什么是Telegram�?
Telegram是一款基于云的即時通訊和IP語音服務(wù),由Nikolai和Pavel Durov兄弟于2013年推出�。根據(jù)美國證券交易委員會的數(shù)據(jù)���,截至2019年10月,每月Telegram用戶的數(shù)量為全球3億�。
讓我們來了解一下Telegram Messenger的一些安全特性:
1. 秘密聊天。Telegram在秘密聊天中提供端到端加密通信�����。此外����,秘密聊天信息不能被轉(zhuǎn)發(fā)或截屏。
2. 自毀計時器�����。對于那些過度關(guān)注隱私的用戶����,秘密聊天還提供消息的自毀計時器����。任何消息都可以從一秒到一星期永久刪除。
3. 消息刪除�。在Telegram上�,用戶不僅可以刪除自己的消息��,還可以刪除遠程方的消息��,甚至在他們被瀏覽之后�����。
4. 匿名性����。在Telegram中與人交談沒有必要與他們分享你的電話號碼。你的用戶名將足以讓人們在Telegram上找到你�����。但是�,注冊時必須要有電話號碼。
帶有自毀計時器的秘密聊天出現(xiàn)在其他一些安全的消息傳遞器中��,例如Wickr Me�����。那么,Telegram還有哪些其他的功能可以吸引用戶呢?
1. 基于云�。Telegram是基于云的通訊工具,因此所有數(shù)據(jù)都能在設(shè)備(比如你的移動設(shè)備和電腦)之間立即方便地同步�����。對于法庭調(diào)查人員來說���,這一特性意味著�,在無法訪問用戶的移動設(shè)備或計算機的情況下����,云證據(jù)可能是Telegram數(shù)據(jù)的一個很好的替代來源。
2. 添加附近人�����。Telegram提供了一個名為“添加附近的人”的獨特功能��,它允許用戶找到附近也啟用了這個功能的人�。你可以和他們聊天,加入附近的群組��,或者閱讀在那里分享的信息和聯(lián)系方式�。調(diào)查的一個潛在好處是,這些附近的聊天記錄與地理坐標一起保存�����,可以從移動設(shè)備中提取����。
3. 渠道。在Telegram上���,任何人都可以創(chuàng)建一個渠道來傳輸信息��,比如商業(yè)交易���、新聞、個人博客等��。提取出的渠道信息可以給調(diào)查者提供很多關(guān)于用戶利益的見解�,特別是當渠道發(fā)布非法信息的時候。
4. 更多功能����。Telegram提供了其他Messenger所缺乏的附加功能,比如創(chuàng)建20萬成員的群組和共享大至1.5 GB的文件的能力�。正如犯罪統(tǒng)計數(shù)據(jù)所顯示的那樣,并非所有群體都是懷著良好的意愿創(chuàng)建的。
鑒于上面提到的這些特點�,Telegram成為恐怖分子、虐待兒童���、網(wǎng)絡(luò)犯罪�����、毒品交易等犯罪新聞中提到的頭號信使也就不足為奇了�����。
讓我們看看Oxygen Forensic Detective如何能幫助執(zhí)法部門從Telegram中提取有價值的證據(jù)��。
在移動設(shè)備上運行Telegram
目前��,我們支持從蘋果iOS和Android設(shè)備中提取Telegram數(shù)據(jù)�����。
要從蘋果iOS設(shè)備中提取完整的Telegram數(shù)據(jù)����,你需要一個GrayKey圖像或者一個破解設(shè)備����,包括一個使用checkra1n破解的設(shè)備。請注意�,Telegram數(shù)據(jù)不能從非破解設(shè)備獲取,因為它不包含在app制造商的iTunes備份中��。你能從一個非破解設(shè)備獲得的最大數(shù)據(jù)量將只從緩存獲得數(shù)據(jù)�。
對于Android設(shè)備,建議使用一個物理轉(zhuǎn)儲來訪問完整的Telegram數(shù)據(jù)�,但有一個例外。如果你有一臺華為設(shè)備要調(diào)查����,你可以從華為備份中提取包括秘密聊天在內(nèi)的Telegram數(shù)據(jù)。
請注意�����,被刪除的消息可以完全恢復(fù)��,如果它們最近被刪除����,仍然有機會部分恢復(fù)自毀消息。
證據(jù)集將包括:
•帳戶詳細信息
•聯(lián)系人
•私人和群組聊天
•電話
•渠道
•“添加附近的人”信息與地理坐標
•調(diào)查
•緩存
來自云的Telegram
Oxygen Forensic Cloud Extractor提供了從Telegram Cloud中提取數(shù)據(jù)的能力�����,可以使用從Android設(shè)備中提取的電話號碼或令牌,也可以在PC上由Oxygen Forensic KeyScout找到����。證據(jù)集將包括:
•授權(quán)會話
•聯(lián)系人
•私人和群組聊天
•電話
•渠道數(shù)據(jù)
•調(diào)查
由于無法從云中提取秘密聊天,因此這是您在獲取Telegram云數(shù)據(jù)時會遺漏的唯一信息����。
此外,Oxygen Forensic® Cloud Extractor支持2FA�,并為研究人員提供必要的代理設(shè)置配置。
PC端Telegram
對于用戶如何在PC上使用Telegram有幾種選擇——Telegram和Unigram����。第一個應(yīng)用程序可以從Telegram網(wǎng)站下載安裝。第二個是Unigram��,可以從微軟商店購買����。此外,還有一個web版本的Telegram可以在web瀏覽器中運行�。Oxygen Forensic® KeyScout支持從所有數(shù)據(jù)庫中提取數(shù)據(jù)。
Telegram桌面應(yīng)用不會在PC上存儲用戶數(shù)據(jù)�。然而�,Oxygen Forensic®KeyScout同時從web瀏覽器和Telegram桌面應(yīng)用程序中提取一個Telegram通證����。這個通證可用于云提取。
如果在web瀏覽器中使用Telegram, KeyScout將收集一些工件���,您將能夠在Oxygen Forensic®Detective的web瀏覽器部分查看這些工件。但不要期望太多�。您將只看到Telegram在web瀏覽器中運行,但沒有提取用戶數(shù)據(jù)�。
對于Unigram, KeyScout收集的證據(jù)最為完整:
•用于云提取的Telegram通證
•帳戶信息
•聯(lián)系人
•群組聊天和頻道
•電話
•聊天,包括秘密聊天
此外�,如果您在macOS或Linux上運行KeyScout,您還可以在那里檢測Telegram桌面通證�����。
如您所見����,我們Oxygen Forensics為您提供了最全面的解決方案,從所有可能的來源——移動設(shè)備����、云計算和計算機——提取Telegram數(shù)據(jù)���。請繼續(xù)關(guān)注更多更新!
