پاورپوینت جرمیابی درگوشیهای اندروید

بخشی از پاورپوینت

اسلاید 1 :

جرمیابی درگوشیهای اندروید

به نام خدا

اسلاید 2 :

پژوهشگاه ارتباطات و فناوری اطلاعات
تاریخچه و اهمیت جرمشناسی در گوشیهای هوشمند
معرفی چارچوب و فازهای بررسی جرم شناسی در گوشی های هوشمند
معرفی مختصر ابزارهای بررسی جرم شناسی در گوشی های هوشمند
یک نمونه سناریوی عملی در جرمشناسی گوشیهای هوشمند
فهرست مطالب
تعریف جرم شناسی دیجیتال

اسلاید 3 :

پژوهشگاه ارتباطات و فناوری اطلاعات
اجرای جمعآوری در جرمشناسی
اجرای فاز بررسی و تجزیه و تحلیل در جرمشناسی
اجرای فاز گزارشنویسی در جرمشناسی
جمعبندی
فهرست مطالب (ادامه.)
اجرای فاز شناسایی و حفاظت در جرمشناسی

اسلاید 4 :

پژوهشگاه ارتباطات و فناوری اطلاعات
تعریف جرم شناسی دیجیتال
کشف شواهد و مدارک قانوني موجود در محيطهاي ديجيتالي و ذخيره سازي اطلاعات

هدف جرم شناسي ديجيتال:
جستجو، حفظ و تحلیل اطلاعات موجود بر روي سيستم هاي کامپيوتري به منظور يافتن شواهد ومدارک احتمالي براي يک دادرسي است

مخاطبان جرم شناسي ديجيتال:
طیف وسیعی از بازرسان جرم­یابی دیجیتال تا اعضای تیم مقابله با بحران که یک حادثه­ی امنیتی کامپیوتری را بررسی کرده، تا مقامات امنیتیِ سازمانی که به پیشامدهای­ مربوط به حوزه­ی کارکنان رسیدگی می­کنند.
"علم بازیابی شواهد دیجیتال از یک گوشی در شرایط قابل قبول از نظرفارنسیک با استفاده از روش های پذیرفته شده" [1]

اسلاید 5 :

پژوهشگاه ارتباطات و فناوری اطلاعات
تاریخچه و اهمیت جرمشناسی در گوشیهای هوشمند

اسلاید 6 :

پژوهشگاه ارتباطات و فناوری اطلاعات
تاریخچه و اهمیت جرمشناسی در گوشیهای هوشمند
1993: We were happy to have dial tone (RAM = 0)

2003: Phone, call history, contact list, SMS, images, videos (RAM = 10-100 MB)

2013: Phone + portable Internet terminal with e-mail, browser history, GPS, locations, documents, … (RAM = 8-64 GB)
Michael Burnette, 2002

اسلاید 7 :

پژوهشگاه ارتباطات و فناوری اطلاعات
چارچوب و فازهای بررسی جرم در گوشی های هوشمند
چارچوب بررسی جرم در رایانهها:
چارچوب بررسی جرم در گوشی هوشمند:

اسلاید 8 :

پژوهشگاه ارتباطات و فناوری اطلاعات
چارچوب و فازهای بررسی جرم در گوشی های هوشمند (ادامه.)
Boundary of investigation (which smartphone/case)

Identify equipment for collection based.

Collection methods

Preserve the collected images

Examination of the images

Documentation

The case is done or not

اسلاید 9 :

پژوهشگاه ارتباطات و فناوری اطلاعات
چارچوب و فازهای بررسی جرم در گوشی های هوشمند (ادامه.)
اهمیت استفاده از چارچوبهای بررسی جرم برای گوشیهوشمند:
Abbreviations: IL=Installation location
UN=Username PWD=Password UID=User ID TS=Timestamp
FN=Filename
FC=File content
FL=File location

اسلاید 10 :

پژوهشگاه ارتباطات و فناوری اطلاعات
چارچوب و فازهای بررسی جرم در گوشی های هوشمند (ادامه.)

اسلاید 11 :

پژوهشگاه ارتباطات و فناوری اطلاعات
فاز حفاظت
حفاظت: فرایندی ایمن برای حفاظت از دارایی­ها، بدون اینکه اصلاح و یا
تغییری در محتویات داده­های موجود بر رسانه­ها صورت بگیرد.

1. تامین امنیت و بررسی صحنه­ی جرم:

جداسازی باتری برای جلوگیری از اتصال­الکتریکی (غوطه­وری در یک مایع)
قطعات سالم حافظه­ را از یک گوشی موبایل آسیب­دیده خارج کرد و
محتویات آنها را به طور مستقل بازیابی کرد.

2. مستندسازی از صحنه­ی جرم:

رکوردی از تمام داده­های قابل­مشاهده ایجاد شود (منظور بایگانی کردن مدارک)
عکاسی از صحنه­ی جرم و محتویات صفحه­نمایش

اسلاید 12 :

پژوهشگاه ارتباطات و فناوری اطلاعات
فاز حفاظت (ادامه.)
3. جداسازی (ایزولاسیون):

جداسازی یا قطع شبکه:

جلوگیری از کدهای مَستر­ریست
جلوگیری از داده­های ورودی (تماس­ها و یا پیام­های متنی)
که وضعیت فعلیِ داده­های گوشی را تغییر میدهند.
جلوگیری از تشخیص موقعیت جغرافیایی کارشناس جرم­یابی.
جلوگیری از ریسک بازنویسی اطلاعات جدید بر روی اطلاعات قبلی (مدارک بالقوه)

راهکارها:

فعال کردن مُد هواپیما - لزوما مانع استفاده از GPS نمی­شود.
خاموش کردن دستگاه گوشی موبایل – فعال سازی کدهای
احراز هویت و از دست دادن حافظه موقت (RAM)
کاورهای ضدامواج رادیویی (RIC)
کارت قطع ارتباط با شبکه­ی سلولی (CNIC)
دستگاه­های پارازیت (Jamming)

اسلاید 13 :

پژوهشگاه ارتباطات و فناوری اطلاعات
4. درخت تصمیم­ در محل:
درخت تصمیم
استخراج داده­ها، ضروری؟
ابزار/
آموزش؟
باتری 50%؟
آزمایشگاه کمتر از 2 ساعت؟
قفلباز/
سالم ؟
YES
YES
تماس با متخصص
YES
ایزولاسیون
اکتساب داده
نیاز به اطلاعات بیشتر؟
اکتساب داده
YES
YES
YES
YES
ایزولاسیون
انتقال به آزمایشگاه
فاز حفاظت (ادامه.)

اسلاید 14 :

پژوهشگاه ارتباطات و فناوری اطلاعات
شناسایی و جمعآوری:

این فاز با شناسایی گوشی موبایل مورد نظر آغاز می­شود:

اجزاء و نوع گوشی، سیستم­عامل و ویژگی­های دیگر مسیر ایجاد یک
کپی قانونی (ایمیج­گیری) و مستندسازی از محتویات دستگاه موردنظر
را تعیین می­کند.
اطلاعاتی که به طور کلی استخراج می­شوند، نشان می­دهند که باید از
کدام ابزارها و تکنیک­ها در بررسی جرم استفاده کرد.

سپس فرایند ایمیج­گیری (کپی­برداری) از اطلاعات داخل گوشی موبایل انجام میشود.

فرایند ایمیج­گیری در صحنه - مانعِ از دست­رفتن اطلاعات با توجه به تخلیه باتری، آسیب، و موارد دیگر.
فرایند ایمیج­گیری خارج از محل واقعه - محلی که بتوان در آن با تجهیزات مناسب کار کرد و در عین­حال پیش­نیازهای فرعی را هم برآورده کرد. در طول این کارگاه یک محیط آزمایشگاهی را در نظر گرفته­ایم.
فاز شناسایی و جمعآوری

اسلاید 15 :

پژوهشگاه ارتباطات و فناوری اطلاعات
1. شناسایی گوشی موبایل مورد نظر:
1.1. نحوه اتصال گوشی اندروید به سیستم آزمایشگاهی فارنسیک:
سختافزاری:
استفاده از دستگاههای Write Blockerبرای برقراری اتصال
گوشی اندروید و حافظه جانبی آن بهForensics Workstation :
Paraben Mobile Field Kit (MFK)
Cellebrite UFED write blocker
فاز شناسایی و جمعآوری (ادامه.)

اسلاید 16 :

پژوهشگاه ارتباطات و فناوری اطلاعات
ابزار/ نرمافزاری:
ADB (Android Debugging Bridge):
ابزاری برای برقراری ارتباط با گوشی اندروید از طریق Command line
برای تبادل اطلاعات نیاز به فعال بودن گزینه USB Debugging Option است.
فاز شناسایی و جمعآوری (ادامه.)

اسلاید 17 :

پژوهشگاه ارتباطات و فناوری اطلاعات
1.2. شناسایی اجزاء در دسترس:
نوع و مدل، شماره سریال، ظرفیت حافظه و غیره:
# adb devices
# adb –s [DEVICENAME] shell getprop
فاز شناسایی و جمعآوری (ادامه.)

اسلاید 18 :

پژوهشگاه ارتباطات و فناوری اطلاعات
1.3. شناسایی فایلسیستمها و پارتیشنها :
دستور"cat /proc/filesystems" تمامی فایلسیستمهای اندروید را نشان میدهد. برای مثال، مهمترین آنها برای تحلیلگران فارنسیک شامل:
:EXT4/ EXT3 / EXT2فایلسیستم استاندارد لینوکس است که از سال 2010، EXT4 جایگزینی برای YAFFS2 یا JFFS2 به عنوان فایلسیستم برای حافظه داخلی در دستگاههای اندروید استفاده میشود.
فاز شناسایی و جمعآوری (ادامه.)

اسلاید 19 :

پژوهشگاه ارتباطات و فناوری اطلاعات
دستور : df تمامی پارتیشنهای موجود در اندروید را همراه با حجم مصرفی هریک نشان میدهد:
فاز شناسایی و جمعآوری (ادامه.)

اسلاید 20 :

پژوهشگاه ارتباطات و فناوری اطلاعات
پارتیشنهای مهم:
:/data شامل دادههای کاربران (نرم افزارها، اطلاعات تماس، پیامها، و غیره)
:/sdcard محل ذخیره اطلاعات کاربران (اسناد، فیلمها، عکسها، و دیگر اطلاعات شخصی)
:/cache محل ذخیره موقت دادهای مورد نیاز اندروید
:/system محل ذخیره سیستمعامل و برنامههای از پیش نصب شده
:/boot محل ذخیره هسته اندروید و دادههای مورد نیاز برای بوت اندروید
فاز شناسایی و جمعآوری (ادامه.)