Android Motion Photos in Magnet AXIOM

Hi! Hier ist Jessica Hyde, forensische Leiterin bei Magnet Forensics. Ich möchte einen Moment über Android Motion Photos sprechen. Dieses Artefakt ähnelt Live Photo, mit dem einige Leute unter iOS vertraut sein dürften. Diese Funktion ist auf einigen, aber nicht allen Android-Geräten verfügbar und kann vom Benutzer deaktiviert werden. Auf einem Gerät, das Motion Photo unterstützt, werden die Bilder als JPEG mit einem in die .jpg-Datei eingebetteten MP4-Video gespeichert.

Das Tolle an Motion Photos ist, dass sie Elemente in einer Szene zeigen können, die im jpg selbst nicht zu sehen sind. Ich habe über dieses Artefakt und den Vergleich mit Live Photos in meiner Präsentation mit Chris Vance während unseres vergleichenden Webinars zu Android/iOS gesprochen. Wenn Sie sich einige Daten mit Bewegungsbildern ansehen möchten, schauen Sie sich dieCTF-Bilder des Magnet Virtual Summit 2020 an. Einige werden dieses Artefakt vielleicht von der #MagnetWeeklyCTF Woche 3 Challenge kennen.

In AXIOM 4.9 haben wir native Unterstützung für die eingebetteten MP4-Dateien mit Motion Photo Artifact hinzugefügt. Es gibt so viele Dinge, die ich an der Kombination aus Foto und Video liebe. Im Bild unten sehen Sie das Standbild des bewegten Fotos sowie die Stelle, an der ich das Video angehalten habe. Das Video ist zwar nur eine Sekunde lang, aber wenn Sie es langsam im Viewer abspielen, können Sie sehen, dass es ein Zeichen im Video gibt, das Ihnen helfen kann, die Perspektive zu verstehen, aus der das Bild aufgenommen wurde. Mit dieser Videovorschau können Sie nicht nur langsam abspielen und anhalten, sondern auch direkt in der Vorschau einen Screenshot machen, um ein Bild von einem wichtigen Frame zu erstellen.


Abbildung 1: Motion Photo Artifact

Zusätzlich zur Videovorschau verfügt dieses Artefakt über eine enorme Menge an EXIF-Daten, einschließlich Geolocation und mehreren Zeitstempeln, die es uns ermöglichen, dieses Artefakt sowohl in der Kartenansicht als auch in der Zeitleistenansicht zu betrachten. Außerdem können die EXIF-Daten verwendet werden, um die Marke und das Modell des Geräts zu überprüfen, mit dem das Bewegungsfoto erstellt wurde. Tarah Melton, Forensic Consultant, demonstriert in diesem Video die Arbeit mit diesem neuen Artefakt.

Wir hoffen, dass dieses Artefakt Ihnen bei Ihren Android-Untersuchungen helfen wird. Wenn Sie Fragen oder Anmerkungen zu Motion Photo Artefact haben, können Sie mich per E-Mail unter jessica.hyde@magnetforensics.com erreichen.

The post Android Motion Photos in Magnet AXIOM appeared first on Magnet Forensics.

Android Motion Photos in Magnet AXIOM