アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

ファイルシステムからファイルを取り出す

Oxygen Forensic Suite には File Browser という機能があるので、ファイルシステムの中を(アクセス可能な範囲で)見ていくことができ、指定したファイルを取り出すことも可能です。このままDDイメージ作れないのかな?と思ったりもしますが...
iPhoneGoogle Android もそうですが、SMS やら様々なデータは SQlite のデータベースファイルで管理されています。SQLite のファイルを File Browser から抽出して、別途解析を行なうということも可能です。
わざわざ手動で SQLite の中身を解析しなくても、データベース内で読み取り可能なデータについては対応しているビューで日本語も含めて表示してくれます。しかし、ここでアクセス可能なのはテーブル内に存在しているデータのみで、削除されたレコードなどは(いまのところ?)表示されません。わざわざファイルを取り出すのはこれが理由です。