شرکت اکسیژن در زمینه فارنزیک از سال 2000 فعالت دارد. پرچم دار محصولات این شرکت Oxygen Forensic® DETECTIVE هست که ما در این مقاله به تغییرات نسخه 14.0 آن می پردازیم.
تغییرات این نسخه در بحث موبایل فارنزیک شامل بخش های گسترده ای می شود از جمله:
- اضافه کردن مدیریت گذرواژه (Password Manager) :
با اضافه شدن این قابلیت محقق ها می توانند لیست های شخصی سازی شده خود را برای حملات brute force به کار ببرند. این قابلیت جدید، تمامی پسوردها را از بخش “Accounts and Passwords” جمع آوری و استفاده می کند. کاربران این قابلیت را دارند که ورودی پسورد ها را یا از طریق یک فایل txt و یا به صورت دستی وارد کنند.
- Android APK Downgrade :
استفاده از قابلیت android backup نمی توانست اطلاعات اپلیکیشن های آخرین ورژن را استخراج کند، زیرا اطلاعات این اپلیکیشن ها معمولا در بک آپ ها درج نمی شود. در این باره APK downgrade producer لازم است، تا به اطلاعات اپ دسترسی پیدا شود.
اما Oxygen Forensic® Detective v.14.0 یک متد جدید معرفی کرده است تا محققان بتوانند با استفاده از آن حجم عظیمی از اطلاعات اپلیکیشن های مختلف را از یک گوشی اندروید باز شده (unlocked) استخراج کنند. این متد اندروید های 5 تا 11 را پوشش می دهد.برای این کار اپلیکیشن مورد نظر انتخاب می شود؛ از آن یک نسخه کپی تهیه می شود؛ دیتاهای آن استخراج می شود و اپلیکیشن به حالت قبل از اکسترکت بازگردانی میشود .این قابلیت 45 اپلیکیشن های عامه را تحت پوشش قرار داده است.
ازجمله اینستاگرام، واتس آپ، فیسبوک و …
- پشتیبانی چیپست MT6753 :
در این نسخه ، متد “MTK Android Dump” توسعه یافته و اکنون MT6753 chipset را پشتیبانی می کند. این متد ، اکنون توانایی رد شدن از قفل های صفحه نمایش (bypassing) ، استخراج کلید های سخت افزاری و رمزگشایی بیش از 150 دستگاه را دارد. لازم به ذکر است در حال حاضر دستگاه های دارای DAA(Data Authentication Algorithm) پشتیبانی نمی شوند.
- Telegram Extraction via OxyAgent:
این نسخه از Oxygen توانایی استخراج کردن داده های تلگرام را از هر دستگاه بدون رمز عبور دارد. این متد با اندروید های 7 و بالاتر سازگاری دارد.داده های استخراج شده شامل مخاطبین، اطلاعات چت ها، عکس ها، پیام های ذخیره شده، تماس ها و کانال ها میباشد؛ اما در حال حاضر چت های خصوصی پشتیانی نمی شوند.
- پشتیبانی چند اپلیکیشن جدید:
در این نسخه جدید 6 اپلیکیشن به اپ های پشتیبانی شده اضافه شده اند از جمله: Digital Wellbeing, Beekeeper, Solocator, Chatwork, Grindr, and GPS Camera تعداد اپ های تحت پوشش در این نسخه به 24200 مورد رسیده است.
تغییرات بخش عمومی :
- ادغام انواع استخراج:
پیشرفت قابل توجهی در رابطه با آنالیز داده صورت گرفته است. در حال حاضر محققان می توانند چندین متد استخراج را به یک مورد ادغام کنند.
به عنوان مثال:
- استخراج یک دستگاه اندروید و سیم کارت داخل آن دستگاه می تواند ادغام شود و به صورت یکجا نمایش داده شود.
- استخراج یک دستگاه اندروید که از متد های مختلف استفاده میکند مانند OxyAgent , ADB Backup .
برای این کار کافیست روش های استخراج را انتخاب کنید و از نوار سمت راست روی “Merge extractions” کلیک کنید.
- بهبود بازیابی داده ها:
کیفیت بازیابی داده های پاک شده بهبود داده شده است. اگر بازیابی اطلاعات حذف شده هنگام وارد کردن فعال باشد کاربر خروجی های زیر را دریافت می کند:
- کیفیت ریکاوری داده های حذف شده بهبود یافته است. اکنون امکان بازگردانی و استخراج اطلاعات بیشتری از طریق کاهش بازگردانی اطلاعات اضافه به وجود آمده است.
- امکان بازگردانی فایل هایی با حجم بیش از 2GB به وجود امده است.
- سرعت ریکاوری پیشرفت موثری داشته است.
تغییرات بخش ابری:
در این نسخه محققان توانایی این را دارند که اطلاعات Grindr iCloud backups را از طریق پسورد icloud استخراج کنند . مدارک استخراج شده شامل اطلاعات اکانت، مخاطبین، فایل ها وهمچنین چت های خصوصی می شود.همچنین تایید دو مرحله ای را هم پوشش می دهد.
لازم به ذکر است که این نسخه از نرم افزار متد جدیدی برای استخراج پیام ها، پیام های صوتی، ویدیو چت ها، پیام های لایک و استیکرهای اینستاگرام ارائه داده است.
تغییرات بخش کامپیوتر:
این نسخه از نرم افزار پیشرفت هایی در بخش KeyScout پیاده سازی کرده است.
- تعدادی از فرمت های RAW در این نسخه پوشش داده شده مانند:DD , BIN و IMG .
- KeyScout اکنون توانایی استخراج داده ها از یک درایور خارجی را دارد .
- Home screen این بخش دوباره طراحی شده است و این امکان رو به محققان می دهد تا به راحتی قالب جستجو خود را قبل از استخراج انتخاب کنند.
دیگر تغییرات بخش کامپیوتری به شرح زیر است:
- استخراج ورودی های یکپارچه اپل از طریق macOS
- استخراج نسخه وبسایت اینستاگرام از طریق مرورگرChrome
- استخراج کش مرورگر Chrome
- پشتیبانی از چت موبایل و اپلیکیشن های چت
مشکلات حل شده در این نسخه :
- استخراج گوشی های Xiaomi Redmi 3S و Micromax Q402 Plus .
- خروجی بک آپ های 174GB ITunes.
- این نسخه از نرم افزار به کاربران این اجازه را میدهد که pin/puk مربوط به سیم کارت ها را وارد کنند.
- همه پیام ها از اسمارت بکاپ های گوشی samsung s8+ تحلیل نمی شدند .
- تماس ها و پیام ها از گزارش های UFDR گرفته نمی شد.
- پیام های جست وجوی فیسبوک به عنوان ورودی نمایش داده می شدند.
- Element Messenger و حافظه نهان نرم افزار دیسکورد تحلیل نمی شدند.
- تاریخ اصلاح شده فایل های خروجی به صورت نادرست ذخیره می شدند.
- استخراج Slack cloud با مشکل مواجه بود.
- فیلتر مختصات بر روی نقشه هایی که از بخش جدول زمان بندی باز شده اند، اجرا نمی شد.
- آدرس هایی که از WiGLE دریافت می شد به صورت صحیح در سایدبار نمایش داده نمی شد.
- میانبر ctrl+space، فایل ها رو در بخش thumbnail view علامت گذاری نمی کرد.
تمامی موارد بالا در نسخه 14.0 حل شده اند.