لقد تلقيت مؤخرًا
الإصدار 18999 من Insider Preview Build 18999 بما في ذلك تحديث لتطبيق "Your Phone" ، وكان أول شيء لي هو - هل هناك شيء مفيد في الطب الشرعي الرقمي؟
لذلك ، قمت على الفور بتثبيت هذا التطبيق على محطة عمل الاختبار الخاصة بي وتوصيله بهاتف Android. في الوقت نفسه ، كنت أبحث عن جميع أنشطة النظام باستخدام Process Monitor لفهم مكان تخزين جميع ملفات تطبيق هاتفك.
يبدو أن جميع الملفات موجودة في:
٪ userprofile٪ \ AppData \ Local \ Packages \ Microsoft.YourPhone _ ؟؟؟؟؟؟؟ \ LocalCache \ Indexed \ ؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟ \ System \ Database
أين "؟؟؟؟" هو معرف عشوائي
فيما يلي المحتوى الموجود داخل هذا المجلد:
ويمكنك رؤية بضع ملفات
.db وهي
قواعد بيانات SQLiteحسنًا ، لقد قمت بتنزيل متصفح SQLite بسيط وفتحته واحدًا تلو الآخر للتحقق من الأجزاء الداخلية. كانت بعض قواعد البيانات فارغة ، لذلك سأصف فقط تلك التي تحتوي على معلومات "سليمة في الطب الشرعي".
1. الإخطاراتجدول الإخطارات :
عندما يحدث شيء ما على هاتف Android الذكي الخاص بك ، يظهر الإشعار حول الحدث ويضع تطبيق هاتفك هذا الحدث هنا ، في هذا الجدول. لقد أرسلت بريدًا إلكترونيًا من سطح المكتب إلى هاتفي الذكي ، فقد ظهر إشعار منبثق بشأن رسالة جديدة ويمكنك هنا رؤية الكثير من الخصائص التي تم استخراجها من الإشعار:
appname - تطبيق البريد الإلكتروني المحمول الخاص بي
bigtext - الموضوع والنص
bigtitle - اسمي
posttime - الطابع الزمني عندما يتم تلقي الرسالة عن طريق خادم البريد الإلكتروني بتنسيق Unix-time
النص الفرعي - عنوان البريد الإلكتروني للمرسل
الطابع الزمني - الطابع الزمني عند إرسال الرسالة
حسنًا ، لا يحتاج المحقق حتى للرسالة نفسها ، بل يمكنه الحصول على الكثير من المعلومات ، بما في ذلك النص ، من الإشعار.
2. Phone.dbلقد وجدت الكثير من الجداول المثيرة للاهتمام داخل!
جدول العناوين :
BOOM! جميع الأرقام الواردة مع الطوابع الزمنية! باردة!
جدول الاتصال :
بوم مرة أخرى! قائمة الاتصال بأكملها حتى مع الصور :))
جدول الرسائل :
الرسائل النصية (SMS) مع أسماء المرسلين (لقد قمت بقص المرسلين بأرقام ، ولكن يمكنك الوثوق بي - فهي موجودة) والطوابع الزمنية ، والنص (نعم ، من البنوك ونوع من)
جدول الاشتراك :
هنا هي معلومات حول بطاقات SIM
3. Photos.dbجدول الصور :
يا لها من مفاجأة! جميع الصور المخزنة على الهاتف المحمول مع الطوابع الزمنية :-)
4. Settings.dbجدول Phone_apps :
كل قائمة التطبيقات المثبتة. ليست مثيرة للاهتمام للغاية ، ولكن من يدري ...
إذن ، كنهائي - ماذا أفكر في ذلك؟
بالطبع إنها طريقة غير آمنة حقًا لتخزين المعلومات المهمة في قواعد البيانات غير المشفرة. على سبيل المثال ، يمكن للمتطفل الحصول على وصول عن بعد إلى جهاز الكمبيوتر المحمول أو محطة العمل (باستخدام
Telegram RAT ، haha :)) وتنزيل الكثير من بياناتك الشخصية الهامة.
من ناحية أخرى - يعد هذا مكانًا جيدًا للحصول على مزيد من الأدلة الرقمية لمحقق الطب الشرعي للكمبيوتر ، على سبيل المثال ، في الحالات التي تورط فيها inseder في هجوم إلكتروني يستهدف المؤسسات. الحصول على رقم هاتف منظم الهجوم هو نقطة جيدة لمزيد من التحقيق.
كن آمنا وشكرا لك على الاهتمام!