FINALMobile Forensics 4破解版是功能强大的专业手机取证软件!使用将为用户提供世界一流的移动数据采集和分析解决方案,可从移动设备捕获和/或分析数据!是专业的取证调查人员所必备的工具!借助于软件,您将拥有最先进的技术和最强大的功能工具,凭借其丰富
FINALMobile Forensics 4破解版是功能强大的专业手机取证软件!使用将为用户提供世界一流的移动数据采集和分析解决方案,可从移动设备捕获和/或分析数据!是专业的取证调查人员所必备的工具!借助于软件,您将拥有最先进的技术和最强大的功能工具,凭借其丰富的经验,和对文件系统、数据模式的深入了解和探索,您将能够通过几个简单的点击就将原始数据转换为更为容易理解的数据!对于删除的移动数据也能够通过特定的模式进行搜索和恢复,并且恢复的效果也是比较完整和快速的,可通过在每个扇区中搜索特定数据来分析数据。并能够以多种方式组织数据,所有的一切您都可以将其导出到Excel或PDF报告来保存,这样您可以系统的获取所有的详细资料和信息,本次带来最新破解版下载,有需要的朋友不要错过了!
安装破解说明
1、下载并解压,加载MobileForensics4_2020.01.14_CDFs_2020.01.14.iso,得到以下内容
2、双击setup.exe运行安装,勾选我接受许可证协议条款选项,点击next
3、选择软件安装路径,点击next
4、安装完成,将crack中的oleacc.dll和version.dll复制到软件安装目录中,点击替换目标中的文件,默认路径C:\Program Files (x86)\FINALDATA\FINALMobile Forensics 4
功能特色
1、特征
通过逻辑或物理采集从移动设备捕获和/或分析数据。
2、分析
FINALMobile取证的主要目的是在文件系统中创建准确而详细的数据解析。
该程序能够读取我们自己生成的电话图像(MEF),以及通过其他方式生成的文件。
加载数据后,程序将根据移动设备的型号将适当的解析规则(CDF脚本)应用于指定的文件和文件夹。
如果未列出所需的模型,则用户可以针对文件运行所有脚本以进行适当的解析。
结果以易于阅读且可导出的电子表格格式显示。
构建引擎是为了重建文件系统,然后解析数据。
3、验证结果
用户只需查看结果中的不规则格式即可验证其结果。双击条目的任何部分将在Hexviewer中显示文件或文件的一部分。另外,通过使用[Display File Path]选项,用户可以确认每个文件都已解析。
4、收购
FINALMobile取证使用数据库向导来简化采集过程。
5、汇出结果
可以将结果以HTML,PDF或Excel格式导出。
使用说明
一、最终手机取证
1、启动FINALMobile
请双击快捷方式图标以运行程序
2、开启介面
获得新证据
要获取设备的新图像,请选择此图标以继续。
公开事前证据
请选择此图标以分析已获取的数据。
打开优先工作区(FMC)…
请选择此图标以加载以前保存的检查。
最近的证据:
请选择此图标以检查先前存储的最后十个工作区
二、acquisition
FINALMobile取证程序允许用户控制特定检查的特定需求。 用户可以轻松地按照我们数据库中设备的说明进行操作,也可以指定目标数据。 采集数据后,此图像将保存为我们的独特格式(MEF),以供将来分析。
1、用户帐号信息
FINALMobile Forensics 4现在可以选择创建和切换用户帐户。使用“默认用户”设置时,最终报告会将用户信息留空。用户可以通过选择{编辑默认用户的帐户}或{添加用户}来创建多个帐户。
要创建新的用户帐户,请选择{添加用户}
输入所需的信息字段:名称,组织和部门。 {Picture}字段允许包含图片ID或徽标作为帐户的一部分。默认证据根文件夹指示该程序生成的所有保存的数据/报告的位置。默认情况下,该程序在根目录的“临时数据”文件夹中生成一个存储文件夹。用户可以选择为每次采集更改此位置。
生成多个帐户后,{Switch user}允许用户在帐户之间导航。选中后,将显示一个弹出窗口,其中包含所有现有帐户以及创建更多帐户的选项。
选择所需的帐户后,请使用【切换】按钮继续。在此窗口中,用户也可以删除帐户。
2、Acquisitions
FINALMobile取证使用数据库向导来简化采集过程。 该向导包含所有经过测试的设备的信息,说明了获取尽可能多的数据的最佳通信方法。
1)输入设备信息
要启动采集,请通过按制造商和型号编号浏览目录,或在“搜索”中输入型号编号来找到型号。 通过仅输入几个键,可能的模型列表就会显示在窗口中。
2)智能采集
输入设备信息后,选择{Apply Smart Acquisition}将执行用于获取数据的预定义设置。该应用程序将自动选择与此设备关联的通信端口和采集协议。在获取过程结束时,将新设备存储到数据库中后,用户可以注册此信息。如果在某些情况下列出了多种获取方法,则用户可以通过取消选择预设插件并选择所需插件来选择其他列出的插件。
如果未显示目标设备,请选择设备的平台。请记住,采集协议不是特定于模型的。对于尚未商业销售或未列出的设备,获取数据的可能性很高。
选择型号或平台后,选择{开始获取}
购置说明
选择平台后,将显示一个插件信息表,以帮助用户选择要使用的适当协议。
3、选择采集协议(插件)
采集协议使向导可以识别并下载设备闪存芯片中包含的数据文件。由于设备使用不同的协议来访问数据,因此使用各种插件来获取尽可能多的数据。在大多数情况下,经验法则是在逻辑上使用物理插件。在设置过程中,该向导将消除所有插件,以考虑输入的数据。用户可以通过选择向导顶部的三个[显示....插件]选项之一来修改显示的插件。
物理插件:物理插件通过访问内存芯片的扇区来获取数据。所有物理插件在其名称中都包含“磁盘”或“物理”
对于Motorola,请使用CdmaDisk.dll物理获取设备。如果成功,提取将导致数据存储在内存的“实时”扇区中。
对于三星和LG手机,该程序通过使用设备的紧急DL模式设置来提供存储芯片的完整数据图像。该向导说明了将设备置于正确设置所需的过程。
注意:LG自动设置为下载模式
对于三星手机,通常使用以下设置之一:
1同时按{9}+{电源}。
2同时按{9}+{降低音量}+{电源}。
3同时按{9}+{降低音量}+{相机}+{电源}。
完成此设置后,请使用PhysicalSamsung.dll来获取设备。采集后,设备将通过取出电池重置为正常模式。有关更多详细信息,请参见附录I。
逻辑插件:逻辑插件在设备操作系统的配合下获取数据。所有逻辑插件的名称中都包含File。该协议调用/请求访问文件系统。设备可能会确认文件的存在,但可能不允许传输该文件中存储的数据。用户可以选择尝试使用多个插件以最大程度地提取数据。根据经验,请在2007年左右之后尝试将CdmaFile.dll用于手机。CdmaFile.dll是以前创建的插件的混合体。对于较旧的手机,CdmaFileRev1.dll在大多数情况下都是成功的。这类似于先前FINALMobile取证版本中的Rev3版本。在许多情况下,CdmaFileRev4.dll也可以成功获取逻辑文件。
智能手机/GSM设备:
为智能手机选择插件时,请使用与上面相同的方法。
有关更多信息,请参见附录II。
插件列表:(此列表可能会更改)
证据设置:
通过“证据设置”页面,用户可以为文件夹创建和指定一个位置,其中包含从该采集和分析中收集的所有数据。
默认证据根:
此选项允许为将来的证据文件夹指定根文件夹。
5、设备检测
此时,请将设备连接到用户的计算机。在此过程中,向导会标识用于数据传输的可用途径。请让程序等待几秒钟以本地化所有端口。
注意:某些设备在连接到计算机时会切换用于传输数据(SYNC)的模式。请监视设备和/或计算机以禁止此传输。另外,请关闭所有尝试将手机视为外部驱动器的计算机尝试。如果未填充可选端口(“端口”/“调制解调器”),请检查电缆连接并确保设备已打开。为了确保正确的通信,请在计算机的“设备管理器”中找到设备。检查设备的端口或调制解调器设置。如果设备在设备管理器中不可见,请重新检查所有通信线路和/或重新安装设备驱动程序。
尽管有些电缆看起来很牢固,甚至可以紧紧地连接到设备,但是可能会有差异。通用的Micro_USB电缆可以在某些型号上使用,但即使在同一制造商的其他型号上也不能使用。
选择正确的端口对于从设备获取最多的数据至关重要。作为非智能手机的经验法则,请选择包含诊断/串行端口的ComPort。向导将为特定的智能手机建议适当的端口。
选择[下一步]继续。
6、准备下载
该向导支持自定义采集。尽管不建议这样做,但用户可以选择选择要获取或排除的特定文件或文件夹以进行逻辑获取。在下面的示例中,
此采集不包括包含图片和视频文件的文件夹。请参考过去的内容或询问FINALDATA以获取特定的文件路径。该向导接受路径表达式的使用。用户也可以选择与下载同时导出文件。
选择[下一步]继续。
7、下载
在此过程的开始,向导将调用并显示设备的文件系统。 用户也可以选择通过选择{是}来指定下载内容,然后从文件目录中取消选择文件/文件夹。
向导显示100%后,请单击[下一步]继续。
8、采购信息
该页面允许输入个人信息。 预选帐户已经填充了调查员信息。 用户还可以通过选择{是}来选择是否加密和/或压缩证据文件。
选择[下一步]继续执行程序的分析部分。
9、注册和提取文件
进行获取时,向导将生成两个其他文件(日志和转储)。
.log文件包含所有文件/文件夹的名称列表以及获取是成功还是失败,以及字节大小。 如果对特定文件的获取失败,则用户可以参考此文档以查看最后遇到的文件,以在下次尝试获取时排除文件/文件夹。
.dump文件包含程序与设备之间的整个对话框。 FINALDATA使用此文件来调试使用的采集协议中的任何问题。 由于很少使用该文件且文件很大,因此向导会默认删除该文件。
这些文件中的每一个都存储在程序根目录下的Temporary Data文件夹中。 您可能希望定期从此文件夹中删除这些文件。
10、Appendix
附录一:物理
在某些三星和LG手机中,FINALMobile可以提取设备闪存的完整物理图像。尽管并非所有手机都经过测试,但似乎在2008年开始销售的手机使用“紧急下载模式”使用已知协议访问闪存。对于LG设备,由程序设置下载模式。FINALDATA建议用户在进行逻辑采集后尝试进行物理采集。
进入“紧急下载模式”的方法
键盘:
关闭电话,同时按9和电源/挂断。
触控界面:
关闭电源,同时按下摄像头,保持,音量(向上或向下)和电源。
有关将设备置于DL模式的说明,请参考SmartAcquisition。完成获取后,用户也可以在插件注册/进入数据库库中创建注释。
将设备设置为正确的模式并在向导提示时连接到计算机,选择PhysicalSamsung.dll激活下载。
注意:采集之后,请通过取出电池来重置手机。
下载选项
闪存块:
闪存磁盘通常包含多个分区或数据块。前两个块包含设备的OS信息。在这些块之后,用户的数据包含在以下块中。
内存块配置:
大(2048字节/页+64字节ECC)大(2048字节/页+无ECC)小(512字节/页+16字节ECC)小(512字节/页+无ECC)
在采集的初始通信阶段,向导将确定设备上使用的内存块配置。确定后,将填充正确的配置,包括ECC包含/排除。如果未填充该插件,则向导将指示该设备不支持我们的物理插件,或者供用户选择阻止设置。请仅选择字节/页设置。可能需要进行多次尝试才能找到获取最多数据的最佳设置。平均而言,传输速率应在20KB/秒至60KB/秒之间。如果速率快得多或慢得多,则可能需要其他设置。
为了消除所获取数据的大小,向导将尝试找到用于存储用户数据的块。如果找到,则在{地址}窗口中填充开始和结束位置。如果未找到数据范围,则向导将假定目标范围是整个闪存。随着下载的进行,向导将在达到特定数据模式后终止下载。平均而言,文件大小通常为50MB〜250MB。
选择[下一步]开始采集。
附录二:插件
FINALMobile取证的关键组件之一是我们开发的采集协议。开发这些插件的方式是获取尽可能多的数据。由于设备种类繁多,因此我们正在研究许多不同的协议,以找到一个或几个可用于特定设备的插件。在大多数情况下,协议会尝试物理或逻辑下载设备的文件系统。同样,这些协议基于制造商的系统协议。因此,与特定型号的采集工具相比,插件可以支持更多的电话。FINALDATA不断添加插件以支持更多设备。从程序的“Plug-in”文件夹下查看插件列表。
作为这些插件的命名协议,FINALMobile使用平台,{Physical/Logical},供应商,Chip/Type和Rev。请在选择时考虑此协议。
物理:
物理插件无需使用设备的操作系统即可获取存储在设备闪存芯片上的数据。数据是存储芯片的逐字节映像。
LG物理
Rev1用于使用“小”块的设备-512字节/页
Rev2用于使用“大”块的设备-2048字节/页(较新的电话)
三星物理
请手动将设备设置为“紧急下载模式”。
。
磁碟:
名称中包含磁盘的插件是对内存“实时”扇区的物理获取。这些插件使用手机的OS访问“实时”扇区。
CdmaDisk:
从2006年至今,此插件支持LG和Motorola手机。
WindowsDisk:
该插件支持WindowsMobileOS设备,用于获取内存的“实时”扇区。该协议应生成最多的数据。
WindowsDiskExt:
该插件支持获取WindowsMobile设备的某些隐藏扇区。
WindowsDiskRoot:
该插件支持获取内存的根目录中的文件。
文件:
包含File的插件是对文件系统的逻辑获取。
CdmaFile:
该插件合并了Rev1-Rev3中的协议。对于数据库中未包含的设备,请首次使用此版本。
CdmaFileRev4:
该插件基于可能会导致某些设备通信问题的协议。因此,我们将合并排除在CdmaFile中。
WindowsFile:
基于WindowsMobile的设备的逻辑文件提取。
智能手机:
Android:
物理:
这些设备的所有可用插件都包含Android的“And”作为命名协议的一部分。例如CdmaPhysicalLGAndRev2.dll。请按照向导给出的说明进行操作。
逻辑上:
此插件要求将手机设置为USB调试模式。要更改设置,请转到/Settings/Applications/Development/USBDebugging。另外,请使用USB复合设备端口。在开始采集之前,请使用SuperOneClick程序对设备进行根目录引导。
黑莓:
版本1:
该插件是Blackberry设备的推荐选择。
版本2:
该插件基于从BlackberryDesktop协议派生的协议。如果Rev1无法获得有用的数据,请尝试使用此版本。
苹果手机:
苹果手机:
该插件支持为非牢牢破损的电话获取通讯录和SMS。
iPhone磁盘:
该插件仅支持从越狱的电话中获取实时/已删除文件。
iPhone文件:
该插件支持从越狱的电话中获取所有文件。
iPhone实体:
该插件支持物理获取联系人,呼叫日志,SMS,文件等。
注意:运行此插件可能需要几个小时才能完成。
同步:
包含Sync的插件是使用同步协议进行的逻辑获取。
Obex:
该插件使用对象交换协议。
二、分析
1、初始化分析
可以从继续进行采集或通过从主菜单中选择{Open Prior Evidence}来访问程序的分析部分。
接口
FINALMobile显示多种信息,供审查员用于数据分析。
目录窗格
工作区:按数据类型列表分析结果。
文件资源管理器:显示包含数据的原始文件
批量解析:显示用于生成未注册模型结果的脚本
时间线:按与每个条目关联的时间戳建立已解析数据的分组{Relationship}
联系人行:按联系人{Relationship}建立已解析数据的分组
属性窗格(可通过单击顶部的{查看}进行访问。)
属性:指示文件的详细信息或使用的脚本类型
计算器:一种用于计算各种时间戳格式的十六进制或十进制特定值的工具
显示窗格
预览:显示每个选定的已分析条目
输出:显示由于应用脚本而导致的任何错误
Hexviewer:以十六进制格式显示数据
搜索结果:显示使用搜索工具时找到的结果
结果窗格:
此区域显示针对证据文件运行的脚本的结果。
2、查看/自定义内容。
应用脚本后,结果将显示在[显示]窗格中。在此示例中,显示了所有MMS/SMS条目。
解析的数据可能包含基本解释不一定需要的数据字段。根据用途,用户可以通过将列标题拖动到所需的列位置来调整每个列的大小和/或重新定位。随着设备上条目数量的增加,用户可能希望在导出之前对数据进行过滤和/或分类。另外,由于许多监视器不能充分有效地显示所有已解析的数据,因此将[Preview]窗格拖出主界面将极大地增加查看区域。
用户可以简单地在[结果]窗格中查看所需数据类型的选项卡,或通过双击[工作区]窗格中的条目来查看。
要查看特定结果数据的存储位置,用户可以在[结果]窗格中双击解析数据中的条目。[文件资源管理器]窗格将自动导航到特定文件。
使用[结果]中的{查看数据文件路径}选项将为此特定数据创建另一列。
删除重复的条目
排序/修改
解析结果也支持按列标题排序。通过将列标题拖离[显示窗格],可以轻松隐藏每列。
多行显示
用户可以选择使用此选项来显示多行结果。
选项
筛选工具:
随着解析的数据量变大,使用此过滤工具可以简化检查。用户可以选择各种条件来缩小显示的记录数量。
通过...分组
此选项提供了一种方便的方法来对解析的数据进行排序。选择选项后,通过将列标题拖到分配的空间中,可以使用其他条件重新排序条目。
为了提供更多的便利,内置的{Relationship}工具简化了分组过程。有关更多信息,请参见附录VIII。
3、验证结果
验证结果总是一个好主意。 唯一的数据格式可能会导致数据显示不正确。 只需查看结果并查找不规则格式。 双击该条目的任何部分将在Hexviewer中显示该文件或文件的一部分。 另外,通过使用{Display File Path}选项,用户也可以验证每个文件是否都已解析。
4、汇出结果
通过选择这些导出选项之一,结果支持以电子表格格式(csv和xlsx),html格式或pdf格式导出/保存。 使用此选项可以导出所有选中的条目。 用户可以通过取消选择每个条目右侧的相应框来排除任何条目。
导出到一个工作簿:
用户可以取消选择数据类型以将分析排除在导出之外。 请同时验证正确的保存位置。
5、删除/覆盖数据
在某些情况下,分析器将显示位于为特定信息保留的空间中的文本字符串。 由于这些字符串可能不与当前数据条目相关联,因此解析将使用(括号)显示这些字符串。 有关更多详细信息,请参见附录III。
节省工作空间:
FINALMobile Forensics为用户提供了保存所做工作的功能。 通过保存工作区,应用的脚本与图像一起以.fmc文件格式存储。
打开FMF4以便在[最近的证据]下更快地访问时,显示最后十个工作区文件。
更新日志
2020.01.06版中的更改:
FINALMobile取证1)改进了Samsung Galaxy系列android 10版本的获取功能。 2)支持越狱后从设备中提取iOS完整文件系统。 此支持与从iPhone 5S到iPhone X的解锁iPhone有关。3)新增了在以下情况下按文件类型(压缩文件,LGBackup,Tar文件,微信/ QQ音频文件,HEIC文件)启用/禁用提取或转换功能的选项。 分析文件系统。 4)支持Realm db文件查看器和分析5)支持Android的KakaoTalk版本8.6.6解密6)支持Android的WhosCall版本6.45解密