Mobil Cihazlarda İmaj Alma Türleri

Mobil Cihazlarda Fiziksel İmaj

Mobil cihazlarda fiziksel imaj, cihaz belleğinin bit bit kopyasının alındığı bir yöntemdir. Fiziksel imaj cihazdaki verilerin tamamına erişim sağlanıldığı imaj türüdür. Fakat Mobil cihazlarda fiziksel imaj almak türler içerisinde en zorudur. Çünkü işletim sistemlerinde cihaz belleğinin okunmasına karşı güvenlik vardır. Bunu kırmak için ilk önce mobil cihazın şifreli ise onu atlamak gerekmektedir. Günümüzde en çok kullanılan mobil işletim sistemlerinden bahsedeceğim. İlk olarak Android işletim sisteminde fiziksel imaj alınacak ise, cihaz üzerinden Root atma işlemi gerçekleştirilmesi gerekmektedir. İOS işletim sistemlerinde de Android işlemine benzeyen Jailbreak edilmesi gerekmektedir.

Android İşletim Sistemine Root Atma Adımları

Android işletim sistemlerine Root atıldığında cihaz içerisinde tam yetkiye sahip olunur. Mobil cihaz içerisinde önceden silinmiş verilere ve uygulama veri tabanlarına erişim sağlanmak gibi katkıları vardır. Fakat bunu unutmamak gerekmektedir. Android işletim sistemi bulunun bütün mobil cihazlara Root atmak mümkün değildir. Mobil cihaza Root atma işlemi aşağıdaki gibi yapılabilmektedir.

  • Mobil cihazın ayarlar kısmından geliştirici seçenekleri aktif edilir.
  • USB hata ayıklama açılır.
  • Root işleminin yapılabileceği çekirdek yazılımı ve SuperSu uygulaması daha sonra geri yüklemek için SD karta atılır.
  • Mobil cihaz ile bilgisayar arasındaki bağlantı kesilir.
  • Bilgisayara Flashtool kurulur.
  • Mobil cihaz kapatılır, Flashtool programı açılır ve Flashmod’da bağlanır.
  • Flashmode: Mobil cihaz kapalı iken ses kısma tuşuna basılı tutarak bilgisayara bağlanıldığında bu moda girer.
  • Fastboot mode: Mobil cihaz kapalı iken ses açma tuşuna basılı tutarak bilgisayara bağlanıldığında bu moda girer.
  • Mobil cihaz Flashmoda alarak çekirdek dosyası Flashtool programı ile flashlanır.
  • Bilgisayara uygun yazılın yüklenerek cihazın TWRP recovery moda geçmesi sağlanır.
  • Recovery modda Install diyerek SD kartta bulunan SuperSu kurulumu yapılır ve çıkmadan SD karttaki çekirdek kurulur. Sistem yeniden başlatılarak Root işlemi tamamlanır.
  • Sonrasında Paraben E3:DS, Oxygen Forensic, dd tool gibi araçlar ile fiziksel imaj alınır.

 

Mobil Cihazlarda Mantıksal İmaj

Mobil cihazlarda mantıksal imaj alındığında, tüm silinmiş verilere erişim sağlanılmadığı, sistem dosyalarının çoğunun imaj alınmasına izin verilmediği ve veri akış işlemi süresince mobil cihazdaki verilerin değişmesine sebebiyet verildiği imaj türüdür. Kısacası yüzeysel bilgilerin alındığı imaj türüdür.

 

İşletim Sistemine Göre Farklılıklar

 Android İşletim Sistemi

Android işletim sistemi Linux tabanlı olup açık kaynak olarak geliştirilmektedir. Günümüzde mobil cihazların birçoğunu Android işletim sistemi olduğunu görmekteyiz. Android işletim sistemli bir mobil cihazda daha fazla veri elde etmek için rootlama işlemi yapılmalıdır.

 Android İşletim Sistemi İçerisindeki Bazı Dosyalar

Library.db

Google Play üzerinden cihaza yüklenmiş uygulamaların verilerini içermektedir ve uygulamalarının paket adını vermektedir.

Local Appstate.db

Mobil Cihaz kullanıcısının kullandığı uygulamalarının verilerini içerir.

Dmap.mgr

Yüklü uygulamaların ilk ne zaman kullanıldığı ve son ne zaman kullanıldığı hakkında verileri tutmaktadır.

 

İOS İşletim Sistemi

İOS işletim sistemi, Apple tarafından mobil cihazlar için ürettikleri işletim sistemidir. Android işletim sisteminden sonra tercih edilen mobil işletim sistemidir. İOS işletim sistemi üzerinden mantıksak imajdan alınan verinin daha fazlasını almak için, Jailbreak işlemi yapılarak fiziksel imaj alma işlemi yapılmaktadır.

İOS İşletim Sistemi İçerisindeki Bazı Dosyalar

 Celluar usage.db

Hücresel verileri içermektedir.

Chatstorage.sqlite

Kurtarılmış, silinmiş mesajları ve mevcut mesaj verilerini içerir.

Datausage.sqlite

Yedeklemelerde bulunmaktadır. Uygulamayı takip etmek ve Ağ trafiğini izlemek için kullanılmaktadır.

Netusage.sqlite

Yalnızca dosya sisteminin dökümlerinde bulunmaktadır. Uygulamayı takip etmek ve ağ trafiğini izlemek için kullanılmaktadır.

 

Blackberry/Nokia/Windows İşletim Sistemleri

Günümüzü baz alarak diğer mobil cihaz işletim sistemlerinin olduğunu belirtmek istedim. Her işletim sistemi kendine özgü ya da aynı çatı altında gelişim gösterdi. Günümüz de incelenmeye alınacak farklı mobil işletim sistemi olduğunu bilmekte fayda vardır.

 

 

ADB (Android Debug Bridge) Nedir?

Android Debug Bridge, Android işletim sistemi bulunan cihaz ile iletişim kurmayı sağlayan çok yönlü bir komut satırı aracıdır. ADB komutları ile uygulama yükleme, hata ayıklama, cihaz bilgileri gibi birçok bilgiye ulaşılmaktadır. Sonrasında mobil cihazın The Sleuth Kit aracı olan dd aracı ile fiziksel imaj işlemi gerçekleştirilebilmektedir.

 

BootLoader Nedir?

BootLoader, mobil cihazlarda kullanıcının değişiklik yapmasını engelleyen bir kilittir. Mobil cihazlarda BootLoader kilidi açıldığında mobil işletim sistemlerindeki kök dizine erişim yetkisi mümkün olacaktır. Fiziksel imaj alınmasında verilerin tamamının elde edilmesinde yardımcı olacaktır.

 

ADB ve BootLoader İmaj Alma Arasındaki Fark

Mobil cihaza BootLoader yüklenerek yani cihazın normal açılması yerine geçerek mobil cihaz hafızasındaki tüm verilerin elde edilmesidir. Android Debug Bridge ise adb.exe aracı ile cihaz bilgisini alınarak verilerin elde edilmesidir. Sonrasında herhangi bir Mobil cihaz inceleme araçlarından biri ile incelenebilir.

 

Mobil Cihazlarda Adli Bilişim Araçları

Mobil inceleme araçları için birkaç bir şey söylemem gerekecektir. Araştırmalarım neticesinde uygulama bazlı ya da dosya bazlı inceleme yapıldığında alınan imajın farklı araçlar ile kullanılması ve manuel olarak incelenmesi, incelenen mobil cihaz üzerinde artı bilgi katacaktır.

  • Cellebrite – UFED Ultimate
  • XRY – Mobile Forensic Software
  • Paraben
  • Oxygen Forensics
  • AccessData Mobil Forensics

İmajlar Arasındaki Farklar

Mantıksal İmaj

Mantıksal imajda Arama kayıtları, SMS, Fotoğraf, Video ve Ses dosyalarına ulaşılmaktadır. Fakat silinmiş verilere ulaşmak mantıksal imajda zordur.

Dosya Sistem İmajı

Mantıksal imajdan farkı ek olarak Sistem dosyaları, Veritabanları, Takvim ve Tarayıcı geçmişlerine ulaşılmaktadır. Veritabanı içerisinde silinmiş verilere ulaşmakta mümkündür.

Fiziksel İmaj

Fiziksel imajda ise cihaz üzerindeki hafıza belleklerinin bit bit kopyasının alınmasıdır. Kopyası alınan verilerin içerisinde Gizlenmiş ve Silinmiş dosyalarda yer almaktadır. Fiziksek imaj alındığında cihaz üzerindeki bütün bilgilere ulaşılmaktadır.

 

Fiziksel İmajda Kullanılan Teknikler

Joint Test Action Group (JTAG)

JTAG tekniği fiziksel imaj tekniği olarak bilinmektedir. JTAG ile mobil cihazın işlemcisiyle direkt olarak bağlanıldığı bir metot. Sonrasında mobil cihazın tüm kopyasını almaktır. JTAG için metodu için özelleştirilmiş donanımlar sayesinde alınan imajın incelemesi yapılmaktadır.

 Çip Sökme (Chip-off)

Chip-off işlemi mobil cihazın hafıza yongası sökülüp ikinci bir mobil cihaza ya da EEprom Reader cihazına takılmasıyla tüm verilerin elde edildiği bir metot. Bu metot JTAG metoduna göre daha az kullanılmaktadır. Sebebi Farklı donanımlar ve ücret kapsamında daha pahallıdır.

, , , , , , , , , , , , , , ,