Forensische Investigation - iPhone

Sehr interessant, danke!
Hast du auch mal gefragt, was der Grund für die fehlenden Logs sein könnte?
Oder was die beiden fiktiv in dieser Zeit genutzt haben könnten, ohne zu loggen? Stichwort: bugs

ringelnatz schrieb:Hast du auch mal gefragt, was der Grund für die fehlenden Logs sein könnte?
Oder was die beiden fiktiv in dieser Zeit genutzt haben könnten, ohne zu loggen? Stichwort: bugs

Nein. Aber kann ich mal kurz machen:

Spoiler

Was könnte die Ursache dafür sein, wenn ein iPhone 4 eine Stunde in Betrieb ist, ein Forensiker aber keine Logs findet?

ChatGPT:
Es gibt mehrere mögliche Ursachen dafür, dass ein iPhone 4 nach einer Stunde in Betrieb keine Logs aufweist:

1. Energieverwaltung: Das Gerät könnte in den Energiesparmodus wechseln, was das Speichern von Logs beeinträchtigen könnte.

2. Softwarefehler: Ein Fehler im Betriebssystem oder in der App könnte verhindern, dass Logs ordnungsgemäß gespeichert werden.

3. Zugriffsrechte: Der Forensiker hat möglicherweise nicht die erforderlichen Zugriffsrechte, um alle Logs einzusehen.

4. Datenlöschung: Es könnte eine App oder ein Benutzerbefehl gegeben haben, der die Logs gelöscht hat.

5. Speicherprobleme: Wenn der Speicher voll ist, könnte das Gerät Probleme haben, neue Logs zu erstellen.

6. Hardwarefehler: Ein Defekt im Gerät könnte die Funktionalität beeinträchtigen.

7. iOS-Version: Ältere iOS-Versionen könnten weniger detaillierte Logs aufzeichnen oder diese auf andere Weise handhaben.

Um das Problem zu analysieren, müsste man die spezifischen Umstände und das Gerät genauer untersuchen.


Kurz-Kommentar:
1. Das wäre der Sleep-Modus im Standby, nur eine Erklärung für weniger Logs
2. Siehe Nachfrage
3. Kann man ausschließen
4. Entspricht Manipulation durch Dritte
5. Kann man ausschließen, da nur spezifische Logs fehlen
6. Kann man ausschließen, da nur spezifische Logs fehlen
7. Erklärt nur weniger Logs, nicht gar keine


Du:
Bitte Punkt 2 ausführlicher technisch erklären.

ChatGPT:
Gerne! Ein Softwarefehler, der dazu führen kann, dass ein iPhone 4 keine Logs speichert, kann sich auf verschiedene Arten manifestieren:

1. Betriebssystem-Fehler:
Bugs im iOS: Ältere iOS-Versionen, wie sie auf dem iPhone 4 laufen, könnten Bugs enthalten, die die Log-Funktionalität beeinträchtigen. Beispielsweise könnte ein Fehler in der Logik, die für das Speichern von Ereignissen zuständig ist, dazu führen, dass Logs nicht korrekt aufgezeichnet werden.

2. App-spezifische Probleme:
Crash von Apps: Wenn eine App, die Logs generiert, abstürzt oder nicht richtig funktioniert, können die Logs verloren gehen oder nicht gespeichert werden. Das kann durch inkonsistente Zustände in der App oder durch Inkompatibilität mit dem Betriebssystem verursacht werden.

3. Speicher- und Ressourcennutzung:
Überlastung des Speichers: Wenn der verfügbare Speicherplatz knapp ist, kann das System Schwierigkeiten haben, neue Logs zu erstellen. Das Betriebssystem könnte beschließen, die Log-Funktionalität einzuschränken, um Speicher zu sparen.

4. Protokollierungsmechanismus:
Fehlerhafte Konfiguration: Der Protokollierungsmechanismus im Betriebssystem könnte fehlerhaft konfiguriert sein. Beispielsweise könnte eine Einstellung, die das Logging aktiviert, versehentlich deaktiviert worden sein.

5. Systemabstürze:
Kernel Panics: Ein schwerwiegender Softwarefehler kann dazu führen, dass das System abstürzt (Kernel Panic). In solchen Fällen werden möglicherweise keine Logs gespeichert, da das System abrupt heruntergefahren wird, ohne die Möglichkeit, Daten zu protokollieren.

6. Nicht persistente Logs:
Temporäre Logs: Einige Logs werden möglicherweise nur temporär gespeichert und gehen verloren, wenn das Gerät neu gestartet wird oder die App geschlossen wird.

Zusammenfassung:
Um das Problem zu diagnostizieren, wäre es wichtig, spezifische Fehlermeldungen oder Verhaltensweisen zu analysieren, eventuell durch Debugging-Tools oder Analyse-Software, die speziell für iOS entwickelt wurde. Bei älteren Geräten wie dem iPhone 4 sind Softwarefehler besonders häufig, da sie oft nicht mehr mit den neuesten Updates unterstützt werden.


Kurz-Kommentar:
1. Entspricht meinem Unterkapitel +++ iOS 7 Bugs - RAM / NAND-Flash & Kontrollzentrum +++
2. Nicht relevant
3. Nicht relevant
4. Nicht relevant
5. Nicht relevant
6. Entspricht meinem Unterkapitel +++ iOS 7 Bugs - RAM / NAND-Flash & Kontrollzentrum +++



Also im Grunde ganz gut, nur halt zu allgemein bzw. ohne empirische Evidenz / technischen Nachweis wie im Blog-Hauptartikel.

Spezifische / detaillierte technische Nachfragen zum iPhone 4 und iOS 7 kann die KI nicht beantworten, hab es ausprobiert.
Ganz doof ist sie aber auch nicht: Spoiler
Was ist der DFU-Mode beim iPhone 4?

ChatGPT:
Der DFU-Modus (Device Firmware Update) ist ein spezieller Zustand, in den du ein iPhone, einschließlich des iPhone 4, versetzen kannst, um es zu aktualisieren oder wiederherzustellen. Hier sind die Hauptmerkmale und -zwecke des DFU-Modus:

Firmware-Aktualisierung: Im DFU-Modus kann die Firmware des iPhones ohne das Laden des Betriebssystems aktualisiert oder wiederhergestellt werden.

Problemlösungen: Er wird häufig verwendet, um schwerwiegende Softwareprobleme zu beheben, wie zum Beispiel beim Jailbreaking oder wenn das Gerät nicht mehr reagiert.

Zugänglichkeit: Im DFU-Modus zeigt der Bildschirm kein Logo an (im Gegensatz zum Wiederherstellungsmodus), was bedeutet, dass das Gerät vollständig auf die Firmware-Ebene reagiert.

Danke!
Bestätigt deine Ergebnisse.. 👍

ringelnatz schrieb:Bestätigt deine Ergebnisse.. 👍

Ja. Und es erklärt auch, wieso ich anfangs zwingend von einer professionellen Manipulation ausging, nämlich weil ich die Bugs noch nicht gefunden hatte. @bergfreund brachte mich mit seinen berichteten iPhone 5 Bugs indirekt (auch per PN) dazu, verstärkt danach zu suchen. :Y:

@Outback Sehr cool, dass deine Ergebnisse und Untersuchungen jetzt nochmal unterstützt werden. So etwas in der Art hatte ich mir davon erhofft.

Handy-Timeline 31.3. / 1.4. hinzugefügt.

@Outback
Ich frage mich seit geraumer Zeit ab, ob die Stelle und die Felsen an der zweiten Quebrada die gleiche Wirkung wie Alufolie oder Faraday-Pouch könnten haben?

Die Felsen enthalten Mineralien die den Metall-Detektor des Imperfect Plan Teams durchgedreht hatte:
https://imperfectplan.com/2022/09/20/panama-expedition-temperature-rainfall-data/

Wenn die junge Frauen an der zweiten Quebrada geklemmt oder festgehalten wurden, dan hätte das Handy vielleicht in dieser Stelle -113dBm registriert, als wenn in Alufolie eingewickelt. Die Frauen hätten eingeschlossen worden sein in einem Graben am Nordufer des Flusses.

Am 1. April dauerte die Freeze-Log van -94 dBm mindestens bis 16:40 Uhr.
Um + sechs Uhr wurden die Handys ausgeschaltet and am nächsten Tag hat sich der dBm Wert geändert in -113.

@Anthurium

Lt. der genannten Messung in ViP ist das Signal an Q2 = -150 dBm. Außer auf den oberen Paddocks (mit K+L's Handys eher auch nicht) dürfte in dem Gebiet keine Verbindung mehr möglich sein, weil die Funkmasten alle auf der Boquete-Seite stehen. GSM braucht ein Signal besser ~ -108 dBm für eine Verbindung, bei -150 dBm ist metallhaltiges Gestein dann auch egal.

Das iPhone würde auch auf dem Mond "-113 dBm, 1 Bar" loggen. Diese Logs sind einfach Quatsch, genauso wie die -94 dBm Logs.

@Outback

Danke. Victor hatte nur zwei Messungen ausgeführt und alle andere Werten in Reddit wurden kalkuliert / extrapoliert.

Bei der Q2 gibt es kein Signal. Das ist 100% sicher. Wieviel dBm, ist mir leider nicht bekannt.

Die Q2 vorbei, an der Paddock, gibt es wieder Signal. Annette hat das entdeckt, Victor auch.

Anthurium schrieb:Die Q2 vorbei, an der Paddock, gibt es wieder Signal. Annette hat das entdeckt, Victor auch.

Annette hatte vermutlich kein Handy der Kategorie "iPhone 4, S3 mini" aus 2010/2012 dabei. Weiß du, mit welchem Handy Victor gemessen hat? Ich bezweifele eine gemessene Signalstärke von -150 dBm, die mit dem iPhone 4 (RSSI) vergleichbar wäre.

Selbst professionelle Vermessungsgeräte bzw. Netztester messen bei 2G/3G eine min. mögliche Signalstärke von -120 dBm RSSI und bei 4G/5G -125 dBm RSSI (mit Störungen) bzw. -150 dBm RSRP (ohne Störungen).

Hast du eigene Messungen in Panama gemacht? Und wenn ja, mit welchem Handy?

@Outback

Ich weiß nicht, wie Victor die Messungen ausgeführt hat. Auf Reddit wurde gesagt, dass Victor bei seiner Wikiloc-Wanderung im Jahr 2023, ein neues Handy in Gebrauch hatte. Auf Reddit wurde nichts gesagt über ein separates Vermessungsgerät.
https://es.wikiloc.com/rutas-senderismo/sendero-culebra-122931722

In seinen Videos zeigt Victor auch kein spezielles Vermessungsgerät. Außerdem, wenn er eines dabei gehabt hätte, warum hätte er dann nur zwei Messungen gemacht? Deshalb vermute ich, dass er kein separates Vermessungsgerät dabei hatte. Ich weiß, dass man in den Einstellungen die aktuelle Signalstärke des Handys mit den entsprechenden dBm abrufen kann. Vielleicht hat Victor das getan(?).

Ich habe selbst keine Messungen vorgenommen. Ich habe ein altes Samsung benutzt, mit dem ich nicht telefonieren konnte, weil mein Handy das Telefonnetz nicht nutzen konnte. Mein Reisebegleiter und ich waren völlig auf WIFI angewiesen, um zu kommunizieren. Also kein Internet und auch kein SMS senden oder empfangen.

Ich nehme an, dass mein Handy dBm-Logs erstellt hat, nur weiß ich nicht, wie ich diese Logs extrahieren kann. Ich nehme an, dass sie immer irgendwo in meinem Telefon gespeichert sind .....

Mein (unser) Guide hatte natürlich sein eigenes Smartphone dabei. Auf dem Rückweg, als wir uns dem Mirador näherten, etwa 10 Minuten vor dem Mirador (an der BdT Seite), erhielt unser Guide mehrere Nachrichten hintereinander, die Beeps waren gut hörbar. Er las und beantwortete diese Nachrichten dann auf dem Mirador. Kurz hinter dem Mirador (in diesem Fall auf der Seite von Boquete) tätigte er auch einen Telefonanruf.

Anthurium schrieb:. Ich weiß, dass man in den Einstellungen die aktuelle Signalstärke des Handys mit den entsprechenden dBm abrufen kann. Vielleicht hat Victor das getan(?).

Beim iPhone geht das mit *3001#12345#* (Field Test Mode). Aber das ändert ja nix am Sende- / Empfangsmodul und an der Empfindlichkeit eines Handys, was mit Profi-Netztestern nicht vergleichbar ist.

Anthurium schrieb:Ich nehme an, dass mein Handy dBm-Logs erstellt hat, nur weiß ich nicht, wie ich diese Logs extrahieren kann. Ich nehme an, dass sie immer irgendwo in meinem Telefon gespeichert sind .....

Schade dass es kein iPhone war, sonst könnten wir das jetzt noch auslesen. :'D

Anthurium schrieb:Mein (unser) Guide hatte natürlich sein eigenes Smartphone dabei. Auf dem Rückweg, als wir uns dem Mirador näherten, etwa 10 Minuten vor dem Mirador (an der BdT Seite), erhielt unser Guide mehrere Nachrichten hintereinander, die Beeps waren gut hörbar. Er las und beantwortete diese Nachrichten dann auf dem Mirador. Kurz hinter dem Mirador (in diesem Fall auf der Seite von Boquete) tätigte er auch einen Telefonanruf.

Interessant. Wo seid ihr auf der BdT-Seite gestartet? Q1, Q2, Paddocks, Cablebridge? Was denkst du, welche Strecke bis zum Mirador da wo der Guide die Nachrichten erhielt noch vor euch lag? 200 Meter bzw. ein Viertel der Strecke Q1 -> Mirador?

Anthurium schrieb:etwa 10 Minuten vor dem Mirador (an der BdT Seite), erhielt unser Guide mehrere Nachrichten hintereinander,

An dieser Stelle dürften K+L am 1. April um 13:26 Uhr gewesen sein = letztmalig echt gemessene -94 dBm.

Zeitmarke lt. Beobachtung @Anthurium hinzugefügt.

@Outback; ja, ungefähr 10 Minuten vor dem Mirador an der BdT Seite. Ungefähr.

+++ iOS 7 Bugs - RAM / NAND-Flash & Kontrollzentrum +++

X - Forensic Conclusion

Aufgrund der aktuellen internationalen Diskussion meines Blogs habe ich versucht, das etwas komplizierte Thema der iPhone-Bugs in den o.g. 2 Unterpunkten zu präzisieren.

:kaffee:

Outback schrieb am 02.09.2024:Nachweislich produziert iOS 7 beim längeren (20 Sek. +) Verbleiben auf dem Lockscreen (mit oder ohne Nutzung der Apps des Kontrollzentrums) Powerlogs, die ohne erstmalige Eingabe des Entsperr-Codes beim Ausschalten (Herunterfahren) verworfen werden. Gibt man den Entsperr-Code ein und schaltet das Handy direkt danach aus, werden dieselben Logs dagegen

Ich habe eine Frage.

Am Morgen des 4+5+6 April wurde den Entsperr-Code eingegeben. Die Powerlogs wurden gespeichert.
Quelle: IP.

Auch am Nachmittag von 4+5+6 April wurde den Entsperr-Code eingegeben. Aber, die Powerlogs wurden nicht gespeichert.
Quelle: IP.

Meine Frage: Wie kann man erklären dass die Mittag-Powerlogs nict gespeichert wurden? Hat das mit den 20 Sekunden zu machen (oder nicht)?

Anthurium schrieb:Am Morgen des 4+5+6 April wurde den Entsperr-Code eingegeben. Die Powerlogs wurden gespeichert.
Quelle: IP.

Das ist falsch. Am 3. April mittags sowie 4+5+6+11 wurden keine Powerlogs (Signalstärke, Akkustand, App-Aktivitäten etc.) gespeichert. Der Akkustand wurde nur geschätzt und kann komplett anders gewesen sein.

Anthurium schrieb:Meine Frage: Wie kann man erklären dass die Mittag-Powerlogs nict gespeichert wurden? Hat das mit den 20 Sekunden zu machen (oder nicht)?

Damit Powerlogs gespeichert werden muss der Entsperr-Code richtig eingegeben werden UND das iPhone muss nach dem Booten (45 Sekunden) mind. weitere 20 Sekunden in Betrieb sein, egal ob auf dem Lockscreen oder Homescreen.

Ich werde die von dir zitierte Stelle noch mal etwas präzisieren, denn du hast recht, das ist etwas missverständlich.

Outback schrieb:Am 3. April mittags sowie 4+5+6+11 wurden keine Powerlogs

Meinst du am 3 April um 16 uur? Weil am Mittag des 3 Aprils die Entsperr Code correct eingegeben wurde und das Handy mindestens 3 Minuten eingeschaltet geblieben war. Laut IP und VIP hatte die Batterie 39%. Wurde auch dieser Akkustand von 39% geschätzt?

Ich verstehe dass für 11:47 (3 April) keine Powerlogs gefunden wurden, aber für 16:03 doch wohl?