OXYGEN OXYGEN FORENSIC® DETECTIVE

FORENSICS GETTING STARTED

©2000-2017 Oxygen Forensics | http://www.oxygen-forensic.com

Inhaltsverzeichnis
Allgemeine Informationen ........................................................................................................ 3
Installation ................................................................................................................................. 4
Extrahieren von Informationen aus mobilen Geräten ............................................................... 6
Extraktion bei Android-Geräten ........................................................................................... 10
Logische Erfassung eines iOS-Geräts .................................................................................. 15
Datenextraktion bei Windows Phones ................................................................................. 15
Datenextraktion aus Sicherungen und Geräte-Abbildern ....................................................... 16
Anzeigen extrahierter Daten .................................................................................................... 17
Anwendungen .......................................................................................................................... 25
Analyse extrahierter Daten ...................................................................................................... 30
Timeline................................................................................................................................ 30
Aggregierte Kontakte ........................................................................................................... 31
Links und Statistiken ............................................................................................................ 31
Social Graph ......................................................................................................................... 32
Erweiterte Suchfunktionen ................................................................................................... 33
Key Evidence ....................................................................................................................... 34
Exportieren und Drucken von forensischen Berichten ........................................................... 34
Viewer ..................................................................................................................................... 36
SQLite Database Viewer ...................................................................................................... 36
Plist Viewer .......................................................................................................................... 36
Oxygen Forensic® Cloud Extractor ......................................................................................... 37
Oxygen Forensic® Call Data Expert ........................................................................................ 38
Oxygen Forensic® Maps .......................................................................................................... 39
Urheberrechte und Kontakt ..................................................................................................... 40

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Allgemeine Informationen

Oxygen Forensic® Detective ist eine mobile forensische Software für die Datenerfassung
von mobilen Geräten und Cloud-Speichern. Das Programm spielt eine bedeutende Rolle bei
Kriminaluntersuchungen weltweit und wird von Polizeibehörden, Militär, Zoll-, Steuer- und
weiteren Regierungsbehörden eingesetzt.

Mit Oxygen Forensic® Detective können Sie folgende Daten untersuchen und analysieren:
• Allgemeine Geräteinformationen
• Kontakte mit allen Feldern und Kontaktfotos
• Verpasste / ausgehende / eingehende Anrufe
• Organizer-Daten (Besprechungen, Termine, Memos, Jubiläen, Aufgaben, Notizen usw.)
• SMS, MMS, iMessages, E-Mails mit Anhängen
• Wörter im Gerätewörterbuch
• Fotos, Videos, Audiodateien und Sprachaufzeichnungen
• Geo-Koordinaten, die in verschiedenen Quellen gespeichert sind
• WLAN-Verbindungen
• Geräteprotokolle
• Kennwörter für die Konten des Gerätenutzers und WLAN-Hotspots
• Benutzerdaten von Applikationen auf Geräten mit Android, BB 10, Apple iOS,
Windows Phone 8
• Cloud-Daten, die in der iCloud, bei Google, in Microsoft-Konten, auf Social Media
Cloud-Speichern und weiteren Diensten gespeichert sind
• Anrufprotokolle von drahtlosen Anbietern empfangen
• Gelöschte Daten (Kontakte, Nachrichten, Anrufe, Fotos usw.)
• Soziale Interaktionen eines oder mehrerer Gerätebesitzer in einem Diagramm oder
Graphen dargestellt

Die Analyse der Informationen auf dem mobilen Gerät kann direkt vom Programm aus
oder mithilfe der erweiterten Exportfunktion erfolgen. Sie können Berichte in den gängigen
Dateiformaten (XLS, RTF, PDF, XML, CSV, TSV etc.) erstellen und diese entweder
ausdrucken oder an externe Abteilungen und Experten senden.
Das Programm verfügt über eine leistungsfähige eingebaute Suchmaschine. Sie können
die notwendigen Informationen in allen Abschnitten von Oxygen Forensic ® Detective mit
wenigen Mausklicks finden. Die Suchergebnisse werden zwischen den Sitzungen gespeichert
und können entweder exportiert oder gedruckt werden. Außerdem hilft Ihnen ein kontextueller
Filter in allen Abschnitten, die Daten so zu sortieren, wie Sie sie benötigen.
Darüber hinaus ermöglicht die Software, ausgelesene Daten in einer Datei zu speichern
und diese auf einem anderen Rechner in Oxygen Forensic® Viewer zu laden. Dafür müssen Sie
das zu untersuchende Smartphone verbinden und die Daten lediglich einmal extrahieren, um
die Informationen anschließend weiter zu senden, z. B. für die Analyse durch externe Experten.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Die aktuelle Version unterstützt mehr als 15000 mobile Geräte mit verschiedenen
Betriebssystemen: Android, Bada, Blackberry, iOS, MTK Chipsatz (chinesische Geräte),
Symbian, Windows Mobile 5/6, Windows Phone 8, Feature-Phone-Plattformen wie Sysol
Swift für Samsung, Legacy für Motorola etc.
Oxygen Forensic® Detective ermöglicht es, verschiedene Backup-Arten (iTunes,
Android, Nokia, BB, BB10 und IPD) sowie iOS- und Android-Abbilder, die von anderen
forensischen Tools erstellt wurden, zu importieren. Android, Windows Phone 8 JTAG und BB
10 Chip-Off Geräte-Abbilder werden ebenfalls unterstützt.
Oxygen Forensic® Detective unterstützt USB-Kabel und Bluetooth (Microsoft,
Widcomm). Die Software arbeitet auf 32-Bit- oder 64-Bit-Versionen von Windows 7,
Windows 8 und Windows 10.

Installation
Oxygen Forensic® Detective ist auf einem USB-Dongle erhältlich.
Sie haben die folgenden Auswahlmöglichkeiten während der Installation: Sie können den
Zielordner für die Installation von Oxygen Forensic ® Detective auswählen, Desktop- und
Quick Start-Symbole erstellen und die gewünschte Programmsprache einstellen. Anschließend
müssen Sie die Lizenzvereinbarung sorgfältig lesen und akzeptieren, wenn Sie damit
einverstanden sind:
Nachdem alle Optionen ausgewählt wurden, klicken Sie auf "Installieren", um die
Installation zu starten:

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Wenn die Installation abgeschlossen ist, können Sie das Treiber-Paket herunterladen und
Oxygen Forensic® Detective starten:

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Extrahieren von Informationen aus mobilen Geräten
Um ein mobiles Gerät erfassen zu können, müssen Sie sicherstellen, dass es von der
aktuellen Version der Software unterstützt wird und alle entsprechenden Treiber installiert
sind.

In der Hilfsdatei von Oxygen Forensic® Detective erfahren Sie, wie Sie im Einzelfall
vorgehen müssen.
Um Informationen zu extrahieren, müssen Sie zuerst das Gerät mit Computer verbinden,
auf dem die Software installiert ist. Wenn Sie eine Kabelverbindung verwenden, befestigen Sie

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

das Kabel am Gerät. Für eine Verbindung über Bluetooth müssen Sie die Bluetooth-Funktion
im Gerät aktivieren.
Klicken Sie auf die Schaltfläche "Neues Gerät anschließen" in Oxygen Forensic®
Detective und Oxygen Forensic® Extractor wird gestartet. Wählen Sie "Automatische
Geräteverbindung", damit ein Gerät, das über Kabel angeschlossen ist, automatisch erkannt
wird oder "Manuelle Geräteauswahl", um mehrere Geräte einzeln anzuschließen oder über
Bluetooth zu verbinden. Die Liste der verfügbaren Verbindungstypen hängt von den
Funktionen des Mobilgeräts und der auf Ihrem Computer installierten Hardware ab.

Um die Bildschirmsperre zu umgehen und physische Datenextraktion auf einem

unterstützten Android-Gerät durchzuführen, wählen Sie die dritte Option "Physische
Datenerfassung". Diese Methode ermöglicht die Umgehung der Bildschirmsperre bei Android-
Geräten von LG und MTK. Um diese Methode zu verwenden, wählen Sie entweder den MTK-
oder den LG-Hyperlink. Anschließend werden Ihnen Anweisungen zur Vorbereitung des
Android-Geräts angezeigt. Passwortumgehung ist auch beim Erwerb von Spreadtrum Android
Dumps und Samsung Android Dumps über die benutzerdefinierte forensische
Wiederherstellung möglich.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Oxygen Forensic® Extractor beginnt mit der Suche nach dem Gerät:

Sobald die Verbindung hergestellt ist, zeigt das Programm die Geräteinformationen an:

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Das nächste Fenster fordert Sie auf, Informationen über das Gerät, seinen Besitzer und
den zugehörigen Fall einzugeben. Wenn das Gerät mit einem bekannten Passwort gesperrt ist,
können Sie es an dieser Stelle eingeben.

Sie können auch auswählen, ob Anwendungsdatenbanken durchsucht und Informationen

für analytische Abschnitte wie Aggregierte Kontakte, Verknüpfungen und Statistiken, Social
Graph, Timeline usw. gesammelt werden sollen. Das können Sie auch später in Oxygen
Forensic® Detective tun, wenn Sie während der Datenextraktion Zeit sparen müssen.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Wählen Sie die Informationen aus, die von Oxygen Forensic® Extractor ausgelesen
werden sollen. Bitte beachten Sie, dass die Liste der verfügbaren Abschnitte von den
Funktionen des Mobilgeräts abhängt.

Wenn alle Daten extrahiert wurden, können Sie entweder das Gerät zum Anzeigen und
Analysieren von Daten öffnen oder den Export- und Druck-Assistenten ausführen, wenn Sie
einen Bericht über das Gerät benötigen. Beachten Sie, dass Sie den Export- oder Druck-
Assistenten jederzeit ausführen können, wenn Sie mit Geräteinformationen arbeiten.

Extraktion bei Android-Geräten

Android Backup
Diese Methode wird bei Android-Geräten ab der Version 4.0 und neuer verwendet. Sie
müssen sicherstellen, dass das Gerät mit keiner PIN oder Passwort gesperrt ist.
Gerät verbinden-Taste > Schnelles Backup / Image-Extraktion > Android Backup
Gerät verbinden Taste > Automatische Geräteverbindung / Manuelle Geräteauswahl.
Die Software wird versuchen, die Daten des angeschlossenen Geräts über ein ADB-Backup
zu erfassen, wenn ein Zugriff auf das Root-Verzeichnis nicht möglich ist.

OxyAgent
Die Software kommuniziert mit dem Android-Gerät über ADB, um ein logisches Abbild
zu erhalten. Sie müssen sicherstellen, dass die korrekten Treiber installiert sind, damit die
ADB-Kommunikation stattfinden kann. OxyAgent wird auf dem Android-Gerät installiert,
um eine Extraktion der maximalen Datenmenge zu ermöglichen. Sie müssen das Android-
Gerät so konfigurieren, dass der USB-Debugging-Modus aktiviert ist, bevor Sie die Software
starten:

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Gehen Sie wie folgt vor:
• Prüfen Sie, ob das Gerät mit einer Passcode- / Mustersperre verriegelt ist.
• Aktivieren Sie USB DEBUGGING / STAY AWAY im Menü EINSTELLUNGEN >
ANWENDUNGEN > ENTWICKLUNG
• Aktivieren Sie UNKNOWN SOURCES in EINSTELLUNGEN > ANWENDUNGEN
• Stellen Sie sicher, dass die Speicherkarte mindestens 512 MB groß ist. OxyAgent wird
den Platz benötigen, um temporäre Dateien zu speichern. Die temporären Dateien werden
nach Abschluss der Extraktion entfernt.

Physikalische Methoden für Android mit Rooting

Beim Rooten eines Geräts mit einem Android-Betriebssystem werden dem Ermittler die
vollständigen Benutzerdaten offenbart. Im Allgemeinen braucht dieses Verfahren bestimmte
Kenntnisse, Oxygen Forensic®-Produkte jedoch erledigen dies automatisch für Sie. Die
Software verwendet eine proprietäre Anwendung, um Root-Rechte auf Android-Geräte zu
erhalten. Das temporäre Rooten bietet vollen Zugriff auf alle Geräteordner und Unterordner
und zeigt ihren Inhalt im Dateibrowser an. Obwohl es keine hundert prozentige
Erfolgsgarantie gibt, gilt das Rooting-Modul für die folgenden Android-Versionen als sehr
zuverlässig: 1. *, 2.0 -2.3.4, 3.0 -3.1, 4.0 -5.1). Das Rooting wird beim Neustart entfernt.
Einige wichtige Schritte müssen für ein erfolgreiches Rooting beachtet werden:
• Verbinden Sie das Android-Gerät über ein USB-Kabel mit einer laufenden Oxygen-
Software. Verwenden Sie die AUTOMATISCHE, MANUELLE oder SCHNELLES
BACKUP / IMAGE-EXTRAKTION.
• OxyAgent wird automatisch geladen.
• Die Firmware-Version wird automatisch überprüft.
• Wenn das Gerät gerootet werden kann, sehen Sie eine Eingabeaufforderung. Beachten
Sie, dass es möglich ist, das Rooting abzulehnen und nur verfügbare Daten zu extrahieren.
• Das Exploitverfahren wird gestartet. In den data/data und data/misc-Ordnern
gespeicherte Informationen werden automatisch extrahiert.
• Das Verfahren ist beendet. Trennen Sie das Gerät und starten Sie es neu. Es werden
keine Spuren vom Rooting übrig bleiben.
• Nach dem Rooting zeigt der Dateibrowser eine detaillierte Ansicht des Dateisystems
an.

Physikalische Methoden für Android ohne Rooting

Oxygen Forensic® Detective bietet nicht-invasiven Support für ausgewählte Android-
Geräte, auch wenn Rooting nicht möglich ist. Wenn das Gerät unterstützt wird, können Sie zu
Oxygen Forensic® Extractor navigieren und PHYSISCHE DATENERFASSUNG auswählen.
Sie können MTK Android Dumps, LG Android Dumps, Spreadtrum Android Dumps
und Android Dumps der neuesten Samsung Geräte (über die benutzerdefinierte forensische
Wiederherstellung) erfassen. Sie müssen die Verbindungsschritte befolgen und sicherstellen,
dass sich das Gerät in der Liste der unterstützten Geräte befindet.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

MTK Android Dump
Stellen Sie sicher, dass Sie die Anschlussanweisungen befolgen.

In diesem Fall wird der benutzerdefinierte Bootloader installiert, der die Befehle enthält,
damit der Telefonspeicher ausgelesen werden kann. Er arbeitet mit dem Arbeitsspeicher und
hat keine Auswirkungen auf die Telefondaten. Bitte beachten Sie, dass Sie es bei Smartphones
mit gesperrtem Bootloader nicht verwenden können. Wenn der Bootloader gesperrt ist, wird
"Connect Err = 1013" in den Protokolldateien ausgegeben.

LG Android Dump

Stellen Sie sicher, dass Sie die Anschlussanweisungen befolgen.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Spreadtrum Android Dump
Vergewissern Sie sich, dass Sie die Anschlussanweisungen befolgen. Die Liste der
unterstützten Geräte wird vor der Extraktion angezeigt und Sie müssen das Modell auswählen.

In diesem Fall wird der benutzerdefinierte Bootloader installiert, der die Befehle enthält,
damit der Telefonspeicher ausgelesen werden kann. Er arbeitet mit dem Arbeitsspeicher und
hat keine

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Auswirkungen auf die Telefondaten.

Samsung Android Phones über benutzerdefinierte forensische Wiederherstellung

Bitte wählen Sie Samsung Android Dump unter Physische Datenerfassung des Extractors
aus.

Die Liste der unterstützten Geräte wird vor der Extraktion angezeigt und Sie müssen das
Modell auswählen.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Logische Erfassung eines iOS-Geräts
Erweitert-logisch
Die erweiterte logische Datenextraktion von iOS-Geräten wird für iOS-Geräte mit
passwortgeschützter iTunes-Sicherung ohne Jailbreak empfohlen. Sie umgeht den iTunes-
Backup-Schutz durch die Nutzung erweiterter logischer Protokolle und erwirbt mehr
Anwendungsdaten als Standard iTunes-Backup-Verfahren. Dadurch bietet diese Methode
Zugriff auf Anwendungs-Cache und Protokolldateien sowie zusätzliche Benutzerdaten.

Klassisch-logisch
Diese Methode wird für alle iOS-Geräte empfohlen und verwendet zur Datenerfassung
die iTunes-Backup-Prozedur. Wenn das iTunes-Backup verschlüsselt ist, versucht die
Software, mithilfe verschiedener unterstützter Angriffe (Brute-Force, Wörterbuchangriff usw.)
das Passwort zu ermitteln. Die Methode liefert genügend Benutzerdaten, einschließlich
gelöschter Datensätze und Anwendungen.
Datenextraktion bei Windows Phones
Es gibt zwei Möglichkeiten für die Datenextraktion bei Windows Phone 7 und 8 Geräten:

1. Mit der ersten Methode können Kontakte und SMS-Nachrichten aus dem Windows Phone
Cloud-Speicher ausgelesen warden. Oxygen Forensic® Detective erhält Zugriff auf diese
Daten in der Windows Phone Cloud (http://www.windowsphone.com/en-us/how-
to/wp8/basics/what-is-the-cloud) über HTTPS-Protokolle, sofern die Anmeldeinformationen
für ein Microsoft-Konto bekannt sind (http://windows.microsoft.com/en-us/windows-
live/sign-in-what-is-microsoft-account).

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

2. Mit der zweiten Methode erhält man über ein Kabel Zugriff auf Mediendateien und über
eine Microsoft Bluetooth-Verbindung auf Telefonbuch-Kontakte sowie eingehende und
ausgehende Anrufe. In diesem Fall werden die Daten von einem lokal angeschlossenen Gerät
über Kabel und Bluetooth erfasst. Es wird empfohlen, das Ergebnis beider Methoden für ein
vollständiges forensisches Bild zu kombinieren.

Datenextraktion aus Sicherungen und Geräte-Abbildern

Oxygen Forensic® Detective unterstützt nicht nur die Live-Datenextraktion, sondern
bietet Ihnen auch die Möglichkeit, Backups und Geräte-Abbilder, die von anderen
forensischen Programmen generiert wurden, zu importieren. Unterstützt werden die
folgenden Backup-Arten:

• Oxygen Backup (OFB-Datei)

• Oxygen Cloud Backup (OCB-Datei)
• iTunes Backup
• Apple Backup / Abbild
• Nicht verschlüsseltes Apple DMG Abbild
• Apple Dateisystem Tartball / Zip
• Entschlüsselte / verschlüsselte Elcomsoft DMG
• Entschlüsselte / verschlüsselte Lantern DMG
• XRY DMG
• UFED DMG
• UFED Dateisystem-Backup
• UFED Erweiterte logische Sicherung
• Apple Production DMG Abbild
• Windows Phone 8 JTAG Abbild
• Android Backup / Abbild
• Android ADB Backup
• Dateisystem-Abbildordner
• Android Physisches Abbild (JTAG)
• Android TOT Abbild
• Nandroid Backup (CWM)
• UFED Physisches Abbild
• UFED Dateisystem-Backup
• Nandroid Backup (TWRP)
• Dateisystem Tartball / ZIP
• BlackBerry 10 Backup / 10 Chip-Off
• Blackberry Backup
• BBB
• IPD
• Nokia Backup

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Drücken Sie die Schaltfläche "Backup-Datei importieren" auf der Hauptsymbolleiste,
um ein Backup zu importieren und zu durchsuchen:

Anzeigen extrahierter Daten

Im Abschnitt Geräte werden alle Geräte, die verbunden sind, sowie Aktionen, die für sie
verfügbar sind, aufgelistet.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Desktop-Ansicht: Geräte und Fälle

Sobald die Desktop-Ansicht gestartet wurde, können Sie auf der linken Seite die Geräte
sehen, die Sie ermittelt haben. Sobald Sie ein Gerät einem bestimmten Fall zugeordnet haben,
wird der Fallname ebenfalls angezeigt.

Desktop-Ansicht: Befehlszeile
Die Befehlszeile befindet sich über der Desktop-Ansicht des Hauptfensters und enthält
Schaltflächen.

Gerät verbinden
Mit dieser Schaltfläche können Sie den Extractor mit automatischer Geräteverbindung
starten oder Optionen für die schnelle Sicherung / Extraktion auswählen.

Datei importieren
Mit dieser Schaltfläche können Sie verschiedene Backups importieren.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Schaltfläche zum Öffnen von Fällen
Mit dieser Schaltfläche können Sie die Geräte verwalten, indem Sie sie Fällen zuordnen,
und den Datenbankspeicher für die erfassten Geräte ändern.

Fall speichern - ermöglicht es, einen erstellten Fall mit einer .ofb-Erweiterung zu
speichern.
Fall hinzufügen - ermöglicht die Erstellung eines neuen Falles durch Hinzufügen eines
Fallnamens und Fallnotizen.
Fall entfernen - entfernt den ausgewählte Fall oder die ausgewählten Geräte aus der
Oxygen Forensic Software.
Gerät speichern - speichert Informationen zu Geräten in einer .ofb-Sicherungsdatei. Die
Datei kann verwendet werden, um später Informationen mit dem Extractor
wiederherzustellen.
Gerät entfernen - entfernt ausgewählte Geräte aus der Liste.
Geräte-Speicher - ermöglicht das Speichern von Software-Datenbank auf einem anderen
Datenträger. Verwenden Sie es, wenn Sie ein bestimmtes Laufwerk haben, um die Datenbank
zu verwalten (z. B. ein austauschbares Flash-Laufwerk) oder wenn Sie nicht genügend freien
Speicherplatz haben.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Speichern im Archiv
Mit dieser Schaltfläche können Sie erfasste Geräte mit einer .ofb-Erweiterung speichern,
um sie mit einem Kollegen zu teilen, der auch über ein Oxygen-Produkt verfügt.

Analyse
Sie haben die Option für schnellen Zugriff auf alle analytischen Funktionen der
Software.

Export/Drucken
Druckt Gerätedaten, damit Sie bestimmte Abschnitte und Anwendungen auswählen oder
nur die Daten des Abschnittes Key Evidence exportieren können.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Sie können Geräteinformationen in einem separaten Fenster anzeigen. Dieser Abschnitt
enthält auch zusammengefasste Informationen über alle Besitzerkonten des Gerätes in
verschiedenen sozialen Netzwerken, Messenger und anderen Diensten.

Der Abschnitt Telefonbuch enthält Kontaktlisten mit persönlichen Bildern,

benutzerdefinierten Feldbeschriftungen und Kurzwahlen:

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Im Abschnitt Kalender werden alle Besprechungen, Geburtstage, Erinnerungen und
weitere Ereignisse angezeigt:

Im Abschnitt Aufgaben werden alle Aufgaben mit Prioritätsmarkierungen und deren

Datum / Uhrzeit angezeigt:

Im Bereich Notizen werden Notizen inklusive Datum und Uhrzeit ihrer Erstellung
angezeigt:

SMS, MMS, E-Mail, iMessages und Nachrichten anderer Art werden im Bereich
Nachrichten angezeigt:

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Bereits gelöschte Nachrichten aus Apple iOS- und Android-Geräten werden ebenfalls im
Bereich "Nachrichten" angezeigt, mit blauer Farbe markiert und durch ein "Papierkorb"-
Symbol gekennzeichnet. Sie werden automatisch aus SQLite-Datenbanken wiederhergestellt.
Im Bereich Datei-Browser haben Sie Zugriff auf das gesamte Dateisystem des mobilen
Geräts, einschließlich Fotos, Videos, Sprachaufzeichnungen und weiterer Dateien. Die
Wiederherstellung von gelöschten Dateien ist ebenfalls möglich, hängt aber in hohem Maße
von der Geräteplattform ab (unterstützt physikalische Dumps (Android), WP JTAG-Abbilder,
BlackBerry Chip-off usw.):

Der Verlauf eingehender, ausgehender, verpasster bzw. Facetime-Anrufe, versandte und

empfangene SMS und MMS sowie GPRS und WLAN-Sitzungen sind im Bereich

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Ereignisprotokoll verfügbar.

Gelöschte Anrufe aus Apple iOS- und Android-Geräten werden ebenfalls im Bereich
Ereignisprotokoll angezeigt, mit blauer Farbe markiert und durch ein "Papierkorb"-Symbol
gekennzeichnet.

Webverbindungen
Der Bereich Webverbindungen zeigt alle Verbindungen zum Internet in einer Liste an
und bietet Informationen zu Hotspots auf einer Karte. Die Liste zeigt an, wann und wo der
Verdächtige den Internetzugang benutzt hat, wodurch sein Standort ermittelt werden kann.
Es ist also möglich, alle WLAN-Verbindungen zu überprüfen. Die Software von Oxygen
Forensic® extrahiert die ungefähre geografische Position des Ortes, an dem eine WLAN-
Verbindung verwendet wurde. Mini Google Maps werden anhand von SSID-, BSSID- und
RSSI-Informationen generiert, die vom mobilen Gerät ausgelesen wurden.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Passwörter
Die Software extrahiert Informationen aus der Keychain-Datei, die sensible und
forensisch nützliche Informationen enthält. Sie gewährt Zugriff auf sicher gespeicherte Daten
wie Passwörter, E-Mail-Konten, Websites und bestimmte Drittanbieter-Software sowie andere
sensible Daten. Darüber hinaus werden auch nicht-verschlüsselte Passwörter ausgelesen und
auf der ersten Registerkarte "Anwendungen" angezeigt.

Passwörter können aus Apple iOS-, Android- und Windows Phone 8 Geräten extrahiert
werden.

Anwendungen
Im Bereich Anwendungen werden detaillierte Informationen zu System- und
Benutzeranwendungen angezeigt, die in Apple iOS-, Android-, BlackBerry 10- und Windows
Phone 8-Geräten installiert sind. Derzeit werden 340 Original-Anwendungen und 2600+ App-
Versionen unterstützt.

Darunter sind die beliebtesten Apps wie Twitter, Facebook, Instagram, Youtube,
Foursquare, WhatsApp, YouTube, Kick Messenger, LinkedIn, Viber, Skype und viele andere.
Der Bereich enthält eine spezielle Registerkarte mit Benutzerdaten. Diese umfasst Daten der

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Anwendung, die für eine komfortable Analyse vorbereitet wurden (Passwörter, Logins, alle
Nachrichten und Kontakte, Geo-Koordinaten, besuchte Orte mit Koordinaten und Karten,
gelöschte Daten usw.)
"Anwendungen" bietet außerdem folgende Funktionen:
• Die Registerkarte "Anwendungs-Informationen" zeigt das gesamte Anwendungs-
Register an, aus dem Daten ausgelesen werden.
• Die Registerkarte "Anwendungs-Dateien" enthält alle Dateien, die mit der App
verknüpft sind (.plist, .db, .png usw.)
Die Anwendungen sind für eine bequemere Nutzung in mehrere Gruppen auf dem
Programm-Desktop aufgeteilt.For your convenience applications are divided into several
groups on program Desktop.

Soziale Netzwerke
Der Bereich "Soziale Netzwerke" enthält Teilbereiche mit Daten aus beliebten Social
Network-Anwendungen wie Facebook, Instagram, Twitter, Google+, LinkedIn, Snapchat,
Tinder, usw.
Facebook
Dieser Bereich ermöglicht die Analyse der Freundesliste des Geräteinhabers im
Zusammenhang mit Nachrichten, Fotos, Suchverlauf, Geo-Koordinaten und anderen wichtigen
Informationen.

Messenger
Der Bereich "Messenger" enthält Teilbereiche mit Daten, die aus den beliebtesten
Messengern extrahiert wurden: Facebook Messenger, Kik, Skype, Telegram, Threema,
WeChat, Whatsapp, Viber usw.
WhatsApp

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Hier können Kontaktliste, Nachrichten, geteilte Daten und weitere Informationen
eingesehen werden. Gelöschte Nachrichten sind mit wenigen Mausklicks in der SQLite-
Datenbank rechts im Bereich "WhatsApp" zu finden.

Produktivität
Oxygen Forensic® Detective unterstützt mobile Produktivitäts-Anwendungen für
Android- und Apple iOS-Plattformen, darunter Evernote, Dropbox, Google Translate, Google
Mail, iBooks, Remember The Milk, Yahoo Mail usw. Der Bereich "Produktivität" bietet auf
einen Blick Zugriff auf E-Mails, Aufgaben, Notizen, Kontoeinstellungen, geteilte Fotos und
Dokumente usw.
Evernote
Im Bereich "Evernote" können alle Notizen angezeigt werden, die vom
Geräteeigentümer erstellt, geteilt und synchronisiert wurden. Jede Notiz wird mit den Geo-
Koordinaten des Ortes aufbereitet, an dem sich der Geräteeigentümer zur Zeit der Erstellung
befand. Auch besteht die Möglichkeit, gelöschte Notizen zu untersuchen.

Internetbrowser
Der Bereich "Internetbrowser" ermöglicht es dem Benutzer, Cache-Dateien, eine Liste
von Internetseiten und heruntergeladene Dateien der beliebtesten mobilen Webbrowser
(vorinstallierte sowie Drittanbieter) zu extrahieren und zu untersuchen, wie Safari, Default
Android Web Browser, Dolphin, Google Chrome, Firefox, Opera, SkyFire usw.
Safari
Der Bereich zeigt den gesamten Browserverlauf sowie Lesezeichen und Web-Cache an.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Navigation
Der Bereich "Navigation" enthält Teilbereiche mit Daten aus den gängigsten Navigations-
Apps: Apple Maps, Google Maps, Yandex Maps, Here Maps usw.
Google Maps
Im "Google Maps"-Bereich werden alle Such- und Routenprofile gespeichert, die vom
Geräteeigentümer erstellt wurden.

Reisen
Dieser Bereich enthält Unterbereiche mit Daten aus den beliebtesten Reise-Apps: Delta
Airlines, Booking.com, Expedia, TripIt, SkyScanner usw.
Booking.com
Der Bereich zeigt alle Hotelbuchungen des Gerätebenutzers weltweit an sowie
Suchanfragen und Hotels, die zu den Favoriten hinzugefügt wurden.

Fitness
Der Bereich "Fitness" umfasst Unterbereiche mit Daten aus den beliebtesten Health &
Fitness-Anwendungen: Endomondo, Nike+ Running, RunKeeper, Runtastic. Diese
Anwendungen speichern sportliche Aktivitäten des Benutzers und eine Menge von Geo-
Koordinaten. Eine Analyse der Standorte des Benutzers kann für Ermittler von großem
forensischem Wert sein.
RunKeeper
Der Bereich "RunKeeper“ zeigt alle sportlichen Aktivitäten des Benutzers an, seine
Standorte und die Freunde, mit denen er seine sportlichen Leistungen teilt.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Multimedia
Der Bereich "Multimedia" enthält Unterbereiche mit Daten aus den beliebtesten
Multimedia-Apps: Hide It Pro, YouTube usw.
Hide It Pro
Der Bereich "Hide It Pro" zeigt Mediendateien (Bilder und Videos) an, die vom
Gerätebesitzer ausgeblendet wurden. Um sie auf dem Gerät sehen zu können, ist ein Passwort
erforderlich. Die Software von Oxygen Forensic® gewährt Zugriff auf diese versteckten Daten,
indem sie das Passwort umgeht.

Finanzen
Die Bereich "Finanzen" enthält Unterbereiche mit Daten aus den beliebtesten Finanz-
Anwendungen wie Paypal und Qiwi Visa Wallet.
Paypal
Der Bereich "Paypal" zeigt alle Transaktionen im Paypal-Konto des Gerätebesitzers an.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Spyware
Oxygen Forensic® Detective und Oxygen Forensic® Analyst erkennen Spyware-Apps auf
Android- und Apple iOS-Geräten (mit Jailbreak) und untersuchen deren Log- und
Konfigurationsdateien. Die Anwesenheit von Spyware auf einem Mobilgerät kann bedeuten,
dass die Aktivitäten des Gerätenutzers von Dritten überwacht wurden.

Spyware-Produkte sammeln und übertragen wesentliche Informationen über Routine-

Aktivitäten des Gerätebesitzers. Die Informationen, die so aus Protokolldateien gewonnen
werden, können Konfigurationsdaten einer Anwendung, eine Liste der laufenden Dienste, den
Anwendungsbenutzernamen und manchmal auch einen einzigartigen Code enthalten, der die
Lokalisierung der App, der zum Zeitpunkt der Datenübertragung verwendete ID und der
zugehörigen GPS-Protokolle mit Geo-Koordinaten und einem Zeitstempel ermöglicht. Durch
die Analyse von Spyware-Protokollen können forensische Spezialisten Zugriff auf zusätzliche
Informationen erhalten, die für eine Untersuchung von großem Nutzen sein könnten.

Analyse extrahierter Daten

Oxygen Forensic® Detective und Oxygen Forensic® Analyst enthalten eine Reihe von
einzigartigen analytischen Bereichen: Aggregierte Kontakte, Links und Statistiken, Social
Graph, Timeline, Oxygen Forensic® Maps usw.

Timeline
Im Bereich Timeline finden Sie Anrufe, Nachrichten, Kalendereinträge,
Anwendungsaktivitäten, Web-Verbindungs-Historien usw. in chronologischer Reihenfolge. So
kann der Nutzungsverlauf des Gerätes ohne den Wechsel zwischen verschiedenen Bereichen
analysiert werden. Der Timeline-Bereich kann für nur ein oder aber auch mehrere Mobilgeräte
verwendet werden, sodass Sie auch Gruppenaktivitäten in einer einzigen grafischen Ansicht
analysieren können. Die Daten können nach Datum, Nutzungsaktivität, Kontakten oder Geo-
Daten sortiert, gefiltert und gruppiert werden.
Unter der Registerkarte "GEO Timeline" können Experten Geo-Standortinformationen
vom Gerät abrufen und Orte lokalisieren, an denen der Verdächtige das Mobilgerät verwendet
hatte. Mithilfe der Schaltfläche "Maps und Routen" können Ermittler Routen erstellen und so
die Bewegungen des Geräteinhabers innerhalb eines festgelegten Zeitraums verfolgen.
Die Software bezieht die Geo-Standortinformationen aus verschiedenen Quellen wie
WLAN-Verbindungs-Historie, Anwendungsdaten und EXIF-Informationen, die in Fotos
gespeichert sind. Die Quelle der Geo-Koordinaten wird unter der Registerkarte "GEO
Timeline" angezeigt. Die Koordinaten stehen in einer separaten Spalte zur Verfügung, während
eine genaue Karte, die den Standort lokalisiert, in einem separaten Fenster angezeigt werden
kann.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 In diesem Bereich können auch verschiedene analytische Diagramme erstellt werden,
durch die die Aktivitäten des Benutzers innerhalb eines bestimmten Zeitraums dargestellt
werden können, beispielsweise mit welchen Personen er am meisten Kontakt hatte und welche
Anwendungen dafür verwendet wurden.

Aggregierte Kontakte
Der Bereich Aggregierte Kontakte ermöglicht Forensikern, Kontakte aus vielfältigen
Quellen wie Telefonbuch, Nachrichten, Ereignisprotokoll und Anwendungen zu analysieren.
Angezeigt werden auch übereinstimmende Kontakte aus mehreren Geräten und
Gruppenkontakte, die in verschiedenen Anwendungen erstellt wurden.

Links und Statistiken

Der Bereich Links und Statistiken ist ein Tool, das soziale Verbindungen zwischen
Gerätebesitzern und ihren Kontakten durch Analyse von Anrufen, SMS-Nachrichten und
Messenger-Aktivitäten untersucht.
Die Tabellenansicht bietet eine detaillierte Analyse der Kommunikation des
Gerätenutzers einschließlich aller seiner Kontakte und Telefonnummern zusammen mit der
Kommunikationsdauer und fasst so alle wichtigen Daten zusammen.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Die Diagrammansicht bietet einen schnellen Überblick der Kommunikationskreise dar,
sodass forensische Experten die Mitteilungen der Verdächtigen auf einen Blick erfassen und
analysieren können.

Darüber hinaus können gemeinsame Kontakte und Kommunikations-Aktivitäten

zwischen erkannten Gruppen der Verdächtigen bestimmt werden.

Social Graph
Mit Social Graph können soziale Verbindungen zwischen dem Besitzer eines
Mobilgeräts und seinen Kontakten überprüft sowie Verbindungen zwischen mehreren
Gerätebesitzern untersucht werden. Social Graph ist sehr flexibel und kann so konfiguriert
werden, dass er entweder Kommunikationsstatistiken und Kommunikationskreise der am
häufigsten kontaktierten Kontakte für einen einzelnen Gerätnutzer anzeigt oder Verbindungen
zwischen mehreren Gerätebesitzern analysiert.
Durch die Verwendung von Social Graph haben Ermittler die Möglichkeit, gemeinsame
Kontakte verschiedener Geräte schnell zu ermitteln, ihre Interaktionen zu analysieren und zu
überprüfen, wie sie miteinander verknüpft sind. Das Diagramm ist anpassbar, sodass einzelne
Kontakte oder Gruppen mit ein- oder ausgeschlossen werden können und die Kommunikation
in bestimmten Apps anzeigbar ist.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Erweiterte Suchfunktionen
Oft werden bestimmte Textpassagen, eine Person oder eine Telefonnummer unter der
ausgelesenen Information aus einem mobilen Gerät gesucht. Oxygen Forensic ® Detective
bietet eine erweiterte Suchmaschine.
Die umfassende Suchfunktion ermöglicht es, Benutzerdaten in jedem Bereich des Geräts
zu durchsuchen. Mit dem Tool kann nach Textpassagen, Telefonnummern, E-Mails, Geo-
Koordinaten, IP-Adressen, MAC-Adressen oder Kreditkartennummern gesucht werden. Ein
Wörterbuch mit regelmäßig benutzen Ausdrücken steht für weitere benutzerdefinierte Suchen
zur Verfügung.
Experten können Daten in nur einem Gerät, in den Geräten eines Falles oder in allen
erworbenen Geräten suchen. Sie können die Bereiche auswählen, die durchsucht werden sollen,
boolesche Ausdrücke anwenden oder beliebige vordefinierte Muster auswählen.
Der Keyword-Listen-Manager ermöglicht die Erstellung eines benutzerdefinierten Satzes
an Begriffen und führt eine Suche nach all diesen Begriffen gleichzeitig aus. Das kann
beispielsweise eine Liste von Namen sein oder eine Sammlung von anstößigen Wörtern und
Phrasen.
Das Tool speichert alle Ergebnisse und bietet Drucken und Aufbereiten von Berichten für
beliebig viele Suchvorgänge.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Key Evidence
Der Bereich Key Evidence bietet eine übersichtliche Ansicht der als wichtig markierten
Beweise. Forensische Fachleute können bestimmte Elemente aus verschiedenen Bereichen als
wesentliche Beweise markieren und dann alle gleichzeitig unabhängig von ihrem
ursprünglichen Standort überprüfen. "Key Evidence" ist eine Ansicht, die ausgewählte
Elemente aus allen in Oxygen Forensic® verfügbaren Bereichen anzeigen kann. Der Bereich
bietet die Möglichkeit, relevante Informationen auf einen Blick zu untersuchen, die eigenen
Anstrengungen auf das Wesentliche zu konzentrieren und ablenkende, weniger wichtige Daten
herauszufiltern.

Exportieren und Drucken von forensischen Berichten

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Es können Berichte gedruckt werden, die alle ausgelesenen Informationen aus dem
Mobilgerät enthalten. Es ist ebenfalls möglich, nur bestimmte Bereiche auszudrucken.
Forensische Berichte können auch in verschiedene Dateiformate exportiert werden (PDF,
Microsoft Excel, Rich Text Format usw.).

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Viewer
Oxygen Forensic® Detective und Oxygen Forensic® Analyst enthalten Viewer, die sowohl
Datenbank- als auch .plist- und Backup-Dateien öffnen können.

SQLite Database Viewer

Der SQLite Database Viewer ermöglicht die Analyse von Datenbankdateien im SQLite-
Format aus Apple-, Android-, Windows Phone- und BlackBerry-Geräten. Diese Dateien
enthalten Informationen zu Nachrichten, Notizen, Anrufen, Anwendungen usw. Im
Hauptfenster des Viewers sind Tabellen mit verschiedenen Informationen aufgeführt:

Der Viewer ermöglicht es, Daten in der gesamten Datenbank zu durchsuchen, SQL-
Abfragen durchzuführen und Werte mithilfe eines integrierten Konverters in ein lesbares
Format zu konvertieren. SQLite-Datenbank-Berichte sind ebenfalls verfügbar.

Plist Viewer
Der Plist Viewer ermöglicht die Analyse von .plist-Dateien aus Geräten von Apple. Diese
Dateien enthalten Informationen über WLAN-Zugangspunkte, Kurzwahlen, den letzten
Mobilfunkanbieter, Apple Store-Einstellungen, Bluetooth-Einstellungen, globale
Anwendungseinstellungen usw.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Oxygen Forensic® Cloud Extractor
Oxygen Forensic® Cloud Extractor ist ein Tool, mithilfe dessen Daten aus mehr als 25
Cloud-Speichern erfasst werden können:
 iCloud data
 Google data
 Microsoft data
 Social media data
 Cloud storages data
Forensische Experten benutzen entweder Konto-Anmeldeinformationen oder Token, um
sich in ein Cloud-Konto einzuloggen, um daraus Daten zu gewinnen. Extrahierte
Anmeldeinformationen und Token aus einem mobilen Gerät werden im Bereich "Cloud-
Konten" in Oxygen Forensic® Detective organisiert und angezeigt. Es hängt vom jeweiligen
Cloud-Dienst ab, ob ein Kennwort, ein Token oder beide verwendet werden sollen.

Im Bereich "Cloud-Konten" haben Sie zwei Möglichkeiten:

 Auslesen der Daten mit Cloud Extractor
 Speichern der Kontodaten als OCB-Datei und späterer Import für die Analyse in den
Cloud Extractor
Vor dem Zugriff auf die Cloud-Daten validiert Oxygen Forensic® Detective die erfassten
Anmeldeinformationen. Sie können auswählen, welche Dienste und welche Dateien von
welchem Datum Sie erfassen möchten.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

 Nach dem Erfassen der Cloud-Daten können diese in Oxygen Forensic® Detective
eingesehen und mit anderen extrahierten Daten zur Tiefenanalyse in Timeline, Social Graph
und anderen analytischen Tools zusammengeführt werden.

Oxygen Forensic® Call Data Expert

Oxygen Forensic® Call Data Expert ist ein forensisches Programm, das CDR-Dateien
(Call Data Records), die von Mobilfunkanbietern empfangen werden, unabhängig vom
Dateiformat importiert und analysiert. Oxygen Forensic® Call Data Expert führt bequem durch
die Konvertierung in ein einheitliches Format. Anschließend können die Ergebnisse eingesehen
und analysiert sowie direkte und indirekte Verbindungen zwischen den Anrufern in einer
Grafik aufgezeigt werden. Es ist möglich, die Ergebnisse anschließend in externen Dateien auf
dem PC zu speichern.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Oxygen Forensic® Maps
Oxygen Forensic® Maps bietet erweiterte analytische Fähigkeiten für die Geo-
Datenanalyse, einschließlich:
• Identifikation von häufig besuchten Orten des Gerätebesitzers
• Anzeigen der Bewegungen des Benutzers innerhalb eines bestimmten Zeitraums
• Feststellung gemeinsamer Orte mehrerer Gerätebenutzer
• Unkompliziertes Arbeiten mit großen Datensätzen von Geo-Punkten
Oxygen Forensic® Maps kann entweder online oder offline verwendet werden.

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com

Urheberrechte und Kontakt

Oxygen Forensic® Detective, Oxygen Forensic® Analyst und OxyAgent sind Marken von
Oxygen Forensics.
Windows 10, Windows 8, Windows 7, Windows Mobile und Windows Phone sind
eingetragene Warenzeichen der Microsoft Corporation.
Alle anderen Marken sind Eigentum der jeweiligen Unternehmen.

Website: http://www.oxygen-forensic.com
Email: support@oxygen-forensic.com
Telefon: +1 (877) 969-9436 (USA)

©2000-2017 Oxygen Forensics http://www.oxygen-forensic.com