Nouvelles fonctionnalités

Chargement d’images Cellebrite dans Magnet AXIOM

Les images Cellebrite sont plutôt populaires, car cet outil prend en charge de nombreux appareils et types d’extractions différents. À cause de cela, il est possible que vous obteniez plusieurs types d’images différents selon l’appareil et le type d’extraction effectuée. On me demande souvent comment charger des images Cellebrite dans Magnet AXIOM et, même si cela est plutôt facile, ce n’est pas toujours évident.

Heureusement, Cellebrite n’applique aucune mesure propriétaire à leurs formats d’image, ce qui est utile pour les examinateurs qui souhaitent utiliser plusieurs outils pour analyser ou valider leurs constatations. Ce document ne vise pas à être un guide complet sur l’utilisation de Cellebrite UFED ou Physical Analyzer, mais fournit plutôt de simples renseignements pour aider les examinateurs à profiter au mieux des données qu’ils sont en mesure d’extraire.

Fichiers UFD/UFDX

La plupart des utilisateurs de Cellebrite ont l’habitude de voir les fichiers .UFD ou .UFDX qui sont créés par Cellebrite. Un examinateur les utilisera généralement pour ouvrir l’image dans Physical Analyzer. Cependant, il s’agit de fichiers de configuration qui contiennent des métadonnées sur l’image et sur l’extraction effectuée par UFED, non sur l’image elle-même.

Les fichiers UFDX sont utilisés lorsque l’examinateur extrait plusieurs types d’images différents du même téléphone. Chaque extraction aura un fichier .UFD correspondant, tandis que le fichier .UFDX contient des métadonnées relatives à toutes les extractions, ce qui permet à l’examinateur de les charger dans Physical Analyzer en une seule fois.

Ces fichiers ne contiennent pas l’image, mais ils contiennent de précieuses informations telles que les détails sur l’extraction et les mots de passe si on en a utilisé un pour créer l’image. Ils peuvent être ouverts avec la plupart des éditeurs de texte comme Notepad. Les véritables fichiers d’images se trouveront à proximité, sous différents formats, selon le type d’extraction et d’appareil. AXIOM a la capacité d’ingérer et de lire directement les fichiers .UFD, mais il peut exister des situations où il ne reconnaît pas la façon dont le fichier .UFD structure les images, qui devront donc être chargées manuellement.

Images logiques, physiques et du système de fichiers

Cellebrite utilise ces termes pour déterminer le type de données renvoyées à l’examinateur. Chaque outil peut utiliser des termes légèrement différents, mais ces derniers décrivent de façon plutôt précise le type de données renvoyées.
Les extractions physiques sont généralement idéales quand elles sont disponibles et elles incluent la plus grande quantité de données, car elles sont stockées sur la puce physique.

Les extractions de systèmes de fichiers peuvent inclure une extraction de système de fichiers complet ou partiel et, même si elles ne sont pas aussi complètes qu’une image physique, elles contiennent une quantité intéressante de données pouvant être analysées.

Parfois, selon l’appareil, vous pouvez être limité à une sauvegarde soit ADB soit iTunes. Ces sauvegardes sont tout de même des images logiques, mais vous êtes soumis au système d’exploitation ou à l’application qui déterminera si, oui ou non, les données de cette application sont sauvegardées. Ces extractions restent préférables à l’extraction logique ci-dessous, car elles incluront une image qui peut être chargée dans d’autres outils.

Les extractions logiques offrent souvent la quantité la plus faible d’informations et, même si elles peuvent être utiles, elles ne sont généralement associées à aucune image réelle et sont simplement un rapport sur ce qui peut être extrait d’un appareil. Charger ces extractions dans un autre outil de criminalistique aura une valeur minimale puisque vous chargez simplement un fichier CSV ou une feuille de calcul avec les constatations de Cellebrite. Pour cette raison, je ne recommande pas de les charger dans un autre outil que Physical Analyzer.

Charger des images dans AXIOM

AXIOM vous offre différentes façons d’y charger des preuves, mais la plus répandue consiste sans nul doute à charger les preuves en tant qu’« image ». Depuis la fenêtre Sources de preuves,

  • choisissez « mobile »,
  • puis « iOS » ou « Android » (selon le type d’appareil examiné),
  • « Charger les preuves »,
  • puis sélectionnez « Image ».

Chargement d’images Cellebrite dans AXIOM

Cela vous permettra de charger les images créées par différents outils, y compris Cellebrite. « Fichiers & Dossiers » est une option appropriée si le format de fichier n’est pas pris en charge, mais AXIOM prend généralement en charge la plupart des extensions de fichier que vous verrez pour les différents types d’imas.e. Même les conteneurs compressés tels que les formats zip et rar sont pris en charge en tant que type d’image.

Jetons un coup d’œil à certains des formats courants créés par Cellebrite :

Android – Physique

“Pour les images Android physiques, vous verrez généralement des fichiers BIN qui représentent l’image créée par Cellebrite. Ces fichiers BIN peuvent être segmentés ou un fichier BIN séparé représentant chaque partition peut être récupéré.
On reconnait généralement un fichier BIN segmenté d’un fichier BIN non segmenté en observant le nom de fichier. Le début des noms de fichier BIN segmentés est le même, mais ces noms comprendront des parenthèses suivi du numéro des fichiers (mmcblk0, mmcblk0(2), mmcblk0(3), etc.), ou des tirets bas (sda1_1, sda1_2, sda1_3, etc.). Les BIN non segmentés auront des noms de fichiers séparés représentant la partition (sda1, sda2, sda3, sda4, etc. ou système, utilisateur, démarrage, récupération, etc.).”

Les captures d’écran ci-dessous montrent des exemples d’images segmentées, non segmentées et hybrides qui ont des fichiers BIN segmentés et non segmentés :

BIN segmenté
BIN segmenté

BIN non segmenté

BIN non segmenté

Hybride, qui a les deux
Hybride, qui a les deux

Pour charger un fichier BIN segmenté, chargez simplement le premier de la série dans AXIOM ou IEF en tant qu’« image » et il trouvera automatiquement les fichiers restants et les chargera. Cela ressemble à la façon dont vous chargeriez un fichier E01 segmenté (E01, E02, etc.) ou ZIP (Z01, Z02, etc.).

Comme indiqué précédemment, il est possible que vous voyiez des fichiers BIN nommés par leur partition comme SDA1, SDA2, SDA3, etc. Traitez-les comme des fichiers non segmentés, car chacun d’entre eux représente une partition différente. Les fichiers segmentés seraient nommés SDA1_1, SDA1_2, SDA1_3, etc., séparés par le tiret bas. Pour charger les fichiers non segmentés, assurez-vous de charger chaque fichier en tant qu’élément de preuve séparé. La plupart des outils ne les trouveront pas tous automatiquement, car ils sont considérés comme des images séparées de chaque partition. Le nom de fichier vous aidera à comprendre s’il s’agit ou non d’un fichier segmenté. Si vous avez encore quelques doutes, regardez à l’intérieur du fichier .UFD qui devrait vous fournir une aide supplémentaire.

Système de fichiers – Android

Cellebrite créera potentiellement beaucoup de types de fichiers différents en fonction du type d’extraction choisi pour le système de fichier et du modèle de l’appareil examiné (ADB, sauvegarde ADB, ADB avancé, etc.). Vous obtiendrez souvent des fichiers ZIP segmentés comme les suivants :

Extraction Android

Comme indiqué précédemment, chargez les fichiers ZIP segmentés en tant qu’images Android dans AXIOM, tout comme les fichiers BIN segmentés (chargez le premier fichier ZIP et AXIOM chargera automatiquement les autres Z01/Z02/etc.).

Une fois le chargement effectué, AXIOM devrait gérer le reste et vous devriez pouvoir configurer vos artéfacts et options de traitement tout comme n’importe quel autre type d’image.

iOS

Les extractions physiques iOS sont uniquement disponibles pour l’iPhone 4 ou des modèles plus anciens, comme lorsque Apple a commencé à chiffrer des données et à empêcher l’accès à l’appareil physique. La plupart des appareils actuels sont limités à soit une extraction de systèmes de fichiers, soit une sauvegarde iTunes.

Les images iOS sont créées par le biais de Physical Analyzer Cellebrite et les examinateurs ont généralement le choix entre une méthode 1, 2 ou 3 d’extraction, selon l’appareil et ce qui est disponible :

  • Méthode 1 – Sauvegarde iTunes à l’aide de Apple File Connection (AFC).
  • Méthode 2 – Également une sauvegarde iTunes, mais peut obtenir des données supplémentaires en créant une sauvegarde chiffrée.
  • Méthode 3 – Les extractions de la méthode 3 sont uniquement disponibles si l’appareil iOS est déjà débridé, cela vous offrira un dépôt complet du système de fichiers du téléphone. Ceci est idéal, mais pas toujours disponible puisqu’il est rare d’avoir un appareil iOS d’un utilisateur déjà débridé.

Les formats d’image les plus courants pour iOS sont .IMG, .TAR ou les ZIP segmentés comme les exemples Android précédents. Ceux-ci peuvent être chargés dans AXIOM sous les images iOS puisque les types de fichiers sont pris en charge en tant qu’images dans AXIOM.

Chiffrement de sauvegarde iOS

Il faut également noter que, si vous chargez une sauvegarde chiffrée dans AXIOM, vous devez vous assurer que vous la chargez en tant qu’« image » et non sous « Fichiers & Dossiers ». Si la sauvegarde est chargée sous « Fichiers & Dossiers », AXIOM ne saura pas la traiter comme une sauvegarde et ne vous demandera pas le mot de passe de la sauvegarde. Si elle est chargée correctement sous « Images », AXIOM reconnaîtra que la sauvegarde est chiffrée et vous demandera le mot de passe de la sauvegarde.

Cellebrite peut appliquer son propre mot de passe de sauvegarde si celui-ci n’est pas déjà défini sur l’appareil, ce qui vous permet d’obtenir davantage de données dans la sauvegarde (y compris le trousseau). Ces informations sont stockées dans le fichier .UFD et peuvent être lues avec Notepad. Si le propriétaire de l’appareil en a déjà défini un, vous devrez connaître le mot de passe de la sauvegarde ou le cracker avec un autre outil tel que Passware, Elcomsoft ou Hashcat afin de poursuivre le décryptage.

Comme indiqué au début, il existe plusieurs méthodes et types d’extraction qui peuvent être effectués. Ce document a été pensé pour aider les examinateurs à comprendre les fichiers qui leur sont renvoyés, pour qu’ils puissent être utilisés au mieux et chargés dans d’autres outils pour une analyse supplémentaire.

Pour en savoir plus sur la façon de charger d’autres images dans AXIOM, consultez les autres blogs de la série : XRY & Oxygen.

Ressources connexes

Blog

Blog

Analyse des images Graykey avec Axiom : Ajouts de nouveaux artéfacts à la base de données KnowledgeC

Dans les dernières versions de Magnet Axiom, nous avons ajouté de nouveaux artéfacts trouvés sur les images du système de fichiers iOS visibles principalement lorsque les enquêteurs ont accès à

July 4, 2022 • Une lecture d'environ 4 minutes
Blog

Blog

Analyse avec Magnet Axiom

Les outils d’analyse de Magnet Axiom sont conçus pour faire apparaître automatiquement les preuves pertinentes correspondant au dossier, ce qui vous permet d’obtenir rapidement et facilement des constatations et des

June 22, 2022 • Une lecture d'environ 10 minutes
Blog

Blog

Magnet OUTRIDER 2.0 : Comparaison de la vitesse d’analyse, fonctionnalité de recherche approfondie et bien plus

Nous examinons les gains de performances constatés par les clients ainsi que les nouveaux artéfacts et les fonctionnalités inclus dans cette version.

June 6, 2022 • Une lecture d'environ 5 minutes
Page d’accueil du Centre de ressources
Holo, transparent letter M

Abonnez-vous dès aujourd’hui pour recevoir directement les actualités de Magnet Forensics concernant les dernières mises à jour de produits, les tendances du secteur et les nouveautés de l’entreprise.

Commencez dès aujourd’hui à moderniser vos enquêtes numériques.

Haut