Phần mềm Pháp lý Di động: Tại sao Belkasoft X nên là công cụ bạn lựa chọn

Giới thiệu

Thành lập hơn 10 năm trước, Belkasoft nổi tiếng chủ yếu với các công cụ pháp chứng máy tính. Tuy nhiên, trong vài năm trở lại đây, nhiều chuyên gia DFIR đã bắt đầu lựa chọn các sản phẩm của Belkasoft, đặc biệt là các tính năng pháp chứng và phân tích thiết bị di động. Belkasoft, cùng với Cellebrite, là một trong hai công ty đầu tiên trên thế giới hỗ trợ thu thập toàn bộ hệ thống tệp iOS dựa trên Checkm8 trên nền tảng Windows—trong khi các đối thủ cạnh tranh khác phải mất từ 6 đến 12 tháng để bắt kịp tính năng này. Đây chỉ là một trong những lý do khiến Belkasoft ngày càng được ưa chuộng như một công cụ pháp chứng di động. Danh tiếng vững chắc trong lĩnh vực này đã biến Belkasoft thành lựa chọn hàng đầu của nhiều nhà điều tra trên toàn cầu.

Bài viết này sẽ đi sâu vào các tính năng của phần mềm pháp chứng di động Belkasoft X, và giải thích vì sao sản phẩm của Belkasoft nên là công cụ hàng đầu cho việc phân tích pháp chứng điện thoại và máy tính bảng trong cả điều tra pháp chứng số và ứng phó sự cố.

Belkasoft X

Belkasoft X (Belkasoft Evidence Center X) là công cụ chủ lực của Belkasoft cho pháp lý máy tính, di động, máy bay không người lái, xe hơi và đám mây. Nó có thể giúp bạn thu thập và phân tích nhiều loại thiết bị di động, chạy các tác vụ phân tích khác nhau, thực hiện tìm kiếm toàn bộ vụ án, đánh dấu hiện vật và tạo báo cáo. Chức năng đa năng của Belkasoft X làm cho nó trở nên lý tưởng cho pháp lý thiết bị di động, giúp các chuyên gia thu thập dữ liệu thiết yếu. Bản dùng thử miễn phí của công cụ này có sẵn tại https://belkasoft.com/trial.

Belkasoft R

Belkasoft R (Belkasoft Remote Acquisition) là một phần của Belkasoft X Corporate. Đây là một công cụ để thu thập từ xa các loại thiết bị khác nhau một cách hợp pháp, cũng như hình ảnh một phần, bao gồm chỉ các hiện vật được chọn (ví dụ: cho nhu cầu tuân thủ hoặc eDiscovery). Sản phẩm này có khả năng độc đáo cho phép thu thập thiết bị di động được thực hiện từ xa, điều này làm tăng giá trị cho quy trình công việc pháp lý thiết bị di động. Bản dùng thử miễn phí của Belkasoft X Corporate có sẵn tại https://belkasoft.com/x-corporate-editions.

Tổng quan về hỗ trợ của Belkasoft cho pháp lý di động

Một trong những bước đầu tiên—và quan trọng nhất—của việc làm việc với thiết bị di động là thu thập dữ liệu. Nếu không có dữ liệu nào được thu thập, sẽ không có gì để phân tích. Belkasoft X có hỗ trợ mạnh mẽ cho việc thu thập các thiết bị di động hiện đại, bao gồm điện thoại thông minh và máy tính bảng, điều này làm cho nó trở thành một công cụ không thể thiếu cho pháp lý thiết bị di động.

Belkasoft X hỗ trợ nhiều loại thu thập cho cả hai nền tảng phổ biến nhất: thiết bị dựa trên iOS và thiết bị dựa trên Android. Nó cũng hỗ trợ điện thoại Microsoft (Windows), nhưng vì chúng không còn được sản xuất, chúng tôi sẽ không xem xét tính năng này.

Cả thiết bị iOS và Android đều có những đặc điểm riêng khi nói đến việc thu thập dữ liệu. Có một cơ chế sao lưu tiêu chuẩn cho cả hai: iTunes cho iOS và ADB cho Android. Ngoài ra, giao thức AFC và MTP/PTP cho phép trích xuất tệp phương tiện. Tuy nhiên, cả iTunes và ADB đều rất hạn chế về khối lượng thông tin được cung cấp. Khi bạn cần lấy một hình ảnh toàn diện hơn, chẳng hạn như hệ thống tệp thiết bị, các phương pháp có sẵn thường không được nhà sản xuất thiết bị chấp thuận vì chúng liên quan đến root, jailbreak, khai thác và các thủ thuật khác. Nhiều phương pháp này dành riêng cho thiết bị hoặc chipset.

Đây là lý do tại sao, đối với pháp lý điện thoại di động, điều quan trọng là phải có nhiều loại thu thập có sẵn trong công cụ của bạn. Bằng cách này, bạn có thể bắt đầu với các phương pháp đơn giản hơn để đảm bảo an toàn.

Một trong những tính năng tuyệt vời của Belkasoft X là nó cho phép bạn bắt đầu với các phương pháp ít xâm phạm và an toàn nhất, đồng thời tiếp tục với các phương pháp toàn diện hơn (nhưng rủi ro hơn)—điều này làm cho nó trở thành một công cụ vô giá trong pháp lý thiết bị di động.

Hỗ trợ thu thập iOS

Đối với iOS, Belkasoft X hỗ trợ thu thập sao lưu iTunes, bao gồm một tính năng thú vị là sử dụng tệp khóa để tránh mở khóa thiết bị trong trường hợp không biết mật mã. Bạn cũng có thể thu thập tệp phương tiện bằng giao thức Apple File Conduit (AFC). Một tính năng quan trọng khác của Belkasoft X là khả năng vét cạn mật mã không xác định cho một loạt các thiết bị iOS, một chức năng quan trọng trong pháp lý điện thoại.

Điều thú vị hơn là, hệ thống tệp đầy đủ và thậm chí cả keychain (bộ nhớ tích hợp mật khẩu) có thể được thu thập bằng các phương pháp tinh vi hơn như thu thập iPhone/iPad đã jailbreak, thu thập dựa trên Checkm8 và thu thập dựa trên agent của chúng tôi. Để làm rõ, cả thu thập dựa trên Checkm8 và thu thập dựa trên agent của chúng tôi đều không phải là jailbreak, do đó, chúng là những phương pháp thu thập dữ liệu hợp pháp hơn—vì ở nhiều quốc gia, việc jailbreak nguồn bằng chứng là bất khả thi về mặt pháp lý. Những phương pháp này là không thể thiếu trong pháp lý thiết bị di động, nơi việc thu thập dữ liệu an toàn là tối quan trọng

Phương pháp thu thập dựa trên agent của chúng tôi là một trong những lợi ích khác của Belkasoft X, được nhiều khách hàng công nhận. Hiện tại không có nhiều công cụ trên thị trường cung cấp tính năng tương tự. Nó là một tính năng bổ sung tuyệt vời cho Checkm8 vì Checkm8 bị giới hạn ở các kiểu thiết bị iOS (thiết bị iOS có Chipset A5-A11), trong khi thu thập dựa trên agent hoạt động ngay cả trên các iPhone mới nhất và phạm vi iOS được hỗ trợ rất rộng, bắt đầu từ iOS cũ như phiên bản 10.

Nói về Checkm8, Belkasoft X đang bổ sung thêm một số tính năng vượt trội so với đối thủ cạnh tranh. Ví dụ, nó có thể loại bỏ chế độ Hạn chế USB—một tính năng bảo mật của iOS vô hiệu hóa truyền dữ liệu qua cáp Lightning một giờ sau lần mở khóa gần nhất.

Có nhiều loại thu thập iOS khác, chẳng hạn như chụp màn hình tự động hoặc trích xuất nhật ký sự cố, mặc dù bị hạn chế, nhưng có thể cung cấp cho bạn một số thông tin hữu ích, chẳng hạn như địa chỉ IP mới nhất liên quan đến cuộc điều tra của bạn.

Để tìm hiểu thêm về việc thu thập dữ liệu iOS với Belkasoft X, vui lòng xem các hội thảo trực tuyến của chúng tôi, có tại https://belkasoft.com/webinar. Bạn có thể tìm thấy các hội thảo trực tuyến đã ghi lại trong tab Hội thảo trực tuyến trước đây, bao gồm Điều tra iPhone bị khóa, Vượt qua Chế độ Hạn chế USB của iPhone và các hội thảo khác.

Hỗ trợ thu thập dữ liệu cho Android

Đối với Android, Belkasoft hỗ trợ tạo bản sao lưu ADB tiêu chuẩn và nhiều phương pháp thu thập dựa trên ADB. Một phương pháp thú vị là thu thập hạ cấp APK của chúng tôi, phương pháp này thay thế tệp ứng dụng gốc (ví dụ: WhatsApp) bằng phiên bản cũ hơn. Phiên bản cũ hơn này sau đó có thể được sử dụng với việc tạo bản sao lưu ADB và bao gồm nhiều dữ liệu hơn vào bản sao lưu của chúng tôi. Phương pháp này là một bước đột phá cho pháp lý điện thoại di động, vì nó cho phép truy cập vào dữ liệu trước đây không có sẵn. Tất nhiên, cuối cùng, phiên bản ứng dụng gốc được khôi phục.

Một phương pháp thu thập Android dựa trên ADB khác của Belkasoft X là chụp màn hình tự động. Đây có lẽ là cách an toàn nhất để trích xuất dữ liệu từ thiết bị, vì vậy bạn có thể cân nhắc bắt đầu mọi vụ án hoặc thu thập dữ liệu bằng phương pháp này—trước khi bạn thử một phương pháp rủi ro hơn. Đây là một quy trình quan trọng trong pháp lý thiết bị di động, nơi, như đã đề cập trước đó, các phương pháp không xâm phạm thường được ưu tiên.

Một phương pháp thu thập dữ liệu mới hiện có sẵn cho các thiết bị Android 12 và 13 chưa được cập nhật bản vá bảo mật Android từ ngày 1 tháng 3 năm 2024. Phương pháp này cung cấp quyền truy cập đầy đủ vào các thư mục ứng dụng nằm trong ..data\data trong hệ thống tệp nội bộ của thiết bị. Cách tiếp cận này giúp vượt qua các hạn chế bảo mật mà không cần thiết bị phải được root, điều này làm cho nó tương tự như hạ cấp APK nhưng mạnh mẽ hơn.

Nhìn chung, việc sử dụng phương pháp thu thập ứng dụng nâng cao này cùng với các tùy chọn logic cung cấp cho các nhà điều tra khả năng thu thập dữ liệu kỹ lưỡng hơn từ các thiết bị Android 12 và 13, giúp việc ghép nối dữ liệu ứng dụng liên quan cho mục đích pháp lý trở nên dễ dàng hơn.

Belkasoft X cũng hỗ trợ nhiều phương pháp thu thập dữ liệu Android khác nhau, đặc biệt cho các nhà cung cấp hoặc chipset cụ thể. Trong số đó, bạn sẽ tìm thấy các thiết bị dựa trên Spreadtrum, MTK (MediaTek), Kirin và Qualcomm. Đối với MTK, sản phẩm cung cấp cho bạn tới ba phương pháp thu thập dữ liệu khác nhau, bao gồm hai loại trích xuất dựa trên agent, và các thiết bị Qualcomm được hỗ trợ thông qua chế độ EDL (Tải xuống khẩn cấp).

Sản phẩm cũng có thể thu thập dữ liệu từ các thiết bị đã root và phân tích các trích xuất TWRP. Nó hỗ trợ phân tích ảnh JTAG và kết xuất chip-off, đồng thời có thể nhập các ảnh của bên thứ ba, bao gồm ảnh sản phẩm pháp lý và tệp ảnh độc quyền của nhà cung cấp. Ví dụ, bạn có thể phân tích sao lưu HiSuite—cũng như ảnh Xiaomi—với sự trợ giúp của Belkasoft X. Phạm vi rộng lớn các phương pháp thu thập Android được hỗ trợ này làm cho nó có hiệu quả cao trong các cuộc điều tra pháp lý điện thoại di động.

Để tìm hiểu thêm về việc thu thập dữ liệu Android trong Belkasoft X, vui lòng xem các hội thảo trực tuyến của chúng tôi tại https://belkasoft.com/webinar. Bạn có thể tìm thấy các hội thảo trực tuyến đã ghi lại trên tab Hội thảo trực tuyến trước đây, bao gồm Điều tra điện thoại Android: trích xuất và phân tích dữ liệu với Belkasoft X và các hội thảo khác.

Sao chép thẻ SIM

Belkasoft X cũng cho phép bạn sao chép toàn bộ nội dung của thẻ SIM bằng thiết bị đầu đọc thẻ SIM phần cứng hoặc, đối với thiết bị Android, bằng cách sử dụng tính năng tương ứng của thiết bị. Thẻ SIM thường chứa thông tin pháp lý quan trọng vượt xa số điện thoại. Chúng bao gồm các chi tiết như nhận dạng thuê bao (IMSI), dữ liệu dành riêng cho mạng và đôi khi là danh bạ và tin nhắn SMS. Phương pháp này là không thể thiếu trong các vụ án pháp lý thiết bị di động, nơi theo dõi số điện thoại, truy xuất tin nhắn hoặc xác minh danh tính là chìa khóa.

Pháp lý đám mây

Mặc dù pháp lý đám mây rất khác với pháp lý di động, việc thực hiện các thu thập này có thể bổ sung hoặc xác nhận dữ liệu thu được từ thiết bị di động. Vì đây không phải là chủ đề của bài viết cụ thể này, chúng tôi sẽ đưa ra hai ví dụ về các chức năng hữu ích trong Belkasoft X, có thể đóng vai trò trong các cuộc điều tra di động của bạn:

Tải xuống WhatsApp (có hoặc không có mã QR). Trích xuất WhatsApp là một nhiệm vụ khó khăn, vì vậy mọi phương pháp bổ sung bạn có sẵn đều vô giá.
Tải xuống iCloud. Nếu bạn không thể thu thập dữ liệu iPhone, iCloud có thể là nguồn dữ liệu của bạn, được sao lưu từ thiết bị đó vào bộ nhớ do Apple lưu trữ.

Cả hai tùy chọn (cũng như nhiều tùy chọn khác) đều có sẵn trong Belkasoft X khi bạn thêm nguồn dữ liệu dựa trên đám mây vào vụ án của mình. Dữ liệu đám mây thường có thể bổ sung cho các nỗ lực pháp lý điện thoại di động bằng cách lấp đầy những khoảng trống do các phương pháp thu thập thiết bị để lại.

Phân tích ứng dụng di động

Bạn đã chụp ảnh thiết bị thành công. Xin chúc mừng! Bây giờ bạn phải phân tích nội dung hình ảnh đó.

Có hàng triệu ứng dụng dành cho người dùng điện thoại thông minh hiện đại và bất kỳ sự tự động hóa nào trong việc phân tích chúng đều rất cần thiết để tránh nhật ký vụ án ngày càng tăng. Belkasoft X hỗ trợ hơn 1.500 loại và phiên bản của các ứng dụng phổ biến nhất, bao gồm WhatsApp, Signal, Telegram, Instagram, TikTok, Viber, Tinder, Pinterest và nhiều ứng dụng khác. Sự hỗ trợ của nó cho việc trích xuất hiện vật tự động khiến nó trở thành một đồng minh mạnh mẽ trong pháp lý thiết bị di động.

Mặc dù hầu hết các ứng dụng này lưu trữ dữ liệu trong cơ sở dữ liệu SQLite (phân tích SQLite là một câu chuyện khác), nhưng việc trích xuất tất cả dữ liệu không hề dễ dàng như mở trình duyệt cơ sở dữ liệu yêu thích của bạn. Đầu tiên, một công cụ miễn phí tiêu chuẩn như DB Browser for SQLite (và thậm chí hầu hết các công cụ pháp lý!) sẽ không khôi phục dữ liệu đã xóa nằm trong danh sách tự do hoặc dữ liệu từ WAL (Nhật ký Ghi Trước) và tệp nhật ký, cũng như không gian chưa được phân bổ SQLite. Thứ hai, nhiều ứng dụng sử dụng mã hóa mạnh mẽ để ngăn người kiểm tra mở cơ sở dữ liệu của chúng mà không có khóa giải mã.

Belkasoft X có thể giải mã và giải mã nhiều phiên bản WhatsApp—và không cần phải root điện thoại! Bạn có thể sử dụng phương pháp Android 12-13 của chúng tôi để trích xuất khóa giải mã. iOS Signal messenger là một vấn đề khó khăn khác mà Belkasoft X có thể giải quyết sau khi bạn đã trích xuất hệ thống tệp đầy đủ và chụp được keychain (hoặc nếu bạn có nó từ trích xuất của bên thứ ba).

Trong giao diện người dùng, Belkasoft X sắp xếp một cách thuận tiện các hiện vật di động (và các hiện vật khác), bao gồm âm thanh, trò chuyện, tài liệu, hình ảnh và video, dữ liệu định vị địa lý, ví và giao dịch tiền điện tử, dữ liệu từ thiết bị theo dõi thể dục, dữ liệu giấc ngủ, nhịp tim, v.v.

Không giống như các công cụ khác thường chỉ cho phép bạn có một thiết bị cho mỗi vụ án, Belkasoft cho phép bạn thêm bao nhiêu thiết bị tùy thích. Điều này giúp bạn có được "cái nhìn toàn cảnh" thông qua Đồ thị Kết nối của chúng tôi—hiển thị cách những người khác nhau từ vụ án của bạn hoặc từ các thiết bị khác nhau, đã liên lạc với nhau. Cho dù đó là qua trò chuyện, SMS, thư thoại hoặc cuộc gọi và email, những tính năng này là vô giá trong các cuộc điều tra pháp lý điện thoại. Cuối cùng, bạn có thể tạo kết nối giữa các tập dữ liệu đã thêm, bất kể loại thiết bị nào, đây là một tính năng không được đối thủ cạnh tranh hỗ trợ. Nếu không, đây có thể là công việc thủ công khó khăn và tốn thời gian, để tương quan dữ liệu từ thiết bị di động của một người dùng với máy tính xách tay của người dùng khác, vì bạn sẽ phải làm việc trong hai sản phẩm phần mềm khác nhau, không nhất thiết phải giao tiếp hoặc hỗ trợ định dạng của nhau.

Xem xét dữ liệu định vị địa lý, chẳng hạn như ảnh được chụp trên thiết bị di động, với Bản đồ tích hợp của Belkasoft X.

Ưu điểm của giải pháp Belkasoft trong lĩnh vực pháp chứng di động

Có nhiều lý do tại sao Belkasoft được coi là công cụ được lựa chọn cho pháp lý thiết bị di động bởi số lượng chuyên gia pháp lý kỹ thuật số và người ứng phó sự cố nổi tiếng ngày càng tăng. Trong số đó là:

Hỗ trợ mạnh mẽ việc thu thập thiết bị, bao gồm các phương pháp tinh vi như Checkm8 và thu thập dựa trên agent.
Phạm vi rộng các kiểu thiết bị được hỗ trợ cho pháp lý điện thoại di động toàn diện.
Thu thập từ xa thiết bị di động một cách hợp pháp
Một số lượng lớn các ứng dụng và hiện vật di động được Belkasoft X hỗ trợ ngay khi sử dụng.
Giá cả rất phải chăng: thấp hơn nhiều so với bất kỳ phần mềm pháp lý di động nào của đối thủ cạnh tranh.
Giấy phép vĩnh viễn, không phải giấy phép theo thời hạn.

Bạn đã sẵn sàng dùng thử Belkasoft chưa?

Nếu bài viết này thuyết phục bạn dùng thử các công cụ Belkasoft, bạn có thể tải chúng xuống từ https://belkasoft.com/trial. Bản cài đặt Belkasoft X chứa các ảnh mẫu với cả dữ liệu máy tính và di động.

Bạn có cần một ảnh phức tạp hơn để thử không? Hãy giải BelkaCTF số 2 của chúng tôi ("Vụ án buôn ma túy"), dành riêng cho điều tra pháp lý Android. Bạn sẽ thấy sức mạnh của Belkasoft X cho chính mình: ngay cả những nhiệm vụ khó khăn nhất cũng có thể được giải quyết bằng công cụ này chỉ trong vài phút. Vụ án này là một minh chứng hoàn hảo cho pháp lý điện thoại di động trong thực tế, sử dụng các khả năng mở rộng của Belkasoft.

Nếu bạn không có thời gian để tham gia một CTF đầy đủ, hãy thử xem một số video BelkaTalk ngắn của chúng tôi, nơi chúng tôi trả lời các câu hỏi khó từ cộng đồng, một số tập trung chủ yếu vào pháp lý thiết bị di động.