3.2.6.2 Khoá bằng mật khẩu-Passcode
Phương thức khóa bằng mật khẩu này phức tạp hơn khóa bằng mô hình, khóa mật khẩu có thể chứa ký tự, số hoặc kí hiệu đặc biệt nên không gian khóa rất lớn vì vậy không thể sử dụng hình thức tấn công từ điển để áp dụng vào trường hợp này. Trên hệ điều hành Android sử dụng một phương pháp để lưu trữ mật khẩu. Khi người sử dụng thiết lập mật khẩu, nó sẽ chuyển giá trị mật khẩu đó thành chuỗi SHA1 và lưu vào một tập tin, khi người dùng xác thực nó sẽ so sánh hàm băm SHA1 của chuỗi nhập vào với tập tin chứa mã SHA1 đã lưu trước đó, nếu đúng thì người dùng có thể truy cập vào thiết bị còn ngược lại thì sẽ không truy cập được. Với cách bảo vệ này, hệ điều hành
89
android tạo ra một file password.key trong thư mục /data/system vậy để bỏ qua vấn đề xác thực này ta chỉ cần sử dụng adb kết nối tới và xóa tập tin mật khẩu đó, và thực hiện khởi động lại điện thoại là có thể truy cập vào điện thoại mà không cần phải xác thực.
Sau khi vượt qua được vòng bảo vệ, tiếp cận với dữ liệu bên trong điện thoại, ta cần phải tạo bản sao bằng chứng, để tiện cho quá trình phân tích điều tra tránh việc ghi đè dữ liệu lên bằng chứng thật.
3.3 Kỹ thuật trích xuất và phục hồi dữ liệu
Dữ liệu nằm trên một thiết bị Android có thể là một phần không thể thiếu của cuộc điều tra vụ tra dân sự, hình sự, hoặc nội bộ được thực hiện như một phần hoạt động của các tổ chức công ty. Trong khi giao dịch với các điều tra liên quan đến các thiết bị Android, giám định pháp y cần phải nghĩ đến những vấn đề trong quá trình điều tra số này, bao gồm việc xác định nếu truy cập Root được cho phép (thông qua sự đồng ý hoặc cơ quan pháp luật) và những dữ liệu có thể được trích xuất và phân tích trong cuộc điều tra. Ví dụ, trong một vụ án hình sự tòa án có thể chỉ cho phép các tin nhắn SMS, nhật ký cuộc gọi, và hình ảnh sẽ được trích xuất và phân tích trên thiết bị Android thuộc đối tượng khả nghi. Trong trường hợp này, chỉ có thể thu thập được dữ liệu logic cụ thể. Tuy nhiên, để có thể điều tra tốt nhất được thì cần có bản full-image của thiết bị Android. Có 3 kỹ thuật trích xuất dữ liệu trên Android:
- Trích xuất thủ công - Trích xuất logic - Trích xuất vật lý
3.3.1 Trích xuất dữ liệu thủ công
Phương pháp sử dụng giao diện người dùng bình thường của các thiết bị di động để truy cập hiện nội dung trong bộ nhớ . Các điều tra viên sẽ duyệt qua các thiết bị thông thường bằng cách truy cập menu khác nhau để xem các chi tiết như nhật ký cuộc gọi , tin nhắn văn bản, và chat IM . Nội dung của mỗi màn hình được chụp bằng cách chụp ảnh và có thể được trình bày như là bằng chứng. Hạn chế chính với loại hình này kiểm tra là chỉ những tập tin được truy xuất bởi hệ điều hành (trong chế độ giao diện người dùng). Cần phải cẩn thận khi tự kiểm tra các thiết bị như nó dễ dàng để nhấn nút sai
90
hoặc xóa hay thêm dữ liệu. Trích xuất dữ liệu thủ công được dùng như phương pháp cuối cùng để xác thực lại các phương pháp khác.
3.3.2 Trích xuất dữ liệu logic
Kỹ thuật khai thác dữ liệu logic có trên thiết bị bằng cách truy cập các tập tin hệ thống.Tuy nhiên, kỹ thuật này yêu cầu có quyền truy cập root trên một thiết bị cho phép chúng ta truy cập tất cả các tập tin trên một thiết bị.
Sử dụng các lệnh adb pull Sử dụng content providers
3.3.2.1 Sử dụng các lệnh adb pull
Các ứng dụng dữ liệu có thể được lưu trữ trong một trong các địa điểm sau: - Shared preferences: Dữ liệu được lưu trữ trong cặp khóa-giá trị trong một định
dạng XML. File sở thích chia sẻ được lưu trữ trong thư mục shared_pref trong đường dẫn /data của ứng dụng.
- Internal storage: Dữ liệu được lưu trữ ở đây là cá nhân và trong bộ nhớ trong của
thiết bị. Tập tin được lưu vào bộ nhớ trong là riêng, không thể được truy cập bởi các ứng dụng khác.
- External storage: Dữ liệu lưu trữ đó là công khai trong bộ nhớ ngoài của thiết bị,
mà thường không thực thi các cơ chế bảo mật. Những thông tin này được phát hành dưới thư mục /Sdcard.
Cơ sở dữ liệu SQLite: trong/data/data/PackageName/database. Chúng thường
được lưu trữ với một phần mở rộng tập tin .db. Các dữ liệu hiện thời trong một tập tin SQLite có thể được xem bằng cách sử dụng trình duyệt SQLite.
(http://sourceforge.net/projects/SQLitebrowser/) hoặc bằng cách thực hiện các lệnh SQLite cần thiết trên các tập tin tương ứng:
Trích xuất /data trên một thiết bị đã root
91
Như đã thể hiện trên hình, thì toàn bộ dữ liệu /data trên thiết bị Android đã được copy đến thư mục cục bộ của máy tính.