Tento článek představuje forenzní analýzu systému Android a techniky používané při forenzním vyšetřování systému Android. Probereme souborové systémy systému Android, získávání dat, analýzu a různé nástroje dostupné pro extrakci dat ze systému Android.
Úvod
Trh s chytrými telefony roste stále výše. S drastickými technologickými změnami se chytré telefony stávají cílem zločinců. Vzhledem k tomu, že většina lidí je zcela závislá na mobilních zařízeních, na kterých provádíme své každodenní úkoly, od nastavení upomínky, abychom popřáli svým blízkým při zvláštních příležitostech, až po online bankovní transakce, obsahují mobilní zařízení mnoho citlivých údajů, které jsou předmětem zájmu vyšetřovatelů. Vzhledem k tomu, že systém Android je jedním z předních operačních systémů pro chytré telefony, je důležité mít znalosti forenzní analýzy systému Android.
Forenzní analýza systému Android se od běžné diskové forenzní analýzy liší z různých důvodů. Podporuje různé souborové systémy, které jsou specifické pro systém Android. Na zařízeních se systémem Android můžeme hledat následující údaje:
Je důležité porozumět souborovým systémům, adresářovým strukturám a tomu, jak a kde jsou data v zařízeních uložena, než se pustíme do skutečné forenzní analýzy.
Adresářová struktura systému Android
Android má specifickou adresářovou strukturu. Na adresářovou strukturu zařízení se můžeme podívat pomocí „adb shell“. Adresářovou strukturu zařízení je také možné zobrazit pomocí DDMS. Následující obrázek ukazuje souborový systém mého zařízení „Sony Xperia E“ pomocí „adb shell“.
Výše uvedený obrázek ukazuje mnoho souborů a složek v aktuálním zařízení. Nejdůležitější místa pro forenzního analytika jsou /system, /data, /sdcard, /ext_card.
/system: Obsahuje data specifická pro operační systém.
Jak vidíme na výše uvedeném obrázku, tento adresář obsahuje různé podadresáře, které uchovávají informace o systémových aplikacích, písmech, knihovnách, spustitelných programech atd.
/data: Obsahuje data specifická pro uživatele, například data uložená aplikací SMS. V adresáři „/data/app“ můžeme vidět spustitelné soubory jednotlivých nainstalovaných aplikací. To vyžaduje práva roota, což znamená, že uživatel bez rootnutého zařízení nemůže vidět obsah tohoto adresáře. Následující obrázek ukazuje, jak lze v zařízení vidět binární soubory jednotlivých nainstalovaných aplikací (výstup je zkrácený).
Uživatelská data se nacházejí v adresáři „/data/data//“. Z bezpečnostních důvodů nemají k datům v jednotlivých adresářích přístup jiné aplikace.
/sdcard a /ext_card: V tomto konkrétním případě jsme získali sdcard pro interní úložiště a ext_card pro externí úložiště. Obvykle se sdcard uvádí pro externí úložiště. Ty slouží k ukládání uživatelských dat, jako jsou obrázky, hudební soubory, videa atd.
Souborové systémy Android
Před ponořením se do forenzní analýzy systému Android je vždy dobré mít základní znalosti o souborových systémech Android. Systém Android totiž podporuje různé souborové systémy. Hlavní oddíl souborového systému Android je často rozdělen jako YAFFS2 (Yet Another Flash File System). YAFFS2 je speciálně navržen pro vestavěné systémy, jako jsou chytré telefony. Poskytuje vyšší efektivitu a výkon.
Chceme-li zobrazit výpis podporovaných souborových systémů, můžeme použít následující příkaz v „adb shell“.
„cat /proc/filesystems“
Jak vidíme na obrázku výše, získali jsme seznam souborových systémů podporovaných zařízením. Položka „nodev“ vedle souborového systému znamená, že k danému souborovému systému není přiřazeno žádné fyzické zařízení. Systém Android podporuje souborové systémy ext2, ext3 a ext4 (používané systémy Linux) a souborový systém vfat používaný systémy Windows. Protože je systém Android určen pro mobilní zařízení, podporuje souborové systémy YAFFS a YAFFS2, protože vyžaduje podporu čipů NAND používaných v těchto zařízeních.
Systém souborů Android je rozdělen na různé oddíly. Abychom mohli zobrazit různé oddíly, které jsou připojeny v zařízení se systémem Android, můžeme na zařízení získat shell a provést následující příkaz: příkaz „mount“. To je znázorněno na následujícím obrázku.
Jak vidíme na výše uvedeném obrázku, v zařízení jsou připojeny různé oddíly.
Pokud pozorujeme výše uvedený obrázek, je zde několik důležitých oddílů souborového systému, například /system, /cache, /data, které používají jako typ souborového systému ext4, nikoli YAFFS. Je to proto, že počínaje systémem Gingerbread nahradil systém Android souborový systém YAFFS systémem ext4.
Metody získávání dat
Získávání dat je proces získávání dat z evidence. Jak jsme uvedli dříve, získávání dat v mobilních zařízeních není tak jednoduché jako standardní forenzní získávání dat z pevných disků. Tyto techniky získávání dat se obecně dělí na následující typy.
Ruční získávání:
Zkoumající využívá ke zkoumání obsahu uživatelské rozhraní mobilního zařízení. Při prohlížení zařízení zkoušející pořizuje snímky jednotlivých obrazovek. Tato metoda nevyžaduje žádné nástroje k provádění sběru dat. Kromě výhod je největší nevýhodou této metody to, že lze získat pouze data viditelná uživateli v telefonu, a samozřejmě je časově náročná.
Fyzické získávání:
Podobně jako proces fyzického získávání u standardní digitální forenzní techniky vytváří proces fyzického získávání u mobilních zařízení bitovou kopii celého souborového systému. Vytváří kopii celého souborového systému, který obsahuje data přítomná v zařízení, včetně smazaných dat a nepřiděleného místa.
Logická akvizice:
Logická akvizice získává informace ze zařízení pomocí aplikačního programového rozhraní výrobce originálního zařízení pro synchronizaci obsahu telefonu s osobním počítačem.
Většina nástrojů dostupných zdarma provádí logickou akvizici. Logická akvizice je proces získávání dat, která jsou přístupná uživatelům zařízení, a proto nemůže získat smazaná data nebo data v nepřiděleném prostoru. Výše uvedené tvrzení má v některých případech omezení.
Zobrazení karty SD pomocí nástroje FTK Imager
FTK Imager lze stáhnout z následujícího odkazu. http://www.accessdata.com/support/product-downloads
Je důležité pořídit bitovou kopii karty SD telefonu, protože ji lze při vyšetřování použít jako cenný datový poklad. V rámci osvědčených postupů musíme použít blokátor zápisu, abychom zachovali integritu důkazů.
Karty SD mají obecně souborový systém FAT32. Můžeme tedy použít tradiční zobrazovací nástroje a získat obraz karty SD. V této části použijeme k získání obrazu karty SD populární nástroj známý jako FTK Imager.
Následující kroky:
- Bezpečně vyjměte kartu SD z mobilního zařízení a připojte ji k pracovní stanici pomocí čtečky karet.
-
Spustit nástroj FTK Imager. Ten se zobrazí tak, jak je znázorněno na obrázku níže.
-
Nyní přejděte na „Soubor“ a klikněte na „Vytvořit obraz disku“, jak je znázorněno níže.
Výše uvedený krok otevře nové okno pro výběr typu pořízení.
Jelikož se snažíme vytvořit obraz celé karty SD, zvolil jsem „Fyzická jednotka“. Otevře se nové okno pro výběr fyzické jednotky, jak je uvedeno níže.
Zvolil jsem „PHYSICALDRIVE 2“ o velikosti 1 GB, což je v našem případě karta SD. Po výběru příslušné možnosti klikněte na tlačítko Dokončit. Zobrazí se další okno, kde můžeme přidat cílové místo i typ vytvářeného obrazu.
Po kliknutí na tlačítko „Add“ (Přidat) se otevře nové okno pro výběr typu cílového obrazu.
V našem případě zvolíme „Raw“, čímž získáme obraz „dd“. Na rozdíl od jiných formátů obrázků, jako je „E01“, obrázek „dd“ neukládá svá metadata do obrázku. Po kliknutí na tlačítko Další se zobrazí další okno, ve kterém si FTK Imager vyžádá informace o položce Evidence. Můžeme vyplnit příslušné údaje a kliknout na tlačítko „další“ nebo jej přeskočit, pokud jej provádíme jako stopu.
Jak vidíme na výše uvedeném obrázku, zadali jsme cílovou cestu a název výstupního souboru. Nakonec klikněte na tlačítko dokončit, čímž zahájíte zobrazování.
Kliknutím na tlačítko „start“ zahájíte proces.
-
Po dokončení procesu zobrazí FTK Imager nové okno, kde zobrazí výsledky ověření hash. To je znázorněno na obrázku níže.
Vytvořený obraz lze nyní dále analyzovat pomocí tradičních nástrojů forenzní analýzy.
Zobrazení souborového systému Android:
V této části si ukážeme, jak provést získání dat z oddílů souborového systému Android.
Poznámka: aby bylo možné postupovat podle níže uvedeného postupu, musí být zařízení rootnuté.
Pro naši práci použijeme populární nástroj „dd“. Nástroj „dd“ je v systému Android standardně přítomen v umístění „/system/bin“. To je znázorněno na následujícím obrázku.
Nyní se podíváme na umístění oddílů, které nás zajímají, pomocí příkazu mount.
Následuje záznam spojený s oddílem „/data“ z výše uvedeného výstupu.
/dev/block/platform/msm_sdcc.3/by-num/p16 /data ext4 rw,nosuid,nodev,relatime,noauto_da_alloc,data=ordered 0 0
Použijeme tedy následující příkaz k extrakci tohoto konkrétního oddílu pomocí „dd“.
dd if=/dev/block/platform/msm_sdcc.3/by-num/p16 of=/mnt/sdcard/output.img
Výše uvedený příkaz je vysvětlen níže.
if = vstupní soubor
of = výstupní soubor, který má být vytvořen
output.img = název výstupního obrazu, který má být vytvořen.
Můžeme dokonce určit velikost bloku pomocí volby „bs“ v dd.
Po dokončení výše uvedeného procesu můžeme tento soubor vytáhnout pomocí nástrojů, jako je Droid Explorer. Můžeme to udělat i pomocí příkazu adb pull.
Níže uvedený snímek obrazovky ukazuje příkaz pro stažení obrazu na naši pracovní stanici pomocí příkazu adb pull.
Nyní můžeme tento obraz použít k další analýze zařízení.