“取证小程序”立新功!助力技术大比武破解取证难题
随着“取证小程序”升级上线,第三届“创享杯”中国电子数据取证小程序大赛的开展,“取证小程序”已成为众多客户取证业务的选择,并为各大比赛提供多项实战支持。目前,通过“取证小程序”解决应用解析的次数已高达数百次,共享平台内已上线的“取证小程序”多达上百个。
“取证小程序”是一种运行于取证软件、利用Python脚本对电子数据进行提取和分析的应用。用户可自主编程及分享,无需安装即可使用,是一种用户参与和实现取证能力无限拓展的全新解决方案。
某地市技术大比武赛题:
请分析【飞鸽传书】找出容器有效线索并判断在历史群聊中,所有成员共发送几个软件?(检查【飞鸽传书】,发现便签内容)
加密容器的密码是?
【飞鸽传书】用户痕迹分析:
对于Windows系统,应用数据一般存储在用户目录下的AppData/Roaming/<应用名称>
通过对【飞鸽传书】聊天记录数据库结构内容的分析,可以通过“取证小程序”的可视化开发,快速生成小程序,提升支撑这些小众应用的解析能力。
“取证小程序”支持对sqlite3数据库的可视化编程,通过引导自动生成解析代码,再对代码进行添加自定义字段、时间转换等微调,即可支持对【飞鸽传书】聊天记录的解析。
图:小程序应用解析功能
图:可视化编程
图:执行结果
赛题答案:
请分析【飞鸽传书】找出容器有效线索并判断在历史群聊中,所有成员共发送6个软件(检查【飞鸽传书】,发现便签内容) 加密容器的密码为wodemingzi
图:检材仿真结果
小程序解析的一大特点是开发者不需要自己写代码,利用内置引导工具——纯可视化的配置,即可自动生成代码,运行结果,这也是与传统应用解析大不相同的特点。
除了应用程序数据提取,我们还可利用“取证小程序”开发取证过程中常用的实用小工具,实现扩展取证软件本身的功能;也可使用提供的数据获取接口,对已提取到的数据进行研判分析,实现数据分析功能。
那么我们该如何获取“取证小程序”呢?
“取证大师”要派上用场啦~
步骤一:打开取证大师,点击【小程序】,点击【共享平台】,进入小程序首页
步骤二:点击右上角搜索查找小程序【飞鸽传书解析小程序】
步骤三:点击下载,即可在本地进行操作使用
“取证小程序”简单易学、灵活扩展,当遇到取证软件暂时不支持解析的计算机、手机、汽车及物联网等设备的新型应用软件时,一线工作人员可以通过自己编写“取证小程序”,快速完成取证工作,无需等待取证软件更新版本。
未来“取证小程序”将会持续扩展新接口新能力,以便用户能快速实现完全自定义的取证功能和取证流程。在这里也欢迎广大用户参与进来,共同建设“取证小程序”生态圈!
编辑:林阳艳
校对:李银河 蓝雅琦
热文
以“数”为盾,科技战“疫”,美亚柏科助力打响疫情防控歼灭战热文
高效备赛|“美亚杯”赛前培训,干货课程在线等你热文
众志成城,共同抗疫,美亚柏科一直在!热文
AI专家:从深度伪造技术角度看演员刘昊然被AI换脸事件