность была представлена менее интуитивно понятным чекбоксом «Для всех пользователей».

Для повышения эффективности выявления уязвимостей в версии 3.7 разработчики дополнили базу правил новыми паттернами поиска уязвимостей для поддерживаемых языков программирования, а также расширили описания уязвимостей.

Кто еще пользуется программой

Как показывает анализ сайта госзакупок, проведенный изданием «Роскомсвобода», «Мобильный криминалист» пользуется спросом в российских ведомствах. В августе 2019 г. МВД Калмыкии приобрело программу у ООО «Экспертэкспресс» за 197 тыс. руб.

Как оптимизировать затраты на команду и систему управления тестированием
Бизнес

В сентябре МВД по Республике Саха заплатило ООО «Эккаунт-бест» 119,5 тыс. руб. за продление лицензии на «Мобильного криминалиста». МВД по Республике Татарстан сделало то же самое, заплатив 90 тыс. руб. ООО «Лан-проект». В сентябре тендер на продление лицензии провело и ГУ МВД по Ростовской области, которое согласилось заплатить за это «Эккаунт-бест» 253 тыс. руб.

У этой же компании продлить лицензию на программу собирается МВД по республике Башкортостан, что следует из двух контрактов на 99 тыс. руб. и 98 тыс. руб. Пензенская лаборатория судебной экспертизы Минюста сделала это за 85 тыс. руб., а Чувашская лаборатория пока только объявила аналогичный тендер с максимальной начальной стоимостью 141 тыс. руб.

Новая закупка МВД

Главное управление Министерства внутренних дел по Новосибирской области проводит закупку лицензии на использование ПО «Мобильный криминалист» (версия «Детектив»)

Соответствующая информация размещена на сайте госзакупок, на что первым обратило внимание издание «Тайга.инфо»

На аукцион подано три заявки, и сегодня, 11 ноября 2019 г. началась процедура их рассмотрения на электронной площадке «Сбербанк-АСТ». Как следует из технического задания, лицензия на использование «Мобильного криминалиста» закупается на 24 месяца. Начальная максимальная цена контракта составляет 299 тыс. руб. Лицензия должна быть передана заказчику в срок с 1 января 2020 г. по 1 марта 2020 г.

Извлечение данных на логическом уровне

Разумеется, наиболее простой способ логического извлечения — пресловутое резервное копирование посредством Android Debug Bridge. Сделать это довольно легко — достаточно активировать в настройках устройства отладку по USB, подключить его к компьютеру и воспользоваться следующей командой:

adb backup -f «F:\forensic_backup.ab» -apk -shared -all

Первый ключ, -apk, говорит ADB бэкапить APK-приложения; второй, -shared, позволяет включить в бэкап данные приложений и содержимое карты памяти, если последняя имеется; третий, -all, добавит в резервную копию все приложения, в том числе системные, что может пригодиться при расследовании инцидентов, связанных с малварью. И все бы ничего, вот только современные устройства позволяют сохранять в такую резервную копию далеко не все. Например, в него не входит ни список контактов, ни SMS-сообщения, разве что их фрагменты из logs.db.

Чтобы побороть такую несправедливость, разработчики криминалистического программного обеспечения, например Oxygen Software и Magnet Forensics, включают в свои инструменты так называемые приложения-агенты, которые устанавливаются на целевое устройство и позволяют извлечь вожделенные базы данных. Например, mmssms.db, как несложно догадаться, содержит сведения о переданных и полученных SMS и MMS. Как ты уже понял, зачастую форензик-софтом для логического извлечения используется все тот же ADB, а полученный бэкап распаковывается и обогащается данными, извлеченными приложением-агентом. Кстати, если ты хочешь сам распаковать такой бэкап, то благодаря опенсорсному инструменту adbextractor ты можешь с легкостью это сделать:

java -jar abe.jar unpack backup.ab backup.tar

В результате получишь tar-архив с содержимым твоего ADB-бэкапа.

Мобильный криминалист

НАЗНАЧЕНИЕ И ВОЗМОЖНОСТИ. Мобильный Криминалист является эффективным средством, позволяющим быстро провести извлечение данных из телефона. Мобильный Криминалист гарантирует неизменность данных мобильного устройства в процессе работы с программой. Использование специализированных протоколов доступа позволяет программе извлекать основные данные памяти телефона и данные SIM-карты, список контактов, абонентские группы, быстрые наборы, пропущенные, входящие и исходящие звонки, сообщения SMS, MMS и электронной почты из стандартных и пользовательских папок удалённые сообщения SMS (с некоторыми ограничениями) , время и дату поступления сообщений SMS в Центр Отправки Сообщений (SMSC) провайдера связи, расписание календарных событий, задачи, текстовые заметки, фотографии, видео, мелодии, данные секции Lifeblog (все главные события в телефоне с географическими координатами), приложения Java, файловую систему памяти телефона и карты памяти, данные по трафику GPRS и Wi-Fi, голосовые записи и многое другое. Список поддерживаемых возможностей зависит от определённой модели телефона. Мобильный Криминалист извлекает данные из Nokia, iPhone, Sony Ericsson, Samsung, Motorola, Blackberry, Panasonic, Siemens, HTC, HP, E-Ten, Gigabyte, i-Mate, Vertu и многих других мобильных телефонов. Мобильный Криминалист поддерживает смартфоны под управлением ОС Symbian, Nokia S60, Sony Ericsson UIQ, Windows Mobile 5/6 (без использования ActiveSync), Blackberry, Android и Apple. Имеет в своем составе модуль Root-доступ для поддержки смартфонов на базе Android и модуль поддержки китайских телефонов Интерфейс программы специально разработан для проведения судебно-технической экспертизы, анализа, поиска данных и формирования отчётов. С помощью Мобильного Криминалиста можно как выводить отчёты на печать, так и сохранять их в популярные файловые форматы (PDF,RTF,XLS) Позволяет извлекать данные WebKit из iOS и Android устройств. Анализ данных WebKit позволяет получить доступ к содержимому посещенных веб-страниц и текстам сообщений почтовых сервисов. ПО “Мобильный Криминалист” дает возможность извлечь заблокированные телефонные номера и список Wi-Fi точек из учетной записи Google, а также заметки из Google Keep. ПО Мобильный криминалист начиная с версии 11.7 — реализует возможность извлечения и расшифровки физических образов Qualcomm-устройств на чипсетах MSM8917, MSM8937, MSM8940 и MSM8953 с аппаратным шифрованием и активированным режимом Secure StartUp, — поддерживает приложения Android: SCRUFF (6.0019), Speedtest (4.4.26), Discord (9.9.3), Endomondo (19.3.5), Evernote (8.12.2), FaceApp (3.5.1), Facebook (247.0.0.42.116), Facebook Messenger (241.0.0.17.116), Google Maps (10.27.2), Google Photos (4.32.1.282438324), Instagram (121.0.0.29.119), Kik Messenger (5.18.2.21835), Line (9.19.3), LinkedIn (4.1.383), Romeo (3.7.2), Samsung Health (6.7.1.003), SHAREiT (5.0.78_ww), Skype (8.54.0.91), Slack (19.11.20.0), TamTam (2.9.0), Telegram (5.12.0), Telegram X (0.22.0.1205-arm64-v8a), Threema (4.2), TikTok (13.9.3), Twitter (8.22.0-release.00), UC Browser (12.13.2.1208), Viber (11.9.1.1), VIPole Private Messenger (2.0.95), VK (5.49)Waze (4.55.3.0), WeChat (7.0.7), WhatsApp Business (2.19.124), WhatsApp Messenger (2.19.345), WickrMe (5.40.2), Xabber (2.6.4), Yahoo! Mail (6.1.4), YouTube (14.46.52) — поддерживает приложения iOS: SCRUFF (6.0111), Speedtest (4.1.10), UC Browser (11.3.5.1203), CoverMe (3.1.3), Discord (3.1.5), Evernote (8.24.2), FaceApp (3.5.5), Facebook (247.0), Firefox (20.2), Fitbit (3.11), Google Chrome (78.0.3904.84), Google Keep (2.2019.46203), Google Maps (5.29), Google Translate (6.3.0), Instagram (121.0), Likee (3.9.0), Line (9.18.1), LinkedIn (9.1.157), Microsoft Outlook (4.13.0), OK (8.27.1), OneDrive (11.9.3), SHAREit (3.1.68), Skype (8.54), Slack (19.11.20), TamTam (2.6.8), Telegram (5.12.1), Threema (4.4.2), Viber (11.9)VIPole Private Messenger (2.6.4)VK (5.28)VSCO (139.0)Waze (4.55.2), WeChat (7.0.8), WhatsApp Messenger (2.19.120), Yandex Disk (2.86), Yandex.Mail (4.1.0), Zangi Private Messenger (4.6.5).

Мобильный Криминалист Скаут — еще больше данных из ПК для исследования

анонсировала новую версию своего флагманского продукта «Мобильный Криминалист Детектив» 11.4. В ней представлен обширный функционал модуля «Скаут», который позволяет извлечь историю посещения сайтов, файлы cookies, закладки и данные автозаполнения форм из поддерживаемых браузеров. Также были добавлены поддержка браузера Microsoft Edge, извлечение токена Wickr Me Desktop и учетных данных облачного сервиса Booking.com.

Теперь «Скаут» собирает не только учетные данные, но и другую информацию, которая может представлять интерес при исследовании персональных компьютеров. Модуль отображает список найденных приложений, список их экземпляров и размер выбранных типов данных для каждого экземпляра. Пользователь может выбрать, какие приложения, экземпляры и типы данных нужно сохранить в архив формата ODB.

Внутри архива содержатся файлы, скопированные с исследуемой системы, с полным оригинальным путем и метаданными, а также учетные данные и другая найденная информация.

Также была добавлена поддержка двух разных версий браузера Microsoft Edge:

Текущей версии на основе собственного движка Microsoft;
Новой beta-версии, доступной для публичного тестирования, в которой используется движок Chromium.

Помимо этого, разработчики добавили в «Мобильный Криминалист Скаут» 11.4 извлечение токена из мессенджера Wickr Me Desktop и учетных данных облачного сервиса онлайн-бронирования отелей Booking.com из всех поддерживаемых веб-браузеров.

Другие обновления «Мобильного Криминалиста Детектива» версии 11.4:

Мобильные устройства. Добавлена возможность использования стороннего файла загрузчика для устройств на чипсетах Qualcomm.
Мобильные устройства. Реализовано извлечение физического дампа из любого устройства, поддерживающего перевод в EDL-режим и работающего на базе процессора Qualcomm MSM8939.
Мобильные устройства. Реализован импорт логического извлечения iOS-устройств, полученного при помощи MSAB XRY.
Дроны. Добавлен импорт образов дронов Parrot Bluegrass.
Дроны. Добавлены отдельные пункты для каждого типа данных в меню импорта данных дронов.
Облачные сервисы. Добавлена возможность извлечения информации об учетной записи, доверенных устройств, логинов, паролей, токенов и др. из сервиса iCloud Keychain.
Облачные сервисы. Добавлена возможность извлечения информации об учетной записи, контактов, чатов и звонков из сервиса Wickr Me.
Облачные сервисы. Добавлена возможность извлечения информации об учетной записи, информации о кредитных картах, истории поиска, бронирования и др. из сервиса Booking.com.
Облачные Сервисы. Добавлена возможность извлечения информации об учетной записи, информации о кредитных картах, информации о доверенных устройствах, списка покупок, истории просмотра и др. из сервиса Amazon Shopping.
Облачные Сервисы. Обновлен алгоритм авторизации для сервиса Windows Phone Cloud Data.

«Мобильный Криминалист» 11.4 поддерживает 464 уникальных приложения, 71 облачный сервис, более 10 100 версий приложений и 29 200 моделей устройств.