Analyse des images Graykey avec Axiom : Ajouts de nouveaux artéfacts à la base de données KnowledgeC
Dans les dernières versions de Magnet Axiom, nous avons ajouté de nouveaux artéfacts trouvés sur les images du système de fichiers iOS visibles principalement lorsque les enquêteurs ont accès à des outils tels que Graykey. Avec la sortie d’Axiom 2.8, nous avons inclus des artéfacts iOS supplémentaires, y compris les artéfacts de base de données KnowledgeC qui se trouvent sur les appareils iOS.
KnowledgeC Database
En tant qu’enquêteurs, notre travail consiste à trouver des preuves et à fournir le contexte pour les cinq questions principales : qui, quoi, quand, où et pourquoi. Raconter une histoire et établir des liens sont des compétences essentielles, surtout lorsque nous cherchons à obtenir justice pour les victimes au tribunal. En utilisant un outil tel que Graykey, les agents des forces de l’ordre ont à nouveau accès au système de fichiers Apple iOS qui contient la base de données KnowledgeC. Cette base de données ne sera pas trouvée à l’aide de techniques d’imagerie iOS traditionnelles, ni dans une sauvegarde iTunes locale.
Sur iOS, la base de données se trouve dans l’emplacement suivant : /private/var/mobile/Library/CoreDuet/Knowledge/knowledgeC.db
La base de données KnowledgeC est également accessible sur MacOS : ~/Library/Application Support/Knowledge/
Cette base de données a pour responsabilité de suivre différentes activités, comme le moment où l’appareil a été branché ou l’orientation de celui-ci à un moment donné. Il convient également de noter que les horodatages trouvés dans la base de données KnowledgeC.db sont enregistrés au format d’heure Mac Epoch (1/1/2001 : 00:00:00 UTC).
Axiom 2.8 KnowledgeC. Artéfacts de base de données ajoutés
| Activités d’application | · États de verrouillage de l’appareil | · Historique Safari |
| · Priorités d’application | · États d’orientation de l’appareil | · État du rétroéclairage |
| · États d’installation de l’application | · États de branchement de l’appareil |
KnowledgeC.db : Activités de l’application
L’artéfact Activités de l’application fournit de précieux renseignements sur les activités menées par un utilisateur sur l’appareil à un moment donné. Les données d’activité sont analysées à partir des tableaux ZOBJECT et ZSTRUCTUREDMETADATA qui se trouvent dans la base de données KnowledgeC.
(Les examinateurs peuvent toujours valider ce qu’ils voient dans AXIOM en regardant dans la section Informations des preuves qui se trouve dans le volet de détails de n’importe quel artéfact sélectionné. Vous y trouverez l’emplacement de la source avec un hyperlien qui vous dirigera vers les données brutes.)
Schéma 1. Affichage Activités d’application KnowledgeC dans AXIOM 2.8
Dans l’image ci-dessus, nous pouvons voir où l’application Apple Mapsa été utilisée pour se déplacer depuis l’emplacement actuel vers l’adresse 1885 Grills Road le 16/11/2018 à environ 17 h 45. Exemples d’autres activités enregistrées sur cet appareil en particulier : nouvelles notes en cours de création avec les notes spécifiques en cours de modification, l’activité d’e-mail et les recherches au sein d’applications tierces (Lowes dans le cas présent).
KnowledgeC.db : Dates d’installation de l’application
Comme son nom l’indique, l’artéfact Dates d’installation de l’application fournit à l’analyste une chronologie quant à l’installation et la désinstallation des applications sur un appareil. Pour les enquêteurs, cet artéfact permet de prouver l’intention lorsque vous pouvez montrer qu’un suspect a supprimé une application avant que l’appareil ne soit saisi en tant que preuve. Comme c’est le cas avec Activités de l’application, Axiom regroupe les données issues des tableaux ZOBJECT et ZSTRUCTUREMETADATA au sein de la base de données KnowledgeC pour fournir aux examinateurs l’état d’installation des applications.
Comme nous le voyons dans le schéma 2 ci-dessous, vous pouvez voir où l’application Signal a été désinstallée, avec la date enregistrée fournissant l’horodatage de l’action, le 10/12/2018 à environ 15 h 31 (HE).
Schéma 2. Affichage État d’installation de l’application KnowledgeC dans AXIOM 2.8
KnowledgeC.db : État de verrouillage de l’appareil
Pour les enquêtes cherchant à définir si des individus utilisaient leur appareil au moment d’un incident, le tableau ZOBJECT analysé à partir de knoweldgeC.db fournit de précieuses observations. Par exemple, si un enquêteur travaillant sur un homicide commis au volant d’un véhicule et a besoin de fournir des preuves pour appuyer des accusations, il peut s’agir d’informations indiquant si oui ou non l’écran de l’appareil du suspect était déverrouillé et potentiellement en cours d’utilisation durant la période en question.
Schéma 3. Affichage de l’artéfact État de verrouillage de l’appareil KnowledgeC.db disponible dans AXIOM 2.8
Récapitulatif
Les acquisitions effectuées à partir d’outils tels que GrayKey déverrouillent d’importantes quantités de preuves de systèmes de fichiers auxquelles les examinateurs n’auraient peut-être pas accès sans ces outils. Avec l’aide de Axiom, les enquêteurs peuvent rapidement analyser et créer des rapports sur leurs observations. Avec l’ajout récent des artéfacts knowledgeC.DB à Axiom 2.8, les enquêteurs peuvent fournir davantage de contexte à leurs enquêtes, permettant ainsi aux parties prenantes dépourvues de connaissances techniques de mieux comprendre l’activité de l’utilisateur.
Si vous souhaitez que certains artéfacts soient pris en charge dans Axiom ou si vous avez des questions, n’hésitez pas à me contacter à l’adresse trey.amick@magnetforensics.com
Si vous utilisez déjà Axiom, téléchargez Axiom 2.8 sur le Portail client. Si vous souhaitez découvrir comment Axiom 2.8 peut vous donner un meilleur point de départ pour les enquêtes, demandez dès aujourd’hui un essai gratuit de 30 jours!
