1.
地理位置痕迹Geolocation Artifacts
地理位置痕迹是由设备上的GPS或其他定位技术创建的非常具有取证价值的数据,可确定个人的地理位置。这些数据可用于与犯罪或其他事件有关的各种调查。
当今的数字时代,移动设备的使用已渗透到各个领域。随着使用的增加,地理位置在移动设备调查中的作用变得比以往任何时候都更加重要。
地理位置痕迹在调查中的作用
在移动设备调查中,地理位置数据可以提供有关嫌疑人、受害者和证人位置的宝贵信息。它可以帮助调查人员追踪一个人的行踪并验证其不在场证明。例如,如果某人声称在某个特定时间去过某个特定地点,从其移动设备收集到的地理位置数据可用来证实或反驳该说法。
此外,地理位置数据还可以帮助调查人员重建犯罪现场和确定时间线。在分析来自多个设备的地理位置数据时,调查人员可以将不同来源的数据关联起来,从而更好地了解所发生的事件。这些信息可用于对被告立案,并在法庭上提供证据。
地理位置数据还可以帮助调查人员找到丢失或被盗的设备。利用移动设备提供的 GPS 坐标,调查人员可以确定设备最后的已知位置并进行追踪。
Android和iOS地理位置痕迹文件:
| Android地理位置痕迹: |
| /data/data/com.google.android.apps.maps/databas |
| iOS地理位置痕迹: |
|
/private/var/mobile/Containers/Data/Application/[APPGUID]/Library/Maps/GeoHistory.mapsdata |
|
/private/var/mobile/Containers/Data/Application/[APPGUID]/Library/Maps/GeoBookmarks.plist |
|
/private/var/mobile/Library/Caches/com.apple.routined/Cache.sqlite |
|
/private/var/mobile/Library/Caches/com.apple.routined/Local.sqlite |
2.
应用程序痕迹Application Artifacts
应用程序痕迹是移动设备调查中的重要数据源。确定设备上安装了哪些应用程序并一直在使用是另一个调查目标。在调查的初始阶段,您可能会尝试对可用数据源进行分类,并确定哪些数据源是主要的。确定安装了特定应用程序(如 Snapchat)可能有助于证实案件调查人员掌握的其他信息。
您可能遇到过在特定应用程序中划分特定活动的用户。因此,许多诱导或引诱案件都是从社交媒体平台开始的,然后罪犯将受害者转移到被认为更私密的消息应用程序上。除了设备上已安装的应用程序痕迹外,审查设备的分析痕迹(如电池统计或应用程序权限)也有助于证明不仅安装了特定的应用程序,而且该应用程序在特定时间段内一直在使用。
应用程序痕迹在调查中的作用
应用程序是我们移动设备的支柱,为我们提供了大量的功能和娱乐选项。要在移动设备调查中发现关键证据,应用程序可以让调查人员深入了解嫌疑人的活动和兴趣。应用程序往往是将调查线索串联起来的关键。
Android 应用程序痕迹
| 安装的应用程序: |
|
/system/packages.list |
|
/system/packages.xml |
|
/data/com.android.vending/databases/library.db |
| 应用程序权限: |
|
/data/system/packages.xml |
| 电池状态: |
|
/data/data/com.google.android.gms/shared_prefs/Batterystats.xml |
| 电池电量统计分析: |
|
/data/data/com.google.android.gms/files/BatterystatsDumpsysTask.gz |
| 使用统计: |
|
/data/system/usagestats/0 |
| 最近的图片: |
|
/system_ce/0/recent_images |
| 最近的任务: |
|
/system_ce/0/recent_tasks |
iOS 应用程序痕迹
| 安装的应用程序: |
|
HomeDomain-Library/FrontBoard/applicationState.db |
|
Info.plist |
|
Manifest.plist |
|
/private/var/mobile/Library/FrontBoard/applicationState.db |
| 应用程序权限: |
|
HomeDomain-Library/TCC/TCC.db |
|
/private/var/mobile/Library/TCC/TCC.db |
| 电源日志: |
|
/private/var/containers/Shared/SystemGroup/[APPGUID]/Library/BatteryLife/CurrentPowerlog.PLSQL |
|
/private/var/containers/Shared/SystemGroup/[APPGUID]/Library/BatteryLife/Archives/ |
|
powerlog_DATE_ID.PLSQL.gz |
| KnowledgeC: |
|
/private/var/mobile/Library/CoreDuet/Knowledge/knowledgeC.db |
| Biome: |
|
/private/var/db/biome/streams/restricted |
|
/private/var/mobile/Library/Biome/streams/public |
|
/private/var/mobile/Library/Biome/streams/restricted |
| 屏幕使用时间: |
|
/private/car/mobile/Library/Application |
|
Support/com.apple.remotemanagementd/RMAdminStore-Local.sqlite |
| 快照: |
|
/private/var/mobile/Library/Containers/Data/Application/[APPGUID]/Library/Splashboard/Snapshots |
翻译:Doris 校对:Nick 转载请注明
原文始发于微信公众号(网络安全与取证研究):如何在移动设备调查中发现地理位置痕迹和应用程序痕迹
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论