取证大师破解版下载-取证大师试用版下载
取证大师破解版是一款取证类型的软件,知识兔这款软件中包含了最先进的取证技术,所以知识兔这款是一款功能十分强大的软件,知识兔使用的效果也都是十分不错的,整个的操作使用流程会更加的专业,知识兔这款软件主要是对知识兔的手机进行取证,比如手机中的SIM卡或者是手机内存以及外置的查查看以及移动运营商的业务数据库等等构成的手机取证中的重要证据源,整个的操作都十分的简单,不管是在手机中什么样的数据都是可以去进行恢复取证的。
取证大师使用版功能:
静态存储介质分析、傻瓜式操作自动取证,在线状态下动态获取相关信息,简单操作打打勾就完成取证分析内容,方便快捷打印取证报告;
提取各种硬盘中嫌疑人所安装的操作系统的各种信息包括操作系统开关机时间、安装日期、网络信息、服务信息、安装软件列表、共享文件夹信息、用户最后一次登录时间等;
直接察看用户最近访问的文档、USB设备的使用情况;
打印信息记录分析调查;
上网记录分析调查;
即时通讯软件聊天记录自动分析;
邮件调查;
全球优势的WEB邮件分析功能;
反取证软件检测技术;
文档自动分类和快速提取
查找加密文件;
取证大师使用版操作:
第1步:前期准备
首先,知识兔从百度下载一张鈥湣pg鈥澑袷降耐计粗频绞只谥么娲⒖占涓柯枷拢募€渕eiya.jpg鈥潱缤?所示。
在手机中向鈥?234567890鈥澱飧龊怕?当然了,这个号码并不存在)发送一条短信,内容是鈥淢obile Forensics鈥潱缤?所示。
第2步:删除相关信息
在手机文件管理器中删除图1中所示的图片鈥渕eiya.jpg鈥滬在手机中删除刚才发送的短信,如图3所示。
第3步:使用手机助手获取短信
将手机连接电脑,分别使用小米手机助手和91手机助手查看、导出短信,没有发现刚才删除的那条短信。
第4步:使用ADB Shell查看文件
在电脑上安装adb.exe(鈥渁db鈥澥氢€淎ndroid Debug bridge鈥澋乃跣矗蟛糠质只侄甲源野沧傲薬db.exe),在命令提示符中将工作目录切换到adb.exe所在目录,知识兔输入鈥渁db shell鈥澖階DB Shell 模式,接着输入鈥渟u鈥澔袢oot权限,知识兔输入鈥渃d /mnt/sdcard鈥澢谢坏鼻肮ぷ髀肪兜绞只谥么娲⒖占涓柯枷拢淙脞€渓s -l鈥澆榭聪晗肝募?文件夹列表,没有发现刚才删除的图片鈥渕eiya.jpg鈥潯H缤?所示。
第5步:获取手机镜像
使用DC-4500手机取证系统鈥湽ぞ呦溻€澲械拟€淎ndroid镜像下载鈥澒ぞ呋袢∈只€?data鈥澐智膁d镜像,如图5所示。
第6步:分析镜像
使用winhex打开刚才创建的dd镜像,在其偏移02BE522FB附近找到了如图6所示内容,知识兔可以看到刚才发送的短信内容鈥淢obile Forensics鈥潱⒃诟浇⑾至朔⑺偷暮怕?234567890,同时还在附近发现了一串数字鈥?1*****39鈥潱馐钦獠渴只锹嫉男∶渍屎拧Ⅻ/p>
接下来,还在镜像文件偏移005CCFFF0附件中找到了如图7所示的内容,知识兔根据经验判断,这里有鈥湣pg鈥澑袷酵计奈募罚绦驴矗拐业搅艘桓鲡€湣pg鈥澑袷轿募慕崾晔丁=庵涞哪谌萘泶嫖桓鑫募€溛疵€潱褂免€淲indows照片查看器鈥澦忱蚩缤?所示。
取证大师使用版分析结果:
第3步代表逻辑提取,各种手机助手都可以进行基本的逻辑提取,这种逻辑提取使用的是Android系统读取短信的API,但系统并没有获取已删除短信的API,所以逻辑提取无法获取到已删除的短信。其实逻辑提取还可以通过备份的方式将相关数据备份出来然后知识兔解析,例如美亚柏科的手机取证产品DC4501、FL-900等就能从Android手机的备份文件中提取一些删除的短信等内容。
第4步代表逻辑浏览。在ADB Shell中无法看到鈥渕eiya.jpg鈥澮埠芎美斫猓蛭计丫境耍珹DB Shell中只能显示文件系统认为存在的文件,文件删除后,文件系统就认为此文件已经不存在了。
第5步和第6步代表物理获取。上述例子在运行的系统中获取的镜像其实还不是真正的鈥溛锢砭迪疋€潱沟椎奈锢砭迪袷峭ü鼵hip Off(拆取芯片)等离线方式获取镜像。通过物理镜像这种方式最全面,在取证中效果最好。之所以在手机上删除了还能恢复,是因为原内容并没有被覆写,只要原始数据还在,就可以恢复。这就好比一本书的目录中涂掉了一些章节,如果知识兔只看目录,就会以为这些章节不存在了,但是只要这些章节的具体内容还没有涂抹掉,一页一页地去寻找,就一定能够找到。
目前Android系统并没有对存储设备进行全盘加密,只要获取到了物理镜像,然后知识兔使用十六进制编辑器查看,知识兔可以发现很多线索。当然了,这样查看需要了解常见文件签名、编码等众多知识和丰富的经验,而且知识兔效率往往不高。当遇到一些文件已经部分损坏的情况,可能还需要文件雕刻知识。知识兔可以使用一些自动化的工具,比如开源的scalpel。
Android系统中的分区一般是Ext4文件系统,知识兔使用对应的数据恢复软件也可以很方便地进行数据恢复。例如在此例中,知识兔使用取证大师电子数据分析系统加载此dd镜像,知识兔使用签名恢复恢复出了25177个图片,其中就包括例子中删除的那张。如图9、图10所示。
目前,大部分手机连接电脑查看、管理手机中的文件都是通过MTP模式而不是优盘模式,这样做的好处是不需要考虑手机中文件系统格式,也不会因为电脑独占手机存储空间而导致手机中一些依赖sdcard分区的程序运行异常。而MTP模式是在文件系统层之上的,MTP连接模式下无法进行数据恢复。制作物理镜像则没有这一担忧。
另外,手机在运行过程中,系统运行、程序运行、用户操作都会都对手机中的数据造成持续的改变。从尽量保持检材数据原始性的角度,制作手机镜像是最好的选择。
取证大师使用版说明:
在手机取证的过程中,第一步的工作是从手机各个相关证据源中获取有线索价值的电子证据。手机的SIM卡、内存、外置存储卡和移动网络运营商的业务数据库一同构成了手机取证中的重要证据源。
1.移动网络运营商
移动网络运营商的通话数据记录数据库与用户注册信息数据库存储着大量的潜在证据。通话数据记录数据库中的一条记录信息包括有主/被叫用户的手机号码、主/被叫手机的IMEI号、通话时长、服务类型和通话过程中起始端与终止端网络服务基站信息。另外,在用户注册信息数据库中还可获取包括用户姓名、证件号码、住址、手机号码、SIM卡号及其PIN和PUK、IMSI号和所开通的服务类型信息。在我国即将实行鈥準只得柒€澋拇蠡肪诚拢庑┬畔⒖稍谌蘸蟀讣鞑槿≈す讨蟹⒒泳薮蟮氖抵市宰饔谩Ⅻ/p>
2.SIM卡
在移动通信网络中,手机与SIM卡共同构成移动通信终端设备。SIM(SubscribeIdentityModule)卡即为客户识别模块,它也被称为用户身份识别卡。移动通信网络通过此卡来对用户身份进行鉴别,并且知识兔同时对用户通话时的语音信息进行加密。目前,常见SIM卡的存储容量有8kB、16kB、32kB和64kB这几种。从内容上看,SIM卡中所存储的数据信息大致可分为五类:
(1)SIM卡生产厂商存储的产品原始数据。
(2)手机存储的固有信息,主要包括各种鉴权和加密信息、GSIM的IMSI码、CDMA的MIN码、IMSI认证算法、加密密匙生成算法。
(3)在手机使用过程中存储的个人数据,如短消息、电话薄、行程表和通话记录信息。
(4)移动网络方面的数据中包括用户在使用SIM卡过程中自动存入和更新的网络服务和用户信息数据,如设置的周期性位置更新间隔时间和最近一次位置登记时手机所在位置识别号。
(5)其它的相关手机参数,其中包括个人身份识别号
(PIN),知识兔以及解开锁定用的个人解锁号(PUK)等信息。
3.手机内/外置存储卡
随着手机功能的增强,手机内置的存储芯片容量呈现不断扩充的趋势。手机内存根据存储数据的差
异可分为动态存储区和静态存储区两部分(见图1)。动态存储区中主要存储执行操作系统指令和用户应用程序时产生的临时数据,而静态存储区保存着操作系统、各种配置数据以及一些用户个人数据。
从手机调查取证的角度来看,静态存储区中的数据往往具有更大的证据价值。GSIM手机识别号IMEI、CDMA手机识别号ESN、电话薄资料、收发与编辑的短信息,主/被叫通话记录、手机的铃声、日期时间以及网络设置等数据都可在此存储区中获取。但是在不同的手机和移动网络中,这些数据在读取方式和内容格式上会有差异。另外,为了满足人们对于手机功能的个性化需求,许多品牌型号的手机都分享了外置存储卡来扩充存储容量。当前市面上常见的外置存储卡有SD、MiniSD和MemoryStick。外置存储卡在处理涉及版权或着作权的案件时是一个重要的证据来源。
下载仅供下载体验和测试学习,不得商用和正当使用。