Vor kurzem habe ich die
Ankündigung von Windows 10 Insider Preview Build 18999 erhalten, die ein Update für die App "Your Phone" enthält. Mein erstes war:
Gibt es etwas Nützliches für die digitale Forensik?
Also habe ich diese App sofort auf meiner Test-Workstation installiert und mit meinem Android-Handy verbunden. Gleichzeitig habe ich mit Process Monitor nach allen Systemaktivitäten gesucht, um zu verstehen, wo alle App-Dateien Ihres Telefons gespeichert sind.
Es scheint, dass sich alle Dateien befinden in:
% Benutzerprofil% \ AppData \ Local \ Packages \ Microsoft.YourPhone _ ??????? \ LocalCache \ Indexed \ ????????????????? \ System \ Database
Wo "????" ist randomisierte ID
Hier ist der Inhalt in diesem Ordner:
Und Sie können einige
.db- Dateien sehen, die
SQLite-Datenbanken sindNun, ich habe einen einfachen SQLite-Browser heruntergeladen und sie einzeln geöffnet, um die Interna zu überprüfen. Einige DBs waren leer, daher beschreibe ich nur solche mit "Forensically Sound" -Informationen.
1. Notifications.dbBenachrichtigungstabelle :
Wenn auf Ihrem Android-Smartphone etwas passiert, wird die Benachrichtigung über das Ereignis angezeigt und Ihre Telefon-App fügt dieses Ereignis hier in diese Tabelle ein. Ich habe eine E-Mail vom Desktop an mein Smartphone gesendet, eine Popup-Benachrichtigung über einen neuen Brief wurde angezeigt, und hier sehen Sie viele Eigenschaften, die aus der Benachrichtigung extrahiert wurden:
Appname - meine mobile E-Mail-App
Bigtext - Betreff und Text
bigtitle - mein Name
posttime - Zeitstempel, wenn die Nachricht vom E-Mail-Server im Unix-Zeitformat empfangen wurde
Subtext - E-Mail-Adresse des Absenders
Zeitstempel - Zeitstempel, wenn die Nachricht gesendet wurde
Nun, ein Ermittler braucht nicht einmal die Nachricht selbst, er kann viele Informationen, einschließlich des Textes, aus der Benachrichtigung erhalten.
2. Phone.dbIch habe viele interessante Tische darin gefunden!
Adresstabelle :
Boom! Alle eingehenden Nummern mit Zeitstempeln! Cool!
Kontakttabelle :
BOOM wieder! Die ganze Kontaktliste auch mit Fotos :))
Nachrichtentabelle :
Textnachrichten (SMS) mit Absendernamen (ich habe Absender mit Nummern geschnitten, aber Sie können mir vertrauen - sie sind da) und Zeitstempel und Text (ja, von Banken und Art von)
Abonnementtabelle :
Hier finden Sie Informationen zu SIM-Karten
3. Photos.dbFototabelle :
Was für eine Überraschung! Alle auf dem Handy gespeicherten Bilder mit Zeitstempeln :-)
4. Einstellungen.dbTabelle Phone_apps :
Liste aller installierten Apps. Nicht so interessant, aber wer weiß ...
Also, als Finale - was denke ich darüber?
Natürlich ist es eine wirklich ungesicherte Möglichkeit, so wichtige Informationen in unverschlüsselten Datenbanken zu speichern. Ein Eindringling kann beispielsweise einen Fernzugriff auf Ihren Laptop oder Ihre Workstation erhalten (mithilfe von
Telegram RAT , haha :)) und viele Ihrer wichtigen persönlichen Daten herunterladen.
Auf der anderen Seite - dies ist ein guter Ort, um mehr digitale Beweise für einen Ermittler der Computerforensik zu erhalten, beispielsweise in Fällen, in denen der Inseder an unternehmensbezogenen Cyberangriffen beteiligt war. Das Abrufen einer Telefonnummer des Angriffsorganisators ist ein guter Punkt für weitere Untersuchungen.
Seien Sie sicher und danke für Ihre Aufmerksamkeit!