Bir Cep Telefonu İncelemesinde Yapılması Gerekenler: Bölüm 1 – Android

Android Çalışan Cihazlarda Uygulamalar ve İçerik Taraması İçin Yapılması Gerekenler

Daha önce “Bir Cep Telefonu İncelemesinde Yapılmaması Gerekenlere Örnek: Hatalı KakaoTalk, Eagle ve fotoğraf İzleri” bir mobil cihazda bulunduğu şeklinde tutulmuş 2 adet “bilirkişi” raporunun doğruluğu ve aslında bulunan bu verinin mahiyetinin çözümü hakkındaki yazımda yapılan yanlışlıklara değinmiştim.

Bu yazıda neler yapılması gerektiğini İnternet’te aratılabilir ve bulunabilir şekilde yazmak istedim.

Umarım çalakalem inceleme yapanlar bu yazıyı görürler ve her atılı duruşma talep-sonuç arası 3~6 ayı bulan mağduriyetlere neden olmaya devam etmezler!

1. Google Play Veritabanı Dosyalarının İncelenmesi

Cihaz dosya sisteminin kullanıcı bölümünde “/apps/com.android.vending/db” dizininde bulunan SQLite veritabanı dosyaları Android işletim sistemi kurulu akıllı cihazların kullanıcının GMail hesap ayarını yaparak ilk kullanıldığı andan itibaren cihazda kurulu olan ve daha sonra kurulan tüm uygulamaların bazı kayıtlarını tutar.

Bu dosyalar;

  1. localappstate.db”: Cihazda yerel olarak kurulu uygulamalar hakkında bilgi saklar.

  2. library.db”: Tanımlı GMail hesabıyla kullanılan tüm cihazlara kurulmuş uygulamalar hakkında bilgi saklar.

  3. package_verification.db”: Cihaza kurulumuş ve kaldırılmış uygulamaların doğrulanması ve güncellemeler hakkında bilgi saklar.

  4. suggestions.db”: Tanımlı GMail hesabıyla Play uygulaması üzerinden aratılan uygulamalara ait bilgi saklar.

library.db” ve “suggestions.db” dosyalarındaki kayıtlar aynı GMail adresi kullanılan tüm Android cihazlarda eşitlenir, yani bir uygulama cihazlardan herhangi birisine kurulduğunda diğer cihazlarda da kaydı bulunur.

library.db” veya diğer dosyalarda herhangi bir uygulamaya ait kayıtların incelenen cihazda bulunmuş olması söz konusu uygulamanın bu telefonda kullanıldığına dair kesin bulgu değildir.

Dolayısıyla “library.db” ve “suggestions.db” dosyalarındaki kayıtlar sadece ilgili GMail adresiyle kayıtlı herhangi bir Android cihaza ilgili uygulamanın Google Play uygulama mağazasında yayında bulunduğu dönem içinde indirilmiş olduğunu düşündürebilir.

Uygulamaların cihazlarda kullanılması durumunda dosyalarda ve dosya sisteminde birçok iz bırakmaktadır.

Taraması yapılan uygulamanın telefonda kullanılması durumunda ne gibi bulgulara ulaşılacağı aşağıda verilmiştir.

1.2. Dosya Sisteminin İncelenmesi

Linux tabanlı bir işletim sistemi olan Android sisteminde çalışan uygulama ve işlevlerin birbirlerinden ayrı çalışmaları ve dolayısıyla bellekte bulunan birbirlerine ait veriye erişimlerinin kısıtlanması amaçlanarak uygulama güvenliği sağlanır.

Bu amaçla sisteme kurulu her uygulamanın bir kullanıcı grup kimlik numarası bulunur.

Bu kullanıcı grup kimlik numaralarından 1000~1999 arası olan 1000’li sınıf sistem seviyesinde çalışan işlevlere ayrılmıştır.

Sistem seviyesinde çalışan işlevlere ait kullanıcı grubu tanımlamaları işletim sistemi program kodunda tanımlıdır.[1]

Özellikle dosya depolama işlemlerinde görülen ve İnternet bağlantısı verilen program kodunun 83. satırında 1023 numaralı grubun medya depolama birimine yazma erişimi işlevi olarak tanımlandığı tespit edilmektedir.

10000~19999 arası olan 10000’li sınıf ise kurulu uygulamalara ayrılmıştır ve her yeni kurulan uygulamaya kimlik numarası 1 artacak şekilde atanarak tanımlanır.

1.3. Telefon Dosya Sisteminin İncelenmesi Sonucunda Ulaşılacak Bulgular

1.3.1. Silinmiş Uygulamaların Tespiti

/system/packages.list dosyasında telefonda kayıtlı kullanıcı grup kimliklerinin 10000’den başlayarak kaça kadar gittiği ve bu aralıkta silinmiş kullanıcı kaydı olup olmadığı araştırılmalıdır.

Örneğin Bylock uygulamasının kullanılıp kullanılmadığının tespiti için; ByLock uygulaması özelinde, uygulamanın çalıştırıldıktan sonra telefon dosya sisteminde byLock-Downloads” adlı dizini oluşturduğu bilinmektedir.

İmaj üzerinde, silinmiş alanı da kapsayacak şekilde yapılan taramada söz konusu dizinin kayıtlı veya silinmiş olarak bulunup bulunmadığı tespit edilmelidir.

1.3.2. Silinmiş ve Silinmemiş Uygulamaların Çalışma Ayrıntılarının Tespiti

Telefon dosya sisteminin kulllanıcı veya sistem bölümünde /system/dmappmgr.db veritabanı dosyasında uygulamaların ile ilgili veriler saklanır.

/system/dmappmgr.db” veritabanı dosyasında kululmuş ve silinmiş kullanım ayrıntılarının tespitiyle uygulamaların çalışma ayrıntıları tespit edilmelidir.

Telefon dosya sisteminin kullanıcı bölümünde uygulamalara ait kullanıcı grubu tanımlamaları /system/packages.list dosyasında kayıtlıdır.

Bu veriler sırasıyla;

  1. Kayıt kimlik no (uygulamaların kurulum sırasını da ifade eder),

  2. Paket adı,

  3. Son duraklama tarihi,

  4. Son başlama tarihi,

  5. Son durma tarihi,

  6. Toplam kullanım süresi

  7. Çalışrma sayısı,

  8. Son çalışma tarihi

olarak sıralanır.

Tarih verileri Android zaman damgasıdır ve 01/01/1970 00:00:00 (GMT) tarihinden olayın olduğu ana kadar geçen sürenin milisaniye[2] olarak ifadesidir.

1.3.3. Zaman Çizelgesi İncelemesi İle Çalışma Zamanlarının Tespiti ve CGNAT Dökümleriyle Kıyaslanması

Sleuthkit Autopsy veya benzer başka bir yazılımla telefon imajında kayıtlı tüm dosya sistemi işlemlerinin hangi tarihlerde ve hangi dosyalarda yapıldığının tespiti yapılarak bir zaman çizelgesi oluşturulur.

Böylece özellikle uygulama sunucusu veya herhangi bir sunucuyla bağlantılı çalışanbir uygulamanın çalıştığı ve sunucuya bağlantı kurulduğu tarihlere ait dosya sistemi işlemlerinin tespit edilmesi mümkündür.

Örneğin, bu incelemeyle Bylock sunucusuna bağlantı kurması olası web sitelerinin ve diğer uıygulamaların tespiti mümkündür.

1.3.4. Deneyim Dışında Kalan Uygulamaların İzlerinin Bulunması

Eğer incelemeci bir uygulama hakkında daha önceden deneyim sahibi değilse, uygulama hakkında ayrıntılı davranış incelemesini ve dosya sistemine kaydettiği dosyaların tespitini bir sanal makine üzerine Android kurduktan sonra ilgili uygulamayı indirip kurarak yapabilir.

1 https://android.googlesource.com/platform/system/core/+/master/libcutils/include/private/android_filesystem_config.h

2 Saniyenin 1000’de 1’i

Yorumlar

comments

Yorum Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorum onaylama sistemi etkin; yorumunuzun yayınlanması biraz zaman alabilir.

Translate »

T. Koray Peksayar Blog is Stephen Fry proof thanks to caching by WP Super Cache