Trích xuất tin nhắn SMS / MMS
Các tập tin mmssms.db đó là hiện dưới vị trí
/data/data/com.android.providers.telephony/databases
chứa các chi tiết cần thiết. Như với các bản ghi cuộc gọi, người phân tích phải đảm bảo rằng các ứng dụng có khả năng tin nhắn sẽ bị kiểm tra cho các bản ghi thông điệp có liên quan, như sau:
Các số điện thoại có thể được nhìn thấy dưới cột địa chỉ và tin nhắn văn bản tương ứng có thể được nhìn thấy dưới cột, như thể hiện trong hình bên dưới:
Hình 3.14 Gọi bảng trong file contacts2.db
95
Dữ liệu này nằm ở /data/data/com.android.browser. Các tập tin có tên browser2.db chứa các chi tiết lịch sử trình duyệt. Hình dưới đây cho thấy các dữ liệu trình duyệt như được đại diện bởi Oxygen Forensic SQLite Database Viewer. Lưu ý rằng phiên bản thử nghiệm sẽ giấu thông tin nhất định.
Hình 3.15 –Các tập tin trong browser2.db oxy Viewer SQLite Forensic
Trích xuất thông tin mạng xã hội/chat IM
Ứng dụng mạng xã hội và chat IM như Facebook, Twitter, và WhatsApp tiết lộ dữ liệu nhạy cảm, mà có thể là hữu ích trong việc điều tra các trường hợp. Các phân tích là khá nhiều giống như với bất kỳ ứng dụng Android khác. Tải dữ liệu vào một máy trạm và phân tích các tập tin .db để tìm hiểu xem có thể tìm ra bất kỳ thông tin nhạy cảm. Ví dụ, chúng ta hãy nhìn vào các ứng dụng Facebook và cố gắng nhìn thấy những dữ liệu có thể được trích xuất. Đầu tiên, chúng ta giải nén thư mục /data/data/com.facebook.katana và điều hướng đến thư mục cơ sở dữ liệu. Các tập tin fb.db hiện theo thư mục này có chứa thông tin có liên quan đến tài khoản của người dùng. Các bảng dữ liệu chứa thông tin bạn bè về tên của người bạn đó cùng với số điện thoại, ID e-mail, và ngày tháng năm sinh, như thể hiện trong hình bên dưới. Tương tự như vậy, các file khác có thể được phân tích để tìm hiểu xem bất kỳ thông tin nhạy cảm có thể được thu thập.
96
Hình 3.16 –Bảng fb.db trong SQLite Browser
Tương tự như vậy, bằng cách phân tích các dữ liệu có trong thư mục /data/data, thông tin về vị trí địa lý, sự kiện lịch, ghi chú của người dùng, và nhiều hơn nữa có thể được nắm lấy
3.3.2.2 Sử dụng Content Provider
Trong Android, các dữ liệu của một ứng dụng không thể được truy cập bởi các ứng dụng khác trong những trường hợp bình thường. Tuy nhiên, Android cung cấp một cơ chế mà qua đó dữ liệu có thể được chia sẻ với các ứng dụng khác. Điều này đạt được chính xác thông qua việc sử dụng các nhà cung cấp nội dung. Các nhà cung cấp dữ liệu hiện tại cho các ứng dụng bên ngoài trong các hình thức của một hoặc nhiều bảng. Những bảng này không khác so với các bảng được tìm thấy trong một cơ sở dữ liệu quan hệ. Chúng có thể được sử dụng bởi các ứng dụng chia sẻ dữ liệu thường là thông qua địa chỉ URI giải quyết. Chúng được sử dụng bởi các ứng dụng khác truy cập các nhà cung cấp sử dụng một đối tượng provider-client. Trong khi cài đặt một ứng dụng, người sử dụng xác định có hay không các ứng dụng có thể truy cập vào các dữ liệu yêu cầu (các nhà cung cấp nội dung). Ví dụ, danh bạ, tin nhắn SMS / MMS, lịch, và như vậy, là những ví dụ của các nhà cung cấp nội dung.
Do đó, bằng cách tận dụng điều này, chúng ta có thể tạo ra một ứng dụng mà có thể lấy tất cả các thông tin từ tất cả các nhà cung cấp nội dung có sẵn. Đây chính là cách hầu hết các công cụ pháp lý thương mại làm việc. Ưu điểm của phương pháp này là nó có thể được sử dụng trên cả hai thiết bị root và không root. Ví dụ của chúng tôi, chúng tôi đang sử dụng AFLogical, lợi dụng các cơ chế nội dung cung cấp để đạt được quyền truy cập vào các thông tin. Công cụ này trích xuất dữ liệu và lưu nó vào một thẻ SD trong
97
định dạng CSV. Các bước sau đây trích xuất thông tin từ một thiết bị Android sử dụng AFLogical nguồn mở phiên bản 1.5.2:
Bước 1: Tải AFLogical OSE 1.5.2 từ
https://github.com/viaforensics/androidforensics/downloads.
Bước 2: Đảm bảo chế độ gỡ lỗi USB được kích hoạt và kết nối thiết bị với máy trạm. Bước 3:Xác minh rằng các thiết bị được xác định bằng cách phát hành các lệnh sau đây:
Bước 4: Lưu các ứng dụng AFLogical OSE trong thư mục chính và ban hành sau lệnh
để cài đặt nó trên các thiết bị:
Bước 5: Ứng dụng được cài đặt, bạn có thể chạy trực tiếp từ thiết bị và bấm vào nút
98
Hình 2.1 Các ứng dụng AFLogical OSE
Bước 6: Ứng dụng bắt đầu dữ liệu chiết xuất từ các nhà cung cấp nội dung tương ứng
và một khi quá trình hoàn tất, một thông báo sẽ được hiển thị, như thể hiện trong hình bên dưới:
Hình 3.17 Thông báo hiển thị sau khi chiết xuất hoàn tất
Bước 7: Các dữ liệu chiết xuất được lưu vào thẻ SD của thiết bị trong một thư mục tên
là forensic. Các thông tin thu được lưu trữ trong các tập tin CSV, như thể hiện trong hình sau. Các tập tin CSV có thể được xem bằng trình soạn thảo.
Hình 3.18 – Thông tin trích xuất dạng csv
Bước 8: Các tập tin info.xml hiện diện trong cùng một thư mục cung cấp thông tin về
các thiết bị bao gồm số IMEI, IMSI, phiên bản Android, các thông tin về các ứng dụng được cài đặt, và nhiều hơn.
3.3.3 Trích xuất dữ liệu vật lý
Khai thác dữ liệu Android qua các kỹ thuật vật lý (dựa trên phần cứng) chủ yếu liên quan đến hai phương pháp: JTAG và Chip-off. Những kỹ thuật này thường khó thực
99
hiện và yêu cầu độ chính xác cao và kinh nghiệm để thử chúng trên các thiết bị thực tế trong quá trình điều tra. Các phần sau sẽ cung cấp một cái nhìn tổng quan về những kỹ thuật này.
3.3.3.1 Kỹ thuật JTAG
JTAG (Joint Test Action Group) đề cập đến việc sử dụng các phương pháp thu
thập dữ liệu tiên tiến, trong đó liên quan đến việc kết nối với cổng cụ thể trên các thiết bị và hướng dẫn xử lý để chuyển dữ liệu được lưu trữ trên thiết bị. Bằng cách sử dụng phương pháp này, một hình ảnh vật lý đầy đủ của một thiết bị có thể được trích xuất
Quá trình JTAG thường bao gồm các bước sau đây:
Bước 1:Trong JTAG, các cổng thiết bị thử nghiệm Access (TAPs) được sử dụng để
truy cập CPU của thiết bị. Xác định các TAPs là bước chính và quan trọng nhất. TAPs được xác định và kết nối được truy nguồn từ CPU để tìm ra các pad chịu trách nhiệm cho mỗi chức năng. Mặc dù nguồn lực sản xuất thiết bị tài liệu về sơ đồ JTAG của một thiết bị đặc biệt, họ không được phát hành cho xem chung. Một trang web tốt cho JTAG trên thiết bị Android là http://www.forensicswiki.org/wiki/JTAG_Forensics.
Bước 2: Dây dẫn sau đó được hàn vào chân connector thích hợp và đầu kia được kết
nối với các thiết bị có thể điều khiển CPU, như thể hiện trong hình dưới đây (xuất bản bởi www.binaryintel.com). Jigs JTAG có thể được sử dụng để bỏ hàn cho các thiết bị nhất định.
100
Hình 3.19 – Thiết lập The JTAG
Bước 3: Sau khi các bước trên hoàn chỉnh, nguồn điện cung cấp để khởi động CPU.
Các điện áp phải được áp dụng phụ thuộc vào thông số kỹ thuật được phát hành bởi nhà sản xuất phần cứng. Không áp dụng một điện áp vượt quá số lượng được đề cập trong đặc điểm kỹ thuật.
Bước 4: Sau khi áp dụng quyền, một bộ nhớ đầy đủ của bộ nhớ NAND có thể được
trích xuất.
Bước 5: Phân tích các dữ liệu được chiết xuất bằng cách sử dụng kỹ thuật điều tra sử
dụng các công cụ. File .bin liệu sẽ thu được trong việc thu thập và đi phân tích.
Mặc dù kỹ thuật JTAG là hiệu quả trong việc trích xuất các dữ liệu, kỹ thuật này yêu cầu người phân tích có kinh nghiệm nếu không sẽ làm hỏng thiết bị
3.3.3.2 Kỹ thuật Chip-off
Chip-off, như tên cho thấy, là một kỹ thuật mà các chip NAND flash (s) được lấy ra từ thiết bị và kiểm tra để trích xuất thông tin. Do đó, kỹ thuật này sẽ làm việc ngay cả khi điện thoại được mật mã bảo vệ và gỡ lỗi USB không được kích hoạt.
101
Hình 3.20 – Kỹ thuật Chip-off
Bước 1: Tất cả các chip trên thiết bị cần phải được nghiên cứu để xác định chip chứa dữ
liệu người dùng. Một khi xác định, bộ nhớ flash NAND có thể chất lấy ra từ thiết bị. Điều này có thể được thực hiện bằng cách áp dụng nhiệt để lấy chip như thể hiện trong hình ảnh sau đây (www.binaryintel.com). Đây là một quá trình khó và phải thực hiện cẩn thận nếu không sẽ làm hỏng bộ nhớ NAND.
Bước 2: Các chip được sau đó làm sạch và sửa chữa để đảm bảo rằng các kết nối hiện tại
và hoạt động.
Bước 3: Sử dụng thiết bị phần cứng chuyên adapter, chip có thể đọc được. Điều này được
thực hiện bằng cách chèn các chip vào các thiết bị phần cứng, hỗ trợ chip NAND flash cụ thể. Trong quá trình này, dữ liệu thô được thu thập từ con chip kết quả trong một file .bin.
Bước 4: Các dữ liệu thu được có thể được phân tích bằng kỹ thuật pháp y và các công cụ
mô tả trước đó.
Các kỹ thuật chip-off là hữu ích nhất khi thiết bị bị hư hỏng nặng, bị khóa, hoặc nếu không thể tiếp cận. Tuy nhiên, việc áp dụng kỹ thuật này đòi hỏi không chỉ chuyên môn mà
102
còn thiết bị tốn kém và công cụ,vì có thể gây hỏng bộ nhớ NAND trong khi gỡ bỏ nó và do đó nó được khuyến khích để thử các kỹ thuật đầu tiên logic để trích xuất dữ liệu.
3.3.4 Trích xuất tạo ảnh một bộ nhớ thẻ
Có nhiều công cụ có sẵn có thể tạo ảnh vào thẻ nhớ. Ví dụ sau đây sử dụng WinHex để tạo ra một hình ảnh đĩa của thẻ SD. Sau đây là một bước theo bước quá trình để hình ảnh một thẻ nhớ bằng cách sử dụng phần mềm WinHex.
Bước 1:Kết nối thẻ nhớ: Tháo thẻ SD với khe cắm bộ nhớ và sử dụng một đầu đọc thẻ để
kết nối thẻ nhớ vào máy trạm pháp y.
Bước 2: Bật chức năng: Write Protected the Card: Mở đĩa sử dụng WinHex. Điều hướng
đến Options | Edit Mode và chọn chế độ Write-Protected, như thể hiện trong hình bên dưới. Điều này là để đảm bảo rằng thiết bị là được bảo vệ và không có dữ liệu có thể được viết trên đó.
WinHex của Edit Mode (trái) và WinHex chỉ đọc Mode được kích hoạt
Bước 3: Tính giá trị băm: Tính giá trị băm của thẻ nhớ để đảm bảo rằng không có thay
đổi được thực hiện tại bất kỳ điểm nào trong quá trình điều tra. Điều hướng vào Tools | Compute hash và chọn bất kỳ thuật toán băm.
Bước 4 Tạo hình ảnh của đĩa: Điều hướng vào File | Create Disk Image, như thể hiện
trong hình bên dưới. Chọn tùy chọn Raw image (.dd) để tạo ra một hình ảnh. Điều này hoàn thành hình ảnh của thẻ nhớ.
103
Hình 3.21 -Các tùy chọn hình ảnh đĩa WinHex
3.3.5 Khôi phục các tập tin bị xóa
Tất cả các hệ thống tập tin siêu dữ liệu Android có chứa thông tin về hệ thống phân cấp của các tập tin, tên tập tin, và nhiều hơn nữa. Việc xóa sẽ không thực sự xóa dữ liệu nhưng loại bỏ các siêu dữ liệu hệ thống tập tin. Khi tin nhắn văn bản hoặc bất kỳ tập tin khác được xóa khỏi điện thoại, chúng chỉ là làm ẩn với người dùng nhưng các tập tin vẫn còn hiện diện trên thiết bị. Về cơ bản, các tập tin được chỉ đơn giản là đánh dấu để xóa nhưng cư trú trên hệ thống tập tin cho đến khi bị ghi đè. Phục hồi dữ liệu bị xóa từ một thiết bị Android liên quan đến hai kịch bản: phục hồi dữ liệu bị xóa từ thẻ SD, chẳng hạn như hình ảnh, video, dữ liệu ứng dụng và nhiều hơn nữa và khôi phục dữ liệu bị xoá khỏi bộ nhớ trong của thiết bị. Các phần sau đây bao gồm các kỹ thuật có thể được sử dụng để khôi phục dữ liệu đã bị xóa từ cả hai thẻ SD và bộ nhớ trong của thiết bị Android.
3.3.6 Phục hồi dữ liệu bị xóa từ thẻ SD
Thẻ SD trong các thiết bị Android thường sử dụng hệ thống tập tin FAT32. Lý do chính của việc này là hệ thống tập tin FAT32 được hỗ trợ rộng rãi trong hầu hết các hệ điều hành như Windows, Linux, và Mac OS X. Các kích thước tập tin tối đa trên một định dạng FAT32 là khoảng 4 GB. Với định dạng độ phân giải ngày càng cao hiện nay có sẵn, giới hạn này thường đạt được. Ngoài ra, FAT32 có thể được sử dụng trên các
104
phân vùng có ít hơn 32 GB. Do đó, hệ thống tập tin exFAT mà vượt qua những vấn đề này hiện đang được sử dụng trong một số thiết bị.
Để phục hồi các file bị xóa từ thẻ SD, có thể sử dụng bất kỳ công cụ pháp y có sẵn như công cụ Remo Recover cho Android. Sau đây là một quá trình từng bước để phục hồi các tập tin đã bị xóa từ thẻ SD sử dụng Remo Recovery cho Android:
Bước 1: Tải phần mềm từ http://www.remosoftware.com/remo-recover-forandroid. Tiếp theo, cài đặt phần mềm và khởi động nó. Từ màn hình chính, chọn chế độ phục hồi tập tin thích hợp. Một khi thiết bị được phát hiện thành công công cụ này sẽ cố gắng để nhận ra thiết bị Android và hiển thị trên màn hình. Lưu ý, các thiết bị Android phải có khả năng kết nối qua cổng gỡ lỗi USB hoặc các thiết bị có thể không được ph át hiện.
Hình 3.22 – Phát hiện phục hồi thiết bị Android
Bước 2: Các công cụ giới thiệu cho một danh sách các thiết bị lưu trữ có sẵn, như thể
105
Hình 3.23 – Danh sách các thiết bị lưu trữ có sẵn
Bước 3: Chọn loại file được khôi phục hoặc chọn tất cả và tiếp tục tiến trình.
Bước 4: Khi quá trình phục hồi hoàn tất, một danh sách các file trích xuất sẽ được cung
cấp như trong ảnh chụp màn hình sau đây:
Hình 3.24 – Danh sách file được phục hồi
Điều viên phải hiểu rằng các thiết bị Android có thể sử dụng không gian trên thẻ SD để lưu trữ dữ liệu ứng dụng, do đó điều quan trọng là đảm bảo rằng càng nhiều dữ liệu thu được từ các thiết bị trước khi tháo thẻ SD càng tốt.. Các công cụ như LiME có thể
106
được sử dụng để hoàn tất việc chụp bộ nhớ. LiME có thể được truy cập vào các trang web sau đây:
https://code.google.com/p/lime-forensics/.
Phần mềm này giúp kiểm tra xem thiết bị có bất kỳ ứng dụng sao lưu hoặc các tập tin cài đặt. Việc phát hành ban đầu của Android không có một cơ chế cho người sử dụng để sao lưu dữ liệu cá nhân của họ. Do đó, một số ứng dụng sao lưu đã được sử dụng rộng rãi bởi người sử dụng. Bằng cách sử dụng các ứng dụng, người dùng có khả năng sao lưu dữ liệu của họ, hoặc vào thẻ SD hoặc đến các đám mây. Ví dụ, ứng dụng sao lưu chứa các tùy chọn để sao lưu các bản ghi cuộc gọi, danh bạ, tin nhắn SMS, và nhiều hơn nữa như thể hiện trong hình bên dưới:
Hình 3.25– Ứng dụng siêu sao lưu
Khi phát hiện một ứng dụng sao lưu, người kiểm tra pháp y phải cố gắng để xác định