Mobil cihazlara yönelik dijital adli bilişimin birinci adımı telefon imajı almak olarak görülmektedir. Bu yazıda android cihazların imajını almak ile ilgili temel bir yöntemi paylaşacağız. Anlatacağımız metotta kullanılacak araçlar lisans içermeyen, açık kaynak ve ücretsiz programlardır. Yazıdaki yoğun teknik bilgi nedeniyle birçok okuyucunun tam olarak anlayamayacağının veya kendi başına yapmaya çekineceğinin farkında olarak başlıyoruz.
İmaj almak özü itibariyle hafızanın kopyalanması işlemidir. Android cihazlarda iki tür imaj alma işlemi gerçekleştirilebilir:
- Canlı imaj almak: Çalışan bir cihazda gerçekleştirilir. Genellikle, çeşitli araçlar kullanarak root izinleri kazanılır ve DD kullanarak cihazın imajı çıkarılır.
- Kapalı imaj almak: Cihaz kapatılıp başka bir modda açılarak imaj alma yöntemidir. Örneğin, cihazda ClockwordMod kurulu ise, kurtarma modunda yeniden başlatılıp ve root shell ile cihaza giriş yapılır.
Bu yazıda Android canlı imajının nasıl alınacağına odaklanacağız.
Not: Aşağıda anlatılanları takip etmek için cihaz rootlu olmalıdır.
Telefonu Rootlamak
Android telefonların rootlanması yaygın bir fenomen haline geldi. Veri kurtarma ve adli bilişim çalışmaları sırasında telefonun rootlu olması işleri kolaylaştırıyor. Rootlu telefonlarda işletim sistemi tarafından korunan bazı özel dosyalara erişilebilmekte ve dolayısıyla elde edilebilecek veri miktarı artmaktadır.
Ancak, rootlama işlemi her telefon modeline, Android sürümüne ve yapı numarasına göre farklılık arz etmektedir. Bu nedenle her zaman telefon modelinize göre doğru aracı bulmanız gerekir.
Android telefon rootlama programları yazımızda bu konudan bahsetmiştik. Kilitli bootloader, Knox vb. nedenlerle bu programlar çalışmıyorsa, en kullanışlı yöntemi bulmak için Android geliştirme topluluğu olarak bilinen XDA Developers web sitesinden yararlanabilirsiniz.
Android rootlama yazılımı, bazen dosya sistemini değiştirebilecek istenmeyen programlar veya zararlı yazılımlar içerebilir. Böyle bir durum özellikle adli bilişim vakalarında delilin bozulmasına neden olacağı için dikkatli olunmalıdır.
Bu yüzden, bu tür bir yazılımı yalnızca “resmi” yöntemler işe yaramadığı takdirde kullanmanız önerilmektedir.
/data Bölümünün İmajını Almak
/data imajını almak için linux sistemlerde imaj alma aracı olarak kullanılan popüler dd komutunu kullanacağız. dd, Android’de /system/bin konumunda varsayılan olarak bulunur.
Aygıtın dosya sistemindeki değişiklikleri sınırlamak için, imaj NetCat ile oluşturulan bir tünel kullanılarak bilgisayara aktarılır.
Bu nedenle rootlama işleminden sonraki ilk adım, netcat içeren bir konsol yardımcı programı koleksiyonu olan Busybox’ın telefona yüklenmesidir.
BusyBox Apk’sını indirdikten sonra, adb kullanarak cihaza yükleyin:
Ardından telefona bağlanın ve root erişimini kontrol edin:
ls /data
su
ls /data
Korunan bir dizine erişimimiz olup olmadığını test etmek için ls /data kullanıyoruz.
İlk çalıştırdığınızda, başarısız olursa kullanıcıyı root’a çevirmek için su kullanın. Korunan dizinlere erişip erişilmediğini test etmek için tekrar ls /data kullanıyoruz.
Sonra, cihazdaki bölümleri yani partition’ları mount komutu ile kontrol etmemiz gerekiyor:
rootfs / rootfs ro,relatime 0 0
tmpfs /dev tmpfs rw,seclabel,nosuid,relatime,size=450904k,nr_inodes=112726,mode=755 0 0
devpts /dev/pts devpts rw,seclabel,relatime,mode=600 0 0
none /dev/cpuctl cgroup rw,relatime,cpu 0 0
adb /dev/usb-ffs/adb functionfs rw,relatime 0 0
proc /proc proc rw,relatime 0 0
sysfs /sys sysfs rw,seclabel,relatime 0 0
selinuxfs /sys/fs/selinux selinuxfs rw,relatime 0 0
debugfs /sys/kernel/debug debugfs rw,relatime 0 0
none /sys/fs/cgroup tmpfs rw,seclabel,relatime,size=450904k,nr_inodes=112726,mode=750,gid=1000 0 0
none /acct cgroup rw,relatime,cpuacct 0 0 tmpfs /mnt/asec
tmpfs rw,seclabel,relatime,size=450904k,nr_inodes=112726,mode=755,gid=1000 0 0
tmpfs /mnt/obb tmpfs rw,seclabel,relatime,size=450904k,nr_inodes=112726,mode=755,gid=1000 0 0
/dev/block/bootdevice/by-name/system /system ext4 ro,seclabel,relatime,discard,data=ordered 0 0
/dev/block/bootdevice/by-name/userdata /data ext4 rw,seclabel,nosuid,nodev,relatime,discard,noauto_da_alloc,data=ordered 0 0
/dev/block/bootdevice/by-name/cache /cache ext4 rw,seclabel,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/bootdevice/by-name/persist /persist ext4 rw,seclabel,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/bootdevice/by-name/tctpersist /tctpersist ext4 rw,seclabel,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/bootdevice/by-name/modem /firmware vfat ro,context=u:object_r:firmware_file:s0,relatime,uid=1000, gid=1000,fmask=0337,dmask=0227,codepage=437,iocharset=iso8859-1,shortname=lower,errors=remount-ro 0 0
/dev/fuse /storage/uicc1 fuse rw,nosuid,nodev,relatime,user_id=1023,group_id=1023, default_permissions,allow_other 0 0
/dev/fuse /storage/uicc0 fuse rw,nosuid,nodev,relatime,user_id=1023,group_id=1023, default_permissions,allow_other 0 0
/dev/fuse /mnt/shell/emulated fuse rw,nosuid,nodev,relatime,user_id=1023,group_id=1023, default_permissions,allow_other 0 0
/dev/fuse /storage/usbotg fuse rw,nosuid,nodev,relatime,user_id=1023,group_id=1023, default_permissions,allow_other 0 0
/dev/fuse /storage/sdcard0 fuse rw,nosuid,nodev,relatime,user_id=1023,group_id=1023, default_permissions,allow_other 0 0
/dev/block/vold/179:65 /mnt/media_rw/sdcard1 vfat rw,dirsync,nosuid,nodev,noexec,relatime,uid=1023, gid=1023,fmask=0007,dmask=0007,allow_utime=0020,codepage=437,iocharset=iso8859-1,shortname=mixed,utf8, errors=remount-ro 0 0
/dev/block/vold/179:65 /mnt/secure/asec vfat rw,dirsync,nosuid,nodev,noexec,relatime,uid=1023,gid=1023, fmask=0007,dmask=0007,allow_utime=0020,codepage=437,iocharset=iso8859-1,shortname=mixed,utf8, errors=remount-ro 0 0
/dev/fuse /storage/sdcard1 fuse rw,nosuid,nodev,relatime,user_id=1023,group_id=1023, default_permissions,allow_other 0 0
Data bölümü ile ilgilendiğimiz için, /dev/block/bootdevice/by-name/userdata yolunu not ediyoruz.
Daha sonra, PC ile mobil cihaz arasında bağlantı kurarak 8888 numaralı porta yönlendirmemiz gerekiyor.
Bilgisayarda:
Şimdi dd komutunu kullanarak imaj alma işlemine başlayalım ve verileri netcat komutu ile çekelim.
Telefonda çalışan root shell’de:
Bilgisayarda:
İmaj alma işlemi bittiğinde kopyalanan verinin boyutunu bu şekilde göreceksiniz.
Telefon imajını alma işlemi bittiğinde Sleuthkit araçlarını veya Autopsy‘yi kullanarak analize başlayabilirsiniz.
Telefon imajı analizi konusunda yakında paylaşacağımız yazı için takipte kalın. Adli bilişim desteği almak istiyorsanız bize ulaşın.
Best Veri Kurtarma Merkezi
Biz “Kurtarılamaz” Demedikçe Hiçbir Veri Kurtarılamaz Değildir..
