Escolar Documentos
Profissional Documentos
Cultura Documentos
Oxygen Forensic® Detective ist eine mobile forensische Software für die Datenerfassung
von mobilen Geräten und Cloud-Speichern. Das Programm spielt eine bedeutende Rolle bei
Kriminaluntersuchungen weltweit und wird von Polizeibehörden, Militär, Zoll-, Steuer- und
weiteren Regierungsbehörden eingesetzt.
Mit Oxygen Forensic® Detective können Sie folgende Daten untersuchen und analysieren:
• Allgemeine Geräteinformationen
• Kontakte mit allen Feldern und Kontaktfotos
• Verpasste / ausgehende / eingehende Anrufe
• Organizer-Daten (Besprechungen, Termine, Memos, Jubiläen, Aufgaben, Notizen usw.)
• SMS, MMS, iMessages, E-Mails mit Anhängen
• Wörter im Gerätewörterbuch
• Fotos, Videos, Audiodateien und Sprachaufzeichnungen
• Geo-Koordinaten, die in verschiedenen Quellen gespeichert sind
• WLAN-Verbindungen
• Geräteprotokolle
• Kennwörter für die Konten des Gerätenutzers und WLAN-Hotspots
• Benutzerdaten von Applikationen auf Geräten mit Android, BB 10, Apple iOS,
Windows Phone 8
• Cloud-Daten, die in der iCloud, bei Google, in Microsoft-Konten, auf Social Media
Cloud-Speichern und weiteren Diensten gespeichert sind
• Anrufprotokolle von drahtlosen Anbietern empfangen
• Gelöschte Daten (Kontakte, Nachrichten, Anrufe, Fotos usw.)
• Soziale Interaktionen eines oder mehrerer Gerätebesitzer in einem Diagramm oder
Graphen dargestellt
Die Analyse der Informationen auf dem mobilen Gerät kann direkt vom Programm aus
oder mithilfe der erweiterten Exportfunktion erfolgen. Sie können Berichte in den gängigen
Dateiformaten (XLS, RTF, PDF, XML, CSV, TSV etc.) erstellen und diese entweder
ausdrucken oder an externe Abteilungen und Experten senden.
Das Programm verfügt über eine leistungsfähige eingebaute Suchmaschine. Sie können
die notwendigen Informationen in allen Abschnitten von Oxygen Forensic ® Detective mit
wenigen Mausklicks finden. Die Suchergebnisse werden zwischen den Sitzungen gespeichert
und können entweder exportiert oder gedruckt werden. Außerdem hilft Ihnen ein kontextueller
Filter in allen Abschnitten, die Daten so zu sortieren, wie Sie sie benötigen.
Darüber hinaus ermöglicht die Software, ausgelesene Daten in einer Datei zu speichern
und diese auf einem anderen Rechner in Oxygen Forensic® Viewer zu laden. Dafür müssen Sie
das zu untersuchende Smartphone verbinden und die Daten lediglich einmal extrahieren, um
die Informationen anschließend weiter zu senden, z. B. für die Analyse durch externe Experten.
Installation
Oxygen Forensic® Detective ist auf einem USB-Dongle erhältlich.
Sie haben die folgenden Auswahlmöglichkeiten während der Installation: Sie können den
Zielordner für die Installation von Oxygen Forensic ® Detective auswählen, Desktop- und
Quick Start-Symbole erstellen und die gewünschte Programmsprache einstellen. Anschließend
müssen Sie die Lizenzvereinbarung sorgfältig lesen und akzeptieren, wenn Sie damit
einverstanden sind:
Nachdem alle Optionen ausgewählt wurden, klicken Sie auf "Installieren", um die
Installation zu starten:
In der Hilfsdatei von Oxygen Forensic® Detective erfahren Sie, wie Sie im Einzelfall
vorgehen müssen.
Um Informationen zu extrahieren, müssen Sie zuerst das Gerät mit Computer verbinden,
auf dem die Software installiert ist. Wenn Sie eine Kabelverbindung verwenden, befestigen Sie
Sobald die Verbindung hergestellt ist, zeigt das Programm die Geräteinformationen an:
Wenn alle Daten extrahiert wurden, können Sie entweder das Gerät zum Anzeigen und
Analysieren von Daten öffnen oder den Export- und Druck-Assistenten ausführen, wenn Sie
einen Bericht über das Gerät benötigen. Beachten Sie, dass Sie den Export- oder Druck-
Assistenten jederzeit ausführen können, wenn Sie mit Geräteinformationen arbeiten.
OxyAgent
Die Software kommuniziert mit dem Android-Gerät über ADB, um ein logisches Abbild
zu erhalten. Sie müssen sicherstellen, dass die korrekten Treiber installiert sind, damit die
ADB-Kommunikation stattfinden kann. OxyAgent wird auf dem Android-Gerät installiert,
um eine Extraktion der maximalen Datenmenge zu ermöglichen. Sie müssen das Android-
Gerät so konfigurieren, dass der USB-Debugging-Modus aktiviert ist, bevor Sie die Software
starten:
In diesem Fall wird der benutzerdefinierte Bootloader installiert, der die Befehle enthält,
damit der Telefonspeicher ausgelesen werden kann. Er arbeitet mit dem Arbeitsspeicher und
hat keine Auswirkungen auf die Telefondaten. Bitte beachten Sie, dass Sie es bei Smartphones
mit gesperrtem Bootloader nicht verwenden können. Wenn der Bootloader gesperrt ist, wird
"Connect Err = 1013" in den Protokolldateien ausgegeben.
LG Android Dump
In diesem Fall wird der benutzerdefinierte Bootloader installiert, der die Befehle enthält,
damit der Telefonspeicher ausgelesen werden kann. Er arbeitet mit dem Arbeitsspeicher und
hat keine
Die Liste der unterstützten Geräte wird vor der Extraktion angezeigt und Sie müssen das
Modell auswählen.
Klassisch-logisch
Diese Methode wird für alle iOS-Geräte empfohlen und verwendet zur Datenerfassung
die iTunes-Backup-Prozedur. Wenn das iTunes-Backup verschlüsselt ist, versucht die
Software, mithilfe verschiedener unterstützter Angriffe (Brute-Force, Wörterbuchangriff usw.)
das Passwort zu ermitteln. Die Methode liefert genügend Benutzerdaten, einschließlich
gelöschter Datensätze und Anwendungen.
Datenextraktion bei Windows Phones
Es gibt zwei Möglichkeiten für die Datenextraktion bei Windows Phone 7 und 8 Geräten:
1. Mit der ersten Methode können Kontakte und SMS-Nachrichten aus dem Windows Phone
Cloud-Speicher ausgelesen warden. Oxygen Forensic® Detective erhält Zugriff auf diese
Daten in der Windows Phone Cloud (http://www.windowsphone.com/en-us/how-
to/wp8/basics/what-is-the-cloud) über HTTPS-Protokolle, sofern die Anmeldeinformationen
für ein Microsoft-Konto bekannt sind (http://windows.microsoft.com/en-us/windows-
live/sign-in-what-is-microsoft-account).
Sobald die Desktop-Ansicht gestartet wurde, können Sie auf der linken Seite die Geräte
sehen, die Sie ermittelt haben. Sobald Sie ein Gerät einem bestimmten Fall zugeordnet haben,
wird der Fallname ebenfalls angezeigt.
Desktop-Ansicht: Befehlszeile
Die Befehlszeile befindet sich über der Desktop-Ansicht des Hauptfensters und enthält
Schaltflächen.
Gerät verbinden
Mit dieser Schaltfläche können Sie den Extractor mit automatischer Geräteverbindung
starten oder Optionen für die schnelle Sicherung / Extraktion auswählen.
Datei importieren
Mit dieser Schaltfläche können Sie verschiedene Backups importieren.
Fall speichern - ermöglicht es, einen erstellten Fall mit einer .ofb-Erweiterung zu
speichern.
Fall hinzufügen - ermöglicht die Erstellung eines neuen Falles durch Hinzufügen eines
Fallnamens und Fallnotizen.
Fall entfernen - entfernt den ausgewählte Fall oder die ausgewählten Geräte aus der
Oxygen Forensic Software.
Gerät speichern - speichert Informationen zu Geräten in einer .ofb-Sicherungsdatei. Die
Datei kann verwendet werden, um später Informationen mit dem Extractor
wiederherzustellen.
Gerät entfernen - entfernt ausgewählte Geräte aus der Liste.
Geräte-Speicher - ermöglicht das Speichern von Software-Datenbank auf einem anderen
Datenträger. Verwenden Sie es, wenn Sie ein bestimmtes Laufwerk haben, um die Datenbank
zu verwalten (z. B. ein austauschbares Flash-Laufwerk) oder wenn Sie nicht genügend freien
Speicherplatz haben.
Analyse
Sie haben die Option für schnellen Zugriff auf alle analytischen Funktionen der
Software.
Export/Drucken
Druckt Gerätedaten, damit Sie bestimmte Abschnitte und Anwendungen auswählen oder
nur die Daten des Abschnittes Key Evidence exportieren können.
Im Bereich Notizen werden Notizen inklusive Datum und Uhrzeit ihrer Erstellung
angezeigt:
SMS, MMS, E-Mail, iMessages und Nachrichten anderer Art werden im Bereich
Nachrichten angezeigt:
Gelöschte Anrufe aus Apple iOS- und Android-Geräten werden ebenfalls im Bereich
Ereignisprotokoll angezeigt, mit blauer Farbe markiert und durch ein "Papierkorb"-Symbol
gekennzeichnet.
Webverbindungen
Der Bereich Webverbindungen zeigt alle Verbindungen zum Internet in einer Liste an
und bietet Informationen zu Hotspots auf einer Karte. Die Liste zeigt an, wann und wo der
Verdächtige den Internetzugang benutzt hat, wodurch sein Standort ermittelt werden kann.
Es ist also möglich, alle WLAN-Verbindungen zu überprüfen. Die Software von Oxygen
Forensic® extrahiert die ungefähre geografische Position des Ortes, an dem eine WLAN-
Verbindung verwendet wurde. Mini Google Maps werden anhand von SSID-, BSSID- und
RSSI-Informationen generiert, die vom mobilen Gerät ausgelesen wurden.
Passwörter können aus Apple iOS-, Android- und Windows Phone 8 Geräten extrahiert
werden.
Anwendungen
Im Bereich Anwendungen werden detaillierte Informationen zu System- und
Benutzeranwendungen angezeigt, die in Apple iOS-, Android-, BlackBerry 10- und Windows
Phone 8-Geräten installiert sind. Derzeit werden 340 Original-Anwendungen und 2600+ App-
Versionen unterstützt.
Darunter sind die beliebtesten Apps wie Twitter, Facebook, Instagram, Youtube,
Foursquare, WhatsApp, YouTube, Kick Messenger, LinkedIn, Viber, Skype und viele andere.
Der Bereich enthält eine spezielle Registerkarte mit Benutzerdaten. Diese umfasst Daten der
Soziale Netzwerke
Der Bereich "Soziale Netzwerke" enthält Teilbereiche mit Daten aus beliebten Social
Network-Anwendungen wie Facebook, Instagram, Twitter, Google+, LinkedIn, Snapchat,
Tinder, usw.
Facebook
Dieser Bereich ermöglicht die Analyse der Freundesliste des Geräteinhabers im
Zusammenhang mit Nachrichten, Fotos, Suchverlauf, Geo-Koordinaten und anderen wichtigen
Informationen.
Messenger
Der Bereich "Messenger" enthält Teilbereiche mit Daten, die aus den beliebtesten
Messengern extrahiert wurden: Facebook Messenger, Kik, Skype, Telegram, Threema,
WeChat, Whatsapp, Viber usw.
WhatsApp
Produktivität
Oxygen Forensic® Detective unterstützt mobile Produktivitäts-Anwendungen für
Android- und Apple iOS-Plattformen, darunter Evernote, Dropbox, Google Translate, Google
Mail, iBooks, Remember The Milk, Yahoo Mail usw. Der Bereich "Produktivität" bietet auf
einen Blick Zugriff auf E-Mails, Aufgaben, Notizen, Kontoeinstellungen, geteilte Fotos und
Dokumente usw.
Evernote
Im Bereich "Evernote" können alle Notizen angezeigt werden, die vom
Geräteeigentümer erstellt, geteilt und synchronisiert wurden. Jede Notiz wird mit den Geo-
Koordinaten des Ortes aufbereitet, an dem sich der Geräteeigentümer zur Zeit der Erstellung
befand. Auch besteht die Möglichkeit, gelöschte Notizen zu untersuchen.
Internetbrowser
Der Bereich "Internetbrowser" ermöglicht es dem Benutzer, Cache-Dateien, eine Liste
von Internetseiten und heruntergeladene Dateien der beliebtesten mobilen Webbrowser
(vorinstallierte sowie Drittanbieter) zu extrahieren und zu untersuchen, wie Safari, Default
Android Web Browser, Dolphin, Google Chrome, Firefox, Opera, SkyFire usw.
Safari
Der Bereich zeigt den gesamten Browserverlauf sowie Lesezeichen und Web-Cache an.
Reisen
Dieser Bereich enthält Unterbereiche mit Daten aus den beliebtesten Reise-Apps: Delta
Airlines, Booking.com, Expedia, TripIt, SkyScanner usw.
Booking.com
Der Bereich zeigt alle Hotelbuchungen des Gerätebenutzers weltweit an sowie
Suchanfragen und Hotels, die zu den Favoriten hinzugefügt wurden.
Fitness
Der Bereich "Fitness" umfasst Unterbereiche mit Daten aus den beliebtesten Health &
Fitness-Anwendungen: Endomondo, Nike+ Running, RunKeeper, Runtastic. Diese
Anwendungen speichern sportliche Aktivitäten des Benutzers und eine Menge von Geo-
Koordinaten. Eine Analyse der Standorte des Benutzers kann für Ermittler von großem
forensischem Wert sein.
RunKeeper
Der Bereich "RunKeeper“ zeigt alle sportlichen Aktivitäten des Benutzers an, seine
Standorte und die Freunde, mit denen er seine sportlichen Leistungen teilt.
Finanzen
Die Bereich "Finanzen" enthält Unterbereiche mit Daten aus den beliebtesten Finanz-
Anwendungen wie Paypal und Qiwi Visa Wallet.
Paypal
Der Bereich "Paypal" zeigt alle Transaktionen im Paypal-Konto des Gerätebesitzers an.
Timeline
Im Bereich Timeline finden Sie Anrufe, Nachrichten, Kalendereinträge,
Anwendungsaktivitäten, Web-Verbindungs-Historien usw. in chronologischer Reihenfolge. So
kann der Nutzungsverlauf des Gerätes ohne den Wechsel zwischen verschiedenen Bereichen
analysiert werden. Der Timeline-Bereich kann für nur ein oder aber auch mehrere Mobilgeräte
verwendet werden, sodass Sie auch Gruppenaktivitäten in einer einzigen grafischen Ansicht
analysieren können. Die Daten können nach Datum, Nutzungsaktivität, Kontakten oder Geo-
Daten sortiert, gefiltert und gruppiert werden.
Unter der Registerkarte "GEO Timeline" können Experten Geo-Standortinformationen
vom Gerät abrufen und Orte lokalisieren, an denen der Verdächtige das Mobilgerät verwendet
hatte. Mithilfe der Schaltfläche "Maps und Routen" können Ermittler Routen erstellen und so
die Bewegungen des Geräteinhabers innerhalb eines festgelegten Zeitraums verfolgen.
Die Software bezieht die Geo-Standortinformationen aus verschiedenen Quellen wie
WLAN-Verbindungs-Historie, Anwendungsdaten und EXIF-Informationen, die in Fotos
gespeichert sind. Die Quelle der Geo-Koordinaten wird unter der Registerkarte "GEO
Timeline" angezeigt. Die Koordinaten stehen in einer separaten Spalte zur Verfügung, während
eine genaue Karte, die den Standort lokalisiert, in einem separaten Fenster angezeigt werden
kann.
Aggregierte Kontakte
Der Bereich Aggregierte Kontakte ermöglicht Forensikern, Kontakte aus vielfältigen
Quellen wie Telefonbuch, Nachrichten, Ereignisprotokoll und Anwendungen zu analysieren.
Angezeigt werden auch übereinstimmende Kontakte aus mehreren Geräten und
Gruppenkontakte, die in verschiedenen Anwendungen erstellt wurden.
Social Graph
Mit Social Graph können soziale Verbindungen zwischen dem Besitzer eines
Mobilgeräts und seinen Kontakten überprüft sowie Verbindungen zwischen mehreren
Gerätebesitzern untersucht werden. Social Graph ist sehr flexibel und kann so konfiguriert
werden, dass er entweder Kommunikationsstatistiken und Kommunikationskreise der am
häufigsten kontaktierten Kontakte für einen einzelnen Gerätnutzer anzeigt oder Verbindungen
zwischen mehreren Gerätebesitzern analysiert.
Durch die Verwendung von Social Graph haben Ermittler die Möglichkeit, gemeinsame
Kontakte verschiedener Geräte schnell zu ermitteln, ihre Interaktionen zu analysieren und zu
überprüfen, wie sie miteinander verknüpft sind. Das Diagramm ist anpassbar, sodass einzelne
Kontakte oder Gruppen mit ein- oder ausgeschlossen werden können und die Kommunikation
in bestimmten Apps anzeigbar ist.
Der Viewer ermöglicht es, Daten in der gesamten Datenbank zu durchsuchen, SQL-
Abfragen durchzuführen und Werte mithilfe eines integrierten Konverters in ein lesbares
Format zu konvertieren. SQLite-Datenbank-Berichte sind ebenfalls verfügbar.
Plist Viewer
Der Plist Viewer ermöglicht die Analyse von .plist-Dateien aus Geräten von Apple. Diese
Dateien enthalten Informationen über WLAN-Zugangspunkte, Kurzwahlen, den letzten
Mobilfunkanbieter, Apple Store-Einstellungen, Bluetooth-Einstellungen, globale
Anwendungseinstellungen usw.
Oxygen Forensic® Detective, Oxygen Forensic® Analyst und OxyAgent sind Marken von
Oxygen Forensics.
Windows 10, Windows 8, Windows 7, Windows Mobile und Windows Phone sind
eingetragene Warenzeichen der Microsoft Corporation.
Alle anderen Marken sind Eigentum der jeweiligen Unternehmen.
Website: http://www.oxygen-forensic.com
Email: support@oxygen-forensic.com
Telefon: +1 (877) 969-9436 (USA)