Wir bei Cellebrite möchten, dass Sie Ihre Daten validieren und die Quelle von Artefakten kennen. Wir versuchen, Ihnen ehrlich und klar zu vermitteln, was die Ergebnisse bedeuten.  Als Prüfer können Sie Cellebrite Physical Analyzer nutzen, um installierte Anwendungen zu überprüfen. Dadurch können Sie herausfinden, welche Anwendungen für Ihre Ermittlungen relevant sind.

Nachdem Sie eine relevante Anwendung gefunden haben, müssen Sie die Quelle überprüfen. Gehen Sie direkt zu diesem Verzeichnis oder zur relevanten Datenbank und achten Sie darauf, dass Cellebrite Physical Analyzer alles analysiert, das in Bezug auf diese relevante Anwendung verfügbar ist. Überprüfen Sie auch alles, was Sie in der Datenbank in den analysierten Chats, Anrufen, Kontakten usw. finden.

Video-Transkription:

Wenn Sie mithilfe von Cellebrite Physical Analyzer (PA) Artefakte auffinden möchten (oder wenn Sie einfach nur sichergehen möchten, dass das Tool die Daten richtig analysiert), empfehle ich Ihnen, direkt zu „Installierte Anwendungen“ zu gehen.

Im Screenshot unten sehen wir, wenn wir zu „Apps-Info“ gehen und uns „Installierte Anwendungen“ ansehen, dass hier 398 Apps aufgeführt sind. Sieben davon wurden gelöscht.

Wie Sie unten sehen, sortiere ich nach dem Öffnen von „Installierte Anwendungen“ üblicherweise nach Name und sehe mir dann an, was alles analysiert wird. 

Wie Sie unten sehen, haben wir alles aus Amazon Mobile. Außerdem sehen wir auch, dass da einiges an Malware und einige spezielle Kalender-Apps vorhanden sind, die ebenfalls von Interesse sein könnten. 

Facebook-Chat-Anwendungen sind eine weitere Quelle von Artefakten, die wir uns in der Regel ebenso ansehen.

Nachdem Sie nun eine relevante Anwendung gefunden haben (Viber), müssen Sie als Nächstes sichergehen, dass Ihr Tool es richtig analysiert. Hierfür empfehle ich, einen Blick auf die Quelldateien (unten) zu werfen. Diese Quelldateien erwähnen wir so oft, weil es wirklich wichtig ist, dass Sie wissen, woher dieses Artefakt stammt.

Im Beispiel unten nehme ich Viber unter die Lupe. Ich möchte nämlich die Quelle überprüfen, damit ich weiß, woher es kommt.

Rechts sehen wir unter der Datenbank, dass Viber-Daten die Anrufe analysiert. 

Wenn wir auf „Viber-Nachrichten“ klicken, können wir sehen (unten), dass Viber die Teilnehmertabelle aus der Viber-Nachrichtendatenbank analysiert. 

Wenn Sie mir vorher zugehört haben, wissen Sie, dass ich immer sage: „Validieren Sie Ihr Tool“. Im Bildschirm unten sehe ich mir die Viber-Daten an. Hier sehe ich die Anrufe. Sieht alles legitim aus, also alles gut. 

Wenn ich nun zurückgehe und auf “viber_nachrichten” klicke, wird mir mitgeteilt, dass die Teilnehmer analysiert wurden. Im Beispiel unten sind zwei Teilnehmer zu finden. Ihnen wird vielleicht aufgefallen sein, dass da 32 Nachrichten sind.

Die meisten Ermittler würden daraus schließen, dass PA diese nicht analysiert. Ich würde lügen, wenn das nicht auch bei mir der Fall ist. Aber bevor Sie dies tun, gehen Sie wieder hinauf zu „Chats“ und prüfen Sie kurz, ob Ihr Tool diese wirklich analysiert hat oder ob es sie einfach ausgelassen hat. Hier sehen wir, dass es tatsächlich 29 Nachrichten analysiert hat, also ist alles in Ordnung.

In Teil 2 dieser Reihewerden, wir uns die Chat-Anwendungen genauer ansehen.

Und diese führen uns dann weiter zum zweiten Teil der Reihe, in dem wir uns fragen: „Erfasst Ihr Tool alle Daten in Bezug auf Chat-Anwendungen?“

Diesen Beitrag teilen