저번까지는 수집
이제 분석
DB: SQLite 90 RealmDB 10
파일시스템공부하는이유->파일 따라갈 수 있어야하고, 복구할수 있어야한다.
app: 사용자가 다운받은 어플리케이션
data/browser/.. cache, databases, files, shared_prefes
p7) cache, databases, files, lib, shared_prefes
로그들이 databases에 남는다.
private mode (cache에는 남지만 databases에는 남지 않는다.)
files(웹에서 pdf다운받으면 files에 남는다)
xml(ex)com.android.browser_preferences.xml 을 보면 last_autologin_time
깔았지만 쓰지 않았다라고 주장하면 썼다는 걸 입증하기 위해<-last autologin time
저 1446526755252는 unix time이다. 1970년 1월 1일 기준으로 몇 초가 지났는지(dcode라는 툴을 사용하면 된다)
history 이 브라우저에서 사용한 인터넷 접속기록
SQLite에서 SQL부분에 select strftime('%s', 'now') 쿼리 그 결과를 select datetime(1540776796, 'unixepoch', 'localtime') <-현재 시간
select _id, title, url, datetime(date/1000, 'unixepoch', 'localtime') from history
(p13)select strftime('%s', 'now')
select datetime(1540776796, 'unixepoch', 'localtime')
select datetime(date/1000, 'unixepoch', 'localtime') from history
value/86400000+date(1970,1,1)+9/24
(p15)/data/system/dropbox/SYSTEM_LAST...
/data/log/recovery_...
/data/misc/wifi/wpa_sup....
/data/system/accounts.db
/data/system/dropbox/SYSTEM_.....
포렌식분석보고서
분석보고서차례
개요, 요약
1. 의뢰내용
-왜하는지, 목적
-분석대상(파일, 스마트폰기기)
스마트폰기기->수집(이미지)->파일
파일의 정체성: 해쉬값!
해쉬값을 적는다.
2. Summary 분석결과, 요약
3. 분석내용
-분석방법
-분석결과(뭐 분석~>어떤 결과)
4. 결론
-클라우드
-메일
-사진
-문자, 통화,메모....
*분석결과요약하는 효과적인 방법->타임라인 (ex) plaso)<-summary에
----------------------
리커버리모드 접근
루팅을 하려면 리커버리모드로 접근, 루팅을 한다는건 내부 데이터를 맘대로 바꿀 수 있는것
루팅이 되어있는 흔적이 있다면 안티 포렌식 행위의 가능성이 있다.<-신뢰성이 떨어진다.
초기화분석
증거인멸의 목적이 있을 수 있으므로 초기화여부에 대한 기록이 남는다.
사용자계정정보
자동으로 로그인 되는 계정->credential
아이디/패스워드는 credential: O
티켓...??? 인증티켓...???
oauth 도 티켓->자동로그인
Gmail 로그인
(p21) /data/system/dmappmgr.db
launchcount가 null이면 설치는 했으나 실행은 안한애들
apk파일은 있으나 설치는 안한애들->data/app/apk 파일들
분석보고서->문자가 key point!
(p22) /data/com.android.providers.telephony/databases/mmsms.db
(p23) /data/com.android.provider.media/datbases/external.db