下载链接：https://download-hdw.oss-cn-beijing.aliyuncs.com/Oxygen/OxyDetective_Dongle_x64_Setup_15.5.0.110.exe.zip

氧气法医®侦探v.15.5版本更新了以下主要功能：

-支持基于MT6761芯片组的安卓设备

-分析使用BitLocker保护的驱动器分区

-Windows休眠文件的分析

-支持导入分析电报导出的数据

-三星定制服务(com.Samsung.Android.rubin.app)的解析

手机取证部分更新

支持MT6761芯片组

v15.5氧气法医®侦探MTK安卓取证方法更新了支持提取基于MT6761芯片组硬件密钥和解密的安卓设备。支持包括小米Poco C50、小米红米A1、小米红米A1+、Honor 8S 2020、华为Y5 2019、华为Y6 Prime 2019、小米红米6A等型号。

支持UNISOC T610/T618/T700芯片组

15.5版本新增支持安卓系统版本10-13，并具有基于文件的加密（FBE）的UNISOC T610/T618/T700芯片组的安卓设备硬件密钥提取和解密物理转储的能力。使用展讯芯片处理方法进行分析处理。支持的设备包括Blackview Tab 15，Digma Pro 1480E 4G，Infinix Hot 12 Play Unisoc T610，联想 Tab M10（第三代），Micromax In 2b，Realme C21Y，TeclastT40+，等等。

增加了三星Exynos设备的支持

15.5版本中增加了对三星Exynos的全磁盘加密（FDE）设备的支持，并从安卓OS 9升级到10-11。这种方法提供了密码暴力破解能力。

其他提取器更新

15.5版本中设备提增强了以下功能：

• 支持通过安卓提取器提取推特、Viber、WhatsApp的商务数据。

• 支持通过iOS提取器苹果iOS设备的钥匙串文件，支持iOS版本15.0 - 15.5.

• 支持通过iOS提取器从iOS15.0 - 15.7.1和16.0.0.16.6.1.2版本的Apple iOS设备中提取文件系统。

• 支持提取通过checckm8越狱的iOS设备版本15.7.5完整的文件系统和钥匙串文件。

应用程序支持

增加了对以下新应用程序的支持：

• Hide It Pro（安卓）

• Notepad Vault-AppHider（安卓）

• Notion（安卓）

• Tappsk（iOS)

此外，还增加了支持了一类非常有价值的数据格式——三星定制服务(com.Samsung.Android.rubin.app)。它收集和存储有关用户活动的信息：应用程序使用历史、空间、位置历史、运动历史、web历史、搜索历史、Wi-Fi连接历史、设置、通知和事件日志。

支持的应用程序版本的总数现在超过了38,500个。

数据导入更新

导入电报和导出的数据

增加了另一个获取电报数据的来源。取证人员可以通过导入和解析电报导出数据文件，可以使用电报应用程序设置中的“导出电报数据”选项保存。要将它们导入到软件中，单击位于软件主屏幕上的下载帐户数据选项。

电报导出的数据文件可以包含以下信息：

• 账户信息

• 联络

• 聊天

• 私人聊天

• 与机器人的聊天

• 专用渠道和组（仅限帐户消息）

• 公共渠道和组（仅限帐户消息）

• 活动会话

• 附件

• 照片

• 视频

• 语音信息

• 视频消息

• 贴纸

• GIF

云取证更新

云提取器工具中添加了几个增强功能：

• 电报数据的提取：reactions，avatars，被屏蔽的用户，组和渠道请求和高 级帐户信息

• 更新的脸书数据提取

• 更新了在Tinder中的授权能力

计算机工件

分析使用BitLocker保护的驱动器分区

15.5版本添加了分析由BitLocker保护的驱动器分区的能力。

有四种分析方法：

• 如果一个驱动器分区被保护和锁定，氧气秘钥侦探可以用已知密码或BitLocker恢复密钥解密。

• 如果一个驱动器分区被保护和锁定，氧气秘钥侦探也可以使用从RAM内存中提取的全卷加密密钥（FVEK）或已提取的VMK（卷主密钥）对其进行解密。

• 如果驱动器分区受到保护，但保护器被删除或禁用，则会使用氧气秘钥侦探检测到此状态，并自动解密驱动器。

• 如果一个驱动器分区是受保护的，但氧气秘钥侦探运行过程中处于解锁状态，取证人员可以使用氧气秘钥侦探来解密它或者使用OS API在解密的逻辑驱动器中查找数据。

休眠文件分析

取证人员现在可以分析在休眠前显示机器状态的休眠文件。这些文件可能包括最近的进程、恶意软件分析、打开的应用程序列表、有关打开的应用程序的信息、互联网历史记录、媒体，如视频、照片、密码、地理位置信息和时间戳。

新增和更新支持的数据格式

通过更新的氧气秘钥侦探，用户可以收集以下新的数据格式：

• 已知的网络连接

• 已从macOS保存的pop-up通知

• 来自Windows和Linux的Briar数据

• 来自窗口和Linux的Notepad++

• 关于从Linux中安装的Debian软件包/高 级打包工具软件包的信息

已更新的支持包括：

• 来自Windows凭据管理器的用户凭据

• 来自macOS的电报数据