Telegram 数据取证要点
1. 有效法律证据形式
根据 GA/T 1564-2019《法庭科学 现场勘查电子物证提取技术规范》,应对现场、屏幕进行拍照或录像,记录物证的系统时间和北京时间;对有密码保护的数据提取并保存在有唯一性编号的专用存储介质中。
根据《公安机关办理刑事案件电子数据取证规则》第八条,需要及时固定相关证据时,可采用打印、拍照或录像等方式。第二十三条,对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。
2. 取证要点难点
数据解密(Android 上应用数据被 FDE/FBE 保护,开机第一次输入密码后才会解密数据),数据保持,数据防销毁
3. 分点解析
由于 Telegram 功能特性,聊天的一方可以为另一方删除聊天记录,扣押到检材后需要立刻断开网络,不要轻易重新连接网络,以免证据被远程删除;可重点关注被设置了定时删除或加密的聊天;可以通过截图、录屏等方式保存证据,对获取到的数据计算哈希值校验并留存。通过 Telegram Desktop 也可以直接导出嫌疑账号数据,但是需要注意账号新登录官方版 telegram desktop 后尝试直接导出数据会提示需要等待24小时,并且该操作会向其他登录会话发送提醒。也有其他第三方 telegram 专用取证软件可用,但一定注意提取范围不要设置过大,避免数据量过大触发服务端安全保护。
对于群聊数据遭到批量损毁的情况,若被控制账号有群聊管理员权限,可使用脚本导出群聊近期操作记录,如 https://gist.github.com/avivace/4eb547067e364d416c074b68502e0136
根据设备类型不同,也有第三方数据提取软件可用,如针对 Android 平台的多个取证软件,这些取证工具一般使用漏洞提升权限然后读取目标应用的私有数据,常见的被利用漏洞有 CVE-2024-0044(AOSP 框架漏洞,由 Meta Red Team X 及我报告)、CVE-2024-31317(AOSP 框架漏洞,由 Meta Red Team X 报告)、CVE-2024-4610(Arm GPU 驱动漏洞,影响除高通平台外大部分平台)及部分厂商如三星自己的漏洞等。取证公司仍在持续挖掘漏洞并转化为利用,如奇安信旗下盘古石取证团队近日宣布再次突破 Android 11 - Android 14 最新安全补丁提权:https://mp.weixin.qq.com/s/MorsW-Vx_Eb_WnqFtj_T5Q
部分设备可能存在设备管理 app 等,可能导致检材上的数据被擦除,可以使用漏洞对相关管理 app 进行禁用或无效化处理。除了传统的垂直提权漏洞,其他类型的漏洞也有可能被利用。本月 Android 安全补丁就修复了我发现的一个可使设备管理机制完全失效的漏洞 CVE-2024-43081,可能会被积极利用。
部分第三方系统存在额外安全保护机制,如设备闲置过指定时间后启动额外的数据保护机制如重启,应阻止设备休眠。
仅做备份处理,希望大家都用不到,更希望大家的信息都没有被取证必要。
1. 有效法律证据形式
根据 GA/T 1564-2019《法庭科学 现场勘查电子物证提取技术规范》,应对现场、屏幕进行拍照或录像,记录物证的系统时间和北京时间;对有密码保护的数据提取并保存在有唯一性编号的专用存储介质中。
根据《公安机关办理刑事案件电子数据取证规则》第八条,需要及时固定相关证据时,可采用打印、拍照或录像等方式。第二十三条,对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。
2. 取证要点难点
数据解密(Android 上应用数据被 FDE/FBE 保护,开机第一次输入密码后才会解密数据),数据保持,数据防销毁
3. 分点解析
由于 Telegram 功能特性,聊天的一方可以为另一方删除聊天记录,扣押到检材后需要立刻断开网络,不要轻易重新连接网络,以免证据被远程删除;可重点关注被设置了定时删除或加密的聊天;可以通过截图、录屏等方式保存证据,对获取到的数据计算哈希值校验并留存。通过 Telegram Desktop 也可以直接导出嫌疑账号数据,但是需要注意账号新登录官方版 telegram desktop 后尝试直接导出数据会提示需要等待24小时,并且该操作会向其他登录会话发送提醒。也有其他第三方 telegram 专用取证软件可用,但一定注意提取范围不要设置过大,避免数据量过大触发服务端安全保护。
对于群聊数据遭到批量损毁的情况,若被控制账号有群聊管理员权限,可使用脚本导出群聊近期操作记录,如 https://gist.github.com/avivace/4eb547067e364d416c074b68502e0136
根据设备类型不同,也有第三方数据提取软件可用,如针对 Android 平台的多个取证软件,这些取证工具一般使用漏洞提升权限然后读取目标应用的私有数据,常见的被利用漏洞有 CVE-2024-0044(AOSP 框架漏洞,由 Meta Red Team X 及我报告)、CVE-2024-31317(AOSP 框架漏洞,由 Meta Red Team X 报告)、CVE-2024-4610(Arm GPU 驱动漏洞,影响除高通平台外大部分平台)及部分厂商如三星自己的漏洞等。取证公司仍在持续挖掘漏洞并转化为利用,如奇安信旗下盘古石取证团队近日宣布再次突破 Android 11 - Android 14 最新安全补丁提权:https://mp.weixin.qq.com/s/MorsW-Vx_Eb_WnqFtj_T5Q
部分设备可能存在设备管理 app 等,可能导致检材上的数据被擦除,可以使用漏洞对相关管理 app 进行禁用或无效化处理。除了传统的垂直提权漏洞,其他类型的漏洞也有可能被利用。本月 Android 安全补丁就修复了我发现的一个可使设备管理机制完全失效的漏洞 CVE-2024-43081,可能会被积极利用。
部分第三方系统存在额外安全保护机制,如设备闲置过指定时间后启动额外的数据保护机制如重启,应阻止设备休眠。
仅做备份处理,希望大家都用不到,更希望大家的信息都没有被取证必要。
