Speciale i komplekse iPhone-sager på hardware-nært niveau i iOS/Secure-Enclave-økosystemet. Arbejder udelukkende med samtykke eller gyldig dommerkendelse og leverer retsmedicinsk dokumentation, der kan stå i retten – også i sager, der ligger uden for rækkevidde af konventionelle værktøjer.
Genskabelse af utilgængelige/slettede data fra iPhones – inkl. dybe artefakter og nøgleafledte datastrukturer – i sager, der ligger uden for rækkevidde af konventionelle værktøjer.
Retsmedicinsk sikring (bit-for-bit hvor muligt), verifikation (SHA-256), logning og rapportering med fuld kæde af bevisførelse og reproducerbarhed.
Uafhængig kvalitetssikring af tredjepartsudtræk i teknisk vanskelige sager, inkl. forklaring for retten.
Ad hoc-assistance når tid er kritisk – under definerede, dokumenterede rammer og fortrolighed.
Hvor kommercielle værktøjer ofte stopper, arbejder vi på low-level niveau. Det betyder direkte analyse af systemets rå databaser, logfiler og nøglestyring – altid med fuld beviskæde og dokumentation, så resultatet kan anvendes i retten.
Fuld udtræk af filsystem (hvor muligt) og manuel analyse af artefakter:
sms/chat.db, CallHistory.storedata,
KnowledgeC.db, unified logs m.m.
Genskabelse af slettede poster via SQLite WAL/SHM-filer, plist-analyse og NSKeyedArchiver/Protobuf parsing.
Dokumentation af keybag-tilstande (AFU/BFU), trust records og adgangsforudsætninger – kombineret med SHA-256 hashing og kæde af bevisførelse.
Udtræk af slettede mediefiler og datafragmenter direkte fra APFS-blokke og diagnostiske logstrukturer.
sms/chat.db, CallHistory.storedata)KnowledgeC.db, LocationD, Diagnostics, Unified LoggingAlt arbejde udføres i kontrollerede rammer uden tredjepartsadgang, og under betingelser der sikrer fuld fortrolighed og uafbrudt kæde af bevisførelse. Vi offentliggør ikke specifikke bypass-metoder.
Validering af ejerskab eller dommerkendelse. Beviskæde etableres fra første minut.
Bit-for-bit hvor muligt, ellers målrettet udtræk af relevante kilder på artefakt-niveau.
Dekodning, korrelation og gendannelse af utilgængelige poster (beskeder, medier, logs m.m.).
Struktureret rapport, metode og fund. Levering krypteret og dokumenteret til brug i retten.
Typisk 1–2 uger pr. enhed (afhænger af model, stand og datamængde).
Kompleksitet afhænger bl.a. af enhedens tilstand, nøglehierarki og artefakt-tilgængelighed.
Retsmedicinsk dokumentation (hash, log, metode), egnet til brug i retten. Fortrolighed og GDPR-hensyn.
Standardværktøjer kan lave hurtige udtræk, men deres rækkevidde er begrænset. Hos MWulff arbejder vi på low-level niveau og leverer gendannede data, hvor andre virksomheder må melde pas. Vores metode er mere tidskrævende, men resultatet er dybere, dokumenteret og kan anvendes direkte i retten.
Politiet og myndigheder anvender kommercielle værktøjer som Cellebrite, MSAB XRY og Oxygen Forensics. Disse dækker langt de fleste sager – men ikke alle. Når enheder er nyere, beskeder er slettet for længe siden, eller data er gemt i uventede artefakter, giver standardværktøjer ofte op.
| Funktion | Standardværktøjer (Cellebrite, XRY, Oxygen) | MWulff – Low-level forensics |
|---|---|---|
| Dataudtræk | Logisk backup, basis-filsystem | Bit-for-bit hvor muligt · Rå APFS-analyse |
| Slettede beskeder | Begrænset gendannelse | Direkte SQLite/WAL/SHM recovery af sms/chat.db |
| Opkald & logs | Standard opkaldslister | Analyse af CallHistory.storedata, unified logs, sysdiagnose |
| Artefakter | Udvalgte app-data | KnowledgeC.db, locationd, diagnostik, app-specifik parsing |
| Nøglehierarkier | Ikke dokumenteret | Analyse af keybag-tilstande (AFU/BFU), trust records |
| Rapportering | Standardværktøjsrapporter | Retsmedicinsk rapport egnet til retten (hash, metode, fund, konklusion) |
Beskriv kort sagen og behovet. Del aldrig følsomme data i første henvendelse. Vi vender tilbage pr. mail eller telefon for at aftale næste skridt.