Android取证推荐步骤
由于大多数设备使用基于文件的加密(FBE),物理提取可能不可行。对于支持物理提取的设备,这应该能获取最多数据。获取手机数据的次优选择是完整文件系统访问。
热设备应快速获取:如果设备处于AFU(首次解锁后)状态,请确保获取它并尽可能防止设备重启。重启将使设备进入BFU(首次解锁前)状态,没有密码可能难以或无法获取。
所需工具:
- 在取证工作站安装ADB
- 选择的取证工具
- Mattia Epifani的Android三脚本
推荐步骤:
- 使用Cellebrite UFED、Premium或Premium ES获取物理或完整文件系统提取
- 如果特定型号无法获取完整文件系统,验证芯片组并尝试通用配置文件下的Android Qualcomm/Qualcomm Live
- 在归还设备前确保打开提取内容,确认数据未加密
文件系统获取:
- 可能只是备份,但新版Android设备的备份数据有限
- 如果特定型号不工作,尝试Cellebrite UFED的通用Android选项
- 逻辑获取使用取证工具 - 特别是当ADB不顺利时
- 建议使用多个工具或单个工具同时捕获ADB备份进行验证
注意事项:
- 大多数工具会安装软件代理以从设备提取数据,这是正常且可接受的
- 免费方式 - ADB备份:
1 2adb backup –all adb backup –shared
额外步骤:
- 获取SD卡和SIM卡(如有)
- 使用Cellebrite UFED进行聊天捕获
- 提取云数据(如有授权)
- 运行ADB命令确保提取所有信息
验证: 始终打开提取内容确保获得预期数据。如果有物理转储,Autopsy是访问数据最快的方式!它还是免费的。
iOS取证推荐步骤
对于iOS获取,我的方法保持稳定,不像Android那样偏执。您可以选择在Windows或Mac上工作。
所需工具:
- 如果在Windows上创建备份,安装iTunes
- 安装iBackupBot
- 选择的取证工具
- ArtEx(用于检查越狱设备)
推荐步骤:
- 确定iOS设备类型和iOS版本
- 获取完整文件系统提取,我偏好使用Cellebrite UFED checkm8
- 如果设备已越狱,使用Cellebrite UFED完整文件系统
- 执行文件系统/高级逻辑提取 - 必须加密提取!
- 为彻底起见,获取设备的逻辑和/或备份文件
- 将设备连接到iBackupBot并导出崩溃日志
- 收集sysdiagnose日志并提取它们
重要提醒: 确保使用的工具未启用iTunes加密,通过将设备连接到iTunes并确保未选择"加密备份"选项。
总结
每个人对工具和获取方法都有偏好。在大多数设备上,完整文件系统提取是性价比最高的选择。确保验证提取的数据,并在出现问题时联系您使用的供应商。