什么是Telegram?
Telegram是一款基于云的即时通讯和IP语音服务,由Nikolai和Pavel Durov兄弟于2013年推出。根据美国证券交易委员会的数据,截至2019年10月,每月Telegram用户的数量为全球3亿。
让我们来了解一下Telegram Messenger的一些安全特性:
1. 秘密聊天。Telegram在秘密聊天中提供端到端加密通信。此外,秘密聊天信息不能被转发或截屏。
2. 自毁计时器。对于那些过度关注隐私的用户,秘密聊天还提供消息的自毁计时器。任何消息都可以从一秒到一星期永久删除。
3. 消息删除。在Telegram上,用户不仅可以删除自己的消息,还可以删除远程方的消息,甚至在他们被浏览之后。
4. 匿名性。在Telegram中与人交谈没有必要与他们分享你的电话号码。你的用户名将足以让人们在Telegram上找到你。但是,注册时必须要有电话号码。
带有自毁计时器的秘密聊天出现在其他一些安全的消息传递器中,例如Wickr Me。那么,Telegram还有哪些其他的功能可以吸引用户呢?
1. 基于云。Telegram是基于云的通讯工具,因此所有数据都能在设备(比如你的移动设备和电脑)之间立即方便地同步。对于法庭调查人员来说,这一特性意味着,在无法访问用户的移动设备或计算机的情况下,云证据可能是Telegram数据的一个很好的替代来源。
2. 添加附近人。Telegram提供了一个名为“添加附近的人”的独特功能,它允许用户找到附近也启用了这个功能的人。你可以和他们聊天,加入附近的群组,或者阅读在那里分享的信息和联系方式。调查的一个潜在好处是,这些附近的聊天记录与地理坐标一起保存,可以从移动设备中提取。
3. 渠道。在Telegram上,任何人都可以创建一个渠道来传输信息,比如商业交易、新闻、个人博客等。提取出的渠道信息可以给调查者提供很多关于用户利益的见解,特别是当渠道发布非法信息的时候。
4. 更多功能。Telegram提供了其他Messenger所缺乏的附加功能,比如创建20万成员的群组和共享大至1.5 GB的文件的能力。正如犯罪统计数据所显示的那样,并非所有群体都是怀着良好的意愿创建的。
鉴于上面提到的这些特点,Telegram成为恐怖分子、虐待儿童、网络犯罪、毒品交易等犯罪新闻中提到的头号信使也就不足为奇了。
让我们看看Oxygen Forensic Detective如何能帮助执法部门从Telegram中提取有价值的证据。
在移动设备上运行Telegram
目前,我们支持从苹果iOS和Android设备中提取Telegram数据。
要从苹果iOS设备中提取完整的Telegram数据,你需要一个GrayKey图像或者一个破解设备,包括一个使用checkra1n破解的设备。请注意,Telegram数据不能从非破解设备获取,因为它不包含在app制造商的iTunes备份中。你能从一个非破解设备获得的最大数据量将只从缓存获得数据。
对于Android设备,建议使用一个物理转储来访问完整的Telegram数据,但有一个例外。如果你有一台华为设备要调查,你可以从华为备份中提取包括秘密聊天在内的Telegram数据。
请注意,被删除的消息可以完全恢复,如果它们最近被删除,仍然有机会部分恢复自毁消息。
证据集将包括:
•帐户详细信息
•联系人
•私人和群组聊天
•电话
•渠道
•“添加附近的人”信息与地理坐标
•调查
•缓存
来自云的Telegram
Oxygen Forensic Cloud Extractor提供了从Telegram Cloud中提取数据的能力,可以使用从Android设备中提取的电话号码或令牌,也可以在PC上由Oxygen Forensic KeyScout找到。证据集将包括:
•授权会话
•联系人
•私人和群组聊天
•电话
•渠道数据
•调查
由于无法从云中提取秘密聊天,因此这是您在获取Telegram云数据时会遗漏的唯一信息。
此外,Oxygen Forensic® Cloud Extractor支持2FA,并为研究人员提供必要的代理设置配置。
PC端Telegram
对于用户如何在PC上使用Telegram有几种选择——Telegram和Unigram。第一个应用程序可以从Telegram网站下载安装。第二个是Unigram,可以从微软商店购买。此外,还有一个web版本的Telegram可以在web浏览器中运行。Oxygen Forensic® KeyScout支持从所有数据库中提取数据。
Telegram桌面应用不会在PC上存储用户数据。然而,Oxygen Forensic®KeyScout同时从web浏览器和Telegram桌面应用程序中提取一个Telegram通证。这个通证可用于云提取。
如果在web浏览器中使用Telegram, KeyScout将收集一些工件,您将能够在Oxygen Forensic®Detective的web浏览器部分查看这些工件。但不要期望太多。您将只看到Telegram在web浏览器中运行,但没有提取用户数据。
对于Unigram, KeyScout收集的证据最为完整:
•用于云提取的Telegram通证
•帐户信息
•联系人
•群组聊天和频道
•电话
•聊天,包括秘密聊天
此外,如果您在macOS或Linux上运行KeyScout,您还可以在那里检测Telegram桌面通证。
如您所见,我们Oxygen Forensics为您提供了最全面的解决方案,从所有可能的来源——移动设备、云计算和计算机——提取Telegram数据。请继续关注更多更新!