goldenerReiter schrieb:Wäre es nicht möglich dass es (zumindest einen) Notruf in Form einer SMS gegeben hat und diese SMS nach dem Auffinden des Rucksacks von einer uns noch Unbekannten Person absichtlich gelÖscht worden ist?
Für einen Profi am Computer möglich, natürlich. Aber insgesamt doch sehr spekulativ, u.a. weil im Juni (1) Akku wohl defekt und (2) im Besitz der Polizei.
bergfreund schrieb:Demzufolgei ist die Aussage bzgl. der Zeitdauer von Dir hier:
Beitrag von Offshore7 (Seite 1.034)
nicht zu halten (?).
Doch, technisch ist das korrekt. Kein Entsperrcode = keine Signalstärke-Logs bzw. überhaupt keine Powerlogs. Zeitdauer spielt in Bezug auf diese Feststellung keine Rolle, egal ob 1 Minute oder 20 Stunden, am Ende wird alles verworfen.
bergfreund schrieb:--> Warum bist Du dir nicht so sicher (Du schreibst "evt.") dass dies dann auch so benutzt wurde ?
Ich sehe in Kris Situation keine sinnvolle Anwendung, außer der Taschenlampe. ZB am 6. April wurde das Kontrollzentrum auf dem Sperrbildschirm nicht benutzt, obwohl die Weltzeituhr zu dessen Apps gehört. Ob die Funktion "Kontrollzentrum auf Sperrbildschirm" am 2. April wirklich eingestellt wurde, wissen wir gar nicht, Kris kann an der Stelle auch einfach die Einstellungs-App verlassen haben. Beim Kontakt Miriam geht ja auch niemand davon aus, dass Kris den Eintrag erst kurz vor dem Snapshot geschrieben hat. Beweisbar ist nur die Umstellung 2G/3G, weil das in den Logs ersichtlich ist.
bergfreund schrieb:--> Wie kam man (später) zu der SIM-Pin- Abfrage, wenn man nach dem Booten im Kontrollzentrum war und dort die - wie Du beschreibst - aufploppende Eingabeaufforderung zur Eingabe der SIM-Pin vorerst ignorierte?
Durch Wählen einer Telefonnummer bei gesperrter SIM oder durch Flugmodus ein/aus. Dasselbe gilt, wenn du die "offizielle" SIM-Pin-Abfrage nach Eingabe Entsperrcode zunächst wegklickst.
Streusel schrieb:Also nochmal die Frage an offshore: Ist dieser "Bug" jetzt aus dem Rennen?
Nein. Ich nenne ihn heute nur anders: iOS 7 RAM / NAND-Flash Verhalten (iOS Data Protection) bzw. unschöner Nebeneffekt der damals neu eingeführten iOS 7 Sicherheitsrichtlinie NSFileProtectionCompleteUntilFirstUserAuthentication. Wenn der "Bug" aus dem Rennen wäre, wäre aufgrund der Datenlage des 11. Aprils FP bewiesen, das hat in den letzten 10 Jahren nur niemand bemerkt. :-)
Doctective schrieb:Glaubst du, der Bug wurde übersehen
Ja. Das Unwissen geht aus den Aussagen der Forensiker hervor, zB dass der SIM-Pin erst eingeben werden kann, wenn zuvor der Entsperrcode eingegeben wurde. Oder wo der Forensiker spekuliert, dass das iPhone am 6. April 10:27 ohne Entsperrcode nur über das Kontrollzentrum genutzt worden sein könnte. Mit Wissen über den "Taschenrechner"-Bug und das RAM/NAND-Verhalten hätten sie es besser gewusst. Das ist keine fachliche Inkompetenz, denn ein Digital-Forensiker muss in erster Linie seine Forensik-Tools beherrschen, nicht jeden Bug jeder Firmware-Version jeden Geräts kennen.
Problematisch ist das in Bezug auf die Bewertung der Datenlage des 11. Aprils bzw. auf die Ratlosigkeit, was da mit dem iPhone gemacht wurde. Auf die ermittelten kurzen Betriebszeiten an den anderen Tagen hat das keinen Einfluss, weil das NFI hier eine ausreichend sichere Methode verwendete, die ich am Ende des Beitrags mal versuche allgemeinverständlich zu erklären.
Origines schrieb:Dazu die zweite Frage: Ich gehe davon aus, dass @Offshore den NFI-Bericht kennt und dessen Informationen bei seiner Analyse berücksichtigt bzw. der Bericht Grundlage seiner eigenen Utersuchungen ist. Nicht berücksichtigt werden konnte die Datenbasis des NFI-Berichts, weil sich diese auf den berühmten "DVDs" befindet. Trifft das zu?
Ich kenne nur relevante bzw. Handy-spezifische Auszüge, die natürlich Basis meines kleinen Feldtests sind, ansonsten wäre das ganze ja unseriös. MMn. hat das NFI die relevante Datenbasis bzw. die relevanten Daten-Beweise zu ihren Aussagen komplett im NFI-Bericht abgedruckt. Auf den DVDs schlummern höchstens Daten, die mit anderen / neuen Forensik-Tools und Analyse-Methoden Relevanz erlangen könnten.
Origines schrieb:Ich weiß aber nicht, ob das noch aktuell ist:
Ist es.
bergfreund schrieb:Ein existierender Bug "erlaubte" es dann die SIM-Pin im/über das Kontrollzentrum einzugeben. Dadurch wurde die Signalstärke angezeigt - aber nicht aufgezeichnet.
Das ist richtig und wäre vom NFI aus Unkenntnis wohl nicht bemerkt worden.
@bergfreund@Streusel@Doctective.. und andere
NFI-Methode zur Ermittlung der BetriebszeitenIch stelle hier mal exemplarisch nach, wie der NFI-Forensiker die Betriebsdauer einer iPhone-Session (und im Grunde auch alle anderen Sachverhalte) in etwa dokumentiert:
(1) Ich habe in den Bootlogs gesehen, dass das Telefon am 3. April um 09:32 Uhr zum ersten Mal an diesem Tag eingeschaltet wurde.
(2) Ich habe in den Logdateien gesehen, dass nach 09:33 Uhr keine Logs mehr erfolgten.
(3) Ich habe auch gesehen, dass im Dateisystem des Telefons nach 09:33 Uhr keine Änderungen mehr vorgenommen wurden.
Es scheint mir sehr wahrscheinlich, dass das Telefon um 09:33 Uhr ausgeschaltet wurde (Power Off).
Datengrundlage: Siehe Anlage Bla, Beweise Blub
Es wird also oft nicht als Fakt dargestellt, sondern es scheint oder erscheint wahrscheinlich. :-) Aus den FSEvents geht die Ausschaltzeit auf die Sekunde genau hervor, aber auch das scheint den Forensikern unbekannt gewesen zu sein.
Da wir zB am 4.,5.,6. April sowieso keine Powerlogs haben, gab es bei den Logs nix zu sehen, außer den "Start-Up-Logs" für die Einschaltzeit und Dinge wie Baseband-Logs. Aber die letzte Aktion, die das iPhone vor dem AUS-Zustand ausführt, ist das Speichern einer versteckten FSEvents-Datei, deren Timestamp exakt die Ausschaltzeit widerspiegelt. Und weil das NFI neben den Logs auch das Dateisystem analysierte, lagen sie mit ihrer Methode richtig.
Das geht zB mit folgendem Befehl, der das gesamte Dateisystem rekursiv durchsucht:
find / -type f -newermt "2025-08-15" ! -newermt "2025-08-16" -printf "%TY-%Tm-%Td %TH:%TM:%TS %Tz %p\n"
D.h.: Insofern die "Bugs" an manchen Tagen theoretisch möglich waren und wissentlich oder unwissentlich genutzt wurden, dann nur im Rahmen der vom NFI ermittelten kurzen Betriebsdauer. Das ist das entscheidende Verständnis, was ich lange Zeit selbst nur aufgrund der angenommenen Professionalität des NFI vermutete, weil mir Forensiker-Aussagen zur Methodik fehlten.
DESHALB schließe ich längere Betriebszeiten via der "Bugs" aus (außer am 11. April). Oder besser gesagt: Es erscheint mir wahrscheinlich, dass das NFI an allen Tagen richtig liegt. :-)
Ich hoffe, das war jetzt verständlich genug.
