Mobile Forensics:How to Extract Evidence From Samsung Galaxy A13

 Mobile Forensics:How to Extract Evidence From Samsung Galaxy A13

Forensic Imaging & DATA Extraction

Evidence Intake Phase 

Identification Phase

The purpose of the forensic examination

The information regarding manufacture, model and type of the Android devices should be identified

Samsung Galaxy A13

Brand	Samsung
Device Name/ Model number	Samsung Galaxy / SM-A135F
Android Version	Android 12
Baseband version	SP1A.210812.016.A135FXXU2AV
Kernel Version	4.19198
Build Number	SP1A.210812.016.A135FXXU2AVJ3
Serial Number	-
MicroSD Card	64

Preparation Phase

How to Prepare an Android Device for Acquisition

• Cellebrite  Physical Analyzer 7.30.0.228
• Cellebrite UFED 7.58.0172
• Samsung Galaxy A13
• USB Cable 170
• Lenovo Workstation 

Isolation Phase

Before the examination, Android devices should be isolated from networks that can be connected with Android devices via wireless (Wi-Fi), infrared and Bluetooth network capabilities. Isolation of the mobile from these communication sources is a significant phase before examination because it prevents the adding of new data to the phone during new calls and texting. Remote wiping or remote access

Summary of types of data that can be extracted using logical, file system and physical extraction. Source: Cellebrite article

UFED Physical Analyzer Examination

Data specification of Android mobile device.

Evidence Collection

SMS  Message

Audio 

Call Log

Images

Calendar

Contact 

Verification Phase 

The Image Hash Details dialog displays the comparison result of the reference and calculated hash values of each image.

Documentation and Reporting Phase

Selective File System Extraction in Cellebrite UFED

ขั้นตอนการตรวจสอบพิสูจน์พยานหลักฐานทางดิจิทัล ( DIGITAL FORENSICS )เป็นอย่างไร

 

ที่มา:@sureandshare

 

อ่านเพิ่มเติม How to Extract Evidence From HUAWEI Device

                     ufed-fundamentals-a-basic-review-of-mobile-device-data-collection 

               ชุดตรวจพิสูจน์โทรศัพท์เคลื่อนที่ 

ที่มา: android-logical-and-full-file-system-data-collection

         Guidelines on Mobile Device Forensics

      

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

DIGITAL FORENSICS: CELLEBRITE FORENSIC MEMORY CARD READER II

Mobile Forensics: CELLEBRITE FORENSIC MEMORY CARD READER II

  วันนี้แอด เจออุปกรณ์ ตัวหนึ่งใน Lab เลยเอามาทดสอบดู  ชื่อว่า Cellebrite Forensic Memory Card Reader  อุปกรณ์ชุดนี้มาพร้อมในชุด  Cellebrite คือชุดอุปกรณ์จัดเก็บหลักฐานบนโทรศัพท์มือถือ

จุดประสงค์

  ตรวจสอบข้อมูลใน SD memory card 2 GB

อุปกรณ์ที่ใช้ในการทดสอบ

• Cellebrite Forensic Memory Card Reader 
• Cellebrite  Physical Analyzer 7.56.0.20
• Scalpel
• Cellebrite UFED
• SD memory card 2 GB

* คำแนะนำ  switch on write protection (read only  mode )from SD Card 

ทำการเชื่อ,ต่อ SD card  with CELLEBRITE FORENSIC MEMORY CARD READER

Memory card using Memory card reader with the Block switch set to Read Only.

สถานะไฟเขียว Write Block ทำงาน 

Select > Mass Storage

Select > Mass Storage Device Memory Card

Select > Removable Drive

Select > Physical 

On Process

เมื่อเสร็จจะได้ สำเนาหลักฐาน (forensic Image file )  ได้ไฟล์  (Dump_001.bin) ,log.txt ,Mass Storage Device_memory Card.ufd

ทำการเปิด โดยใช้โปรแกรม Cellebrite   Physical Analyzer (PA) 

• Cellebrite  Physical Analyzer 7.56.0.20

Analyzed Data

File System >export File

Dump_001.bin

Search 

Tag 

Forensic data recovery using  scalpel 
ใช้โปรแกรม Scalpel (carved by Scalpel) ทำการ Carve  file  จาก Image file (Dump_001.bin)  

ทำการแก้ไข scalpel.conf  เลือก ชนิดของ Type ตามที่ต้องการค้นหา

Any line that begins with a '#' is considered

# a comment and ignored. Thus, to skip a file type just put a '#' at

# the beginning of the line containing the rule for the file type.

หลังจากทำการแก้ไข scalpel.conf  แล้ว ทำการพิมพ์คำสั่ง

G:\Software\Scalpel>scalpel.exe "F:\UFED Mass Storage Device Memory Card 2022_10_20 (001)\Physical Method 1 01\Dump_001.bin"

ไฟล์ที่ได้จากการ carved อยู่ใน โฟล์เดอร์ scalpel-output

ดู log Audit.txt 

ผลลัพธ์ที่ได้จากการ carved

สรุป คือ อุปกรณ์ Memory Card Reader ชุดนี้มี สวิตท์ เปิด/ปิด เพื่อป้องกันการเขียนข้อมูลทับ สำหรับ SD ,MMC XD SM MicroSD,T Flash  เพื่อป้องกันข้อมูล หรือป้องกันการเขียนทับ ก่อนทำสำเนาข้อมูลหลักฐาน  และการค้นหาข้อมูลใน สำเนาหลักฐาน (forensic Image file )อาจใช้เทคนิค Carve  เป็นอีกทางเลือกในการกู้ข้อมูล 

A Demo of SD Card Data Extraction - Cellebrite UFED 4PC

อ่านเพิ่มเติม Cellebrite Forensic Memory Card Reader

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD