Chat-Anwendungen werden von fast jeder Person genutzt, die ein Mobiltelefon verwendet. Sichere Chat-Anwendungen zählen zu den beliebtesten Apps. In welchem Ausmaß Daten erfasst werden, hängt davon ab, was Ihre Analyse ergibt.

Wenn Sie eine Chat-Anwendung prüfen, kann die „Gesprächsansicht“ extrem nützlich sein, um das Gespräch übersichtlicher darzustellen. Ich finde sie hilfreicher als die Zeilenansicht. Sie sollten wissen, wie Sie diese Daten zu Ihrem Bericht hinzufügen.

Wenn Sie weiter forschen möchten, um eine Chat-Anwendung aufzufinden, die nicht analysiert wurde, lassen Sie das Fuzzy-Modell-Plugin und App-Genie laufen, um Anwendungen zutage zu fördern, die Sie unter die Lupe nehmen möchten.

In dieser Reihe wird anhand einer einfachen Gaming-Anwendung gezeigt, wie mithilfe der in Cellebrite Physical Analyzer (PA) integrierten Funktionen Gespräche auf einfache Weise aus nicht analysierten Anwendungsdaten zutage gefördert werden können.

Video-Transkription:

In Teil 1 dieser Reihe haben wir uns installierten Anwendungen und dem Thema „Chat“ gewidmet. In diesem Blog werden wir uns die Chat-Anwendungen näher ansehen.

Ehrlich gesagt, kenne ich keine Person, die nicht über ihr Mobilgerät chattet. Das bedeutet, dass aus Chatverläufen wertvolle Beweismittel gewonnen werden können, wenn wir wissen, wo wir nachsehen müssen.

Beginnen wir also gleich in den „Chats“ mit unserer Suche.

In den Screenshots wird uns alles angezeigt – von Facebook über Snapchat und Tango bis hin zu Viber, und noch weitere Chat-Anwendungen, die relevant sein könnten. 

Wie schon erwähnt, empfehle ich, eine Chat-App auszuwählen. Im nachstehenden Beispiel habe ich „Kik Messenger“ ausgewählt. 

Ich möchte meine Quellen noch einmal überprüfen. Unten sehen wir also, dass die Kik-Datenbank analysiert wurde. Wir sehen die analysierten Tabellen sowie eine Präferenzen-Datei.

Vielleicht finden Sie es hilfreich, auf „Gesprächsansicht“ (unten) umzuschalten.

Wenn Sie eine Tabelle mit 30.000 SMS zur Verfügung stellen, die jede einzelne Nachricht anzeigt, ist es für Ermittler, Staatsanwälte oder Geschworene nicht unbedingt einfach, die Relevanz der Daten einschätzen zu können. Wenn Sie jedoch eine „Gesprächsansicht“ zeigen können, genau so, wie sie der Benutzer auf seinem Gerät sehen würde, sieht die Sache schon ganz anders aus. Dann haben Sie aussagekräftige Daten und möglicherweise den gesamten Kontext, den Sie in Ihrem Kriminalfall als Beweis nutzen können.

Eine dieser netten Funktionen, die PA bietet, ist der Export dieser Ansichten direkt von PA in Ihren Bericht. Ich empfehle Ihnen dringend, die Daten auf diese Weise in Ihren Bericht zu integrieren.

Wenn Sie glauben, dass es noch mehr Informationen gibt und Sie diese einfach nicht sehen, dann gehen Sie in das Menü „Tools“. PA verfügt über die Funktion „Fuzzy-Modell-Plugin ausführen“ (im Screenshot unten zu sehen).

Fuzzy-Modell durchsucht Ihr gesamtes Datensystem, um sonstige Datenbanken zu ermitteln, die Anwendungsdaten enthalten, etwa Kontakte, Anrufprotokolle, Chatnachrichten und Standortdaten. Diese Daten sind in alphabetischer Reihenfolge auf der linken Seite aufgelistet. Im Beispiel unten sehen wir „Fuzzy-Ereignisse“ und „Fuzzy-Objekte“. Vergessen Sie nicht, auch App-Genie auszuführen, um eventuell zusätzliche Informationen zu den ausgewählten Anwendungen zu erhalten.

Wenn eine davon für Sie relevant ist, klicken Sie einfah darauf, um in dieser Datenbank eventuelle wertvolle Informationen zu finden. Im untenstehenden Screenshot ist unter „Kommunikationsrachmen“ „Kommunikation mit Freunden“ zu sehen. 

Die meisten Ermittler übersehen einfache Gaming-Apps als Quellen für Chats. Die meisten Menschen plaudern aber während des Gamens gerne. Unten sehen wir also 19 Chat-Nachrichten unter „Kommunikation mit Freunden“. Und wir sehen alle Benutzer (18), die dieses Spiel gespielt haben. 

Meistens werden Namen mehrfach verwendet. Ich bin also in vielen dieser Gaming-Apps Hmihalik11. Wenn Sie herausfinden, dass dies bei einer Ihrer Ermittlungen der Fall ist, sollten Sie so vorgehen, wie Sie es nun gelernt haben, und den betreffenden Namen als neues Stichwort für Ihre Suche nutzen.

In Teil 3 dieser Reihe, werden wir uns auf Browserdaten konzentrieren.

Diesen Beitrag teilen