Khi phát hiện một ứng dụng sao lưu, người kiểm tra pháp y phải cố gắng để xác định nơi mà dữ liệu được lưu trữ. Các dữ liệu được lưu trong một bản sao lưu có thể chứa các thông tin quan trọng và do đó tìm kiếm cho bất kỳ ứng dụng sao lưu của bên thứ ba trên thiết bị này sẽ rất hữu ích.
3.3.7 Phục hồi dữ liệu bị xóa từ bộ nhớ trong
Để điều tra viện có thể gặp phải một số vấn đề khi cố gắng phục hồi dữ liệu từ bộ nhớ trên thiết bị Android:
107
- Để có được quyền truy cập vào bộ nhớ trong, bạn có thể thử root điện thoại. Tuy nhiên, quá trình root có thể liên quan đến việc viết một số dữ liệu vào phân vùng /data và quá trình này có thể ghi đè lên các dữ liệu có giá trị trên thiết bị.
- Không giống như thẻ SD, hệ thống tập tin nội bộ ở đây không phải là FAT32 (được hỗ trợ rộng rãi bởi các công cụ pháp y). Các hệ thống tập tin nội bộ có thể được YAFFS2 (ở thiết bị cũ), EXT3, EXT4, RFS, hoặc một cái gì đó độc quyền xây dựng để chạy trên Android. Do đó, rất nhiều các công cụ phục hồi được thiết kế để sử dụng với hệ thống tập tin Windows sẽ không hoạt động.
- Dữ liệu ứng dụng trên các thiết bị Android thường được lưu trữ trong các định dạng SQLite.
3.3.7.1 Phục hồi file đã xóa bằng cách phân tích các tập tin SQLite
Android sử dụng các file SQLite để lưu trữ dữ liệu. Dữ liệu liên quan đến tin nhắn văn bản, e-mail và dữ liệu ứng dụng nào đó được lưu trữ trong các tập tin SQLite. Cơ sở dữ liệu SQLite có thể lưu trữ dữ liệu đã xóa trong cơ sở dữ liệu riêng của mình. File đánh dấu để xóa bởi người sử dụng không còn xuất hiện trong các tập tin cơ sở dữ liệu SQLite hoạt động. Do đó, nó có thể phục hồi dữ liệu bị xóa như tin nhắn văn bản, danh bạ và nhiều hơn nữa. Có hai khu vực trong một trang SQLite có thể chứa dữ liệu bị xóa: Khối chưa phân bổ và khối miễn phí. Phân tích các dữ liệu bị xóa có thể được thực hiện bằng cách sử dụng các công cụ pháp lý có sẵn như Oxygen Forensics SQLite
Viewer. Phiên bản thử nghiệm của trình xem SQLite có thể được sử dụng cho mục đích
này; tuy nhiên, có những hạn chế nhất định về số lượng dữ liệu mà bạn có thể phục hồi. Điều tra viên có thể viết kịch bản riêng để phân tích các tập tin cho nội dung bị xóa tuy nhiên cần phải có một sự hiểu biết tốt về các định dạng tập tin SQLite. Có thể sử dụng thông tin trên site:
http://www.sqlite.org/fileformat.html
là một nơi tốt để bắt đầu. Nếu bạn không muốn tái tạo lại và muốn sử dụng lại các kịch bản hiện tại, bạn có thể thử các kịch bản có sẵn mã nguồn mở Python
108
để phân tích các tập tin SQLite cho hồ sơ đã bị xóa.
Ví dụ: Phục hồi dữ liệu SMSes đã bị xóa từ một thiết bị Android.
Các tập tin theo vị trí/data/data/com.android.providers.telephony/databases chứa chi tiết về tin nhắn SMS/MMS
Tin nhắn văn bản được lưu trữ trong một cơ sở dữ liệu tập tin SQLite, được đặt tên mmssms.db. Tin nhắn văn bản bị xóa có thể được phục hồi bằng cách kiểm tra tập tin này. Dưới đây là các bước để khôi phục lại SMS đã xóa bằng cách sử dụng tập tin mmssms.db:
Bước 1:Trên thiết bị Android, cho phép chế độ USB debugging và kết nối các thiết bị
các máy pháp y. Sử dụng công cụ dòng lệnh adb, trích xuất các cơ sở dữ liệu thư mục hiện diện dưới địa điểm /data/data/ bằng cách phát lệnh adb pull:
Một khi các tập tin được trích xuất đến máy cục bộ, sử dụng các công cụ Oxygen Forensics SQLite Viewer để mở file mmssms.db.
Bước 2: Click vào bảng tên sms và quan sát các thông hiện dưới tab dữ liệu bảng trong
công cụ.
Bước 3: Một cách để xem các dữ liệu bị xóa bằng cách nhấp vào các khối có chứa tab
109