15 Mayıs 2012 Salı

IOS Forensic

Mantıksal İmaj
Mantıksal imaj, aktif dosya sisteminde yer alan dosyaları başka bir sisteme kopyalayıp, inceleme işlemine verilen addır. Genellikle dosya seviyesinde yapılır. Adli bilişim uzmanları tarafından daha hızlı sonuca ulaşmaya imkan tanıdığı için ilk olarak tercih edilen analiz şeklidir.
Fiziksel imaj üzerinde yapılacak analiz ile çok daha fazla veriye ulaşılabilir ama her olay fiziksel imaj alınmasını gerektirmeyebilir. Bir çok Mobile Forensics yazılımı iPhone’un mantıksal imajının alınmasına ve analiz edilmesine imkan tanır.

Mantıksal imajı alınacak iPhone bilgisayara bağlanır.Forensics yazılımı çalıştırılarak iPhone ile bağlantı kurulması sağlanır. Forensics yazılımı Apple’ın senkronizasyon protokolünü kullanarak direkt cihaz üzerinden ilgili dosyaları kopyalar. Forensics yazılımı üzerinden bu dosyalar analiz edilir ve raporlanır.

Oxygen Forensic Suite 2012 ile Mantıksal İmaj Alma
Oxygen Forensic Suite cep telefonlarının mantıksal analizini yapabilen mobil forensic yazılımıdır.
http://www.oxygen-forensic.com/en/download/  adresinden şuanki son versiyonu olan v4.2 yi indirebilirsiniz.





Ekran görüntülerinden de anlaşılacağı üzere iphone cihazımızı program tanıyıp içerisindeki bilgileri çekip sonuçlar elde edebilmemizi sağlamaktadır.

Iphone Browser
Iphone Browser  bilgisayarınıza bağlı olan iphone cihazını otomatik bulacaktır. Direkt olarak sistem dosyalarına müdahale etmeye yarar. Bu nedenle kullanırken çok dikkatli olunmalıdır. Aksi halde işletim sistemini kullanılamaz hale getirebilirsiniz. Iphone un jailbreak yapılmış olması gerekir.
http://code.google.com/p/iphonebrowser  adresinden  iphone browserı indirebilirsiniz.


Iphone Partition Bilgisi
iPhone’da tek bir disk vardır. Disk0. Bu disk iki partition’dan oluşur. /dev/disk0s1s1 sistem bölümü /dev/disk0s1s2 ise data bölümüdür. HFS dosya sistemi ile formatlanmış her iki partitionda rw modda mount edilmiş. Sistem bölümünün rw modda mount edilmesi cihazın jailbreakli olduğunu gösterir.


Iphone Üzerinde Data Protection ı Enable Etmek
Iphone Options>General Passcode Lock kısmına geldiğinizde en alt kısımda Data protection is enabled yazacaktır. Bu cihazınızın encrypt edildiğini göstermektedir. İmaj üzerinde analiz yapabilmeniz için decryption işleminin yapılması gerekir.


Yukarıdaki linkten daha detaylı bilgilere ulaşabilirsiniz.

Fiziksel İmaj
iPhone’daki NAND Flash diskin imajının bit-by-bit alınması işlemidir. Silinmiş verilerin kurtarılması noktasında çok daha başarılı sonuçlara ulaşılmasına imkan tanır. Sisteme yetkili erişim gerçekleştirildikten sonra bu imajın alınması daha mantıklıdır. Jailbreak yapıldıktan sonra ssh üzerinden fiziksel  diskin imajı dd ile uzak bir lokasyona kopyalanabilir.

Bu metodda cihazın imajını almak için öncelikle jailbreak işlemi gerçekleştirilir. Jailbreak işlemi gerçekleştirildikten sonra Cydia üzerinden OpenSSH paketi yüklenir ve ssh üzerinden aşağıdaki komut seti çalıştırılarak diskin imajı alınır.




Jonathan Zdziarski Metodu
Jailbreak metodundna farklı olarak cihaz üzerinde kalıcı değişiklik yapmaz. Sadece kanun uygulayıcalara sunulan bir yazılım ile imaj alma işlemi gerçekleştirilebiliyor. İmaj alma işleminden sonra cihaz yeniden başlatıldığında orjinal durumunda çalışmaya devam eder.

İmaj alma yazılımı iPhone’un RAM’ine yüklenir ve hiç bir şekilde disk üzerine yazmaz.
İmaj alma işlemi sırasında şifreli dosya sistemi decrypt edilir ve o şekilde transfer edilir. Alınan disk imajı HFS formatındadır ve bir çok forensics yazılımı tarafından desteklenir. Detaylarına http://www.iosresearch.org   adresinden ulaşılabilir.

Önemli Dosyalar
İmaj alındıktan sonra HFS dosya sistemini destekleyen herhangi bir adli bilişim yazılımı ile bu imaj dosyası analiz edilebilir. Adli bilişim açısından değerli olan dosyaların çoğunluğu ”mobile/Library” ve ”mobile/Media”  dizini altında yer alır.




Address Book
iPhone içinde yer alan kontakların bulunduğu veritabanı dosyasıdır. Bu veritabanı dosyası /User/Library/AddressBook dizini altında yer alır ve veritabanı dosyasının adı AddressBook.sqlitedb’dir. Bu veritabanı dosyasının içinde 21 adet tablo bulunur ve bu tablolarda kullanıcının kontaklarına ilişkin hatırı sayılır miktarda veri saklanır.


Caches
/User/Library/Caches dizini altında bir çok dosya ve dizin yer alır fakat bu dosyalardan çok azı delil niteliği taşır. Bunlardan bazıları;
MapTiles – Google harita uygulamasında pin konulan noktaları gösterir.
Safari – “RecentSearches.plist” dosyasında Safari üzerinden gerçekleştirilen aramalara ilişkin kayıtlar tutulur.
Snapshots – Aşağıdaki uygulamalara ait ekran görüntüleri yer alır.
▪ Camera
▪ Mobilemail
▪ Mobileslideshow
▪ MobileSMS
▪ Preferences



Calender
Kullanıcının iPhone üstünde tuttuğu takvim bilgileri /User/Library/Calender dizini altındaki Calendar.sqlitedb isimli veritabanı dosyasında tutulur. Bu veritabanı dosyasında 24 tablo yer alır. Kullanıcının birden fazla takvimi olabilir ve bu takvimlere ait bilgiler de yine aynı veritabanı dosyası içinde yer alır.


Data Access
/User/Library/DataAccess dizini altında iOS 5 ile birlikte duyurulan iCloud servisine ilişkin detaylar saklanır.Eğer kullanıcı iCloud servisini aktif etmişse bu durumda iCloud servisine ilişkin elektronik posta kutusuna ait dizin yapısı .mboxCache.plist isimli gizli dosyada tutulur.



Keyboard
Kullanıcının klavyeden girdiği kelimeleri bazılarının yer aldığı dynamic-text.dat dosyası /User/Library/Keyboard dizini altında yer alır.Bu dosyada yer alan kelimeler fragmente şekilde durur.Tek başına bir anlam ifade etmese de, silinen email yada SMS’lere ilişkin ifadelere bu dosyada rastlanabilir.
Aynı dizinde yer alan UserDictionary.sqlite dosyasında ise kullanıcının kendi oluşturduğu kısayol tanımları yer alır.(Örneğin "onw – on my way! " gibi) UserDictionaryWordKeyPairs.plist dosyasındaki kayıtlar ise UserDictionary.sqlite dosyasındaki kayıtlar ile aynıdır.


Klavyeden girilmiş olan kelimeler dynamic dictionary de rastgele bulunmaktadır. Bir inceleme sırasında kullanılabilecek bir alandır.


Logs
/User/Library/Logs/Apple Support dizini altında  yer alan dosyalardan general.log dosyasında aşağıdaki önemli bilgiler yer alır.
iOS versiyonu
Cihazın modeli
Cihazın seri numarası
İşletim sisteminin yüklendiği saat ve tarih bilgisi
/User/Library/Logs/MobileInstallation dizini altında yer alan mobile_installation.log.0 isimli dosyada iPhone’a yüklenen veya silinen uygulamalara ait detaylar yer alır.


General log dosyasında cihazla ilgili genel bilgilerin bulunduğu verilere erişebilmekteyiz.





Mobile installation log kısmında cihaz üzerine yapılan install ve uninstall işlemlerinin loglarını görebilmekteyiz.


Mail
/User/Library/Mail dizini altında kullanıcının iPhone üzerinde tanımladığı elektronik posta hesaplarına ait posta kutuları yer almaktadır.Bu posta kutularının altında her bir elektronik mail emlx formatında, ayrı bir dosya şeklinde saklanır.




Maps
/User/Library/Maps dizini altında yer alan Bookmarks.plist dosyasında kullanıcı tarafından Google Maps uygulamasında sıkça kullanılanlara eklenmiş adresler yer alır. Aynı dizinde yer alan Directions.plist dosyasında ise kullanıcıya sunulan yol tarifleri yer alır. Bu dizindeki History.plist dosyasında ise kullanıcının Google Maps uygulaması üzerinden gerçekleştirdiği geçmiş yer aramaları bulunur.


Yine incelemeler sırasında Maps i kullanarak şüphelinin nerelere gittiğini görebileceğimiz alandır.




Notes
/User/Library/Notes dizini altında yer alan notes.sqlite dosyası kullanıcının aldığı notların yer aldığı bir veritabanı dosyasıdır ve bu veritabanı dosyasında 9 tablo bulunur. Bu tablolardan ZNOTEBODY tablosunda kullanıcının notları tutulur.


Preferences
/User/Library/Preferences dizini altında yer alan plist formatındaki  dosyalarda işletim sistemine ilişkin ayarlar yer alır.Bu dosyaları Windows sistemlerdeki registry dosyalarına benzetebiliriz.Aşağıdaki tabloda bu dizin altında yer alan önemli plist dosyaları ve bu dosyalarda yer alan bilgiler gösterilmiştir.


Safari
iPhone’un varsayılan browserı olan Safari’ye ilişkin dosyalar  /User/Library/Safari dizini altında yer alır. Bookmarks.db dosyasında, kullanıcı tarafından sıkça ziyaret edilen sitelere ait detaylar yer alır. History.plist dosyası kullanıcının Safari geçmişinin yer aldığı dosyadır.



SMS
/User/Library/SMS dizini altında yer alan sms.db dosyasında kullanıcının gönderdiği ve aldığı SMS ve iMessage mesajları yer alır.Bu veritabanı içinde 8 tablo yer alır.SMS ve iMessage üzerinden kullanıcının gönderdiği yada aldığı mesajlar silinse bile bu veritabanı içinde yer alır. Bu mesajları görebilmek için bir HEX editör ile veritabanı dosyasını açmak yada bu işe özel yazılmış uygulamalar ile sqlite formatındaki veritabanını okumak gerekir.






Spotlight
Spotlight, OS X’deki indeks motorudur ve iPhone’da da karşımıza çıkmaktadır. /User/Library/Spotlight dizini altındaki com.apple.MobileSMS dizininde yer alan SMSSearchdb.sqlitedb dosyasında kullanıcının SMS ve iMessage mesajları yer alır. Sadece aktif mesajları değil kullanıcı tarafından silinmiş mesajlara da bu veritabanı içinde rastlamak mümkündür.


Spring Board
SpringBoard, iOS kullanan işletim sistemlerinin kullanıcı arayüzüdür.Bu dizin içinde aşağıdaki dosyalar analiz edilerek aşağıdaki bilgilere ulaşılabilir.Cihazdayüklü bulunan bütün uygulamaların listesi (applicationstate.plist dosyası içinde saklanı) Kullanıcının ekranını kilitlediğinde görüntülenen arkaplan resmi (LockBackgroundThumbnail.jpg ve LockBackground.cpbitmap dosyaları)


Voicemail
/User/Library/Voicemail dizini altında kullanıcının voice maillerine ilişkin ses dosyaları yer alır.Bu dizin altında yer alan voicemail.db dosyasında kullanıcının voice maillerine ilişkin detaylar saklanır.Bu veritabanı dosyasında 3 tablo yer alır ve bu tablolardan voicemail isimli tabload aşağıdaki resimde gösterilen alanlar bulunmaktadır.Sadece  saklanan değil, silinen voice maillere ilişkin ses kayıtlarına da bu dizin altında rastlamak mümkündür.


Books
mobile/Library/Books dizini altında kullanıcının iPhone’unda yer alan elektronik kitaplar saklanır.Bu dizinde Purchases ve Sync isimli iki dizin yer alır. Bu dizinlerden Purchases dizini altında iBooks üzerinden satın aldığı kitaplar yer alır. Bu kitaplara ilişkin detaylar ise Purchases.plist dosyasında saklanır. Sync altında ise kullanıcının kendi bilgisayarından senkronize ettiği PDF dokümanlar ve kitaplar yer alır.



DCIM
mobile/Library/DCIM dizini altında kullanıcının çektiği resimler ve videolar yer alır.


PhotoData
mobile/Library/PhotoData dizini altında iPhone kullanılarak çekilen fotoğraflara ilişkin metadata bilgilerinin saklandığı Photos.sqlite veritabanı yer alır.Yine aynı şekilde, çekilen resimlere ilişkin thumbnail’lerin tutulduğu 120x120.ithmb ve 158x158.ithmb dosyaları da Thumbnails dizini altında yer alır.





Photos
Kullanıcının iTunes üzerinden PC veya MAC OS X ‘deki resimlerini senkronize etmesi durumunda bu resimler mobile/Library/Photos dizini altında saklanır.Bu dizin altında Sync dizini altında yer alan PhotoLibrary.plist.lastsynced dosyası en son ne zaman fotoğrafların senkronize edildiğini ve hangi fotoğrafların senkronize edildiğini tutar.


Recordings
mobile/Library/Recordings dizini altında iPhone’daki Voice Memos uygulaması kullanılarak gerçekleştirilen ses kayıt dosyaları yer alır.Bu dizin altındaki Recordings.db dosyasında ses kayıtlarına ilişkin metadata bilgileri saklanır.


iTunes Kontrol
Kullanıcının iTunes üzerinden kendi bilgisayarıyla senkronize ettiği, satın aldığı yada kendi bilgisayarında bulunan medyalara ilişkin detaylar ve medyaların kendilerinin bulunduğu dizindir.



IOS Yedekleri Nerede Saklanır
iOS yedekleri işletim sistemine bağlı olarak aşağıda listesi verilen lokasyonlarda saklanır. Mac:~/Library/Application Support/MobileSync/Backup/  Windows XP:\Documents and Settings\(username)\Application Data\Apple Computer\MobileSync\Backup\
Windows Vista and Windows7: \Users\(username)\AppData\Roaming\AppleComputer\MobileSync\Backup\



iTunes Yedek Dosyaları
Status.plist – En son senkronizasyon işlemi hakkında bilgiler yer alır.
Manifest,plist – Yedeği alınan dosyaların listesi. Bu dosyaların en son güncelleme zamanları ve hash değerleri de bu dosya içinde yer alır.
Info.plist – iPhone hakkında bilgi içerir.(iPhone’un ismi, ICCID, IMEI ve telefon numarası, firmware ve iTunes versiyonu vb.
*.mdbackup – Yedek dosyalar. Dosyaların isimleri, bu dosyaların yedeği  alınırkenki hallerinin SHA1 değeridir.



IOS Yedekleri İçinde Hangi Bilgiler Vardır?
iTunes üzerinden alınan yedeklerde bir iOS cihazına ilişkin aşağıdaki bilgilerin yedeği alınır.
 • Contacts* and Contact Favorites (regularly sync contacts to a computer or cloud service such as iCloud to back them up).
• App Store Application data including in-app purchases (except the Application itself, its tmp and Caches folder).
• Application settings, preferences, and data, including documents.
• Autofill for webpages.
• CalDAV and subscribed calendar accounts.
• Calendar accounts.
• Calendar events.
• Call history.
• Camera Roll (Photos, screenshots, images saved, and videos taken. Videos greater than 2 GB are backed up with iOS 4.0 and later.)

Note: For devices without a camera, Camera Roll is called Saved Photos.
• Game Center account.
• Home screen arrangement.
In-app purchases.
• Keychain (this includes email account passwords, Wi-Fi passwords, and passwords you enter into websites and some other
applications. If you encrypt the backup with iOS 4 and later, you can transfer the keychain information to the new device. With an unencrypted backup, you can restore the keychain only to the same iOS device. If you are restoring to a new device with an unencrypted backup, you will need to enter these passwords again.)
• List of External Sync Sources (Mobile Me, Exchange ActiveSync).
• Location service preferences for apps and websites you have allowed to use your location.
• Mail accounts (mail messages are not backed up).
• Managed Configurations/Profiles. When restoring a backup to a different device, all settings related to the configuration profiles will not be restored (accounts, restrictions, or anything else that can be specified through a configuration profile). Note that accounts and settings that are not associated with a configuration profile will still be restored.

• Map bookmarks, recent searches, and the current location displayed in Maps.
• Microsoft Exchange account configurations.
• Network settings (saved Wi-Fi hotspots, VPN settings, network preferences).
• Nike + iPod saved workouts and settings.
• Notes.
• Offline web application cache/database.
• Paired Bluetooth devices (which can only be used if restored to the same phone that did the backup).
• Safari bookmarks, cookies, history, offline data, and currently open pages.
• Saved suggestion corrections (these are saved automatically as you reject suggested corrections).
• Messages (iMessage and carrier SMS or MMS pictures and videos).
• Trusted hosts that have certificates that cannot be verified.
• Voice memos.
• Voicemail token. (This is not the voicemail password, but is used for validation when connecting. This is only restored to a phone with the same phone number on the SIM card).
• Wallpapers.
• Web clips.
• YouTube bookmarks and history.
• * Your contacts are part of the backup to preserve recent calls and favorites lists. Back up your contacts to a supported personal information manager (PIM), iCloud, or another cloud-based service to avoid any potential contact data loss.

Önemli Dosyalar
992df473bbb9e132f4b3b6e4d33f72171e97bc7a.mddata Voicemail list
ff1324e6b949111b2fb449ecddb50c89c3699a78.mddata Call log
3d0d7e5fb2ce288813306e4d4636395e047a3d28.mddata SMS Log
740b7eaf93d6ea5d305e88bb349c8e9643f48c3b.mddata Notes database
31bb7ba8914766d4ba40d6dfb6113c8b614be442.mddata Contact List
6639cb6a02f32e0203851f25465ffb89ca8ae3fa.mddata Facebook friends list
2041457d5fe04d39d0ab481178355df6781e6858.mddata - Calendar Information
cd6702cea29fe89cf280a76794405adb17f9a0ee.mddata - Address Book Contact Icons
740b7eaf93d6ea5d305e88bb349c8e9643f48c3b.mddata – Notes
b64e73540b6221bffc16b18f2205e1335e31d7d8.mddata - Address Book Listings 
5fd03a33c2a31106503589573045150c740721dd.mddata - Email Account Usage 
fb7786ced1add24313fa258c8e1ed041e24d52a4.mddata - Last Number Dialed 
b60c382887dfa562166f099f24797e55c12a94e4.mddata - Map Directions
b88b75bddaa69139b66d948b7cbd4f41d9dd416d.mddata - Map Pin Drop 
a30335a2c0f0316c9610d868a527b2ade1911542.mddata - Map Searches 
3b2f19b7d02788a824d3d1f7b9ba5e4c7108485c.mddata - Purchase Information 
1d6740792a2b845f4c1e6220c43906d7f0afe8ab.mddata - Safari Browsing History
1dd07f2fbb1169bed93c21047ca5616371ea4a04.mddata - Safari Cookies 
bd38afa30b5a43c146db02a46ee11d82cdc817fe.mddata - Safari Searches 
9281049ff1d27f1129c0bd17a95c863350e6f5a2.mddata - Safari Web Pages 
34f7f8423d8f77bc812dd8d70f84c33a5caacbe8.mddata - Wireless Networks

Iphone Analyzer
http://sourceforge.net/projects/iphoneanalyzer/ adresinden ücretsiz indirilebilir. Jailbreak edilmiş iPhone’lara ssh üzerinden bağlanıp analiz işlemi gerçekleştirebiliyor. Aynı zamanda iPhone yedek dosyaları üzerinden analiz yapma yeteneğine sahip. Yeni versiyon iOS’lara ilişkin desteği maalesef yok.





Iphone Backup Extractor


Iphone Backup Extractor ile backup dosyaları içindeki bilgileri extract edebilmekteyiz.
http://www.iphonebackupextractor.com linkinden indirebilirsiniz.

Elcomsoft Phone Password Breaker
Elcomsoft Phone Password Breaker ile telefon şifreleri kırılabildiği gibi iphone backup dosyalarına uygulanan parolalarda kırılabilmektedir.


Programı çalıştırdığınızda PC nizdeki backup dosyalarını otomatik olarak bulacaktır. Bu dosyalara Wordlist yada Bruteforce atak yaparak parolayı kırmayı deneyecektir. Genellikle basit olsun diye sayılardan oluşan parolalar verildiği için hızlı bir şekilde parolalar kırılacaktır.


Iphone ile bir SSID ye bağlanıldıysa bununda parolasını yukarıda ekrandaki Data kısmında yazılı olacağını görebilmekteyiz.

Iphone Backup Browser

Iphone Backup Browser ile backup dosyasının içindeki isimleri ve karşılık gelen dosyaların hangileri olduğunu tesbit edebiliriz. Böylece yedek klasörü içindeki karışık harf ve sayılardan oluşan dosyaların neler olduğunu net bir şekilde elde edebiliriz.

Şifrelenmiş Fiziksel İmaj Dosyasını Kırmak
Elcomsoft’un iOS Acquisition Toolkit’i kullanılarak alınan iPhone’lara ilişkin disk imajlarının şifresini decrypt etmek için Decrypt Physical Image özelliği kullanılabilir.






1 yorum: