手机取证技巧之微信迁移取证

Announcing Windows 10 Insider Preview Build 18999 including an update for «Your Phone» app, and my first thing was — is there something useful for digital forensics?Windows 10 Insider Preview Build 18999公告,其中包括“您的电话”应用的更新,我的第一件事是—数字取证有用吗?

So, I've immediately installed this app on my test workstation and connected it with my Android phone. On the same time I was checking for all system activities with Process Monitor to understand where all Your Phone app files are stored.

因此,我立即在测试工作站上安装了该应用程序,并将其与Android手机连接。 同时,我正在使用Process Monitor检查所有系统活动,以了解所有Phone应用程序文件的存储位置。

It seems that all files are located in:

似乎所有文件都位于:

%userprofile%\AppData\Local\Packages\Microsoft.YourPhone_???????\LocalCache\Indexed\????????????????\System\Database

Where "????" is randomized ID

%userprofile%\ AppData \ Local \ Packages \ Microsoft.YourPhone _ ??????? \ LocalCache \ Indexed \ ???????????????? \ System \ Database

哪里“ ???” 是随机编号

Here is the content inside this folder:

这是此文件夹内的内容:

And you can see a couple of

你会看到几个

。D b (.db)

files which are

文件是

SQLite数据库 (SQLite Databases)

Well, I've downloaded a simple SQLite Browser and opened them one-by-one to check the internals. Some of DBs were empty, therefore I'll describe only ones with “Forensically sound” info.

好了,我已经下载了一个简单SQLite浏览器,并一个一个地打开它们以检查内部。 一些数据库是空的,因此,我将仅描述具有“法医声音”信息的数据库。

1. Notifications.db (1. Notifications.db)

Notifications table:通知表

When something happens on your Android smartphone, the notification about the event appears and Your Phone app puts this event here, into this table. I've sent a email from the desktop to my smartphone, a popup notification about new letter has appeared and here you can see a lot of properties which were extracted from the notification:

当您的Android智能手机上发生任何事情时,会出现有关该事件的通知,并且您的Phone应用会将此事件放在此表中。 我已经从桌面向我的智能手机发送了一封电子邮件,关于新字母的弹出通知已经出现,在这里您可以看到从通知中提取的许多属性:

appname — my mobile email appappname-我的移动电子邮件应用程序 bigtext — subject and text大文字 -主题和文字 bigtitle — my name大标题 -我的名字 posttime — timestamp when the message has been received by email server in Unix-time formatposttime —电子邮件服务器以Unix时间格式接收消息的时间戳记 subtext — sender's email address文字 -发件人的电子邮件地址 timestamp — timestamp when the message has been senttimestamp —邮件已发送的时间戳记

Well, an investigator does not even need the message itself, he can get a lot of info, including the text, from the notification.

好吧,调查人员甚至不需要消息本身,他可以从通知中获得很多信息,包括文本。

2. Phone.db (2. Phone.db)

I found a lot of interesting tables inside!

我发现里面有很多有趣的桌子!

Address table:地址表

繁荣! (BOOM!)

All incoming numbers with timestamps! Cool!

所有带有时间戳的来电号码! 凉!

Contact table:联系表

繁荣 (BOOM)

again! The whole contact list even with photos :))

再次! 整个联系人列表,甚至有照片:))

Message table:留言表

Text messages (SMS) with senders' names (I've cut senders with numbers, but you can trust me — they are there) and timestamps, and text (yes, from banks and kind of)

带有发件人姓名的短信(SMS)(我已经用数字剪掉了发件人,但是您可以信任我-他们在那里)和时间戳,以及文本(是,来自银行等)

Subscription table:订阅表

Here is the info about SIM cards

这是有关SIM卡的信息

3. Photos.db (3. Photos.db)

Photo table:相片桌

What a surprise! All pics stored on the mobile phone with timestamps :-)

真是惊喜! 所有带有时间戳的照片都存储在手机中:-)

4. Settings.db (4. Settings.db)

Phone_apps table:Phone_apps表

All installed apps list. Not so interesting, but who knows…

所有已安装的应用程序列表。 没那么有趣,但是谁知道……

So, as a final — what do I think about it?

那么,作为最后-我对此有何看法?

Of course it's really unsecured way to store so important info in unencrypted databases. As example, an intruder can get a remote access to your laptop or workstation (using Telegram RAT, haha :)) and download a lot of your important personal data.

当然,将如此重要的信息存储在未加密的数据库中确实是一种不安全的方法。 例如,入侵者可以远程访问您的笔记本电脑或工作站(使用Telegram RAT ,haha :)),并下载许多重要的个人数据。

On the other hand — this is a good place to get more digital evidences for a computer forensics investigator, for instance, in cases when inseder was involved in enterprise-targeted cyberattack. Getting a phone number of attack organizer is a good point for further investigation.

另一方面,这是一个为计算机取证调查员获取更多数字证据的好地方,例如,当inseder参与了针对企业的网络攻击时。 获取攻击组织者的电话号码是进一步调查的好点。

Be secured and thank you for attention!

确保安全,感谢您的关注!

翻译自: https://habr.com/en/post/470952/

手机取证技巧之微信迁移取证

手机取证技巧之微信迁移取证_数字取证技巧和窍门:«您的电话»应用取证相关推荐

  1. 数独游戏技巧从入门到精通_中国茶艺技巧:500集从入门到精通教程,视频+素材+笔记...

    中国茶艺技巧:500集从入门到精通教程,视频+素材+笔记 学习茶艺可以增加生活中的兴趣爱好,多一门技能,多一项生存能力,将传统文化进行一种简单快乐的传播.以生活为中心,将喜爱为半径,沏一杯美好生活茶. ...

  2. php公众号交友源码_个性定制微信导航源码,PHP公众号导航源码,含手机wap版,微信数据...

    程序采用PHP5+MYSQL做为技术基础进行开发.2 z# c2 u. j" A 带数据,带手机版,PC版风格全网首发,大气. F  h; \( x- E  k7 y        程序含数 ...

  3. 如何阻止华为杀应用_华为手机“杀”后台严重受不了?别慌,这些小技巧就能轻松搞定...

    原标题:华为手机"杀"后台严重受不了?别慌,这些小技巧就能轻松搞定 现在有越来越多的小伙伴喜欢使用华为手机,觉得其性价比非常高.但是不少使用华为手机的朋友会发现,华为手机" ...

  4. 苹果删除照片不释放内存_恢复手机删除照片,分享给苹果玩家的生活小技巧

    原标题:恢复手机删除照片,分享给苹果玩家的生活小技巧 如何恢复手机删除的照片呢?正巧我也是苹果玩家,手机照片误删是常有的事儿,在这反复过程中,我也学会了不少的手机照片恢复方法,把这些生活技巧分享给大家 ...

  5. iphone如何信任软件_苹果iPhone手机安装两个微信教程

    Q慢慢退出历史舞台后,我们的生活与工作又重新与微信拾起了联系,并且无法离开. 虽然安卓用户很多都有自带两个微信,但由于系统的限制,iPhone手机还不能正常安装两个微信.那这些想安装两个微信的iPho ...

  6. 苹果微信多开_一个手机能登两个微信吗

    现在很多朋友都会将生活和工作的微信号分开,那一个手机能登两个微信吗? 一个手机能登两个微信吗 只要手机下载两个微信APP就可以实现同一个手机登陆两个微信: 一.首先是苹果手机下载两个微信的方法: 步骤 ...

  7. 苹果手机可以微信分身吗_为什么手机自带的微信分身被腾讯微信限制登录呢?...

    非常奇怪,为什么腾讯不允许微信具有分身?对于现在很多用户来说,可能有几张SIM卡 或者有电信联通等等手机卡.所以微信双开,对于很多用户来说,其实是非常有必要的 那么,我很好奇为什么?微信如果双开,被察 ...

  8. 3手机版怎么换行_微信分身怎么弄,微信分身版如何设置,如何让手机登录两个微信...

    阅读本文前,请您先点击上面的蓝色字体,再点击"关注",这样您就可以继续免费收到文章了.每天都有分享,完全是免费订阅,请放心关注. 注:本文转载自网络,如有侵权,请联系删除谢谢. 原 ...

  9. 数据迁移测试_自动化数据迁移测试

    数据迁移测试 Data migrations are notoriously difficult to test. They take a long time to run on large data ...

最新文章

  1. jpa怎么传参到in中_Spring Boot中的测试
  2. VTK修炼之道81:VTK开发基础_vtkObject类深入分析
  3. 安装和使用Glassfish
  4. 多GPU真的能加速吗?
  5. 一文聊“图”,从图数据库到知识图谱
  6. 分布式MinIO快速入门 ​​​​​​​
  7. 大数据分析有什么特点
  8. RoomIt屏幕画笔工具
  9. 智能化工厂数字化管理系统软件解决方案
  10. 华东师大计算机全国排名,华东师范大学就这水平进的985?
  11. ping www.baidu.com时出现正在ping www.a.shifen.com
  12. 斐波那契数列(Fibonacci) - 这就是算法吗?爱了爱了
  13. 计算机中班音乐,幼儿园中班音乐活动课件大全【三篇】
  14. [zt] dmt、lmt、mssm, assm (SEGMENT SPACE MANAGEMENT AUTO) 的一点总结
  15. 物联网python教程慕课_物联网技术基础,中国大学MOOC(慕课)答案公众号搜题
  16. fastadmin html模板,使用fastadmin的页面异常模板
  17. window11 定时关机脚本
  18. 特征工程-什么是特征工程(Kaggle微课)
  19. 11. Nginx HTTPS
  20. win10系统下找不到hosts文件解决方案

热门文章

  1. java socket send_Socket send函数和recv函数详解
  2. webdriver.Chrome.set_network_conditions:Chrome网络仿真设置。
  3. 2021 RoboCom 世界机器人开发者大赛-本科组(复赛)
  4. go python perl混合开发
  5. 算法竞赛中计算机1000ms一般能运行的范围
  6. 计算机毕业设计-基于springboot的会员积分管理系统-会员等级管理系统java代码
  7. 河南科技学院教务管理系统服务器,河南科技学院教务管理系统http://jwgl.hist.edu.cn/jwweb/...
  8. Java基础语法之数组练习——循环输出数列的值并求和
  9. CNN Tensorflow 入门——以Cifar-10为例
  10. 科目一考试重难点速考笔记