最近,我收到了
宣布Windows 10 Insider Preview Build 18999,其中包括“ Your Phone”应用程序的更新,我的第一件事是-数字取证有用吗?
因此,我立即在测试工作站上安装了该应用程序,并将其与Android手机连接。 同时,我正在使用Process Monitor检查所有系统活动,以了解所有Phone应用程序文件的存储位置。
似乎所有文件都位于:
%userprofile%\ AppData \ Local \ Packages \ Microsoft.YourPhone _ ??????? \ LocalCache \ Indexed \ ????????????????? \ System \ Database
哪里“ ???” 是随机编号
这是此文件夹中的内容:
而且您会看到几个
.db文件,它们是
SQLite数据库好了,我已经下载了一个简单的SQLite浏览器,并一个一个地打开它们以检查内部结构。 一些数据库是空的,因此,我将仅描述具有“法医声音”信息的数据库。
1. Notifications.db通知表 :
当您的Android智能手机上发生任何事情时,会出现有关该事件的通知,并且您的Phone应用会将此事件放在此表中。 我已经从桌面向我的智能手机发送了一封电子邮件,关于新字母的弹出通知已经出现,在这里您可以看到从通知中提取的许多属性:
appname-我的移动电子邮件应用程序
bigtext-主题和文字
bigtitle-我的名字
posttime-电子邮件服务器以Unix时间格式接收消息的时间戳
文字 -发件人的电子邮件地址
时间戳 -消息已发送的时间戳
好吧,调查人员甚至不需要消息本身,他可以从通知中获得很多信息,包括文本。
2. Phone.db我发现里面有很多有趣的桌子!
地址表 :
oom! 所有带有时间戳的来电号码! 好酷!
联系表 :
再来一次! 整个联系人列表,甚至有照片:))
留言表 :
带有发件人姓名的短信(SMS)(我已经用数字剪掉了发件人,但是您可以信任我-他们在那里)和时间戳,以及文本(是,来自银行等)
订阅表 :
这是有关SIM卡的信息
3. Photos.db照片表 :
真是惊喜! 所有带有时间戳的照片都存储在手机中:-)
4. Settings.dbPhone_apps表 :
所有已安装的应用程序列表。 没那么有趣,但是谁知道...
那么,作为最后-我对此有何看法?
当然,将如此重要的信息存储在未加密的数据库中确实是一种不安全的方法。 例如,入侵者可以远程访问您的笔记本电脑或工作站(使用
Telegram RAT ,haha :)),并下载许多重要的个人数据。
另一方面-例如,如果inseder参与了针对企业的网络攻击,这是一个为计算机取证调查员获取更多数字证据的好地方。 获取攻击组织者的电话号码是进一步调查的好地方。
确保安全,感谢您的关注!