AllmysteryNavigation
Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung
weitere Rubriken
PhilosophieTräumeOrteEsoterikLiteraturAstronomieHelpdeskGruppenGamingFilmeMusikClashVerbesserungenAllmysteryEnglish
Diskussions-Übersichten
BesuchtTeilgenommenAlleNeueGeschlossenLesenswertSchlüsselwörter
Schiebe oft benutzte Tabs in die Navigationsleiste (zurücksetzen).

Forensische Investigation - iPhone

95 Beiträge ▪ Schlüsselwörter: iPhone, Forensik ▪ Abonnieren: Feed E-Mail

Forensische Investigation - iPhone

29.11.2024 um 00:16
Zitat von ringelnatzringelnatz schrieb:Du musst mich doch nicht um Genehmigung bitten!
Ach sooo :'D
Zitat von ringelnatzringelnatz schrieb:Aber ICH würde wahrscheinlich die Grafik um einen andersfarbigen Marker für das Samsung sowie das Datum in der Zeitachse (vielleicht sogar die Uhrzeiten noch irgendwo?) ergänzen... 😜
Ja etwas mickrige Ausführung. ^^Wollte optisch darstellen, dass sich die Notrufversuche tatsächlich hauptsächlich auf die ersten 24h beschränken, was bei einem 11-tägiges Überleben durchaus seltsam ist.
Zitat von ringelnatzringelnatz schrieb:Aber ernsthaft: natürlich wird hier deutlich, dass das Anrufverhalten Fragen aufwerfen kann. Ich persönlich deute es als psychische Resignation, was die Handys als Hilfsmittel in deren Lage anbelangt.
Wenn sie das Handy an Tag 3 in die Ecke geschmissen hätten, wäre ich näher bei dir. Aber wenn man es regelmäßig bootet, dann ist ein potenziell lebensrettender Notrufversuch ja wirklich nur eine Sache von 3 Sekunden. Ist ungefähr so, als hätten sie eine Signalpistole mit 100 Schuss gehabt, ballern am ersten Tag 5 Schuss in die Luft und in den folgenden 8 Tagen beschäftigen sie sich nur mit dem Laden und Entladen der Pistole, obwohl sie noch 95 Leuchtpatronen übrig haben. Ich denke, spätestens wenn die Freundin stirbt, ballert man mal 20 Schuss raus. Und bevor man selbst stirbt, alle.


melden

Forensische Investigation - iPhone

07.12.2024 um 23:31
Kurze Info:

Der Dialer (Wähl-Tastatur) am 3. April 9:33 Uhr (letzte Notrufe) und der Kontakt Myriam am 3. April 16:02 Uhr wurden beide über die Telefon-App aufgerufen. Dass trotzdem von beiden Aktivitäten ein "Last State" Snapshot (Screenshot) existiert liegt daran, dass für den Dialer ein separater Snapshot (Screenshot) erstellt wird:


dialer


1x zitiertmelden

Forensische Investigation - iPhone

11.12.2024 um 07:33
Zitat von OutbackOutback schrieb am 07.12.2024:Der Dialer (Wähl-Tastatur) am 3. April 9:33 Uhr (letzte Notrufe)
Kannst du erklären warum es keine Screenshots gibt vom Dialer am 1. April 16:39 und am 2. April 08:12 ?
Ist es weil der letzte Screenshot vom Dialer -am 3. April 09:33- die vorherige Screenshots überschrieben hatte?


1x zitiertmelden

Forensische Investigation - iPhone

11.12.2024 um 09:51
Zitat von AnthuriumAnthurium schrieb:Ist es weil der letzte Screenshot vom Dialer -am 3. April 09:33- die vorherige Screenshots überschrieben hatte?
Ja, ganz genau. :Y:

Obwohl der Dialer nur ein Tab der Telefon-App ist, hat er einen eigenen Snapshot(Screenshot). Andere Tabs der Telefon-App oder zB die Tabs der Uhr-App haben das nicht. Warum? Keine Ahnung. Sinn macht es nicht, da der Screenshot nur für den optischen Fade in / Fade Out Effekt und für die Anzeige im App Switcher verwendet wird. Wahrscheinlich hatte der iOS 7-Programmierer zu viel Wein getrunken. :wein: :'D


melden

Forensische Investigation - iPhone

11.12.2024 um 20:24
Ich hatte im Blog ja schon die versteckten Dateien "File System Events" angesprochen, aus denen sich die sekundengenaue Ausschaltzeit ergibt und die vom NFI vermutlich nicht gefunden oder nicht ausgewertet wurden. Denn sonst müsste das NFI die Ausschaltzeitpunkte nicht schätzen und bräuchte nicht vermuten, dass das iPhone vom 31.3. 13:13 Uhr bis 1.4. 17:52 Uhr durchgehend eingeschaltet war.

fseventsd

Dazu habe ich nun eine sehr interessante Quelle gefunden:
Undocumented, unexplored, and underutilized, that is until now. Apple FSEvents or File System events are an invaluable artifact for every Apple examiner and should be a go to resource for artifacts relating to file system activity that occurred in the past.
https://web.archive.org/web/20190227220935/http://nicoleibrahim.com/apple-fsevents-forensics/

Diese undokumentierten und unerforschten File System Events sind eine sehr ergiebige Informationsquelle zu Allem, was auf dem System pro Session, also zwischen Ein- und Ausschalten, vorging. Bei einem ersten 2 Minuten Test ohne Eingabe des Entsperr-Codes erhielt ich ~500 File System Events, die ich mithilfe o.g. Quelle vollständig entschlüsseln konnte.

Einen perfekteren Ausgangspunkt für forensische Untersuchungen gibt es mE nicht. Wen es interessiert, was damit möglich ist, kann sich ja mal die Quelle durchlesen. Ohne die DVDs bringt das natürlich genau gar nichts. :-)


2x zitiert2x verlinktmelden

Forensische Investigation - iPhone

11.12.2024 um 20:59
Wir brauchen diese DVDs!!! 😄

Ist das also eine neue Erkenntnis? Oder warum hat das NFI das nicht genutzt?


melden

Forensische Investigation - iPhone

11.12.2024 um 21:25
@ringelnatz

Nicole Ibrahim (o.g. Quelle) hat einen Abschluss in Digitaler Forensik und Cyberkriminalität und einen Bachelors of Technology in Information Assurance and Digital Forensics vom Institute of Technology der Oklahoma State University. Sie berichtete erstmals 2017 davon. Die von ihr angegebenen Forensik-Tools gibt es seit 2015/2016.

Durchaus möglich, dass das 2014 noch recht verborgenes Wissen war und noch nicht Bestandteil der Forensik-Software des NFI. I don't know, aber ein paar Forensiker-Aussagen erwecken schon den Eindruck, dass .. öhm .. [Abbruch] :-)


melden

Forensische Investigation - iPhone

11.12.2024 um 21:37
Könnte man ihr die Files mal schicken? 😉


1x zitiertmelden

Forensische Investigation - iPhone

11.12.2024 um 22:56
Zitat von ringelnatzringelnatz schrieb:Könnte man ihr die Files mal schicken? 😉
Dafür müsste man die Files erst mal haben. ;)

Was mir so spontan einfällt, wozu die File System Events nützlich sein könnten:

Spoiler
- Einschaltzeit / Ausschaltzeit sekundengenau
- alle vom System geänderten / erstellten / gelöschten Dateien
- alle vom Benutzer geänderten / erstellten / gelöschten Dateien
- temporäre WLAN / Internet Dateien
- temporäre eMail Dateien
- Feststellung des Speicherns von Powerlogs, Fotos etc. auch wenn via Manipulation am PC gelöscht
- Feststellung der Eingabe des Entsperr-Codes
- Feststellung, ob die Bugs Wirkung hatten
- Vorgänge auf dem iPhone 4. bis 11. April
- alle App-Nutzungen (Snapshots), auch die, die überschrieben wurden



1x zitiertmelden

Forensische Investigation - iPhone

12.12.2024 um 17:06
Zitat von OutbackOutback schrieb:Diese undokumentierten und unerforschten File System Events sind eine sehr ergiebige Informationsquelle zu Allem, was auf dem System pro Session, also zwischen Ein- und Ausschalten, vorging.
Wäre es auch möglich, den Zeitpunkt anzugeben, zu dem der Kontakt "Mytiam" in das Telefonbuch eingegeben wurde?


1x zitiertmelden

Forensische Investigation - iPhone

12.12.2024 um 19:32
Zitat von AnthuriumAnthurium schrieb:Wäre es auch möglich, den Zeitpunkt anzugeben, zu dem der Kontakt "Mytiam" in das Telefonbuch eingegeben wurde?
Ja. Der Snapshot selbst ist natürlich nicht mehr vorhanden, weil überschrieben, aber der Vorgang ist auf die Sekunde genau nachvollziehbar. Die File System Events dienen dabei als Wegweiser, insofern das eigene Wissen oder die Forensik-Software scheitert:


fsevents 1

fsecents 2

AddressBook.sqlitedb

Snapshot

Default-Portrait2x

(bei "Mytiam" zusätzlich zur Telefonnummer noch der FaceTime Kontakt)




1x zitiertmelden

Forensische Investigation - iPhone

13.12.2024 um 08:00
Zitat von OutbackOutback schrieb:Die File System Events dienen dabei als Wegweiser, insofern das eigene Wissen oder die Forensik-Software scheitert:
Myriam erhielt ihre neue Nummer am 31. März.
Lisannes Handy enthielt die Nummer nicht. Kris Handy enthielt die neue Nummer wohl.
Also hätte Kris die neue Nummer zwischen dem 31. März und spätestens dem 3. April bekommen müssen.

Es ist interessant zu wissen, genau wann Kris die Nummer erhalten hat. Es wäre logisch anzunehmen dass sie die neue Nummer am 31. März bekommen hatte.

Aber wenn die Daten anzeigen dass Kris die neue Nummer am 2-3. April bekommen hatte, dann hatte sie (ihr Handy) die Nummer von einer dritten Person bekommen.


1x zitiertmelden

Forensische Investigation - iPhone

13.12.2024 um 08:23
Zitat von AnthuriumAnthurium schrieb:Es ist interessant zu wissen, genau wann Kris die Nummer erhalten hat. Es wäre logisch anzunehmen dass sie die neue Nummer am 31. März bekommen hatte.

Aber wenn die Daten anzeigen dass Kris die neue Nummer am 2-3. April bekommen hatte, dann hatte sie (ihr Handy) die Nummer von einer dritten Person bekommen.
Ja, da hast du recht. Ich denke, es gibt noch 100te weitere Sachverhalte die man prüfen könnte. Vllt. könnte man sogar den Fall aufklären, was für FP und Lost / Unfall gleichermaßen gilt. Ich würde zB nicht ausschließen, dass nicht doch eine Botschaft oder Spuren einer gelöschten Nachricht zu finden sind.

Aber:
Zitat von OutbackOutback schrieb:Ohne die DVDs bringt das natürlich genau gar nichts. :-)



melden

Forensische Investigation - iPhone

13.12.2024 um 15:52
Zitat von OutbackOutback schrieb am 02.09.2024:7
Zitat von OutbackOutback schrieb:- Einschaltzeit / Ausschaltzeit sekundengenau
- alle vom System geänderten / erstellten / gelöschten Dateien
- alle vom Benutzer geänderten / erstellten / gelöschten Dateien
- temporäre WLAN / Internet Dateien
- temporäre eMail Dateien
- Feststellung des Speicherns von Powerlogs, Fotos etc. auch wenn via Manipulation am PC gelöscht
- Feststellung der Eingabe des Entsperr-Codes
- Feststellung, ob die Bugs Wirkung hatten
- Vorgänge auf dem iPhone 4. bis 11. April
- alle App-Nutzungen (Snapshots), auch die, die überschrieben wurden
Das ist so viel mehr, als man sich vor deinen Recherchen überhaupt erhoffen konnte. Ich bin immer wieder platt, wenn ich das lese. Aber klar, den DVDs heulen wir nach solange wir sie nicht haben. ;(


melden

Forensische Investigation - iPhone

23.01.2025 um 18:38
Betriebszeit und Ausschaltzeit

Dem NFI waren nach meiner Interpretation der Forensiker-Aussagen weder die iOS-Eigenarten (Bugs) bekannt, noch die Möglichkeit, die Ausschaltzeit anhand der FS-Events zu ermitteln. Es nutzt ja nix, wenn die Daten zwar die sekundengenaue Ausschaltzeit hergeben (FS-Events), die Forensik-Software des NFI das aber nicht auswerten kann. Oder wenn das Handy bei einem längeren Betrieb Daten und Logs produziert, die aber beim Ausschalten verworfen werden und somit dem NFI nicht zur Verfügung stehen.

Das NFI hat am 11. April gezeigt, dass sie sich nicht nur auf die Powerlogs verlassen haben. Denn sonst hätten sie aufgrund komplett fehlender Logs eine Ausschaltzeit von 10:52 Uhr angenommen. Vielmehr haben sie zusätzlich nach Timestamps von Dateien gesucht, die erstellt oder geändert wurden.

Das Problem daran ist: Bei diesen 19 Dateien handelt es sich vermutlich um Systemdateien, die nur am 11. April auswertbar sind, da dieselben Systemdateien bzw. deren Timestamps von allen vorherigen Tagen Tag für Tag überschrieben wurden. Mit einer Ausnahme, den FS-Events.

Meine Meinung dazu ist nach wie vor folgende: Das NFI hat zwar die FS-Events nicht ausgewertet und wusste nicht um deren Bedeutung, aber sie haben die Timestamps von erstellten und geänderten Dateien (und damit auch die der FS-Events-Dateien) ausgewertet. Und diese Timestamps repräsentieren "zufällig" die sekundengenauen Ausschaltzeiten.

Wenn das NFI also davon spricht, dass das Handy vermutlich ausgeschaltet wurde, weil keine Aktivitäten mehr erkennbar sind, dann liegen sie mit den angegebenen Ausschaltzeitpunkten mE richtig. Das ist auch der Grund, warum ich die Aussagen von VIP stütze, weil die Auswirkung von "Bug" 1 und die Anwendung von "Bug" 2 im höheren Bereich der Unwahrscheinlichkeit liegt, mit Ausnahme der großen Bedeutung von "Bug" 1 am 11. April.

Leider kompliziert, aber das ist mein Statement zu diesem Sachverhalt und der Wahrscheinlichkeitsbewertung.

@Doctective hat es hier erstaunlich :troll: richtig auf den Punkt gebracht:
Zitat von DoctectiveDoctective schrieb:Die Ausschaltzeiten wurden geschätzt, weil sie bestimmbar sind. Dadurch, dass auf den Handys keinerlei Aktivität vorhanden war. So kann man als Forensiker vorgehen, denn Powerlogs/Bootlogs für das Ausschalten werden im Gegensatz zu denen des Anschaltens (Start Boot) generell nicht angelegt. Tieferes Wühlen im Dateisystem hätte dies bestätigt, war aber nicht notwendig, um zu wissen, dass die Handys aus waren.



2x verlinktmelden