Récemment, j'ai reçu l'
annonce Windows 10 Insider Preview Build 18999, y compris une mise à jour pour l'application "Votre téléphone", et ma première chose était - y a-t-il quelque chose d'utile pour la criminalistique numérique?
J'ai donc immédiatement installé cette application sur mon poste de travail de test et l'ai connectée à mon téléphone Android. En même temps, je vérifiais toutes les activités du système avec Process Monitor pour comprendre où tous les fichiers d'application de votre téléphone étaient stockés.
Il semble que tous les fichiers se trouvent dans:
% userprofile% \ AppData \ Local \ Packages \ Microsoft.YourPhone _ ??????? \ LocalCache \ Indexed \ ?????????????????? \ System \ Database
Où "????" est un ID aléatoire
Voici le contenu de ce dossier:
Et vous pouvez voir quelques fichiers
.db qui sont des
bases de données SQLiteEh bien, j'ai téléchargé un simple navigateur SQLite et l'ai ouvert un par un pour vérifier les internes. Certaines bases de données étaient vides, donc je ne décrirai que celles qui contiennent des informations «légalement saines».
1. Notifications.dbTableau des notifications :
Lorsqu'un événement se produit sur votre smartphone Android, la notification de l'événement apparaît et l'application Votre téléphone place cet événement ici, dans ce tableau. J'ai envoyé un e-mail depuis le bureau vers mon smartphone, une notification contextuelle concernant une nouvelle lettre est apparue et ici vous pouvez voir de nombreuses propriétés qui ont été extraites de la notification:
appname - mon application de messagerie mobile
bigtext - sujet et texte
bigtitle - mon nom
posttime - horodatage lorsque le message a été reçu par le serveur de messagerie au format Unix-time
sous -
texte - adresse e-mail de l'expéditeur
timestamp - horodatage lorsque le message a été envoyé
Eh bien, un enquêteur n'a même pas besoin du message lui-même, il peut obtenir beaucoup d'informations, y compris le texte, de la notification.
2. Phone.dbJ'ai trouvé plein de tables intéressantes à l'intérieur!
Table d'adresses :
Boum! Tous les numéros entrants avec horodatage! Cool!
Table de contact :
BOOM à nouveau! La liste de contacts entière même avec des photos :))
Tableau des messages :
Messages texte (SMS) avec les noms des expéditeurs (j'ai coupé les expéditeurs avec des numéros, mais vous pouvez me faire confiance - ils sont là) et horodatages, et texte (oui, des banques et autres)
Tableau d'abonnement :
Voici les informations sur les cartes SIM
3. Photos.dbTableau photo :
Quelle surprise! Toutes les photos stockées sur le téléphone mobile avec des horodatages :-)
4. Settings.dbTable Phone_apps :
Liste de toutes les applications installées. Pas si intéressant, mais qui sait ...
Donc, en finale - qu'en pense-je?
Bien sûr, c'est vraiment un moyen non sécurisé de stocker des informations si importantes dans des bases de données non cryptées. Par exemple, un intrus peut obtenir un accès à distance à votre ordinateur portable ou station de travail (en utilisant
Telegram RAT , haha :)) et télécharger un grand nombre de vos données personnelles importantes.
D'un autre côté - c'est un bon endroit pour obtenir plus de preuves numériques pour un enquêteur en informatique judiciaire, par exemple, dans les cas où l'assureur a été impliqué dans une cyberattaque ciblée sur l'entreprise. Obtenir un numéro de téléphone de l'organisateur de l'attaque est un bon point pour une enquête plus approfondie.
Soyez sécurisé et merci de votre attention!