Onderzoek mobiele apparaten

Gewiste Whatsapp, sms, call-logs, GPS, TomTom

Bel direct:
088 - 12 11 11 1

Windows Live Messenger Blackberry

Op een blackberry met hierop geinstalleerd Windows Live Messenger, troffen wij in het /Blackberry FS/Root/feeds een aantal genummerde XML files aan.
De bestandsnaam lijkt hierbij te zijn opgebouwd uit de "acid" en een volgnummer.
De aangetroffen versie van Windows Live Messenger betrof hier versie 2.5.63 en had als identifier: net.rim.device.apps.internal.qm.msn

De stuctuur van de aangetroffen XML files was als volgt:

<?xml version="1.0" encoding="UTF-8"?>
<bf ver="1.0.0" >
<ac acid="987654321" adid="9876543212345678900" dn="gebruikersnaam" un="1234432A" mcnt="100" >
<tfm mid="1331676262011" cti="1331676262011" txt="voorbeeldtext van een berichtje" udn="een andere naam" uid="-123456789" puri="-123456777" turi="null" >
 <mc>
<![CDATA[null]]>
</mc>
</tfm>


Om zoveel mogelijk tekstdata boven water te krijgen kan gezocht worden middels Encase met het zoekwoord (grep aan):

<tfm mid=.[^>]{1,255}

 

De mid/cti tijden zijn middels Dcode eenvoudig te vertalen naar normale tijden:

dcode windows live messenger