Mantıksal imaj, aktif dosya sisteminde yer alan dosyaları
başka bir sisteme kopyalayıp, inceleme işlemine verilen addır. Genellikle dosya
seviyesinde yapılır. Adli bilişim uzmanları tarafından daha hızlı sonuca
ulaşmaya imkan tanıdığı için ilk olarak tercih edilen analiz şeklidir.
Fiziksel imaj üzerinde yapılacak analiz ile çok daha fazla
veriye ulaşılabilir ama her olay fiziksel imaj alınmasını gerektirmeyebilir.
Bir çok Mobile Forensics yazılımı iPhone’un mantıksal imajının alınmasına ve
analiz edilmesine imkan tanır.
Mantıksal imajı alınacak iPhone bilgisayara
bağlanır.Forensics yazılımı çalıştırılarak iPhone ile bağlantı kurulması
sağlanır. Forensics yazılımı Apple’ın senkronizasyon protokolünü kullanarak
direkt cihaz üzerinden ilgili dosyaları kopyalar. Forensics yazılımı üzerinden
bu dosyalar analiz edilir ve raporlanır.
Oxygen Forensic Suite
2012 ile Mantıksal İmaj Alma
Oxygen Forensic Suite cep telefonlarının mantıksal analizini
yapabilen mobil forensic yazılımıdır.
http://www.oxygen-forensic.com/en/download/ adresinden şuanki son versiyonu olan v4.2 yi
indirebilirsiniz.
Ekran görüntülerinden de anlaşılacağı üzere iphone cihazımızı program tanıyıp içerisindeki bilgileri çekip sonuçlar elde edebilmemizi sağlamaktadır.
Iphone Browser
Iphone Browser bilgisayarınıza bağlı olan iphone cihazını
otomatik bulacaktır. Direkt olarak sistem dosyalarına müdahale etmeye yarar. Bu
nedenle kullanırken çok dikkatli olunmalıdır. Aksi halde işletim sistemini
kullanılamaz hale getirebilirsiniz. Iphone un jailbreak yapılmış olması
gerekir.
http://code.google.com/p/iphonebrowser adresinden
iphone browserı indirebilirsiniz.
Iphone
Partition Bilgisi
iPhone’da tek bir disk vardır. Disk0.
Bu disk iki partition’dan oluşur. /dev/disk0s1s1 sistem bölümü /dev/disk0s1s2
ise data bölümüdür. HFS dosya sistemi ile formatlanmış her iki partitionda rw
modda mount edilmiş. Sistem bölümünün rw modda mount edilmesi cihazın
jailbreakli olduğunu gösterir.
Iphone
Üzerinde Data Protection ı Enable Etmek
Iphone Options>General Passcode
Lock kısmına geldiğinizde en alt kısımda Data protection is enabled yazacaktır.
Bu cihazınızın encrypt edildiğini göstermektedir. İmaj üzerinde analiz
yapabilmeniz için decryption işleminin yapılması gerekir.
Yukarıdaki linkten daha detaylı
bilgilere ulaşabilirsiniz.
Fiziksel İmaj
iPhone’daki NAND Flash diskin imajının bit-by-bit alınması
işlemidir. Silinmiş verilerin kurtarılması noktasında çok daha başarılı
sonuçlara ulaşılmasına imkan tanır. Sisteme yetkili erişim gerçekleştirildikten
sonra bu imajın alınması daha mantıklıdır. Jailbreak yapıldıktan sonra ssh
üzerinden fiziksel diskin imajı dd ile
uzak bir lokasyona kopyalanabilir.
Bu metodda cihazın imajını almak için öncelikle jailbreak
işlemi gerçekleştirilir. Jailbreak işlemi gerçekleştirildikten sonra Cydia
üzerinden OpenSSH paketi yüklenir ve ssh üzerinden aşağıdaki komut seti
çalıştırılarak diskin imajı alınır.
Jonathan Zdziarski
Metodu
Jailbreak metodundna farklı olarak cihaz üzerinde kalıcı değişiklik
yapmaz. Sadece kanun uygulayıcalara sunulan bir yazılım ile imaj alma işlemi
gerçekleştirilebiliyor. İmaj alma işleminden sonra cihaz yeniden
başlatıldığında orjinal durumunda çalışmaya devam eder.
İmaj alma yazılımı iPhone’un RAM’ine yüklenir ve hiç bir
şekilde disk üzerine yazmaz.
İmaj alma işlemi sırasında şifreli dosya sistemi decrypt
edilir ve o şekilde transfer edilir. Alınan disk imajı HFS formatındadır ve bir
çok forensics yazılımı tarafından desteklenir. Detaylarına http://www.iosresearch.org adresinden ulaşılabilir.
Önemli Dosyalar
İmaj alındıktan sonra HFS dosya sistemini destekleyen
herhangi bir adli bilişim yazılımı ile bu imaj dosyası analiz edilebilir. Adli
bilişim açısından değerli olan dosyaların çoğunluğu ”mobile/Library” ve
”mobile/Media” dizini altında yer alır.
Address Book
iPhone içinde yer alan kontakların bulunduğu veritabanı
dosyasıdır. Bu veritabanı dosyası /User/Library/AddressBook dizini altında yer
alır ve veritabanı dosyasının adı AddressBook.sqlitedb’dir. Bu veritabanı
dosyasının içinde 21 adet tablo bulunur ve bu tablolarda kullanıcının
kontaklarına ilişkin hatırı sayılır miktarda veri saklanır.
Caches
/User/Library/Caches dizini altında bir çok dosya ve dizin
yer alır fakat bu dosyalardan çok azı delil niteliği taşır. Bunlardan bazıları;
MapTiles – Google harita uygulamasında pin konulan noktaları
gösterir.
Safari – “RecentSearches.plist” dosyasında Safari üzerinden
gerçekleştirilen aramalara ilişkin kayıtlar tutulur.
Snapshots – Aşağıdaki uygulamalara ait ekran görüntüleri yer
alır.
▪ Camera
▪ Mobilemail
▪ Mobileslideshow
▪ MobileSMS
▪ Preferences
Calender
Kullanıcının iPhone üstünde tuttuğu takvim bilgileri
/User/Library/Calender dizini altındaki Calendar.sqlitedb isimli veritabanı
dosyasında tutulur. Bu veritabanı dosyasında 24 tablo yer alır. Kullanıcının
birden fazla takvimi olabilir ve bu takvimlere ait bilgiler de yine aynı
veritabanı dosyası içinde yer alır.
Data Access
/User/Library/DataAccess dizini altında iOS 5 ile birlikte
duyurulan iCloud servisine ilişkin detaylar saklanır.Eğer kullanıcı iCloud
servisini aktif etmişse bu durumda iCloud servisine ilişkin elektronik posta
kutusuna ait dizin yapısı .mboxCache.plist isimli gizli dosyada tutulur.
Keyboard
Kullanıcının klavyeden girdiği kelimeleri bazılarının yer
aldığı dynamic-text.dat dosyası /User/Library/Keyboard dizini altında yer
alır.Bu dosyada yer alan kelimeler fragmente şekilde durur.Tek başına bir anlam
ifade etmese de, silinen email yada SMS’lere ilişkin ifadelere bu dosyada
rastlanabilir.
Aynı dizinde yer alan UserDictionary.sqlite dosyasında ise
kullanıcının kendi oluşturduğu kısayol tanımları yer alır.(Örneğin "onw –
on my way! " gibi) UserDictionaryWordKeyPairs.plist dosyasındaki kayıtlar
ise UserDictionary.sqlite dosyasındaki kayıtlar ile aynıdır.
Klavyeden girilmiş olan kelimeler dynamic dictionary de rastgele bulunmaktadır. Bir inceleme sırasında kullanılabilecek bir alandır.
Logs
/User/Library/Logs/Apple Support dizini altında yer alan dosyalardan general.log dosyasında
aşağıdaki önemli bilgiler yer alır.
iOS versiyonu
Cihazın modeli
Cihazın seri numarası
İşletim sisteminin yüklendiği saat ve tarih bilgisi
/User/Library/Logs/MobileInstallation dizini altında yer
alan mobile_installation.log.0 isimli dosyada iPhone’a yüklenen veya silinen
uygulamalara ait detaylar yer alır.
General log dosyasında cihazla ilgili genel bilgilerin bulunduğu verilere erişebilmekteyiz.
Mobile installation log kısmında cihaz üzerine yapılan install ve uninstall işlemlerinin loglarını görebilmekteyiz.
Mail
/User/Library/Mail dizini altında kullanıcının iPhone
üzerinde tanımladığı elektronik posta hesaplarına ait posta kutuları yer
almaktadır.Bu posta kutularının altında her bir elektronik mail emlx
formatında, ayrı bir dosya şeklinde saklanır.
Maps
/User/Library/Maps dizini altında yer alan Bookmarks.plist
dosyasında kullanıcı tarafından Google Maps uygulamasında sıkça kullanılanlara
eklenmiş adresler yer alır. Aynı dizinde yer alan Directions.plist dosyasında
ise kullanıcıya sunulan yol tarifleri yer alır. Bu dizindeki History.plist
dosyasında ise kullanıcının Google Maps uygulaması üzerinden gerçekleştirdiği
geçmiş yer aramaları bulunur.
Yine incelemeler sırasında Maps i kullanarak şüphelinin nerelere gittiğini görebileceğimiz alandır.
Notes
/User/Library/Notes dizini altında yer alan
notes.sqlite dosyası kullanıcının aldığı notların yer aldığı bir veritabanı
dosyasıdır ve bu veritabanı dosyasında 9 tablo bulunur. Bu tablolardan
ZNOTEBODY tablosunda kullanıcının notları tutulur.
Preferences
/User/Library/Preferences dizini altında yer alan plist
formatındaki dosyalarda işletim
sistemine ilişkin ayarlar yer alır.Bu dosyaları Windows sistemlerdeki registry
dosyalarına benzetebiliriz.Aşağıdaki tabloda bu dizin altında yer alan önemli
plist dosyaları ve bu dosyalarda yer alan bilgiler gösterilmiştir.
Safari
iPhone’un varsayılan browserı olan Safari’ye ilişkin
dosyalar /User/Library/Safari dizini
altında yer alır. Bookmarks.db dosyasında, kullanıcı tarafından sıkça ziyaret
edilen sitelere ait detaylar yer alır. History.plist dosyası kullanıcının
Safari geçmişinin yer aldığı dosyadır.
SMS
/User/Library/SMS dizini altında yer alan sms.db dosyasında
kullanıcının gönderdiği ve aldığı SMS ve iMessage mesajları yer alır.Bu veritabanı
içinde 8 tablo yer alır.SMS ve iMessage üzerinden kullanıcının gönderdiği yada
aldığı mesajlar silinse bile bu veritabanı içinde yer alır. Bu mesajları
görebilmek için bir HEX editör ile veritabanı dosyasını açmak yada bu işe özel
yazılmış uygulamalar ile sqlite formatındaki veritabanını okumak gerekir.
Spotlight
Spotlight, OS X’deki indeks motorudur ve
iPhone’da da karşımıza çıkmaktadır. /User/Library/Spotlight dizini altındaki
com.apple.MobileSMS dizininde yer alan SMSSearchdb.sqlitedb dosyasında
kullanıcının SMS ve iMessage mesajları yer alır. Sadece aktif mesajları değil
kullanıcı tarafından silinmiş mesajlara da bu veritabanı içinde rastlamak
mümkündür.
Spring Board
SpringBoard, iOS kullanan işletim sistemlerinin kullanıcı
arayüzüdür.Bu dizin içinde aşağıdaki dosyalar analiz edilerek aşağıdaki
bilgilere ulaşılabilir.Cihazdayüklü bulunan bütün uygulamaların listesi
(applicationstate.plist dosyası içinde saklanı) Kullanıcının ekranını
kilitlediğinde görüntülenen arkaplan resmi (LockBackgroundThumbnail.jpg ve
LockBackground.cpbitmap dosyaları)
Voicemail
/User/Library/Voicemail dizini altında kullanıcının voice
maillerine ilişkin ses dosyaları yer alır.Bu dizin altında yer alan
voicemail.db dosyasında kullanıcının voice maillerine ilişkin detaylar
saklanır.Bu veritabanı dosyasında 3 tablo yer alır ve bu tablolardan voicemail
isimli tabload aşağıdaki resimde gösterilen alanlar bulunmaktadır.Sadece saklanan değil, silinen voice maillere
ilişkin ses kayıtlarına da bu dizin altında rastlamak mümkündür.
Books
mobile/Library/Books dizini altında kullanıcının iPhone’unda
yer alan elektronik kitaplar saklanır.Bu dizinde Purchases ve Sync isimli iki
dizin yer alır. Bu dizinlerden Purchases dizini altında iBooks üzerinden satın
aldığı kitaplar yer alır. Bu kitaplara ilişkin detaylar ise Purchases.plist
dosyasında saklanır. Sync altında ise kullanıcının kendi bilgisayarından
senkronize ettiği PDF dokümanlar ve kitaplar yer alır.
DCIM
mobile/Library/DCIM dizini altında kullanıcının çektiği
resimler ve videolar yer alır.
PhotoData
mobile/Library/PhotoData dizini altında iPhone kullanılarak
çekilen fotoğraflara ilişkin metadata bilgilerinin saklandığı Photos.sqlite
veritabanı yer alır.Yine aynı şekilde, çekilen resimlere ilişkin
thumbnail’lerin tutulduğu 120x120.ithmb ve 158x158.ithmb dosyaları da
Thumbnails dizini altında yer alır.
Photos
Kullanıcının iTunes üzerinden PC veya MAC OS X ‘deki
resimlerini senkronize etmesi durumunda bu resimler mobile/Library/Photos
dizini altında saklanır.Bu dizin altında Sync dizini altında yer alan
PhotoLibrary.plist.lastsynced dosyası en son ne zaman fotoğrafların senkronize
edildiğini ve hangi fotoğrafların senkronize edildiğini tutar.
Recordings
mobile/Library/Recordings dizini altında iPhone’daki Voice
Memos uygulaması kullanılarak gerçekleştirilen ses kayıt dosyaları yer alır.Bu
dizin altındaki Recordings.db dosyasında ses kayıtlarına ilişkin metadata
bilgileri saklanır.
iTunes Kontrol
Kullanıcının iTunes üzerinden kendi bilgisayarıyla
senkronize ettiği, satın aldığı yada kendi bilgisayarında bulunan medyalara
ilişkin detaylar ve medyaların kendilerinin bulunduğu dizindir.
IOS Yedekleri Nerede
Saklanır
iOS yedekleri işletim sistemine bağlı olarak aşağıda listesi
verilen lokasyonlarda saklanır. Mac:~/Library/Application
Support/MobileSync/Backup/ Windows XP:\Documents and
Settings\(username)\Application Data\Apple Computer\MobileSync\Backup\
Windows Vista and Windows7:
\Users\(username)\AppData\Roaming\AppleComputer\MobileSync\Backup\
iTunes Yedek
Dosyaları
Status.plist – En son senkronizasyon işlemi hakkında
bilgiler yer alır.
Manifest,plist – Yedeği alınan dosyaların listesi. Bu
dosyaların en son güncelleme zamanları ve hash değerleri de bu dosya içinde yer
alır.
Info.plist – iPhone hakkında bilgi içerir.(iPhone’un ismi,
ICCID, IMEI ve telefon numarası, firmware ve iTunes versiyonu vb.
*.mdbackup – Yedek dosyalar. Dosyaların isimleri, bu
dosyaların yedeği alınırkenki hallerinin
SHA1 değeridir.
IOS Yedekleri İçinde
Hangi Bilgiler Vardır?
iTunes üzerinden alınan yedeklerde bir iOS cihazına ilişkin
aşağıdaki bilgilerin yedeği alınır.
• Contacts* and
Contact Favorites (regularly sync contacts to a computer or cloud service such
as iCloud to back them up).
• App Store Application data including in-app purchases
(except the Application itself, its tmp and Caches folder).
• Application settings, preferences, and data, including
documents.
• Autofill for webpages.
• CalDAV and subscribed calendar accounts.
• Calendar accounts.
• Calendar events.
• Call history.
• Camera Roll (Photos, screenshots, images saved, and videos
taken. Videos greater than 2 GB are backed up with iOS 4.0 and later.)
Note: For devices
without a camera, Camera Roll is called Saved Photos.
• Game Center account.
• Home screen arrangement.
In-app purchases.
• Keychain (this includes email account passwords, Wi-Fi
passwords, and passwords you enter into websites and some other
applications. If you encrypt the backup with iOS 4 and
later, you can transfer the keychain information to the new device. With an
unencrypted backup, you can restore the keychain only to the same iOS device.
If you are restoring to a new device with an unencrypted backup, you will need
to enter these passwords again.)
• List of External Sync Sources (Mobile Me, Exchange
ActiveSync).
• Location service preferences for apps and websites you
have allowed to use your location.
• Mail accounts (mail messages are not backed up).
• Managed Configurations/Profiles. When restoring a backup
to a different device, all settings related to the configuration profiles will
not be restored (accounts, restrictions, or anything else that can be specified
through a configuration profile). Note that accounts and settings that are not
associated with a configuration profile will still be restored.
• Map bookmarks, recent searches, and the current location
displayed in Maps.
• Microsoft Exchange account configurations.
• Network settings (saved Wi-Fi hotspots, VPN settings,
network preferences).
• Nike + iPod saved workouts and settings.
• Notes.
• Offline web application cache/database.
• Paired Bluetooth devices (which can only be used if
restored to the same phone that did the backup).
• Safari bookmarks, cookies, history, offline data, and
currently open pages.
• Saved suggestion corrections (these are saved
automatically as you reject suggested corrections).
• Messages (iMessage and carrier SMS or MMS pictures and
videos).
• Trusted hosts that have certificates that cannot be
verified.
• Voice memos.
• Voicemail token. (This is not the voicemail password, but
is used for validation when connecting. This is only restored to a phone with
the same phone number on the SIM card).
• Wallpapers.
• Web clips.
• YouTube bookmarks and history.
• * Your contacts are part of the backup to preserve recent
calls and favorites lists. Back up your contacts to a supported personal
information manager (PIM), iCloud, or another cloud-based service to avoid any
potential contact data loss.
Önemli Dosyalar
992df473bbb9e132f4b3b6e4d33f72171e97bc7a.mddata Voicemail
list
ff1324e6b949111b2fb449ecddb50c89c3699a78.mddata Call log
3d0d7e5fb2ce288813306e4d4636395e047a3d28.mddata SMS Log
740b7eaf93d6ea5d305e88bb349c8e9643f48c3b.mddata Notes
database
31bb7ba8914766d4ba40d6dfb6113c8b614be442.mddata Contact List
6639cb6a02f32e0203851f25465ffb89ca8ae3fa.mddata Facebook
friends list
2041457d5fe04d39d0ab481178355df6781e6858.mddata - Calendar
Information
cd6702cea29fe89cf280a76794405adb17f9a0ee.mddata - Address
Book Contact Icons
740b7eaf93d6ea5d305e88bb349c8e9643f48c3b.mddata – Notes
b64e73540b6221bffc16b18f2205e1335e31d7d8.mddata - Address
Book Listings
5fd03a33c2a31106503589573045150c740721dd.mddata - Email
Account Usage
fb7786ced1add24313fa258c8e1ed041e24d52a4.mddata - Last
Number Dialed
b60c382887dfa562166f099f24797e55c12a94e4.mddata - Map
Directions
b88b75bddaa69139b66d948b7cbd4f41d9dd416d.mddata - Map Pin
Drop
a30335a2c0f0316c9610d868a527b2ade1911542.mddata - Map
Searches
3b2f19b7d02788a824d3d1f7b9ba5e4c7108485c.mddata - Purchase
Information
1d6740792a2b845f4c1e6220c43906d7f0afe8ab.mddata - Safari
Browsing History
1dd07f2fbb1169bed93c21047ca5616371ea4a04.mddata - Safari
Cookies
bd38afa30b5a43c146db02a46ee11d82cdc817fe.mddata - Safari
Searches
9281049ff1d27f1129c0bd17a95c863350e6f5a2.mddata - Safari Web
Pages
34f7f8423d8f77bc812dd8d70f84c33a5caacbe8.mddata - Wireless
Networks
Iphone Analyzer
http://sourceforge.net/projects/iphoneanalyzer/ adresinden
ücretsiz indirilebilir. Jailbreak edilmiş iPhone’lara ssh üzerinden bağlanıp
analiz işlemi gerçekleştirebiliyor. Aynı zamanda iPhone yedek dosyaları
üzerinden analiz yapma yeteneğine sahip. Yeni versiyon iOS’lara ilişkin desteği
maalesef yok.
Iphone Backup
Extractor
Iphone Backup Extractor ile backup dosyaları içindeki
bilgileri extract edebilmekteyiz.
http://www.iphonebackupextractor.com linkinden indirebilirsiniz.
Elcomsoft Phone
Password Breaker
Elcomsoft Phone Password Breaker ile telefon şifreleri
kırılabildiği gibi iphone backup dosyalarına uygulanan parolalarda
kırılabilmektedir.
Programı çalıştırdığınızda PC nizdeki backup dosyalarını
otomatik olarak bulacaktır. Bu dosyalara Wordlist yada Bruteforce atak yaparak
parolayı kırmayı deneyecektir. Genellikle basit olsun diye sayılardan oluşan
parolalar verildiği için hızlı bir şekilde parolalar kırılacaktır.
Iphone ile bir SSID ye bağlanıldıysa bununda parolasını
yukarıda ekrandaki Data kısmında yazılı olacağını görebilmekteyiz.
Iphone Backup Browser
Iphone Backup Browser ile backup dosyasının içindeki
isimleri ve karşılık gelen dosyaların hangileri olduğunu tesbit edebiliriz.
Böylece yedek klasörü içindeki karışık harf ve sayılardan oluşan dosyaların
neler olduğunu net bir şekilde elde edebiliriz.
Şifrelenmiş Fiziksel
İmaj Dosyasını Kırmak
Elcomsoft’un iOS Acquisition Toolkit’i kullanılarak alınan
iPhone’lara ilişkin disk imajlarının şifresini decrypt etmek için Decrypt
Physical Image özelliği kullanılabilir.
Kaynakça : http://www.halilozturkci.com/
Halil Öztürkci Bey e teşekkür ederim.
YanıtlaSil