Android Forensics는 범죄 행위에 관여하면서 장치와 함께 개발되었습니다. 이 장치는 소비자에게는 좋았지 만 살인, 마약, 아동 포르노, 사이버 스토킹, 전자 사기, 마약 등에 관여했습니다. 이러한 활동과 관련된 장치에 저장된 데이터는 조사 수행에서 매우 귀중한 증거입니다. 각 장치는 통화 기록, 연락처, 브라우저 기록, 문자 메시지 등을 통해 대량의 유예 정보를 개인에게 연결합니다. 위치 데이터, 이메일 및 채팅 로그도 고려할 때 이러한 장치는 컴퓨터보다 더 많은 정보를 개인에게 연결할 수 있습니다. 조사관을위한 개별 추적 장치입니다.
안드로이드 법의학 검사
Android Forensics에서는 iPhone 또는 이러한 장치 및 휴대 전화 운영 체제와 동일한 문제가 있습니다. 예를 들어, Symbian Devices에는 전화 통화를하고, 연락처 정보가 저장되어 있고, 메모, 캘린더 정보 등이있는 장치가 있습니다. Forensics Examiner가 이러한 장치 중 하나에 들어가려는 매우 중요한 이유가 많이 있습니다.
- 조사관은 가입자 정보 모듈 (SIM) 데이터를 카드에서 직접 또는 전화로 제자리에있는 동안 (소유자 및 개인 데이터를 식별) 얻을 수 있습니다.
- 데이터베이스 파일 “/data/data/com.android.browser/databases /browser.db”는 사용자 이름, URL 및 일반 텍스트 암호, 양식, 웹 브라우저 기록 및 검색 기록 (삭제 된 정보)을 포함하는 Android 브라우저의 별도의 데이터베이스 인 데이터베이스입니다.
- GPS 위성 및 Google지도 검색에서보고 한 마지막 알려진 위치를 저장하는 GPS 파일 “/data/data/com.browser/gears /geolocation.db”.
- “재생”및 “음성 메일”오디오 파일 …
- 그들은 우리의 “gmail”(발신자, 수신자, 날짜, 주제 및 메시지 본문과 같은 이메일 히스토리 정보를 포함 함)을 볼 수 있습니다. 전자 메일의 전체 본문을 찾을 수 있습니다 …
- 그들은 우리의 “통화 기록”을 볼 수 있습니다 (데이터베이스에는 전화 번호, 날짜, 초 통화 길이, 통화 유형 및 전화 번호부의 이름을 포함한 통화 기록이 포함되어 있습니다) …
- 조사관은 또한 “Contacts.db”(연락처 이름, 연락 시간 수, 가장 최근의 연락 시간, 연락처 사진 파일, 사용자 정의 벨소리 및 연락처 정보가 마지막으로 업데이트 된 시간 포함 …
사용자 액세스 가능한 데이터
“휴대용 장치”아래 Windows 시스템에 연결된 “Android 태블릿”에 대한 일반적인 검사를 고려할 때 … 우리가 열면 내부 스토리지에 액세스 할 수 있습니다. 시스템에 “외부 메모리 카드”가 설치된 경우 두 번째 드라이브로 표시됩니다. 내부 저장소 내부로 들어가면 데이터를 저장할 수있는 장소에 사용할 수있는 다양한 폴더 (사용자 액세스 가능한 데이터)가 모두 표시됩니다. 다음과 같은 장소
.adc alarmclockxtreme burstlyimagecache
GoweatherLog 영화를 다운로드하십시오
팟 캐스트 .HuffPost 알람
Camdict Evernote Kindle
음악 펄스 .zdclock
Android Data Gameloft
계층 알림 벨소리
Adobe Bugreports DCIM
Goweather 미디어 사진
tjcache 등
예를 들어 “DCIM”폴더는 카메라 폴더의 카메라 이미지로 가득 차 있으며,이 디렉토리에 저장된대로 카메라가 촬영 한 이미지를 볼 수 있습니다. 우리는 거기에있는 사진을 볼 것이고 “100 Andro”라는 폴더가 있으며 거기에 무엇이 저장된 것을 볼 수 있습니다 폰테크.
“DCIM”폴더는 디지털 이미지를 촬영할 수있는 장치를 나타냅니다. 디지털 카메라에 설치할 수있는 SD 카드 또는 기타 메모리 카드가 있으면 해당 메모리 저장 장치 에서이 “DCIM”폴더를 받았습니다.
여기에서 다운로드 한 내용을 볼 수있는 “다운로드”폴더가 있으며 “Android”설치 프로그램 파일이 표시됩니다. “.APK”는 모든 설치자 파일의 파일 또는 장치 용 패키지 파일 또는 앱을 설치하기위한 Android 패키지 파일입니다.
다른 응용 프로그램에는 자체 별도의 폴더가 있습니다. “Gameloft”가 있다면 Gameloft와 동기화 된 모든 것이 해당 폴더에있을 것입니다. 미디어 폴더, 사진, 음악 등이 있습니다. 그림 폴더에는 흥미로운 그림이있을 수 있습니다. “Android”의 가장 큰 장점은 모든 사진이 자신의 것에 대해 명확하게 표시되어 있다는 것입니다. 그들이 팟 캐스트, 영화 또는 음악이든 … 데이터를 꺼내기 위해 분리 해야하는 컨벤션 또는 데이터베이스의 이름에 대해 숨겨져있는 것은 없습니다. 정보는 손상되지 않습니다.
우리는이 영역에 저장된 “연락처”를 볼 수 없다는 것을 이해해야합니다. 이 정보는이 디렉토리에서 액세스 할 수없는 Android의 시스템 파티션에 저장됩니다. “통화 로그”및 “연락처”에 액세스하려면 타사 프로그램에 액세스해야합니다. “통화 로그”및 “연락처”는 “Android”운영 체제 의이 섹션에 저장되지 않습니다. 파일 시스템의 또 다른 부분은 모든 “시스템”정보가 있습니다. 실제로 장치를 실행하는 모든 코드가 저장되는 곳입니다.
사용자 액세스 가능한 데이터는 내부 스토리지 영역에 저장됩니다. 외부 저장 장치가 있다면 해당 정보는 여기에서도 액세스 할 수 있습니다. 그것은 우리가 여기에서 보는 것과 매우 비슷할 것입니다. “Android”폴더와 “데이터”폴더가 있습니다. “Data”폴더는 “Kindle”및 “Android Browser”, “Android Gallery”, “Weather”응용 프로그램 등과 같은 다양한 응용 프로그램을 보유합니다. 응용 프로그램은 정보 저장을위한 최상위 폴더가 아닌 “Android”폴더에 저장되었습니다.
사용자 데이터에 액세스하는 초기 방법이 있지만 시스템 수준 데이터에 액세스하기 위해 사용해야하는 추가 응용 프로그램 및 프로그램이 있습니다.
장치를 루팅합니다
“Android”를 사용하면 장치의 개발자 메뉴로 이동하여 “디버그 모드”와 같은 것들을 켜는 개발자 모드 (iPhone에서 사용할 수 없습니다)를 얻을 수 있습니다. 따라서 “디버그 모드”와 같은 것들을 켜서 실제로 다른 정보에 액세스하거나 파일 업로드와 같은 작업을 수행하여 실제로 장치를 “루트”하거나 장치의 물리적으로 이미지 메모리를 변경할 수 있습니다.
우리가 Android 세계의 장치를 “루트”할 때 실제로 루트 디렉토리 (/)에 액세스하여 루트 조치를 취할 수있는 기능을 제공합니다 (비 Android/Linux/Unix 스피커에 대한 “슈퍼 사용자”권한을 제공). 이 모드에서는 응용 프로그램을 설치하거나 펌웨어 수정 또는 성능 변경을 통해 창시자의 의도를 넘어 장치를 수정할 수 있습니다. 이 모드에서는 웹 기록, 이메일, 연락처 목록, 통화 로그, 문자 메시지, 암호, 전화에서 볼 수있는 이미지 및 기타 데이터와 같은 숨겨진 정보에 액세스 할 수 있습니다.
Google은 실제로이 개발자 모드를 제공했으며 개발자 릴리스에 넣지는 않았지만 모든 릴리스에 추가하여 사용자에게 추가적인 힘을 제공했습니다. 그 단점은 누구나 많은 노력없이 장치의 “루트”와 같은 일을 할 수있는 능력이 있다는 것입니다. 루팅에는 몇 가지 장점이 있습니다. 우리가 실제로 무엇을하고 있는지 알지 못하면 장치를 응원하는 데 많은 단점이 있습니다. 루팅은 장치를 맬웨어 또는 기타 악의적 인 활동에 노출시킬 수 있습니다.
예를 들어, “Android”브라우저는 비밀번호를 사용자 이름 및 균일 리소스 로케이터 (URL) 바로 옆에 일반 텍스트로 저장합니다. 이것은 법의학 검사관에게는 좋지만 사용자의 관점에서 끔찍한 보안 관행이기 때문에 초보자에게는 치명적일 수 있습니다. 대부분의 사람들은 컴퓨터의 비밀번호 정보에 대해 매우 신중하지만 휴대 전화의 비밀번호로 경계하지 않습니다.
법의학 검사를 수행 할 때 우리의 주요 관심사는 라이브러리와 SQLITE 데이터베이스입니다. 여기에서 조사에 관심이있는 대부분의 데이터가 있습니다. 파일은 장치의 스토리지 또는 MicroSD 카드에 저장됩니다. 장치에 MicroSD 카드가있는 경우 휴대 전화에서 카드에 대한 기존 법의학 분석을 수행 할 수 있습니다. 이 방법은 앱이 카드에 직접 저장하는 데이터에만 액세스하는 것만 가장 효과적인 방법입니다. MicroSD 카드는 FAT32 파일 시스템을 사용하며 전통적인 법의학 도구를 사용하여 쉽게 이미지화되고 검사됩니다.
결론
결론적으로 “Android”법의학 또는 조사를 통해 장치를 Windows 시스템에 연결하면 파일 탐색기에 팝업되며 사용자 데이터를 통해 파기 시작할 수 있습니다. 그러나 숨겨진 데이터와 실제로 장치를 실행하는 코드를 검사 해야하는 경우 타사 소프트웨어를 소개해야합니다. 시스템 데이터에 액세스 해야하는 경우 액세스를 얻으려면 추가 소프트웨어가 필요하다면 데이터베이스를 논리적으로 탐색하면 항상 가장 많은 정보를 복구하고 조사자가 더 액세스 할 수있게되므로.
Recent Comments