__________________
Senast redigerad av develi 2023-10-09 kl. 19:44.
Senast redigerad av develi 2023-10-09 kl. 19:44.
Citat:
NÄMEN CEPOFAN! (Rättsmedicinska för se på fan 
)
Gissa allesammans vad åklagaren återkom med till rätten i sin komplettering, efter att rätten i slutet av förra veckans förhandling ifrågasatte om åklagare och försvarare var överens om vad som orsakat Majas telefons registreringar vid 0233.
Avel, du kan dra en gammal filt över dig nu med en gång! För du vill inte se det här
JO, då skriver åklagaren så här:
Ja, så var det med den saken.
Gonatt och adjö, Avel, din okunniga tramsepelle!
)Gissa allesammans vad åklagaren återkom med till rätten i sin komplettering, efter att rätten i slutet av förra veckans förhandling ifrågasatte om åklagare och försvarare var överens om vad som orsakat Majas telefons registreringar vid 0233.
Avel, du kan dra en gammal filt över dig nu med en gång! För du vill inte se det här
JO, då skriver åklagaren så här:
Ja, så var det med den saken.
Gonatt och adjö, Avel, din okunniga tramsepelle!
Nu har jag inte läst det som åklagaren skickat in men det är helt korrekt att har man gjort ett aktivt val under pandemin i Inställningar > Face ID och lösenkod > Face ID med munskydd så kan man genom att använda en ansiktsmask ändå låsa upp iPhonen. Det som talar till MH:s fördel är alltså att upplåsningen då kan ske om MH t.ex har ett sängtäcke uppdraget över hakan/munnen så låses iPhonen ändå upp med FaceID.
Som jag skrivit några gånger här så loggar iPhonen alltså vilken METOD som använts då iPhonen låses upp.
Med lösenkod.
Med Face ID.
Och antagligen då med Face ID ansiktsmask.
iPhonen måste hålla koll på sånt här i loggen.
Att detta tillägg kommer nu säger ju en del om hur IT-forensiken har hanterats i den här utredningen.
Så nu när målet har kommit till hovrätten så har de kanske de äntligen tagit fram detaljer ur databasen KnowledgeC och övriga databaser (alternativt SEGB-filer för Biome filsystemet dit mycket av den här datan har migrerat sedan iOS 15 och definitivt iOS 16).
Detta kommer alltså i ljuset EFTER att sakframställan i hovrätten gjorts. Själva definitionen av ””elfte timmen” alltså. Anmärkningsvärt.
Vad tog det att få fram de här detaljerna som fanns redan när iPhonen tömdes - ett år minus nån vecka?
Och nu ser vi även vilken version av iOS som IT-forensikerna ”brottats med” vid tömningen av MH:s iPhone 12 (A2403), alltså 15.6.1. Den frågan har jag ställt till utredningen i våras men då var det hemligt pga av att polisen inte ville ”avslöja sina metoder”. Då är alltså inte heller JJ:s version av iOS heller nu en hemlighet. Så den bör de kunna delge allmänheten för att kunna utröna om tömningen gjordes väldigt sent mot vad som var möjligt. En positiv utveckling för att kunna granska utredningens arbete m a o.
Att tilläggsprotokollet om de här iPhonehändeöserna i akt 84 har skrivits av en operativ analytiker och inte en IT-forensiker har jag lyft fram som en brist. Analytikerna kan mycket men har inte den kunskap som krävs för att dyka lite djupare och förklara databaser som t.ex KnowledgeC samt Biome.
Keybag är inte förklarat i det protokollet och det är inte heller Activity Level.
Så här skrev jag i augusti:
”Så Activity Level 02:33 vad tusan är det då?
Det vet knappt polisens leverantörer ens. Men lite har de klurat ut och det är att 0 är ingen aktivitet i iPhonen. 1 är aktivitet och 8 (vilket inte är med i protokollet) är någon bakgrundsaktivitetl.”(Min kommentar per idag 20231009: baserat på en användares supportfråga i chat till Cellebrites Ian W*hiffin, Senior Digital Intelligence Expert and Decoding Product Manager hos Cellebrite som svarade att Activity Type 1, 2 och 8 har han koll men inte övriga typer)
I protokollet ser vi att Activity Level är satt till Activity type 1 och 0.
1 är alltså att iPhonen har aktiverats efter upplåsning. 0 är när den är låst.
Likaså ser vi Screen off och Screen on. I databasen KnowledgeC så heter detta ”display/isBacklit.
Står det i databastabellen kolumn ZvalueDouble att display/isBacklit är 1 så är skärmen tänd. Står det i samma kolumn 0 så är skärmen släckt.
Samma gäller då /device/isLocked. Står det 1 i Zvaluedouble så är enheten låst. Står det 0 så är enheten upplåst.
Hade det stått i kolumnen zstreamname att /app/usage hade t.ex com.apple.Preferences så hade det visat på aktivitet att Inställningar i iPhonen öppnas.
Sådan aktivitet ser vi dock inte.
Men vi ser att MH:s iPhone har aktiverats eftersom Activity type är 1.
Keybagen kan låsas automatiskt och det ser vi 02:33:24 som jag varit inne på.
Men en keybag kan bara låsas upp av lösenkod eller Face ID. Ingen obehörig ska alltså kunna komma åt denna kryptering.
I den här länken så ser man hur iPhonen beter sig vid upplåsning med lösenkod eller Face ID.
Som framgår av underlagen så sker tre saker. I loggen händer väldigt mycket mer (t.ex en aktivitet som heter /device/isLockedImputed) men de här detaljerna räcker för att visa hur jag menat hela tiden. Tabellerna är sorterade per aktivitet men kommer givetvis växelvis i kronologisk ordning i programmet/databasen KnowledgeC. Skärmklippen är från samma program jag visat tidigare i tråden på det här temat.
Länk med skärmklippen och den tömningen jag gjort av en iPhone 12 (likt MH:s) i juli i år:
https://gofile.io/d/PRpvh1
I skärmklippen ser vi KnowledgeC som visar isLocked, isBacklit och keybag/isLocked. I ett separat skärmklipp visar jag en sammanställning jag gjort idag för att visa hur iPhonen låses upp (device) samtidigt som keybag låses upp och att skärmen tänds nån sekund innan innan eller samma sekund som device och keybag låses upp.
Programmet ArtEx2 är skrivet av Ian Wh*iffin hos Cellebrite kan tilläggas och det gjorde han innan han anställdes som Senior Digital Intelligence Expert and Decoding Product Manager hos Cellebrite som alltså har levererat Ufed Physical Analyzer som man gjorde den första analysen avMH:s och JJ:s iPhones. Den senare analysen gjordes i Magnet Forensics Axiom som framgår av tilläggsprotokollet akt 84.
Han är även expert på Biome filsystemet som jag har frågat utredningen om de kan kika närmare i men så har de inte gjort av vad vi kan se i protokollen. Det är mer detaljerat som framgått av mina otaliga inlägg om just Biome.
Så nu har den här "tramspellen" visat det som jag menat när jag försökt få dig att förstå hur detta funkar.
Citat:
NÄMEN CEPOFAN! (Rättsmedicinska för se på fan )
Gissa allesammans vad åklagaren återkom med till rätten i sin komplettering, efter att rätten i slutet av förra veckans förhandling ifrågasatte om åklagare och försvarare var överens om vad som orsakat Majas telefons registreringar vid 0233.
Avel, du kan dra en gammal filt över dig nu med en gång! För du vill inte se det här
JO, då skriver åklagaren så här:
Ja, så var det med den saken.
Gonatt och adjö, Avel, din okunniga tramsepelle!
)Gissa allesammans vad åklagaren återkom med till rätten i sin komplettering, efter att rätten i slutet av förra veckans förhandling ifrågasatte om åklagare och försvarare var överens om vad som orsakat Majas telefons registreringar vid 0233.
Avel, du kan dra en gammal filt över dig nu med en gång! För du vill inte se det här
JO, då skriver åklagaren så här:
Ja, så var det med den saken.
Gonatt och adjö, Avel, din okunniga tramsepelle!
Om du påstår att Avel är okunnig. Så är du nog ute på djupt vatten & högst okunnig själv.
Avel är ju bland de vettigaste på FB.
Skapa ett konto eller logga in för att kommentera
Du måste vara medlem för att kunna kommentera