以色列Cellebrite设备取证手机后遗留的痕迹特征

Cellebrite DI Ltd.（简称 Cellebrite）是一家全球领先的 数字情报（Digital Intelligence） 和 数字取证 解决方案提供商，总部位于以色列佩塔提克瓦（Petah Tikva），成立于1999年。

主要业务和产品Cellebrite 提供端到端的数字调查平台（Case-to-Closure Platform），覆盖数据收集、审查、分析和管理全流程。

UFED（Universal Forensic Extraction Device）为行业标准移动取证工具，能从各种智能手机、平板等设备中合法提取数据，支持iOS、安卓等系统。

Physical Analyzer：用于深度审查和分析提取的数据。

Inseyets：AI驱动的调查解决方案。

Responder、Digital Collector、Pathfinder 等工具，支持实时采集、远程收集和案件管理。

企业级产品如 Endpoint Inspector，用于企业端点数据管理。

可以说境外各行各业都有使用该设备进行取证分析的情况存在，行业主要为公共安全（Public Safety）、企业（Enterprise）以及联邦/国防三大类。截至2025年最新公开数据，公司全球客户超过7,000家，技术每年支持超过150万次合法授权调查，收入90%以上来自政府和公共部门机构，大部分为执法行动。

黑鸟通过外部消息，总结关于Cellebrite取证手机设备后遗留的痕迹特征如下。

首先需要提及情况：2024 年末，苹果在 iOS 18 中引入了一项安全功能，该功能允许 iPhone 在连续 3 天（或 72 小时）无活动后自动重启，将手机状态从 AFU（高级无操作模式）切换到 BFU（基本无操作模式）。类似的可选功能于2025 年 4 月在 Android 手机上推出，对应 Google Play 服务版本 25.16。

当iphone被脸部解锁后，该Cellebrite设备可以通过未知手法，获取到iphone的解锁密码。

取证记录显示，该设备在进行Cellebrite数据提取的前一天重启过，因此在提取数据之前处于首次解锁前（BFU）状态。

BFU是指设备重启后尚未解锁的状态。与首次解锁后（AFU）状态相比，设备处于BFU状态时，其内容加密更加安全。

特征1：

iPhone 通过 USB 连接到Cellebrite设备时，该设备使用

HostID 9016926980658937761372207 和 SystemBUID 30313996-42072961236303456 进行自我识别。

这两个特征，分别出现在Cellebrite 数字签名的 DLL 文件中，包括“CellebriteMobileAgent/iPhoneLib.dll”。

handle_pair: Pair message: {

PairRecord = {

DeviceCertificate = [..]

HostCertificate = [..]

HostID = 9016926980658937761372207;

ProtocolVersion = 2;

RootCertificate = [..]

SystemBUID = “30313996-42072961236303456”;

};

Request = Pair;

}

特征2

Cellebrite设备取证存在公开的checkm8漏洞的iphone时，这部 iPhone 的崩溃日志显示，一个名为mnm 的进程曾在该设备上运行。

手机显然是从 RAM 磁盘启动的，这表明安全启动已被绕过，可能就是通过checkm8实现的。

崩溃日志显示， mnm进程有一个名为“com.cellebrite.bruteforce”的调度队列。

“24”：{...，“procname”：“mnm”，...，“dispatch_queue_label”：“com.cellebrite.bruteforce”，...}

手机上还设置了几个以“mnm-”开头的NVRAM变量（NVRAM变量可用于在文件系统之外保存设备重启后的状态），因此进程名mnm或以“mnm-”开头的NVRAM变量大概率是由Cellebrite的工具设置的。

特征3

Cellebrite取证的安卓设备的取证记录时，会安装了一个名为 com.client.appA 的软件包。

START DELETE PACKAGE: observer{██████████}
pkg{com.client.appA}, user{█}, caller{█} flags{█}
START INSTALL PACKAGE: observer{██████████}
stagedDir{/data/app██████████.tmp}
stagedCid{null}
pkg{com.client.appA}
Request from{null}

package=com.client.appA totalTimeUsed=”00:24″ lastTimeUsed=██████████
totalTimeVisible=”00:26″ lastTimeVisible=██████████
lastTimeComponentUsed=██████████ totalTimeFS=”00:00″ lastTimeFS=”1970-01-01 02:00:00″ appLaunchCount=2 fgServiceLaunchCount=0

该软件包随后不久被删除，该软件包名称出现在Cellebrite 公司数字签名的 DLL 文件中，

例如“CellebriteMobileAgent\CellewiseLib.dll”。

还有一些其他资料，后续看情况不定期分享。

iOS 系统封锁记录

主机 ID：9016926980658937761372207

系统版本：30313996-42072961236303456

iOS崩溃日志

进程名称：mnm

服务名称：com.cellebrite.bruteforce

Android 软件包

软件包 ID：com.client.appA

更多实时情报可扫码查阅