Elcomsoft Phone Viewer erhält ein wichtiges Update, das die Möglichkeit bietet, TAR-Dateien, die im Rahmen der physischen Erfassung mit Elcomsoft iOS Forensic Toolkit erstellt wurden, zu verarbeiten und anzuzeigen. Darüber hinaus bietet EPV 3.70 Unterstützung für aggregierte Standortdaten.

Elcomsoft Phone Viewer 3.70 ist ein wichtiges Update gegenüber allen früheren Versionen des Tools. In diesem Update wurde die Unterstützung für TAR-Bilder hinzugefügt, die als Ergebnis der physischen Erfassung mit Elcomsoft iOS Forensic Toolkit und anderen forensischen Tools wie GrayKey gespeichert wurden. Neben der Anzeige von TAR-Bildern fügt Elcomsoft Phone Viewer 3.70 eine zusammengefasste Ansicht für Standortdaten hinzu, die aus mehreren Quellen extrahiert wurden.

Anzeigen von iOS Forensic Toolkit TAR-Dateien

Seit der Einführung des iPhone 5s, Apples erstes 64-Bit-iPhone, musste die physische Erfassung bei neueren Versionen immer wieder geändert werden. Für alle iPhone- und iPad-Geräte, die mit den 64-Bit-Prozessoren von Apple ausgestattet sind, ist die physische Erfassung ausschließlich über das Dateisystem-Imaging möglich. Die Bildgebung wird auf dem Gerät selbst durchgeführt, um die Festplattenverschlüsselung zu umgehen. Unabhängig davon, ob das Werkzeug die physikalische Erfassung durchführt, ist das Ergebnis dieser Bemühungen immer ein TAR-Archiv, das ein Abbild des Dateisystems des Geräts enthält. Elcomsoft iOS Forensic Toolkit erzeugt TAR-Dateien als Ergebnis des 'F' (File System)-Befehls.

Bis jetzt waren die meisten Werkzeuge, die zur Analyse von Informationen in diesen TAR-Bildern zur Verfügung standen, integraler Bestandteil von forensischen Toolkits mit vollem Funktionsumfang. Ihre Optionen würden sich entweder auf zeitaufwändige und arbeitsintensive manuelle Analysen beschränken, die ein hohes Maß an Fachwissen erfordern, oder auf eine hochentwickelte und komplexe forensische Suite, bei der nichts dazwischen kommen darf. Elcomsoft Phone Viewer 3.70 bietet die leichte und praktische dritte Option, die eine schnelle und einfache Analyse der in den Ergebnissen der physischen Erfassung gefundenen Beweise ermöglicht.

Aggregierte Standortdaten

Mit Elcomsoft Phone Viewer 3.70 wird die Standortanalyse auf eine völlig neue Ebene gehoben und eine neue aggregierte Ansicht hinzugefügt, die es Experten ermöglicht, die Standorthistorie des Benutzers anhand von Beweisen aus mehreren Quellen zu analysieren. Die aktuelle Version extrahiert und aggregiert Standortinformationen aus allen folgenden Quellen:

• Häufige / bedeutende Orte
• Standort-Cache (3G / LTE / WLAN-Verbindungen)
• Apple Karten
• Google Maps
• EXIF in Mediendateien
• Kalenderereignisse
• UBER-App

Durch den Zugriff auf Standortdaten, die aus so vielen verschiedenen Quellen stammen, sind Experten nicht länger auf Beweise beschränkt, die nur aus den Standortprotokollen stammen. Einige Quellen sind nur mit physischer Extraktion (TAR-Dateien) verfügbar, und einige Daten können bei der Analyse von Sicherungen eingeschränkt sein. Die Anzahl der unterstützten Quellen von Standortdaten wird in zukünftigen Versionen von Elcomsoft Phone Viewer zunehmen.