PHÁT HIỆN BẰNG CHỨNG TRÊN THIẾT bị ANDROID sử DỤNG cơ sở dữ LIỆU đồ THỊ

ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN  ĐẶNG MINH TUẤN PHÁT HIỆN BẰNG CHỨNG TRÊN THIẾT BỊ ANDROID SỬ DỤNG CƠ SỞ DỮ LIỆU ĐỒ THỊ LUẬN VĂN THẠC SĨ Ngành Công Nghệ Thơng Tin Mã sớ: 60.48.02.01 TP HỒ CHÍ MINH – 2017 ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN  ĐẶNG MINH TUẤN PHÁT HIỆN BẰNG CHỨNG TRÊN THIẾT BỊ ANDROID SỬ DỤNG CƠ SỞ DỮ LIỆU ĐỒ THỊ LUẬN VĂN THẠC SĨ Ngành Công Nghệ Thông Tin NGƯỜI HƯỚNG DẪN KHOA HỌC: TS Nguyễn Anh Tuấn – Trường ĐH Công nghệ thông tin TP HỒ CHÍ MINH – 2017 Lời Cảm Ơn Đầu tiên cho phép gửi lời cảm ơn chân thành sâu sắc đến quý thầy cô giáo Trường Đại Học Công Nghệ Thông Tin – ĐHQG TP Hồ Chí Minh, đặc biệt q thầy Bộ môn Công Nghệ Thông Tin quan tâm, tận tình truyền đạt kiến thức suốt trình học tập, nghiên cứu trường Tôi trân trọng biết ơn TS Nguyễn Anh Tuấn tận tình hướng dẫn, bảo, góp ý cho tơi suốt q trình thực đề tài luận văn để hơm hồn thành đề tài luận văn tốt nghiệp Trong khoảng thời gian qua thầy người định hướng giúp đỡ tơi việc tháo gỡ khó khăn trở ngại đề tài, buổi gặp trao đổi kiến thức nghiên cứu khoa học buối trao đổi kinh nghiệm sống kỉ niệm không quên bước phía trước tơi Con xin chân thành cảm ơn đến ba mẹ, gia đình; xin cảm ơn đến tất bạn bè, người thân thiết, người mà bên cạnh động viên, chia sẻ vui buồn khó khăn với tơi suốt thời gian qua Mặc dù có nhiều cố gắng để thực đề tài hoàn chỉnh nhất, song buổi đầu làm quen với công việc nghiên cứu khoa học mang tính chun mơn sâu, hạn chế kiến thức kinh nghiệm nên tránh khỏi thiếu sót định Rất mong đóng góp, phê bình chân thành Q Thầy Cơ để đề tài hồn chỉnh Xin kính chúc người dồi sức khỏe có nhiều niềm vui, hạnh phúc, thành công sống Chúc Trường Đại học Công Nghệ Thông Tin, ĐHQG TP Hồ Chí Minh ngày phát triển Đặng Minh Tuấn TP HCM, ngày 17 tháng 01 năm 2017 MỤC LỤC MỤC LỤC MỤC LỤC DANH MỤC HÌNH VẼ MỞ ĐẦU Giới thiệu điều tra thiết bị Android .5 Lý chọn đề tài Mục đích, đối tượng nghiên cứu .7 Nội dung phạm vi nghiên cứu CHƯƠNG TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU 1.1 Tình hình nghiên cứu .9 1.2 Các công cụ điều tra thiết bị Android 1.2.1 ViaExtract: 10 1.2.2 Autopsy .11 1.2.3 Oxygen Forensic Suite 13 1.2.3 Cellebrite 14 1.3 Những thách thức điều tra thiết bị điện thoại 15 1.4 Mục tiêu đề tài 17 1.5 Giới hạn đề tài .18 1.6 Phương pháp thực 18 CHƯƠNG THIẾT LẬP MÔI TRƯỜNG ĐIỀU TRA ANDROID 19 2.1 Kiến trúc bảo mật Android .19 2.1.1 Kiến trúc Android 19 2.1.2 Những đặc trưng bảo mật Android 21 2.2 Thiết lập môi trường điều tra thiết bị Android .23 2.2.1 Android Debug Bridge (ADB) 23 2.2.2 Rooting Android 25 CHƯƠNG DỮ LIỆU ANDROID VÀ THU THẬP DỮ LIỆU 28 3.1 Dữ liệu lưu trữ Android 28 3.1.1 Android Partion hệ thống tập tin 28 MỤC LỤC 3.1.2 Dữ liệu ứng dụng lưu trữ Android 29 3.2 Thu thập liệu từ thiết bị Android .29 3.2.1 Các phương pháp thu thập 29 3.2.2 Trích xuất logical liệu từ thiết bị Android .31 3.2.3 Trích xuất vật lý liệu từ thiết bị Android 33 3.2.3 Trích xuất thủ cơng liệu tùy chọn, cần thiết cho trình điều tra 34 3.2.3 Trích xuất liệu sử dụng AFLogical OSE .36 CHƯƠNG TƯƠNG QUAN DỮ LIỆU VÀ CƠ SỞ DỮ LIỆU ĐỒ THỊ 38 4.1 Khái niệm chứng số trình truy tìm chứng số 38 4.2 Mối quan hệ liệu tương quan liệu điều tra số 39 4.3 Cơ sở liệu đồ thị .40 4.3.1 Khái niệm sở liệu đồ thị(Graph database) 41 4.3.2 Ưu điểm Cơ sở liệu đồ thị .42 CHƯƠNG ĐỒ THỊ TỔNG HỢP VÀ ĐỒ THỊ BẰNG CHỨNG 44 5.1 Đồ thị tổng hợp sử dụng Neo4j 44 5.2 Đồ thị chứng 49 5.2.1 Đồ thị chứng theo mốc thời gian .49 5.2.2 Đồ thị chứng theo từ khóa 50 5.2.3 Phát đồ thị chứng duyệt Neo4j 51 5.3 Thực nghiệm điều tra tính hiệu đề tài 51 CHƯƠNG THỐNG KÊ FILESIZE VÀ FILETYPE .54 CHƯƠNG KẾT LUẬN 57 CÔNG BỐ KHOA HỌC CỦA TÁC GIẢ 58 TÀI LIỆU THAM KHẢO 59 PHỤ LỤC CODE JAVA THỐNG KÊ FILESIZE, FILETYPE 61 DANH MỤC HÌNH VẼ DANH MỤC HÌNH VẼ Hình 0.1 Sự gia tăng thiết bị điện thoại 100 người từ 1997-2014 Hình 0.2 Thị trường điện thoại thơng minh tồn cầu quý 3, 2016 [9] Hình 1.1 Các giai đoạn trình điều tra [4] Hình 1.2 Màn hình lưu trích xuất liệu ViaExtract .10 Hình 1.3 Màn hình phân tích, điều tra liệu ViaExtract 11 Hình 1.4 Autopsy trích xuất diệu 11 Hình 1.5 Các hình phân tích liệu 12 Hình 1.6 Giới thiệu phần mềm Oxygen Forensics Suite 14 Hình 1.7 Khóa phần cứng Iphone 15 Hình 1.8 Quá trình thu thập tổng hợp chứng 18 Hình 2.1 Kiến trúc hệ điều hành Android 19 Hình 2.2 Cấp quyền cho ứng dụng .21 Hình 2.3 Hai ứng dụng cấp user user cấp quyền ứng dụng 22 Hình 2.4 Chế độ USB debug 23 Hình 2.5 Xem thư mục /data/data với quyền root 27 Hình 3.1 Phân vùng nhớ Android 28 Hình 3.2 Dữ liệu ứng dụng telephony Android .30 Hình 3.3 Backup Android 32 Hình 3.4 Tệp tin backup .33 Hình 3.5 Cơ sở liệu mmssms.db 35 Hình 3.6 Tệp tin CSV tin nhắn SMS 36 Hình 3.7 AFLogiacl OSE 36 Hình 3.8 Dữ liệu AFLogical OSE trích xuất 36 Hình 4.1 Bảng liệu tin nhắn thiết bị 40 Hình 4.2 Mơ hình đồ thị .40 Hình 5.1 Bảng nhật ký gọi 44 Hình 5.2 Bảng SMS 44 DANH MỤC HÌNH VẼ Hình 5.3 Tập hợp nút tập hợp số điện thoại .45 Hình 5.4 Đồ thị nhật ký gọi, SMS Neo4j Android0 46 Hình 5.5 Đồ thị nhật ký gọi SMS Android0 Androidx 48 Hình 5.6 Đồ thị SMS Android0 Androidx 49 Hình 5.7 Đồ thị chứng theo mốc thời gian 50 Hình 5.8 Đồ thị chứng với từ khóa "Ok" 50 Hình 5.9 Phát đồ thị duyệt Neo4j 51 Hình 5.10 Đồ thị tổng hợp 52 Hình 5.11 Thực nghiệm điều tra 53 Hình 6.1 Thống kê filesize, filetype thư mục .54 Hình 6.2 Xuất liệu thống kê tệp tin json Java 55 Hình 6.3 Thống kê filetype dạng hình ảnh 55 Hình 6.4 Thống kê filesize dạng hình ảnh 56 MỞ ĐẦU MỞ ĐẦU Giới thiệu điều tra thiết bị Android Điều tra số (Digital Forensics) nhánh ngành khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số Thuật ngữ điều tra số ban đầu sử dụng tương đương với thuật ngữ điều tra máy tính (Computer Forensics) Sau đó, khái niệm mở rộng để bao quát tồn việc điều tra thiết bị có khả lưu trữ liệu số [1] [2] Điều tra thiết bị di động (Mobile Forensics) nhánh điều tra số nghiên cứu phát triển thời đại kỹ thuật số ngày nay[3] Điều tra thiết bị Android (Android Forensics) việc trích xuất, phục hồi phân tích chứng số liệu từ thiết bị Android điều kiện điều tra đắn (Forensically sound) để trì tính tồn vẹn chứng, tòa án, luật pháp chấp nhận [4] Nói cách đơn giản truy xuất liệu lưu trữ thiết bị SMS, contacts, call logs, photos, videos, documents, applycation files, browsing historys, v.v… phục hồi liệu bị xóa, phân tích liệu thu thập để đưa chứng chứng minh hoạt động, hành vi vi phạm pháp luật Trong luận văn này, tác giả tập trung sâu nghiên cứu việc trích xuất phân tích tương quan liệu sở liệu SMS, call logs thiết bị Android đối tượng cho có liên quan đến vụ việc nhằm tìm đồ thị chứng chứng minh hành vi vi phạm pháp luật Đồng thời tác giả nghiên cứu thống kê khối lượng liệu, số lượng liệu kiểu liệu tập hợp liệu chứng thư mục Lý chọn đề tài Bên cạnh phổ biến gia tăng số lượng người sở hữu thiết bị di động (Hình 1) [5] cần phát triển, nghiên cứu việc điều tra thiết bị di động, có nhiều lý có lý bật là:  Sự phổ biến sử dụng thiết bị di động để lưu trữ thông tin cá nhân: Các ứng dụng di động phát triển nhanh Các ứng dụng mà trước thực máy tính ứng dụng văn phòng Word, Excel ứng MỞ ĐẦU dụng lưu trữ sở liệu thực thiết bị di động Ứng dụng danh bạ, tin nhắn, gọi thiết bị thể mối quan hệ, chức chụp ảnh lưu nhiều thông tin hình ảnh cá nhân,… Hàng ngày khối lượng tin nhắn SMS, gọi lớn lưu trữ [6]  Sự gia tăng sử dụng thiết bị di động để thực hoạt động trực tuyến: Ngày mạng 3G, wifi phủ sóng khắp nơi với giá cước ngày hợp lý, tạo điều kiện cho hoạt động trực tuyến thực thường xuyên ứng dụng mạng xã hội facebook, zalo,… lưu trữ phần mối quan hệ xã hội, ứng dụng tài ngân hàng lưu trữ mật khẩu, thơng tin giao dịch,… [7]  Việc sử dụng thiết bị di động trình thực hành vi phạm tội Ngày xuất nhiều loại tội phạm sử dụng điện thoại lợi dụng ứng dụng mạng xã hội để thực hành vi phạm tội lừa đảo chiếm đoạt tài sản, tống tiền,… thực hành vi phạm tội khác qua ứng dụng Hình 0.1 Sự gia tăng thiết bị điện thoại 100 người từ 1997-2014 ` CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN BẢN GIẢI TRÌNH Tên đề tài luận văn: Phát chứng thiết bị Android sử dụng CSDL đồ thị Học viên: Đặng Minh Tuấn MSHV: CH1302019 Giảng viên hướng dẫn: TS Nguyễn Anh Tuấn Phản biện 1: PGS.TS Phạm Trần Vũ Phản biện 2: TS Phạm Văn Hậu Ngày bảo vệ: 03/3/2017 Kết bảo vệ (điểm): 7.6 Yêu cầu: Cần bổ sung phần thực nghiệm đánh giá tính hiệu nghiên cứu Giải trình: Học viên bổ sung vào luận văn phần “5.3 thực nghiệm điều tra tính hiểu đề tài” trang 51 đến 53 Nội dung đoạn thêm vào sau: “5.3 Thực nghiệm điều tra tính hiệu đề tài Để đánh giá tính hiệu luận văn, tác giả xin thử nghiệm áp dụng đề tài vào trình thực nghiệm điều tra Giả sử, hồ sơ điều tra ban đầu vụ đánh bạc, quan điều tra thu vật chứng thiết bị Android đối tượng có hiềm nghi hành vi đánh bạc hình thức đánh số đề Tuy nhiên, đối tượng trọng vụ việc không thừa nhận hành vi họ quan điều tra khơng thu thập chứng khác vật chứng Để kiểm tra, xác minh thơng tin vật chứng có tình tiết có ý nghĩa với vụ án, quan điều tra phải đưa hành vi, việc, tình xảy thiết bị phải thể động cơ, diễn biến thơng tin Từ có sở kết luận hành vi đối tượng có vi phạm pháp luật hay khơng mức độ thực hành vi họ Áp dụng luận văn vào vụ án việc tái tạo lại trình diễn biến thơng tin thiết bị cách trực quang, tác giả thu đồ thị tổng hợp nhật ký gọi tin nhắn tổng hợp từ thiết bị sau: Hình 5.10 Đồ thị tổng hợp Trên sở thơng tin mà điều tra viên có thời gian, hành vi vi phạm, điều tra viên đưa câu hỏi vào thời gian đó, đối tượng làm gì, đối tượng có thực hành vi đánh số đề không,… Từ câu hỏi này, tác giả chuyển sang ngôn ngữ truy vấn cypher để truy vấn đồ thị tổng hợp MATCH (m)-[r:SEND]->(n) where r.date=~'14668.*' RETURN m,r,n Câu lệnh thực truy vấn đồ thị tổng hợp để tìm tin nhắn khoảng thời gian, ta thu đồ thị chứng thể thông tin hoạt động đối tượng vào ngày 14668.* (tức ngày kiểu dd/mm/yyyy 24/6/2016 đến 26/6/2016) Using Graph Database for Evidence Correlation on Android Smartphones Minh-Tuan Dang and Tuan A Nguyen(B) University of Information Technology, Vietnam National University of Hochiminh City, Linh Trung Ward, Thu Duc District, HCMC, Vietnam ch1302019@gm.uit.edu.vn, tuanna@uit.edu.vn Abstract Nowadays, the smartphone has became the popular communication devices in everyday life It is a main tool to facilitate the communication among people Besides that, smartphone also save a persons activities which include many privacy information such as address book, sms messages, pictures, video, call logs, location logs, web browsing history, emails, and so much more These documents represent the information about actions, activities or personal activities, and if there is enough lawful proof that person is guilty, that can be valuable as digital evidence in court Therefore, mobile phone is also an important channel and analysis tool, investigate about content, data corellation which is saved in the smartphone is a valuable tool for investigator to obtain evidence from them This paper presents the methods and technologies are used to obtain evidence from Android Smartphones In addition, we are also point out the difficulties in both legal and technical aspects of the digital evidence obtaining from these kind of smartphones Keywords: Evidence correlation · Mobile forensics · Graph database Introduction The collection and analysis evidences from smartphones are crucial for investigation by providing valuable information [1, 8] However, the information collection from smartphone is still being done in a manual way by the investigators In addition, the information that investigators can see on the smartphone is discrete information There are a need of correlation and relation of collected information to provide evidence Moreover, there are many types of smartphone in different formats It is difficult to find out what information is needed for the investigation process Because it does not shows the process of information in the chain of activities Therefore, to find out the relation of piece of information in the mobile phone is a challenge task The graph database is used to store and visualise the information in the linked graph In this paper, the authors build a graph database for collection and analysis information from Android devices to help the investigators provide c Springer International Publishing AG 2016 T.K Dang et al (Eds.): FDSE 2016, LNCS 10018, pp 209–216, 2016 DOI: 10.1007/978-3-319-48057-2 15 210 M.-T Dang and T.A Nguyen the sound and sense evidence by connecting pieces of information together to show the illegal acts The input data is a collection of information collected from applications inside the Android devices that the object takes part in the illegal acts which were used as a medium for communication during the process conducting illegal acts In order to implement, the authors have to answer these questions: how to extract information from Android devices, and from the raw extracted information, how to organise and visualise that data into graph-database The evidence graph-database then can be used for investigation process by using queries to discover new information This speed up the investigation process and minimal efforts for investigators by help them view the whole picture The paper is organised as follow, the next section, we review related works in the area of digital mobile forensics and using graph databases for complex security scenario modeling The third section presents the process of extracting information from Android devices The fourth section describes the data synthesis process The evidence graph database construction is presented in section five Section six illustrates the evidence extraction using our modelled graph We conclude the paper in section seven Related Works The Android forensics is an important topic today because of the popularity of Android and it tools [6,7] Graph database is a research has a long tradition It is applied in various fields such as semantic web, social networks [4] Recently accompany the development of the industry survey, graph databases are used to express the relationship between the information of evidence Fig The process of collecting and synthesysing evidences The investigation of mobile devices has been conducted for a long time [3] The process of collecting and synthesysing evidence includes the information Using Graph Database for Evidence Correlation 211 extraction from mobile devices, then all collected data is synthersized into a graph database (See Fig 1) In these works [1–7], the authors have presented a very deep survey and cover the main points in the field of mobile surveys In this section, we examine three related works from these articles [8,10, 11] In [8], the authors focused on management analysis of evidence on the three social networking applications are widely used on smartphones such as Facebook, Twitter, and MySpace The test was implemented on popular smartphones: BlackBerrys, iPhones, and Android The testing process includes the installation of social networking applications on each device examines the common behavior of users and perform the analysis of evidence on manually collected images of each set Belgium The analysis aims to detect whether the collected behavior of these applications can be stored on the internal memory of the device or not If yes, gas edge, the characteristics and location of the user can be found and removed from the image of the device logic The results show that no traces were found in the BlackBerry but for iPhone and Android phone, it saves a huge amount of valuable information that can be recovered by investigators Recently, there is a project working on implementing a generic ICT risk model using graph databases [9] In this work, the authors modelled the APT thread via many steps and construct a graph to represent the process of attacking The via querying that graph, the author can find positive signals that can lead to conclude there is an APT attack happening In [10], the authors propose a method for automatically analyzing an online memory forensics for mobile phones The authors have studied the behavior of the device’s RAM, and the analysis is very useful in a way of the analysis of the evidence collected in real-time communications applications Many media scenario with many different parameters are analyzed carefully The test results show that the authors of the messages went out phone has a higher consistency is the message coming from the outside In the authors’ experiments have achieved a 100 % rate of collection of evidence from the message out For the messages coming from the outside, the percentage collected change from 75.6 % to 100 %, by taking into account various parameters in different circumstances Thus, in a real situation, the stakeholders can in turn send the message and continue to send several messages 1, the collection of the author can catch most of the data in support of Advanced research census In [11], the authors have investigated a specific example is deliberately malicious activation of telephone equipment to carry out acts of espionage Specifically, malicious code can automatically activate the camera, from which turns sneaking microphone or tapping Information Extraction from Android Devices All of Android applications have database storage inside the internal memory in default directory of /data/application name/databases However, depends on the need, application can save data in the external storage /SDCard directory In addition, data can be saved from desktop computer without requiring root 212 M.-T Dang and T.A Nguyen permission usually in the /SDCard The difference between these two directories is the directory “/data/data/application name/databases” is private It is protected by Android, only root and the owner can access this In contrast, the /SDCard directory is the external data storage Data on this directory is not protected Therefore normal users can access, edit or delete In consequence, normal users cannot know how the database like SMS messages, address book, phone logs are stored He/she can only view the data via their own applications To gain root access, the Android user needs to rooting for the device This can lead to providing the user the top permission In consequence, the Android device is not protected anymore Therefore, to protect root permission, users are recommended to install the root management application to prevent the illegal root access The popular application for this is the Super User App After gained the root access, the Android data extraction became simple There are many ways to extract data, in this paper, we describe two popular methods: – Using file manager applications and assign root permission for them Via this application, we can save data into the SDCard and copy to desktop computers – Using Android debug bridge (ADB) This is a command-line tool which allows the Android and computer communications This tool can be found in /platform-tools/ or download ADB driver After installed ADB, to communicate with Android, the Android must turn on the Enabling ADB Debugging mode and assign the root permission to ADB These two commands bellow show how to dump MMS, SMS from Android device then copy it to desktop computer: • adb shell su root dd if=/data/data/com.android.providers.telephony/ databases/mmssms.db of=/sdcard/mmssms.db • adb pull /sdcard/mmssms.db C:/WorkStarion/sms.db The command “adb shell su root” accesses the phone using root permission; The “dd if=¡path to source files¿ of=¡path to destination file¿” command is a data copy command; the command “adb pull” is a command to pull data from device to the desktop computer For MMS/SMS application, it has the package name is com.androidproviders.telephony and the /databases directory for saving the database which is mmssms.db The other databases such as phone call logs, contacts, emails can be extracted in a similar manner The rooting device allows the investigator querying all information in Android device However, the side effects of rooting devices can cause the device become brick or malware attack Moreover, rooting device will result in an invalidation of the guarantee for the equipment, lastly, and more importantly will affect legitimate characters of the equipment Because, the equipment mentioned here serves as an evidence if an investigator has the right to root and affect it too much, it will result in the problem that the evidence will lose its legitimate character Therefore, we must think carefully before rooting the device and it in a very carefully and thoughtful way Another indirect data extraction that causes fewer side effects to the device is to use a third party application for data extraction This application is similar to the normal application, it is installed the device and request enough permission Using Graph Database for Evidence Correlation 213 to extract data needed for investigation such as SMS reading permission, call log access permission, address book read permission The popular application for this kind of app is the AFLogical OSE which specializes for forensics activities This application can extract CallLogs, Contacts, and SMS into the csv format and save to /Sdcard directory The user can use command adb pull to save from phone to desktop computer Data Synthesis from Mobile Devices After extraction data from mobile devices, we begin to synthesise the data In order to follow the progress of activities and their relations in a period of time, we synthesise the extracted information to become a common database (Fig 1) There are many types of information such as SMS messages, call logs, emails, locations 4.1 Call Logs After successfully extracted the call logs, we collect the call logs of many mobile devices In order to distinguish between them, we have to add each call logs its own phone number because in the call log the owner number is not represented using Linux awk command: awk ‘BEGIN{FS = OFS = ‘ ‘ , ’ ’ } {$ (NF+1) = NR==1 ? ‘ ‘ number own ’ ’ : ‘ ‘ 8 and ’ ’ } ’ CallLog c s v > CallLog1 c s v 4.2 SMS Logs Similar to Call Logs, we have to add the own number to each SMS databases Because in SMS database, it does not show its own number We used awk command in Linux: awk ‘BEGIN{FS = OFS = ‘ ‘ , ’ ’ } { $ (NF+1) = NR==1 ? ‘ ‘ number own ’ ’ : ‘ ‘ 8 ’ ’ } ’ SMS c s v > SMS1 c s v There are many different structures of SMS databases between different Android version Therefore, we only extract information from these columns: address, date, type, body and number own then synthesise it into a common table using awk command: awk ‘FNR==1 && NR!=1{ next ; } { p r i n t } ’ SMS∗ c s v > AllSMS c s v Building Evidence Graph Database After got the synthesis database, we convert them into a graph database to visualise it In this work, we use Neo4J as a platform to present the database 214 M.-T Dang and T.A Nguyen 5.1 Grap Call Logs and SMS In order to create a relation table for call logs, we use Neo4j command to import the data from AllCallLogs.csv into a graph database: Load CSV from ‘ ‘ f i l e : / home/ dmtuantv / a f l o g i c a l −data / A l l C a l l L o g s csv ’ ’ a s r e c r e a t e ( r : r e l a t i o n {number1 : r e [ ] , d a t e : r e [ ] , d u r a t i o n : r e [ ] , t y p e : r e [ ] , name1 : r e [ ] , number2 : r e [ ] } ) r e t u r n r ; Similarity, to create a relation table for SMS logs: Load CSV from ‘ ‘ f i l e : / home/ dmtuantv / Phone Data /AllSMS csv ’ ’ a s sms c r e a t e ( n : sms{ a d d r e s s : sms [ ] , d a t e : sms [ ] , t y p e : sms [ ] , body : sms [ ] , number own : sms [ ] } ) r e t u r n n ; 5.2 Working the Graph Database After created a graph database, we use some Neo4J queries to refine the tables to get more useful data such as: (See Fig 2) – This command creates a number table which contains all numbers of the number1 column: match(r:relation) with distinct r.number1 as num create(n:number number:num) return n; – This command inserts into table number include the numbers of number own match (r:sms) with distinct r.number own as num create (n:numbersmsnumber:num) return n; – This command creates nsms table to omit the duplicate numbers between address and number own: match (n:numbersms) with distinct n.number as num create (m:nsmsnumber:num) return m; – We can create a SEND relation from sms and nsms tables This command creates the SEND relationship of all numbers had sent SMS: where n.number=r.address and n1.number=r.number own and r.type =‘1’ create (n)-[:SENDdate:r.date,body:r.body] → (n1) – This command creates SEND relationship of all numbers: match (n:nsms), (r:sms),(n1:nsms) where n.number=r.address and n1.number =r.number own and r.type =‘2’ create (n) ← [:SENDdate:r.date,body:r.body]-(n1) Evidence Graph Extraction After the information is organized into a graph database (Fig 3) We can start finding information on it such as: – Find information 20/5/2015 We have to convert the date format from dd/mm/yyyy into a timestamp formart: Match ()-[r]-() where r.date=‘14454.*’ return r; Using Graph Database for Evidence Correlation 215 Fig Call connections – Filter the duplicate incomming and outgoing calls: match (n:number),(r:relation),(n1:fnumber) where n.number=r.number1 and n1.number=r.number2 and r.type =‘3’ create (n)-[:Misseddate:r.date ]-(n1) return n,n1 Fig Refined duplicate calls Conclusion and Future Works This paper presents surveys and techniques for tracing evidence on Android using programming methods and evidence representation using graph database The innovation here is that the authors have shown evidence by correlation the pieces of information together using a graph database With the intuitive expression will contribute to the process of investigation and in particular with the professional investigators will allow them to explore more of the details related to their case 216 M.-T Dang and T.A Nguyen In summary, the article “Using graph database for evidence correlation on android smartphones” has accomplished its objectives which are information extraction and presentation in graph database, as well as providing sample queries for evidence finding We believe that the contribution of the paper will contribute to saving time investigator investigation The search for evidence on smartphones is becoming increasingly more difficult due to the continuous development of the operating system, the variety of mobile operating systems, the vigilance of users, particularly those intentionally crime Moreover, the manufacturers started to enhance the system security by encrypting data of smartphones and does not provide a mechanism for decoding the police upon request This has increased the complexity of the investigation evidence on mobile These challenges will be an important topic in the search for evidence on mobile and will be a fascinating subject for researchers References Angles, R., Gutierrez, C.: Survey of graph database models ACM Comput Surv (CSUR) 40(1), 11–139 (2008) Barmpatsalou, K., Damopoulos, D., Kambourakis, G., Katos, V.: A critical review of years of mobile device forensics Digit Investig 10(4), 323–349 (2013) Brunty, J.: Mobile device forensics: threats, challenges, and future trends In: Sammons, J (ed.) Digital Forensics, pp 69–84 Syngress, Burlington (2016) Chapter Celko, J.: Graph databases In: Celko, J (ed.) Joe Celkos Complete Guide to NoSQL, pp 27–46 Morgan Kaufmann, Burlington (2014) Chapter Harichandran, V.S., Breitinger, F., Baggili, I., Marrington, A.: A cyber forensics needs analysis survey: revisiting the domain’s needs a decade later Comput Secur 57, 1–13 (2016) Hoog, A.: Android Forensics: Investigation, Analysis and Mobile Security for Google Android, 1st edn Syngress Publishing, Burlington (2011) Hoog, A., Strzempka, K.: iPhone and iOS Forensics: Investigation, Analysis and Mobile Security for Apple iPhone, iPad and iOS Devices, 1st edn Syngress Publishing, Burlington (2011) Mutawa, N.A., Baggili, I., Marrington, A.: Forensic analysis of social networking applications on mobile devices Digit Investig 9(Suppl.), S24–S33 (2012) The Proceedings of the Twelfth Annual DFRWS Conference and 12th Annual Digital Forensics Research Conference Schiebeck, S., Latzenhofer, M., Palensky, B., Schauer, S., Quirchmayr, G., Benesch,T., Gă ollner, J., Meurers, C., Mayr, I.: Implementation of a generic ICT risk model using graph databases In: Proceedings of the Ninth International Conference on Emerging Security Information, Systems and Technologies (SECURWARE) 2015, pp 146–153, August 2015 10 Thing, V.L.L., Ng, K.Y., Chang, E.C.: Live memory forensics of mobile phones Digit Investig 7, S74–S82 (2010) 11 Xu, N., Jia, W., Luo, Y., Zhang, F., Xuan, D., Teng, J.: An opened eye on you IEEE Veh Technol Mag 6(4), 49–59 (2011) ... thập liệu thiết bị Android - Bằng chứng số tương quan liệu thiết bị Android - Cơ sở liệu đồ thị - Đồ thị tổng hợp đồ thị chứng - Đồ thị tin nhắn nhật ký gọi - Thống kê kiểu liệu khối lượng liệu. .. niệm sở liệu đồ thị( Graph database) 41 4.3.2 Ưu điểm Cơ sở liệu đồ thị .42 CHƯƠNG ĐỒ THỊ TỔNG HỢP VÀ ĐỒ THỊ BẰNG CHỨNG 44 5.1 Đồ thị tổng hợp sử dụng Neo4j 44 5.2 Đồ thị chứng. .. QUAN DỮ LIỆU VÀ CƠ SỞ DỮ LIỆU ĐỒ THỊ 38 4.1 Khái niệm chứng số trình truy tìm chứng số 38 4.2 Mối quan hệ liệu tương quan liệu điều tra số 39 4.3 Cơ sở liệu đồ thị .40 4.3.1 Khái niệm sở