This post is also available in: English (English)

Oxygen Forensics là nhà cung cấp các phần mềm giám định kỹ thuật số hàng đầu thế giới, giúp các cơ quan thực thi pháp luật truy cập vào dữ liệu quan nhằm phục vụ cho công tác điều tra, đặc biệt là dữ liệu trên thiết bị di động, đám mây, drones và dữ liệu về IoT. Chuyên về thiết bị di động, đám mây, máy bay không người lái và dữ liệu IoT…

Oxygen vừa cho ra mắt bản cập nhật mới nhất của phần mềm giám định thiết bị di động với nhiều cải tiến, giúp công việc của các nhà điều tra dễ dàng hơn trong việc truy cập các bằng chứng, cắt giảm bớt đáng kể các công việc tồn đọng.

Trình quản lý mật khẩu

Giờ đây, các nhà điều tra có thể dễ dàng tạo từ điển tùy chỉnh cho các cuộc tấn công mạng bởi “Trình quản lý mật khẩu” mới. Nó có thể được tìm thấy trong phần “Tùy chọn” của phần mềm hoặc trên thanh công cụ của phần “Tài khoản và” Mật khẩu “. Điều này cho phép tích lũy tất cả các mật khẩu đã trích xuất từ “Tài khoản và Mật khẩu”. Điều tra viên cũng có thể lựa chọn để nhập mật khẩu từ tệp .txt hoặc nhập chúng theo cách thủ công. Sau khi được tạo, danh sách mật khẩu sẽ được có sẵn trong “Trình quản lý tấn công” trong mô-đun brute force và có thể được sử dụng cho các cuộc tấn công bằng mật khẩu.

Người dùng cũng có thể tạo các cuộc tấn công tùy chỉnh bằng cách sử dụng các tùy chọn có sẵn trong Passware Kit Mobile. Sau khi được tạo, các cuộc tấn công tùy chỉnh sẽ được hiển thị trong phần “Attack Manager”.

Downgrade Android

Sử dụng phương pháp sao lưu Android này, các nhà điều tra không thể trích xuất các ứng dụng của phiên bản mới nhất vì dữ liệu của họ thường không có trong bản sao lưu. Trong này trường hợp này, quy trình downgrade APK là bắt buộc để truy cập bằng chứng ứng dụng. Foreician® Detective v.14.0 giới thiệu một phương pháp downgrade Android sẽ cho phép các nhà điều tra trích xuất bằng chứng ứng dụng có giá trị từ nhiều loại và đã mở khóa thành công thiết bị Android. Phương pháp này tương thích với các phiên bản hệ điều hành Android 5-11.

Thực hiện theo các hướng dẫn toàn diện, các nhà điều tra cần chọn các ứng dụng để downgrade, tạo bản sao của ứng dụng gốc, downgrade phiên bản của chúng, trích xuất dữ liệu và khôi phục ứng dụng về trạng thái ban đầu. Hiện tại, phương pháp downgrade APK bao gồm hơn 45 ứng dụng phổ biến có thể downgrade, bao gồm cả WhatsApp, Facebook, Instagram, Twitter, Tinder và nhiều trang khác.

Oxygen Forensics hỗ trợ cho Chipset MT6753

Phương thức “MTK Android Dump” hiện hỗ trợ chipset MT6753. Phương pháp này cho phép bỏ qua khóa màn hình, trích xuất khóa phần cứng và giải mã bằng chứng từ hơn 150 thiết bị dựa trên chipset này. Xin lưu ý, các thiết bị có DAA (Dữ liệu thuật toán xác thực) chưa được hỗ trợ.

Trích xuất Telegram qua OxyAgent

Bắt đầu từ Oxygen Forensics Detective v.14.0, các nhà điều tra có thể thu thập dữ liệu điện tín từ bất kỳ thiết bị Android nào đã mở khóa bằng OxyAgent. Cài đặt nó trên thiết bị, chọn các phần mềm Telegram cần được thu thập và sau đó trích xuất, nhập chúng vào Oxygen Forensics Detective. Phương pháp này là tương thích với hệ điều hành Android phiên bản 7 trở lên.

Bộ bằng chứng sẽ bao gồm thông tin tài khoản, phiên được ủy quyền, liên hệ, cuộc trò chuyện, kênh, tin nhắn đã lưu và cuộc gọi. Trò chuyện bí mật không được hỗ trợ bởi phương pháp này. Tất cả dữ liệu đều có thể trích xuất được nếu tài khoản vẫn được sử dụng. Trong trường hợp đó Telegram bị khóa bằng mật mã, phần mềm sẽ đề nghị nhập mật mã đó. Nếu không thì quá trình trích xuất sẽ không bắt đầu.

Lưu ý: Dữ liệu Telegram cũng có thể được trích xuất từ các thiết bị di động bằng cách truy cập từ đám mây và máy tính.

Oxygen Forensics Detective v.14.0 hỗ trợ ứng dụng mới

Oxygen Forensics Detective v.14.0 giới thiệu hỗ trợ cho 6 ứng dụng và bản cập nhật mới phân tích dữ liệu cho hơn 900 phiên bản ứng dụng. Các ứng dụng mới bao gồm Digital Wellbeing, Beekeeper, Solocator, Chatwork, Grindr và Camera GPS. Tổng số của phiên bản ứng dụng được hỗ trợ hiện vượt quá 24.200.

Tổng quan

Oxygen Forensics Detective v.14.0 giới thiệu một cải tiến đáng kể cho dữ liệu phân tích. Giờ đây, các nhà điều tra có thể hợp nhất nhiều lần trích xuất thành một. Điều này thường cần thiết trong các trường hợp khi bằng chứng được trích xuất bằng các phương pháp và nhu cầu khác nhau để được hợp nhất với nhau. Chẳng hạn như:

• Hợp nhất dữ liệu của thiết bị Android và thẻ SIM với nhau.
• Bằng chứng được trích xuất từ thiết bị Android bằng nhiều phương pháp khác nhau, chẳng hạn như OxyAgent và sao lưu ADB.
• Trích xuất thiết bị và đám mây từ cùng một chủ sở hữu.

Để hợp nhất các phần dữ liệu được trích xuất, hãy chọn chúng trong mục trích xuất ở thanh bên phải và chọn “Merge extractions” trong menu. Sau đó, làm theo hướng dẫn. Việc trích xuất có thể được hợp nhất ở các cấp độ dữ liệu được phân tích hoặc hệ thống tệp. Các phương pháp đầu tiên là tốt khi khai thác các nền tảng khác nhau, như một thiết bị và một dịch vụ đám mây, cần được hợp nhất. Phương pháp thứ hai được khuyến nghị cho việc trích xuất dữ liệu trên cùng một thiết bị khi một số phương pháp trích xuất được sử dụng để thu thập bằng chứng.

Nâng cao khả năng khôi phục dữ liệu ứng dụng

Chúng tôi đã cải thiện đáng kể việc khôi phục dữ liệu đã xóa khỏi các ứng dụng. Nếu ứng dụng phục hồi dữ liệu đã xóa được kích hoạt khi nhập, người dùng sẽ thấy các kết quả sau:

• Chất lượng khôi phục dữ liệu bị xóa đã được cải thiện – hiện có thể khôi phục nhiều dữ liệu bị xóa hơn với ít bản sao và bản ghi rác hơn.
• Các tệp chứa hơn 2GB dữ liệu hiện có thể được khôi phục hoàn toàn từ cơ sở dữ liệu.
• Tốc độ khôi phục dữ liệu đã xóa khỏi các ứng dụng đã tăng lên đáng kể.

Do đó, cần ít thời gian hơn để nhập bản sao lưu hoặc hình ảnh vào phần mềm.

Tốc độ nhập với khôi phục dữ liệu được bật so với tốc độ phiên bản trước của Oxygen Forensics Detective

Các bản ghi hợp lệ đã xóa được khôi phục trên mỗi ứng dụng so với phiên bản trước đó của Oxygen Forensics

Chúng tôi cũng đã mở rộng chức năng của trình xem SQLite của chúng tôi. Những cải tiến bao gồm các phép tính cho cơ sở dữ liệu, các tệp Journal và WAL và khả năng để xem và tìm kiếm các bản ghi trong các trang miễn phí và không sử dụng, nằm trong phần “All deleted data”.

Đám mây – Các cải tiến của Cloud Extractor

Các nhà điều tra hiện có thể trích xuất bằng chứng từ các bản sao lưu iCloud của Grindr bằng cách sử dụng, đăng nhập mật khẩu iCloud tương ứng. Bộ bằng chứng bao gồm tài khoản thông tin, danh bạ, tệp cũng như các cuộc trò chuyện riêng tư và nhóm, 2FA cũng được hỗ trợ.

Công cụ chiết xuất đám mây Oxygen Forensic® được cập nhật cũng cung cấp khả năng trích xuất các loại tin nhắn Instagram mới, tin nhắn thoại, thông báo trò chuyện video, tin nhắn đã thích và hình dán. Chúng tôi cũng đã cập nhật ủy quyền và trích xuất thuật toán cho Slack, Evernote, Danh bạ iCloud và đám mây WhatsApp.

Computer artifacts

Các cải tiến của KeyScout

Chúng tôi đã giới thiệu một số cải tiến và hỗ trợ tuyệt vời cho các hiện vật mới trong KeyScout. Đầu tiên, chúng tôi đã thu thập và phân tích cú pháp các định dạng RAW mới: DD, BIN và IMG. Tùy chọn nhập nằm trong “Desktop Extractions” trên màn hình chính của Oxygen Forensics.

Thứ hai, KeyScout được cập nhật cung cấp khả năng trích xuất dữ liệu từ bên ngoài ổ đĩa. Chọn tùy chọn “Drive” trong màn hình chính của Oxygen Forensics KeyScout và làm theo hướng dẫn. Có thể trích xuất với nhiều đặc quyền.

• Trích xuất nhật ký hợp nhất của Apple từ macOS.
• Trích xuất phiên bản Instagram dựa trên web từ Google Chrome

Thứ ba, chúng tôi đã thiết kế lại màn hình chính của KeyScout. Nó hiện cung cấp cho các nhà điều tra tùy chọn để chọn các mẫu tìm kiếm một cách thuận tiện trước khi bắt đầu trích xuất. Cuối cùng, các hiện vật mới đã được thêm vào:

• Trình duyệt cũng như trích xuất bộ nhớ cache của Trình duyệt Google Chrome.
• Hỗ trợ cho điện thoại của bạn và các ứng dụng Trò chuyện.

Cải tiến nhỏ của Oxygen Forensics

Oxygen Forensic® hiện có thể nhập hai loại hình ảnh mới của bên thứ ba – Báo cáo UFDR được tạo từ các bản sao lưu không phải điện thoại thông minh và Huawei được tạo trong UFED.

Các vấn đề đã được giải quyết

• Sự cố trích xuất với Xiaomi Redmi 3S và Micromax Q402 Plus.
• Xuất vấn đề sao lưu iTunes 174GB.
• Công cụ trích xuất Oxygen Forensic® không cho phép người dùng nhập mã PIN / PUK cho thẻ SIM khai thác.
• Không phải tất cả các tin nhắn đều được phân tích cú pháp từ bản sao lưu Samsung Smart Switch được làm từ thiết bị Samsung S8 +.
• Các cuộc gọi và tin nhắn không được phân tích cú pháp từ các báo cáo UFDR
• Tin nhắn bảo đảm tìm kiếm trên Facebook được hiển thị là đang tìm kiếm.
• Các vấn đề phân tích cú pháp của bộ nhớ cache Element Messenger và Discord.
• Dấu thời gian sửa đổi của các tệp đã xuất, đã được lưu không chính xác từ phần tệp.
• Các vấn đề với trích xuất dữ liệu đám mây Slack.
• Bộ lọc cho tọa độ địa lý không hoạt động trên bản đồ được mở từ phần dòng thời gian.
• Các địa chỉ nhận được qua WiGLE không được hiển thị chính xác trên thanh bên.
• Phím nóng Ctrl + dấu cách không đánh dấu tệp là bằng chứng chính trong chế độ xem hình thu nhỏ.

HTI Group hiện là đối tác phân phối chính thức các sản phẩm của Oxygen Forensics tại Việt Nam. Quý đơn vị/cơ quan có nhu cầu tư vấn về các sản phẩm, giải pháp của Oxygen vui lòng liên hệ trực tiếp: 098.123.0055

Theo dõi Fanpage của HTI Group để cập nhật nhiều tin tức mới nhất.

Sản phẩm tham khảo: Phần mềm trích xuất, giải mã và phân tích dữ liệu