HTI Services

092.8765.688 htiservices@htigroup.vn

  • vi
    • en

HTI Services
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en

Giám định tin nhắn trên các thiết bị Android

Giám định tin nhắn trên các thiết bị Android

Thao Nguyen2022-10-20T14:58:06+07:00
Thao Nguyen 2022-08-30 Điều tra dữ liệu

Trong một cuộc giám định kỹ thuật số, nhiều người cho rằng việc phân tích tin nhắn văn bản sẽ dễ dàng thực hiện – chỉ cần tra cứu cơ sở dữ liệu SMS, đọc tin nhắn, người gửi, người nhận, dấu thời gian (timestamp) hay báo cáo về bất kỳ thứ gì có giá trị và một vài điều tra là việc đơn giản. Tuy nhiên, trong quá trình điều tra, các nhà giám định pháp y không chỉ gặp mỗi tin nhắn SMS mà còn phải xử lý nhiều loại tin nhắn khác đi kèm. Bài viết này sẽ đi sâu tìm hiểu về giám định tin nhắn văn bản khác nhau trên thiết bị Android.

 

MS/MMS – mmssms.db

Hầu hết các giám định viên đều biết xem MMSSMS.db để tìm dữ liệu SMS/MMS trên hầu hết mọi thiết bị. Các thiết bị Android thường lưu trữ dữ liệu này trong thư mục điện thoại theo đường dẫn:

/data/data/com.android.providers.telephony/databases/mmssms.db

Android Messages

Mmssms.db là cơ sở dữ liệu SQLite và được hỗ trợ bởi hầu hết các công cụ giám định hoặc được đọc bởi bất kỳ trình xem SQLite nào. Có một số bảng được quan tâm nhưng phần lớn thông tin quan trọng sẽ nằm trong nội dung tin nhắn, thời gian tin nhắn và người gửi/người nhận. Cơ sở dữ liệu SMS/MMS có thể được đưa vào bản sao lưu của AxDB trên một số thiết bị nhưng thường thì nó không được đưa vào và phải được lấy theo cách khác bằng cách khai thác từ các nhà cung cấp nội dung.

 

Các nhà cung cấp nội dung

Các ứng dụng của bên thứ ba cũng có thể truy cập dữ liệu SMS/MMS cho mục đích riêng của họ. Các ứng dụng như Facebook Messenger, BBM, WhatsApp, v.v. thường sẽ yêu cầu quyền truy cập danh bạ hoặc tin nhắn SMS/MMS, v.v. để tăng cường tích hợp giữa ứng dụng và dữ liệu. Android cho phép quyền truy cập này thông qua các nhà cung cấp nội dung. [1] Để có được dữ liệu bổ sung có thể không có trong bản sao lưu ADB tiêu chuẩn, các công cụ có thể chọn cài đặt một ứng dụng hoặc một đại lý trên điện thoại của người dùng, thu thập dữ liệu của nhà cung cấp nội dung và sau đó trích xuất nó như một phần của dữ liệu ứng dụng của riêng họ . Một số công cụ sẽ trích xuất bản sao lưu ADB và dữ liệu đại lý (agent data) dưới dạng hai kết quả thu được riêng biệt, Magnet AXIOM và ACQUIRE sẽ tự động thực hiện cả hai như một phần của quá trình thu thập nhanh/Logic.

Android-Messages-2

Hình ảnh cho thấy bản sao lưu của ADB dưới dạng “adb-data.tar” và dữ liệu của nhà cung cấp nội dung trong thư mục “Agent Data”.
Tùy thuộc vào phương pháp thu thập được sử dụng để lấy dữ liệu SMS/MMS, AXIOM sẽ gắn nhãn nó theo một số cách khác nhau. Hầu hết, bạn sẽ thấy các thành phần được liệt kê là “Android SMS” và “Android MMS” nhưng đôi khi bạn sẽ thấy chúng được kết hợp thành “Android SMS/MMS” để cho biết rằng tác nhân ACQUIRE đã lấy dữ liệu đó thông qua các nhà cung cấp nội dung và sau đó xây dựng lại cơ sở dữ liệu trong quá trình thu thập. Bạn cũng có thể thấy chúng được lưu trữ dưới dạng “Android SMS/MMS (Dịch vụ Google Play)” khi quá trình thu thập dữ liệu nhận được hình ảnh hệ thống tệp hoặc vật lý đầy đủ của thiết bị. Tất cả dữ liệu SMS/MMS liên quan phải có trong mỗi phương pháp, chúng tôi chỉ phân biệt từng phương pháp để cho người kiểm tra biết cách dữ liệu được lấy ra, bởi cách dữ liệu được lưu trữ trên phần phụ trợ có thể hơi khác nhau giữa các phương pháp.

 

Android SMS / MMS – Dịch vụ của Google Play – Icing_mmssms.db

Đối với các thiết bị mà bạn có đặc quyền truy cập vào toàn bộ hệ thống tệp (thu thập vật lý và / hoặc hệ thống tệp đầy đủ), bạn cũng có thể gặp dữ liệu SMS / MMS trong một cơ sở dữ liệu khác có tên icing_mmssms.db. AXIOM và IEF gọi đây là “Android SMS / MMS – Dịch vụ của Google Play”.

 

Tin nhắn RCS

Dịch vụ liên lạc đa dạng (RCS) là giao thức mới hơn nhằm thay thế SMS tiêu chuẩn. [2] Nó đã thêm chức năng và tính năng bao gồm đa phương tiện, trò chuyện nhóm, gọi thoại / video, cũng như một số tính năng khác. Mặc dù nó không được tất cả các nhà cung cấp dịch vụ chấp nhận và hỗ trợ đầy đủ, nhưng nhiều nhà cung cấp dịch vụ đang bắt đầu hỗ trợ tin nhắn RCS trên mạng của họ cùng với hoặc thay thế cho SMS. AT & T / T-Mobile / Sprint ở Mỹ, Rogers ở Canada, Vodaphone ở Châu Âu cũng như nhiều hãng khác đều đã hỗ trợ nhắn tin RCS với nhiều nhà mạng khác nhằm hỗ trợ thêm trong tương lai gần. Mặc dù Apple đã triển khai iMessage vì những lý do tương tự về chức năng bổ sung ngoài SMS, nhưng có một hạn chế chính là nó không phải là nền tảng chéo nên bạn chỉ có thể sử dụng iMessage để trò chuyện với những người dùng iPhone khác. RCS là một giao thức đang được áp dụng ở cấp độ nhà cung cấp dịch vụ và được hỗ trợ trên bất kỳ thiết bị nào chọn có ứng dụng hỗ trợ nó. Google đã tạo ứng dụng Android Messages chỉ cho mục đích này.

 

Tin nhắn Android – Bugle_db

Android cũng có ứng dụng nhắn tin riêng trong Cửa hàng Google Play được gọi là “Android Messages”, hỗ trợ một số định dạng tin nhắn khác nhau bao gồm tin nhắn SMS / MMS và RCS. [3] Giờ đây, tùy thuộc vào kiểu máy và hệ điều hành, một số nhà cung cấp dịch vụ đang sử dụng Android Messages làm ứng dụng nhắn tin mặc định thay vì ứng dụng SMS / MMS thông thường do các nhà sản xuất như Samsung tạo và cài đặt. Bạn cũng có thể gặp phải cả hai ứng dụng được cài đặt trong đó người dùng đã chọn từ bỏ ứng dụng SMS / MMS tiêu chuẩn cho Android Messages. Tệp android.XML sẽ cho biết ứng dụng nhắn tin mặc định là gì cho một thiết bị nhất định.

Android-Messages-3

Dữ liệu trên ứng dụng Android Messages có thể tìm thấy tại:

/data/data/com.google.android.apps.messaging/databases/bugle_db

Mặc dù có cấu trúc khác với mmssms.db, nhưng giá trị điều tra vẫn tương tự, nghĩa là bạn sẽ muốn thu thập ở mức tối thiểu các thông tin về người gửi, người nhận, tin nhắn và dấu thời gian của tin nhắn. Bạn cũng sẽ muốn phân biệt xem một tin nhắn cũng là SMS, MMS hay RCS. Các thông báo, người tham gia và các phần khác của bảng dữ liệu có thể có giá trị đối với cuộc điều tra của bạn.

 

Nhật ký tin nhắn văn bản của Samsung

Một loại tin nhắn khác mà bạn có thể gặp phải dành riêng cho các thiết bị Samsung. Samsung lưu trữ nhật ký tin nhắn tại đây:

/data/data/com.sec.android.provider.logsprovider/databases/logs.db

Những tin nhắn này có thể bao gồm một số bản sao từ SMS / MMS thông thường nhưng thường thì bạn cũng sẽ tìm thấy dữ liệu tin nhắn bổ sung ở đây. Do dữ liệu chỉ được xây dựng để ghi nhật ký nên bạn chỉ nhận được các đoạn dữ liệu, nhưng chúng cũng có giá trị như một nguồn thông tin thứ cấp, đặc biệt nếu người dùng đã xóa nhiều thư của họ.

Các bản ghi tin nhắn văn bản của Samsung thường bị các nhà giám định bỏ qua mà chỉ tập trung vào mmssms.db vì nó có thể chứa thông tin quan trọng cho cuộc điều tra.

 

Nhìn chung, khi giám định tin nhắn, các điều tra viên không nên bỏ xót các loại nhắn tin không nằm trong SMS / MMS và các ứng dụng trò chuyện phổ biến khác của bên thứ ba như WhatsApp, Facebook Messenger, Kik, v.v… Trong khi người dùng bình thường có thể chỉ sử dụng ứng dụng nhắn tin mặc định, nhưng những lần khác, ứng dụng mặc định có thể đã thay đổi đối với một thiết bị nhất định hoặc người dùng có thể đang sử dụng nhiều ứng dụng trò chuyện một cách cố ý hoặc vô ý để tránh bị phát hiện.

-Jamie McQuaid-

 

 

[1] https://en.wikipedia.org/wiki/Rich_Communication_Services

[2] https://play.google.com/store/apps/details?id=com.google.android.apps.messaging

[1] https://developer.android.com/guide/topics/providers/content-providers

Nguồn: https://www.magnetforensics.com/blog/android-messaging-forensics-sms-mms-and-beyond/

Cập nhật: Gabriele Zambelli đã chỉ ra một điểm tuyệt vời khác để xác định dữ liệu tin nhắn SMS trên Android bằng cách xem dữ liệu nhật ký cuộc gọi (calllog.db) đã thay đổi trong Android 7 và 8. Cơ sở dữ liệu chứa một bảng có tên “m_content” chứa 50 ký tự đầu tiên của một tin nhắn SMS. Thông tin này thường không được lấy qua các nhà cung cấp nội dung hoặc được đưa vào bản sao lưu ADB, vì vậy sẽ chỉ có sẵn trong hình ảnh hệ thống tệp hoặc vật lý đầy đủ của thiết bị Android, nhưng chúng vẫn có giá trị và có thể bị các công cụ giám định bỏ sót. Để biết thêm thông tin, hãy xem blog của Gabriele tại đây: https://forensenellanebbia.blogspot.com/2018/10/calllogdb-and-sms-data-on-android-70.html.

Từ khóa:

AndroidAndroid SMSBugle_dbgiám định kỹ thuật sốgiám định tin nhắnIcing_mmssms.dbiOSMS/MMS - mmssms.dbthu thập dữ liệuTin nhắn RCS

Chia sẻ:

Facebook LinkedIn

Bài viết liên quan

Hệ thống tạo ảnh và lưu trữ dữ liệu - Hermes Forensics
29May29/05/2025

HERMERS FORENSICS – Phòng LAB di động thế hệ mới

Khi thực hiện thu thập chứng cứ là dữ liệu điện tử tại hiện trường, kỹ thuật viên thường... read more

thiết bị tạo ảnh ổ đĩa
14May14/05/2025

Khôi phục và tạo ảnh dữ liệu hệ thống RAID với Hermers Forensics

RAID – Thách thức lớn trong điều tra và phục hồi dữ liệu Trong môi trường doanh nghiệp, tổ chức... read more

Hermers Forensics
14May14/05/2025

Tăng tốc quá trình tạo ảnh, phân tích dữ liệu với Hermers Forensics

Trong lĩnh vực điều tra kỹ thuật số, thời gian luôn là yếu tố then chốt. Việc phải xử... read more

apple watch forensics
10May10/05/2025

Phân tích pháp y và trích xuất dữ liệu từ Apple Watch

Mặc dù nhiều người có thể dễ dàng bỏ qua các thiết bị cũ, nhưng chúng tôi nhận thấy... read more

iOS-forensics
08Apr08/04/2025

Sự phát triển của mật mã bảo mật iOS

Qua các năm, Apple liên tục tinh chỉnh cơ chế bảo mật để ngăn cản các truy cập trái... read more

07Mar07/03/2025

So sánh phương pháp Trích xuất Full File System và Trích xuất Logic

Trong điều tra pháp y kỹ thuật số điện tử, có rất nhiều cách để khai thác dữ liệu... read more

Search

Search
Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt

Bài viết mới nhất

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware
30/06/2025
Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
RANSOMWARE – BE AWARE [Qilin]
24/06/2025
file-RSV
Tất tần tật về khôi phục file Sony RSV
18/06/2025
Các loại Filesystem và cơ hội khôi phục dữ liệu
Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 4: BSD, Solaris, Unix
13/06/2025
khoi-phuc-du-lieu-macbook
Khôi phục dữ liệu ổ NVMe MacBook bị lỗi nguồn
12/06/2025

Tin tuyển dụng mới nhất

Tuyển dụng kỹ sư bán hàng
Kỹ sư bán hàng
26/08/2022
Tuyển dụng chuyên viên phân tích dữ liệu (Business Analystic)
04/08/2022

HTI Services - A member of HTI Group

Trụ sở Hà Nội: Tầng 12 – VP2, Tòa nhà Sun Square, 21 Lê Đức Thọ, Nam Từ Liêm, Hà Nội

Chi nhánh Đà Nẵng: Tầng 5, Tòa nhà Vietnam Innovation Hub, 179 Trần Hưng Đạo, Phường An Hải Bắc, Quận Sơn Trà, Đà Nẵng

Chi nhánh Hồ Chí Minh: 203A Võ Thị Sáu, Phường Võ Thị Sáu, Quận 3, TP. Hồ Chí Minh

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Giờ làm việc: 8h30 – 17h30 từ Thứ 2 – Thứ 6, Từ 8h30 – 12h Thứ 7, Chủ Nhật nghỉ

Dịch vụ của chúng tôi

Tư vấn giải mã dữ liệu bị mã hóa

Hủy dữ liệu an toàn

Tư vấn điều tra nội bộ về rò rỉ dữ liệu

Khôi phục dữ liệu

Tư vấn đánh giá mức độ an toàn dữ liệu

Rà quét thiết bị điện tử

Chính sách

Đăng ký để nhận tin

Theo dõi chúng tôi

fb
yt
lkn

HTI Services - A member of HTI Group

Hanoi Head Office: 12th Floor – Office 2, SunSquare Building, 21 Le Duc
Tho, My Dinh 2 Ward, Nam Tu Liem District, Hanoi Capital.

Da Nang Branch: 5th Floor, Vietnam Innovation Hub Building, 179 Tran Hung Dao, An Hai Bac Ward, Son Tra District, Da Nang

Ho Chi Minh Branch: 203A Vo Thi Sau, Vo Thi Sau Ward, District 3, Ho Chi Minh City

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Working hour: 8h30 – 17h30 on Monday – Friday,  8h30 – 12h on Saturday

Our services

Data decryption

Data destruction

Data breaches investigation consulting

Data recovery

Network security consulting

Electronic devices scanning

Newsletter

Follow us

fb
yt
lkn
All Rights Reserved © HTI Services 2022
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en
messenger
Zalo
Phone
0928765688

APPLICATION FORM

×
Click to select & upload your CV