Examen des appareils mobiles avec EnCase

Toute personne engagée dans DFIR (Digital Forensics & Incident Response) reconnaîtra et comprendra que le domaine bouge et évolue à un rythme rapide. Il y a toujours quelque chose de nouveau à apprendre et à comprendre, avec un nombre croissant d’artefacts à analyser et à examiner lors d’une enquête médico-légale.

Les outils logiciels médico-légaux ont d’excellents ensembles de fonctionnalités pour automatiser l’analyse de nombreux artefacts qui pourraient être pertinents pour une enquête. Cependant, il y aura des circonstances où il y aura quelque chose de nouveau et d’intéressant à analyser qui n’a pas encore été automatisé dans la fonctionnalité de base de l’outil logiciel, ou simplement une mise à jour de quelque chose de traditionnel. Peut-être même que la fonctionnalité d’analyse automatisée de votre outil médico-légal nécessite une validation.

Cette série de blogs explorera l’utilisation d’EnScript avec OpenText ™ EnCase ™ Forensic (OpenText ™ EndPoint ™ Investigator) pour illustrer comment l’analyse des artefacts peut être étendue, pour permettre une analyse personnalisée et une prise en charge encore automatisée. La série se concentrera sur l’examen des appareils mobiles démontrant l’analyse des bases de données SQLite et de la liste des propriétés Apple, deux structures de données communes.

Un appareil mobile typique contient une grande quantité d’informations qui peuvent être utiles à une enquête DFIR criminelle, d’entreprise ou civile. OpenText EnCase Forensic et OpenText™ EnCase™ Mobile Investigator prend en charge un certain nombre d’artefacts du système d’exploitation mobile et des applications installées, ainsi que des analyses et des rapports.

Pour Android et Apple, la quantité d’applications et d’artefacts potentiels du système d’exploitation mobile signifie qu’il y aura des circonstances où l’analyse automatisée n’est pas prise en charge par EnCase. L’utilisation d’EnScript peut étendre votre portée et la prise en charge des artefacts, vous permettant d’automatiser l’analyse des éléments non pris en charge.

Par exemple, EnCase prend en charge et analyse certains artefacts Internet iOS pour Safari et Firefox, mais grâce à l’utilisation d’EnScript et des connaissances de l’examinateur, il est possible de découvrir et d’exposer l’activité Internet relative à un onglet ouvert, avec un historique même si l’onglet ouvert était utilisé. pour naviguer en privé.

Il existe plusieurs EnScripts disponibles gratuitement en téléchargement sur Centre d’applications EnCase, rédigé par Simon Key de l’équipe de formation Learning Services EnCase, qui peut être utilisé dans l’examen médico-légal d’un appareil mobile. Les EnScripts mentionnés ci-dessous sont à mon avis extrêmement précieux et sont fréquemment utilisés lors de la recherche d’artefacts et d’examens médico-légaux.

Étant donné que le contenu des applications mobiles et le système d’exploitation mobile lui-même peuvent être stockés dans des bases de données SQLite, il sera nécessaire de fournir des fonctionnalités d’examen SQLite supplémentaires à partir d’EnCase pour :

• Autoriser l’exécution de requêtes SQLite personnalisées et mettre automatiquement les résultats en signet dans le cas EnCase
• Autoriser l’affichage de la base de données SQLite avec Write-Ahead-Log (WAL) pour voir la version la plus récente de la base de données ; et
• Extraire des données binaires pour un examen supplémentaire.

Ces EnScripts pour fournir ce niveau de fonctionnalité d’examen SQLite, disponibles via EnCase App Central sont :

• Requêtes SQLite à exécuter sur une ou plusieurs bases de données
• Extraction de grands objets binaires (BLOB) pour un examen plus approfondi dans EnCase
• Affichage dans une application tierce à l’aide du journal d’écriture anticipée (WAL)

De plus, Apple utilise la liste des propriétés sous forme XML et binaire. Les éléments suivants sont indispensables si vous effectuez l’examen d’un iPhone ou d’un iPad.

• Analysez les listes de balises pertinentes ou maintenez une liste de favoris
• Aperçu rapide du plist en surbrillance

Les prochains blogs de cette série illustreront et discuteront de l’examen des bases de données SQLite et de la liste des propriétés Apple à l’aide des EnScripts mentionnés ci-dessus, et concerneront le domaine de l’examen des appareils mobiles.

L’utilisation des EnScripts discutée dans l’automatisation de l’analyse et l’examen d’artefacts mobiles supplémentaires est démontrée dans le DF125 Examens d’appareils mobiles cours de formation qui peut être enregistré et acheté individuellement en utilisant le lien ci-dessus, ou pris dans le cadre du Abonnement à l’apprentissage OpenText, édition de sécurité Premium. Celui-ci offre un tarif forfaitaire réduit, permettant à un enquêteur qualifié de suivre un nombre illimité de cours de formation EnCase pendant un ou deux ans.

L’équipe de formation qualifiée du service d’apprentissage EnCase possède des années d’expérience des produits, des services et de la formation d’EnCase Security. Les cours peuvent être suivis en direct, dirigés par un instructeur via notre plateforme vClass ou en personne dans l’un de nos centres de formation à Pasadena – CA USA, Gaithersburg – MD USA, Reading – Royaume-Uni ou dans une nouvelle installation à Munich – Allemagne.

Abonnez-vous à un an Édition Sécurité – Abonnement Premium ou, pour plus d’informations, un devis pour un abonnement de deux ans, ou une mise à niveau Nous contacter.