In questo articolo, ci concentreremo sulle "conversazioni in chat" e guarderemo come il "tipo" di vista che hai può fare la differenza durante le indagini.
In Questo articolo mostreremo come:
- Modificare la visualizzazione dei messaggi.
- Determinare se un messaggio è stato inviato da un PC o da un dispositivo mobile.
- Comprendere perché questo è importante in alcune indagini.
Tratteremo anche i dati duplicati, che possono creare confusione, e ti mostreremo le funzionalità integrate in PA per ottimizzare i dati e mostrarti ciò di cui hai bisogno.
Il nostro obiettivo è semplificare la visualizzazione delle chat per consentirti di determinare rapidamente la pertinenza delle informazioni per la tua indagine.
In Cellebrite Physical Analyzer, sono disponibili diverse opzioni per visualizzare i dati sulle conversazioni all'interno delle applicazioni di chat. Poiché questo è comunemente uno degli aspetti chiave di un'indagine, ti mostreremo diversi punti di vista e i modi più semplici per accedervi. Evidenzieremo anche alcune caratteristiche di cui potresti non essere a conoscenza.
In "Chat" (sotto), iniziamo con WhatsApp.
In questo esempio, vedremo che abbiamo quelle che sembrano solo tre conversazioni. Tuttavia, queste sono tre conversazioni che possono contenere molti messaggi.
Se ti piace la visualizzazione a tabella, puoi semplicemente rimanere qui ed esaminare i dati, ma penso che sia più facile se fai doppio clic su un messaggio di tuo interesse, che ti mostrerà la "Conversation View".
In "Conversation View" vedrai cosa viene detto, esattamente come lo vedrebbe l'utente sul proprio dispositivo. Ancora più importante, se passi il mouse sopra l'icona del telefono, PA ti dirà se questo messaggio di WhatsApp è stato ricevuto da una versione desktop di WhatsApp o da un dispositivo mobile.
Perché è importante?
Ho WhatsApp sul mio PC e sul mio dispositivo mobile. Se invio un messaggio, potrei trovarmi in una posizione o in un'altra a seconda del dispositivo che utilizzo, il che potrebbe influire sulla tua indagine.
Vedrai anche le piccole icone "Participant".
Se fai clic su uno di essi, vedrai il nome del partecipante, la data e l'ora in cui il messaggio è stato consegnato e se è stato letto. Se è presente un ID utente dell'applicazione, verranno incluse anche quelle informazioni.
Ecco un'altra caratteristica interessante. Se apri Instagram e ci sono allegati inclusi, sarai in grado di vedere sopra nel riquadro di destra, qualcosa chiamato " File attachments ", (proprio accanto a " Details "). PA le tira fuori e te le mostra.
Se torniamo in WhatsApp e ci sono dei file allegati, PA ti mostrerà l'anteprima e il percorso completo in modo da poter approfondire se necessario.
Un'ultima cosa che voglio trattare è la deduplicazione dei dati. Se guardi sul lato destro, vedrai che dice " Duplicate Chats. "
Ciò significa che PA ti mostrerà qualsiasi contenuto duplicato e se il contenuto duplicato proviene da due posizioni o due fonti.
Se non preferisci quella visualizzazione, puoi sempre utilizzare il "Filters" e scegliere "All" (chat), "Only deduplications", "Only non-deduplications" o "Only items with additional information". Devi solo decidere cosa ha più senso per te.
