Статья Cellebrite Reader не освобождает от проверки вручную файлов смартфона.

Всем привет!
Попал мне в руки образ смартфона ZTE BLADE V8 сделанный с помощью UFED версии 7.36.0.109.
Файл образа сформированный с расширением UDF, но

Ссылка скрыта от гостей

_7.18.0.106 может открывать файлы с расширением UFDR.
Для того чтобы экспортировать файл UDF в UFDR нам поможет

Ссылка скрыта от гостей

.
Приступим первым делом открываем MOBILedit Forensic Express

Главное окно MOBILedit

Далее кликаем Start и видим следующее:

Окно подключенного смартфона или импорта данных

Так как физически смартфон не подключен и у нас есть только его образ то нужно как-то подгрузить его образ и переформатировать в нужный нам. Для этого выбираем пункт меню Import data и увидим следующее:

Окно импорта данных

В открывшемся окне импорта данных выбираем пункт меню Cellebrite UFD(так образ смартфона у нас как раз в формате UFD), в открывшемся меню выбираем нашу папку с образом смартфона и открываем файл в формате UFD.

Открытие файла образа смартфона

Если операция открытия выполнилась без ошибок программа выдаст на следующее окно:

Открытый образ смартфона

Поле чего кликаем Next и видим следующее:

Окно фильтрации информации

В этом окне можно фильтровать данные в образе, так как нам нужна вся информация переходим далее с помощью кнопки Next.

Окно конфигурации отчета

На этом этапе можно отфильтровать информация в отчете по классам (приложения, сообщения, почта, контакты и т.д.) я выбрал все классы). Далее кликаем Next и переходим в окно настроек отчета.

Окно настроек отчета

В этом окне возможно произвести настройку отчета (выбрать язык, временную линию и внести комментарии в отчету). Временная линия относиться только к отчету, не к информации в ней. В дальнейшем Cellebrite Reader сам задаст вопрос о выборе временной линии при открытии отчета.
После проделанных действий мы переходим к выбору формата отчета, выбираем формат Cellebrite UFDR и кликаем Next.

Окна выбора формата отчета

Следующим окном MOBILedit предлагает выбрать Анализатор медиа файлов:

Анализатор медиа файлов

Для использования анализаторов их предварительно требуется установить. У нас их нет, так что просто кликаем Next.
Далее выбираем место хранения образа, кликаем Export и ждём...

Экспорт

Первое, что мы увидим в начале экспорта это ошибка:

Начало экспорта и сразу ошибка

Конец экспорта и много ошибок

Ошибок много, но операция завершена и можно перейти в папку с готовым образом для Cellebrite Reader.
Открываем наш образ в Cellebrite Reader:

Открытие образа UFDR

И ждем пока образ обработается.

Обработка образа

После обработки Cellebrite Reader спрашивает о выбора временной зоны:

Временная зона

Сообщение показывает в какой временной линии работал смартфон и предлагает выбор времени на локальной машине.
И начинается самое интересное! Cellebrite Reader видит историю браузера Chrome и видит закладки браузера Opera. Но, истории браузера Opera нет)

История браузеров

Как мы видим на скриншоте выше закладки есть только в браузере Opera а браузера Chrome только историю. Меня такая ситуация смущает. Проверим по наличию файлов браузера Opera.

История браузера Chrome

Файл базы данных Opera

В итоге файлы есть, но Cellebrite Reader не хочет их парсить. Что ж найдём их и сделаем парсинг сами.
По пути на скриншоте выше находим файлы базы данных и сохраняем их:

Поиск и экспорт файлов базы данных Opera

Разархивируем архив и ищем файл History:

Архив браузера Opera

Файл базы данных History

Открываем базу данных с помощью

Ссылка скрыта от гостей

(или с помощью других программ таких как

Ссылка скрыта от гостей

или

Ссылка скрыта от гостей

) и с помощью запроса из статьи Преобразование в читабельный вид Даты Времени в БД SQLite (Web Browser) а именно:

SELECT datetime(last_visit_time / 1000000 + (strftime('%s', '1601-01-01')), 'unixepoch','localtime') AS [Дата],
    url AS [URL], title AS [Сайт], visit_count AS [Количество посещений]
FROM urls
ORDER BY last_visit_time DESC

Получаем нашу историю посещений сайтов:

История посещений сайтов браузера Opera

ВЫВОД:

Если использовать даже самую надежную программу, не ленитесь проверять все вручную! Результаты могут быть не одинаковые)​

 

[Igor_Mich]

Cellebrite Reader только показывает результаты полученные с помощью UFED Physical Analyzer из данных (физического дампа, файловой системы, резервной копии и т.д.) которые извлекли из устройств с помощью UFED Touch или UFED PC. К сожалению, UFED Physical Analyzer, не самый надежный инструмент. За ним глаз да глаз нужен. То SMS-ки не все вытащит, то чаты потеряет.

Коллега, я немножко сильно в шоке с того, что вы делаете. Вы привели итоговый скриншот "14.JPG" (где показан UFDR файл размером более 52 Гб, кстати, не задавались вопросом почему итоговый размер 52Гб? ZTE BLADE V8 имеет объем памяти 32Гб, так что размер UFDR файла, который у вас получился, скажем так эээ странен.). На скриншоте "Открытие файла образа смартфона" мы видим, что размер исходного UDF файла 2Кб (да, да не гигабайт, а килобайт). Конечно, я знаю, что технологии компрессии данных хорошо развиты, но согласитесь, получить из файла размером 2Кб файл размером 52Гб - это уже слишком. В статье я не нашел объяснения этого чудесного превращения.

 

[Unison]

Коллега, я немножко сильно в шоке с того, что вы делаете. Вы привели итоговый скриншот "14.JPG" (где показан UFDR файл размером более 52 Гб, кстати, не задавались вопросом почему итоговый размер 52Гб? ZTE BLADE V8 имеет объем памяти 32Гб, так что размер UFDR файла, который у вас получился, скажем так эээ странен.). На скриншоте "Открытие файла образа смартфона" мы видим, что размер исходного UDF файла 2Кб (да, да не гигабайт, а килобайт). Конечно, я знаю, что технологии компрессии данных хорошо развиты, но согласитесь, получить из файла размером 2Кб файл размером 52Гб - это уже слишком. В статье я не нашел объяснения этого чудесного превращения.

Это очень интересный феномен роста файла отчета, так как когда Cellebrite Reader загружает в себя отчет он дублирует файлы(может при форматировании файла UFED сам так делает). Как видно:

данные в 3-х ветках.
И данные, допустим браузера - файл History с идентичным содержанием находиться как в ветке raw так и в application. Почему так? Как говорил мой преподаватель по программированию: "Вопрос к разработчикам".

 

[Igor_Mich]

UDF - это обычный текстовый файл который можно открыть Блокнотом. Там содержится немного информации об устройстве, из которого извлекли данные, сведения об извлечении, ключи шифрования и ...и все. Тех данных, скриншоты на которые вы нам тут приводите, там нет по определению.

Вот, например, содержимое UDF файла, полученного при извлечении данных из iPhone 3GS

Содержимое UDF файла. Пример

[Dumps]
Image=iPhone3GS_4.3-4.3.1_Physical_Physical_23-10-12_03-21-58.img

[General]
ConnectionType=Cable No. 110
Date=23/10/2012 15:21:58
Device=IPHONE_PHYSICAL
EndTime=23/10/2012 15:49:04
FullName=Apple iPhone

[SHA256]
iPhone3GS_4.3-4.3.1_Physical_Physical_23-10-12_03-21-58.img=67FD82D3CC264A227B2DE8B3BE232FBC9394B96EA718B5252A119CED798ADE6C

[Image]
Classkey_11=1F4DBD596084CC87D3776A768633CF35ABBAC7A4573CCFBF88C588055949B35F
Classkey_10=1989EA8E5AFF11C6B373221D77BF1ECABFA43697D9DE3525E904706409B5CD9C
Classkey_9=B7478B8C314A947221CC0F259522D4C87FF693FB251D31217E646DA7CB332369
Classkey_8=DEA47D32FA344D2F46C0F6FAB8B13D6832F9B9BF6665D1D23465495D64D6EE3D
Classkey_7=C1B072EE80DB0D619C34322047A62813BE5235FBC381D9DB568C16AE3008EDB0
Classkey_6=64A0474E7E0E41D18EA4E5FED80A5D0A35A361DF2799E841A65C673A01447ADD
Classkey_5=D9849509EE6A82863A185C800503A20FD442600F6D9EC52833E4B212BE589466
Classkey_3=5E4F2E6A3316F0539BE340AE24DF5354653A865FC7A5D620296C74986D378E0C
Classkey_2=C4C8681FED70B586D9BBAAB1DE3BE492CA9C20CB1F8D7D17A98C693FC0C39A92
Classkey_1=7D7FF666933CA4E6E413FCFB30092ADFE39132892FB6D514661684AEE356647B
BaseLBA=192006
Classkey_4=7768e5f90e0752e0dc60601865b343ea7861e6c4956af55a9d15cd05261fcb39
EMFkey=79839f54d3e9d817ce5ef8a130aaae15a35ff911909574a499c84fdb9937b939
key835=bbcd6a63280268b32eea09a7fe161019
key89B=f1f67a1d53b85942f3b60f9f9d19652d
Passcode=
PasscodeKey=0f57aafeb555113c6d3d3790fa204351fb7af6a84491b91c783d4b84071c49ae


[DeviceInfo]
IMEI=011982009759461
SerialNumber=879396L03NP
ECID=000001475A127DCF
ConfigBoard=n88ap
iBootVersion=iBoot-1072.59
CPID=8920
Capacity=15GB
Passcode=
Extraction_Partition=User_System_Data

Все гигабайты данных которые оказываются в итоговом UFDR файле находятся в файлах (бинарниках или архивах), которые лежат в той же папочке, где находится и файл UDF. А следовательно, "Скрипач не нужен". Не надо никакого UDF файла чтобы конвертнуть данные в UDFR и потом подсунуть это UFED Reader.

 

[Unison]

UDF - это обычный текстовый файл который можно открыть Блокнотом. Там содержится немного информации об устройстве, из которого извлекли данные, сведения об извлечении, ключи шифрования и ...и все. Тех данных, скриншоты на которые вы нам тут приводите, там нет по определению.

Вот, например, содержимое UDF файла, полученного при извлечении данных из iPhone 3GS

Содержимое UDF файла. Пример

[Dumps]
Image=iPhone3GS_4.3-4.3.1_Physical_Physical_23-10-12_03-21-58.img

[General]
ConnectionType=Cable No. 110
Date=23/10/2012 15:21:58
Device=IPHONE_PHYSICAL
EndTime=23/10/2012 15:49:04
FullName=Apple iPhone

[SHA256]
iPhone3GS_4.3-4.3.1_Physical_Physical_23-10-12_03-21-58.img=67FD82D3CC264A227B2DE8B3BE232FBC9394B96EA718B5252A119CED798ADE6C

[Image]
Classkey_11=1F4DBD596084CC87D3776A768633CF35ABBAC7A4573CCFBF88C588055949B35F
Classkey_10=1989EA8E5AFF11C6B373221D77BF1ECABFA43697D9DE3525E904706409B5CD9C
Classkey_9=B7478B8C314A947221CC0F259522D4C87FF693FB251D31217E646DA7CB332369
Classkey_8=DEA47D32FA344D2F46C0F6FAB8B13D6832F9B9BF6665D1D23465495D64D6EE3D
Classkey_7=C1B072EE80DB0D619C34322047A62813BE5235FBC381D9DB568C16AE3008EDB0
Classkey_6=64A0474E7E0E41D18EA4E5FED80A5D0A35A361DF2799E841A65C673A01447ADD
Classkey_5=D9849509EE6A82863A185C800503A20FD442600F6D9EC52833E4B212BE589466
Classkey_3=5E4F2E6A3316F0539BE340AE24DF5354653A865FC7A5D620296C74986D378E0C
Classkey_2=C4C8681FED70B586D9BBAAB1DE3BE492CA9C20CB1F8D7D17A98C693FC0C39A92
Classkey_1=7D7FF666933CA4E6E413FCFB30092ADFE39132892FB6D514661684AEE356647B
BaseLBA=192006
Classkey_4=7768e5f90e0752e0dc60601865b343ea7861e6c4956af55a9d15cd05261fcb39
EMFkey=79839f54d3e9d817ce5ef8a130aaae15a35ff911909574a499c84fdb9937b939
key835=bbcd6a63280268b32eea09a7fe161019
key89B=f1f67a1d53b85942f3b60f9f9d19652d
Passcode=
PasscodeKey=0f57aafeb555113c6d3d3790fa204351fb7af6a84491b91c783d4b84071c49ae


[DeviceInfo]
IMEI=011982009759461
SerialNumber=879396L03NP
ECID=000001475A127DCF
ConfigBoard=n88ap
iBootVersion=iBoot-1072.59
CPID=8920
Capacity=15GB
Passcode=
Extraction_Partition=User_System_Data

Все гигабайты данных которые оказываются в итоговом UFDR файле находятся в файлах (бинарниках или архивах), которые лежат в той же папочке, где находится и файл UDF. А следовательно, "Скрипач не нужен". Не надо никакого UDF файла чтобы конвертнуть данные в UDFR и потом подсунуть это UFED Reader.

Логично, так как мой скриншот из файла UDFR и программы Cellebrite Reader.
Вот мой файл UFD, в конце файла как раз то о чем Вы говорите (bin файлы с самой информацией)

ZTE BLADE V0800

[BadSectors-mmcblk0rpmb]
X0000000000000000=16384

[Dumps]
Image0=blk0_mmcblk0.bin
Image1=blk64_mmcblk0rpmb.bin
ProcData=procdata.zip

[ExtractionStatus]
ExtractionStatus=Success

[General]
ConnectionType=Cable No. 100
Date=16/05/2019 14:35:18 (+3)
Device=Full_Chains
EndTime=16/05/2019 15:12:11 (+3)
ExtractionType=Physical
FullName=ZTE BLADE V0800
GUID=A08ED383-8A6A-4682-A1A9-4542A64063CE
InternalBuild=4.8.0.109
IsEncrypted=True
MachineName=TOUCH2-7212243
Model=ZTE BLADE V0800
UFEDExtractionMethod=BootLoader
UfdVer=1.2
UnitId=7212243
UserName=
Vendor=Detected Model
Version=7.16.0.109

[Image0]
Blocks=30535680
Decrypted=True
ExtractionMethod=ANDROID_ADB
ImageType=Block
Major=179
Minor=0
Name=mmcblk0

[Image1]
Blocks=4096
ExtractionMethod=ANDROID_ADB
ImageType=Block
Major=179
Minor=64
Name=mmcblk0rpmb

[ProcData]
ExtractionMethod=ANDROID_ADB
Type=ZIPfolder

[SHA256]
blk0_mmcblk0.bin=8ED2FA1A7ADAC135D5B7EC8AB7C14248A652EE3F1A7C45C18780C71A34D933B8
blk64_mmcblk0rpmb.bin=4E9A918F16D42DADD4373BEDC50F5B83EAD0FF9A6F0D674A14380AC76081F553
log.txt=151C461F36970EB78309B853495B87349D573754096156204BA07CB306CBE601
procdata.zip=2F2FF63847D4534F298459EAF5715589BE1E6F94DCC1D80405B4457B0D0300B5

Умеете парсить bin файлы? Поделитесь это будет интересно, могу даже помочь если захотите! И смысла мне доказывать то, что я вижу своими глазами и доказываю это скринами, нет)