학과 공부/모바일포렌식8 11/19 강의자료 수정!Length of Data Header도 variable length integer로 확인 select * from sqlite_master(테이블을 관리하는 테이블=시스템테이블)sqlite expert는 시스템 테이블은 보여주지 않는다. sqlite_sequence가 우리가 과제로 했던 것여기에 bookmarks와 history => 이것은 AUTOINCREMENT설정이 되어 있다. 그래서 따로 관리 free block/ free space 시험 Realm DB는 페이지 개념이 없고 object 단위이다.object는 정해진 사이즈가 없다. column단위로 저장(sqlite는 row단위로 저장) row단위민균 20 창현 23동헌 50 column단위민균 창현 동헌20 23 50 DB는 .. 2018. 11. 19. 11/12 삭제된게 있으면 중복되는 cell offset이 있을 것이다.우리 과제는 SQLite에서 안나온다. 여러 도구를 이용하거나 헥스값을 직접 분석할 줄 알아야 한다. /data/app : 마켓에서 다운받은 앱/system/app : preload(선탑재) 되어 있는 앱 컴퓨터에 연결할 때 마운트 되는 곳->/misc/sdcard 안드로이드는 리눅스 기반Android Runtime->Dalvik Virtual Machine 만능통역가느낌 Content Provider -> 권한요청(다른 어플 접근)/ 지금은 유효하지 않다. dex: dalvik machine executable : Dalvik machine에서 동작하는 파일res: resource의 약자(커널플래싱할때 default.prop파일이랑 adbd파.. 2018. 11. 12. 11/5 database라는 디렉토리 캐시fileslibshared_ databases를 먼저 중요하게 생각해야 한다.account.db, browser2.db varchar->3김희연 11 3Tim 222 41108->SQLite에서는1324 1Tim221108 SQLite에는 테이블과 뷰 BLOBTEXT는 문자열(ASCII 범위만 0~127)BLOB도 문자열 결정적인 차이는 이미지 같은거는 BLOB 1. Binary->TEXT 는 Base64로 인코딩하면 된다.2. BLOB 데이터 형에 넣는다. TEXT도 Base64로 계속 인코딩하면서 네트워크 통신을 하게 된다그래서 차라리 그냥 BASE64를 많이 쓴다.BLOB으로 설정을 해놓고 BASE64로 저장을 해둔다. 파일->블록윈도우서는 같은 개념으로 cluste.. 2018. 11. 5. 10/29 저번까지는 수집이제 분석DB: SQLite 90 RealmDB 10파일시스템공부하는이유->파일 따라갈 수 있어야하고, 복구할수 있어야한다. app: 사용자가 다운받은 어플리케이션data/browser/.. cache, databases, files, shared_prefesp7) cache, databases, files, lib, shared_prefes로그들이 databases에 남는다. private mode (cache에는 남지만 databases에는 남지 않는다.)files(웹에서 pdf다운받으면 files에 남는다) xml(ex)com.android.browser_preferences.xml 을 보면 last_autologin_time깔았지만 쓰지 않았다라고 주장하면 썼다는 걸 입증하기 위해s.. 2018. 10. 29. 10/15 3~5페이지reference! 논리성, 성실성 1. FBI vs 애플 테러범이 14명 죽임 현장체포 개인정보보호 수사정보 개인정보 보호 서로 충돌 어떤 것이 더 중요?어느 범위까지 허용되어야 하는가?대안제시--------------------------------------------------------------"TTA 디지털 증거 수집 보존 가이드라인" 2. log.txt09:40:~09:41:~방지하기 절차원본의 개념 정의->통용되는 정답이 있다. dd, netcat..... 도구의 신뢰성문제ex) CTT 조사관 교육이 신뢰성확보방법에도 포함됨 3. 선별수집ex) 지하철 몰카조사관입장에서는 최대한 확보를 위해용의자입장에서는 카메라만 봐라!선별수집 관점에서 그림이 중요할 때,1) *.jpg *.pn.. 2018. 10. 15. 10/8 6-19 Block=4kb로 쪼개져있다 파일이 8kb이면 2개의 Block 파일이 6kb이면 2개의 Block but 2kb가 남는다. block의 크기가 작으면 낭비되는 공간을 최소화할 수 있다. block의 크기가 크면 블록접근을 적게 해도 된다. 블록접근도 모두 프로세스의 연산이기 때문에 연산이 줄수록 좋다. 4kb가 제일 적당한 것 같아서 block은 4kb! 블록은 파일시스템의 최소단위 블록그룹 홀수번끼리 성질이 같고 짝수번끼리 성질이 같다. 0번은 홀수번보다 성질이 하나 더 있다.(0번과 홀수번은 비슷) 0번의 Journal Log Area Super Block, GDT, Inode Table이 중요! Ext2/3 비슷 파일시스템 1. 파일 찾아가기 2. 삭제된 데이터 복구 슈퍼블록시그니처로 .. 2018. 10. 8. 10/1 부팅될때 firmware펌웨어는 하드웨어와 소프트웨어를 연결해주는 소프트웨어일반적인 모드->boot.img가 메모리에 올라온다.안전 모드->recovery.img가 메모리에 올라온다. 과제를 recovery.img로 한 이유->모바일 기기가 훼손되면 안되니까 recovery.img vs boot.img로 할 지는 파일명으로 구분 파티션 중에 중요한 것은 /data (사용자 데이터) 덤프 뜰 때 netcat 개인프라이버시와 관련전체 수집선별 수집: 파일 단위로 플래싱 할 때 썼던 도구winHex ->Hex Viewer7zip,cpio vmware 도구들이 reliable해야된다NISTCFTT computer forensics tool testing : 데이터 수집federated testing 도구의 신뢰.. 2018. 10. 1. 9/17 파티션 기능이 있다.(/data, /system 따라서 권한을 획득하면 두 곳다 뚫을 수 있따)emmcufs /data/system/sdcard 물리적획득: 사라진 파일을 복구할 수 있다but 분석관이 모든 권한을 갖는건 프라이버시 침해->주로 논리적 획득현재는 물리적 획득 불가능 펌웨어란? 하드웨어----펌웨어----소프트웨어 임시루팅: 껐다 켜면 루팅이 안되어있고 완전루팅은 되어있다. 부팅->boot-loader모드:boot.img , recovery mode(안전모드):recovery.img 2018. 9. 17. 이전 1 다음