Forensische Investigation - iPhone

ringelnatz schrieb:Du musst mich doch nicht um Genehmigung bitten!

Ach sooo :'D

ringelnatz schrieb:Aber ICH würde wahrscheinlich die Grafik um einen andersfarbigen Marker für das Samsung sowie das Datum in der Zeitachse (vielleicht sogar die Uhrzeiten noch irgendwo?) ergänzen... 😜

Ja etwas mickrige Ausführung. ^^Wollte optisch darstellen, dass sich die Notrufversuche tatsächlich hauptsächlich auf die ersten 24h beschränken, was bei einem 11-tägiges Überleben durchaus seltsam ist.

ringelnatz schrieb:Aber ernsthaft: natürlich wird hier deutlich, dass das Anrufverhalten Fragen aufwerfen kann. Ich persönlich deute es als psychische Resignation, was die Handys als Hilfsmittel in deren Lage anbelangt.

Wenn sie das Handy an Tag 3 in die Ecke geschmissen hätten, wäre ich näher bei dir. Aber wenn man es regelmäßig bootet, dann ist ein potenziell lebensrettender Notrufversuch ja wirklich nur eine Sache von 3 Sekunden. Ist ungefähr so, als hätten sie eine Signalpistole mit 100 Schuss gehabt, ballern am ersten Tag 5 Schuss in die Luft und in den folgenden 8 Tagen beschäftigen sie sich nur mit dem Laden und Entladen der Pistole, obwohl sie noch 95 Leuchtpatronen übrig haben. Ich denke, spätestens wenn die Freundin stirbt, ballert man mal 20 Schuss raus. Und bevor man selbst stirbt, alle.

Kurze Info:

Der Dialer (Wähl-Tastatur) am 3. April 9:33 Uhr (letzte Notrufe) und der Kontakt Myriam am 3. April 16:02 Uhr wurden beide über die Telefon-App aufgerufen. Dass trotzdem von beiden Aktivitäten ein "Last State" Snapshot (Screenshot) existiert liegt daran, dass für den Dialer ein separater Snapshot (Screenshot) erstellt wird:

Outback schrieb am 07.12.2024:Der Dialer (Wähl-Tastatur) am 3. April 9:33 Uhr (letzte Notrufe)

Kannst du erklären warum es keine Screenshots gibt vom Dialer am 1. April 16:39 und am 2. April 08:12 ?
Ist es weil der letzte Screenshot vom Dialer -am 3. April 09:33- die vorherige Screenshots überschrieben hatte?

Anthurium schrieb:Ist es weil der letzte Screenshot vom Dialer -am 3. April 09:33- die vorherige Screenshots überschrieben hatte?

Ja, ganz genau. :Y:

Obwohl der Dialer nur ein Tab der Telefon-App ist, hat er einen eigenen Snapshot(Screenshot). Andere Tabs der Telefon-App oder zB die Tabs der Uhr-App haben das nicht. Warum? Keine Ahnung. Sinn macht es nicht, da der Screenshot nur für den optischen Fade in / Fade Out Effekt und für die Anzeige im App Switcher verwendet wird. Wahrscheinlich hatte der iOS 7-Programmierer zu viel Wein getrunken. :wein: :'D

Ich hatte im Blog ja schon die versteckten Dateien "File System Events" angesprochen, aus denen sich die sekundengenaue Ausschaltzeit ergibt und die vom NFI vermutlich nicht gefunden oder nicht ausgewertet wurden. Denn sonst müsste das NFI die Ausschaltzeitpunkte nicht schätzen und bräuchte nicht vermuten, dass das iPhone vom 31.3. 13:13 Uhr bis 1.4. 17:52 Uhr durchgehend eingeschaltet war.



Dazu habe ich nun eine sehr interessante Quelle gefunden:

Undocumented, unexplored, and underutilized, that is until now. Apple FSEvents or File System events are an invaluable artifact for every Apple examiner and should be a go to resource for artifacts relating to file system activity that occurred in the past.

https://web.archive.org/web/20190227220935/http://nicoleibrahim.com/apple-fsevents-forensics/

Diese undokumentierten und unerforschten File System Events sind eine sehr ergiebige Informationsquelle zu Allem, was auf dem System pro Session, also zwischen Ein- und Ausschalten, vorging. Bei einem ersten 2 Minuten Test ohne Eingabe des Entsperr-Codes erhielt ich ~500 File System Events, die ich mithilfe o.g. Quelle vollständig entschlüsseln konnte.

Einen perfekteren Ausgangspunkt für forensische Untersuchungen gibt es mE nicht. Wen es interessiert, was damit möglich ist, kann sich ja mal die Quelle durchlesen. Ohne die DVDs bringt das natürlich genau gar nichts. :-)

Wir brauchen diese DVDs!!! 😄

Ist das also eine neue Erkenntnis? Oder warum hat das NFI das nicht genutzt?

@ringelnatz

Nicole Ibrahim (o.g. Quelle) hat einen Abschluss in Digitaler Forensik und Cyberkriminalität und einen Bachelors of Technology in Information Assurance and Digital Forensics vom Institute of Technology der Oklahoma State University. Sie berichtete erstmals 2017 davon. Die von ihr angegebenen Forensik-Tools gibt es seit 2015/2016.

Durchaus möglich, dass das 2014 noch recht verborgenes Wissen war und noch nicht Bestandteil der Forensik-Software des NFI. I don't know, aber ein paar Forensiker-Aussagen erwecken schon den Eindruck, dass .. öhm .. [Abbruch] :-)

Könnte man ihr die Files mal schicken? 😉

ringelnatz schrieb:Könnte man ihr die Files mal schicken? 😉

Dafür müsste man die Files erst mal haben. ;)

Was mir so spontan einfällt, wozu die File System Events nützlich sein könnten:

Spoiler
- Einschaltzeit / Ausschaltzeit sekundengenau
- alle vom System geänderten / erstellten / gelöschten Dateien
- alle vom Benutzer geänderten / erstellten / gelöschten Dateien
- temporäre WLAN / Internet Dateien
- temporäre eMail Dateien
- Feststellung des Speicherns von Powerlogs, Fotos etc. auch wenn via Manipulation am PC gelöscht
- Feststellung der Eingabe des Entsperr-Codes
- Feststellung, ob die Bugs Wirkung hatten
- Vorgänge auf dem iPhone 4. bis 11. April
- alle App-Nutzungen (Snapshots), auch die, die überschrieben wurden

Outback schrieb:Diese undokumentierten und unerforschten File System Events sind eine sehr ergiebige Informationsquelle zu Allem, was auf dem System pro Session, also zwischen Ein- und Ausschalten, vorging.

Wäre es auch möglich, den Zeitpunkt anzugeben, zu dem der Kontakt "Mytiam" in das Telefonbuch eingegeben wurde?

Anthurium schrieb:Wäre es auch möglich, den Zeitpunkt anzugeben, zu dem der Kontakt "Mytiam" in das Telefonbuch eingegeben wurde?

Ja. Der Snapshot selbst ist natürlich nicht mehr vorhanden, weil überschrieben, aber der Vorgang ist auf die Sekunde genau nachvollziehbar. Die File System Events dienen dabei als Wegweiser, insofern das eigene Wissen oder die Forensik-Software scheitert:








Snapshot



(bei "Mytiam" zusätzlich zur Telefonnummer noch der FaceTime Kontakt)

Outback schrieb:Die File System Events dienen dabei als Wegweiser, insofern das eigene Wissen oder die Forensik-Software scheitert:

Myriam erhielt ihre neue Nummer am 31. März.
Lisannes Handy enthielt die Nummer nicht. Kris Handy enthielt die neue Nummer wohl.
Also hätte Kris die neue Nummer zwischen dem 31. März und spätestens dem 3. April bekommen müssen.

Es ist interessant zu wissen, genau wann Kris die Nummer erhalten hat. Es wäre logisch anzunehmen dass sie die neue Nummer am 31. März bekommen hatte.

Aber wenn die Daten anzeigen dass Kris die neue Nummer am 2-3. April bekommen hatte, dann hatte sie (ihr Handy) die Nummer von einer dritten Person bekommen.

Anthurium schrieb:Es ist interessant zu wissen, genau wann Kris die Nummer erhalten hat. Es wäre logisch anzunehmen dass sie die neue Nummer am 31. März bekommen hatte.

Aber wenn die Daten anzeigen dass Kris die neue Nummer am 2-3. April bekommen hatte, dann hatte sie (ihr Handy) die Nummer von einer dritten Person bekommen.

Ja, da hast du recht. Ich denke, es gibt noch 100te weitere Sachverhalte die man prüfen könnte. Vllt. könnte man sogar den Fall aufklären, was für FP und Lost / Unfall gleichermaßen gilt. Ich würde zB nicht ausschließen, dass nicht doch eine Botschaft oder Spuren einer gelöschten Nachricht zu finden sind.

Aber:

Outback schrieb:Ohne die DVDs bringt das natürlich genau gar nichts. :-)

Outback schrieb am 02.09.2024:7

Outback schrieb:- Einschaltzeit / Ausschaltzeit sekundengenau
- alle vom System geänderten / erstellten / gelöschten Dateien
- alle vom Benutzer geänderten / erstellten / gelöschten Dateien
- temporäre WLAN / Internet Dateien
- temporäre eMail Dateien
- Feststellung des Speicherns von Powerlogs, Fotos etc. auch wenn via Manipulation am PC gelöscht
- Feststellung der Eingabe des Entsperr-Codes
- Feststellung, ob die Bugs Wirkung hatten
- Vorgänge auf dem iPhone 4. bis 11. April
- alle App-Nutzungen (Snapshots), auch die, die überschrieben wurden

Das ist so viel mehr, als man sich vor deinen Recherchen überhaupt erhoffen konnte. Ich bin immer wieder platt, wenn ich das lese. Aber klar, den DVDs heulen wir nach solange wir sie nicht haben. ;(