Oxygen Forensic1

Giriş

Mobil cihaz ve bileşenlerine yönelik donanımların imajlarının alınması ve verilerin incelenmesi ve analiz edilmesine yönelik olarak kullanılabilecek programlardan bir tanesi de 2000 yılında kurulan Oxygen Forensic firmasının ürettiği programdır.

Oxygen Forensic programı, mobil cihazların, hafıza kartların, SIM kartların, IoT  cihazların (Internet Of Things = Nesnelerin İnterneti olup her nesnenin bir şekilde internete erişmesi ve diğer cihazlarla iletişim halinde olabilen cihazlar), drone’ların, akıllı saatlerin ve bulut teknolojilerine dayalı sistemlerde bulunan verilerin imajlarının alınması, incelenmesi ve analiz edilmesine yönelik geliştirilmiş bir yazılımdır.

Bu program genelde adli bilişim alanında faaliyet gösteren kolluk birimleri tarafından kullanılmaktadır. Bunun yanında, bilirkişilik hizmeti veren şirket ve şahıslar ile GSM şirketleri tarafından da kullanılabilmektedir.

Oxygen Forensic kullanım amaçları

Bu programın öncelikli kullanım amacı mobil cihaz ve eklentilerinin adli olarak incelenmesi ve verilerin raporlanmasıdır. Bu amaçlarına ek olarak sistem mühendisleri tarafından, program içerisine verilerin analiz edilebilme özelliği de eklenmiştir.

Oxygen Forensic programı kullanılarak,

  • Mobil cihaza ait özel bilgilerin tespiti,
  • Telefon rehberi ve rehbere ait resimler, son çağrılar, SMS verilerin tespiti,
  • SMS, MMS, iMessages, E-posta dosyaları ve içeriklerin tespiti,
  • Mobil cihaz dosya sisteminin tespiti,
  • Cihaz sözlüğüne ait kelimelerin tespiti,
  • Organizasyon verilerinin (toplantılar, randevular, hatırlatmalar gibi) tespiti,
  • Multimedia dosyalarının (Resim, video, ses dosyaları) tespiti,
  • Cihaz kamerası ile yapılan çekimlerdeki GPS ve XMP koordinat bilgilerinin tespiti,
  • Wi-Fi, IP ve GSM bağlantı bilgilerinin tespiti,
  • Cihaz log bilgilerinin tespiti,
  • Cihaz sahibi ile WiFi hotspot şifreleri ile tokens’ların tespiti,
  • 453 adetten fazla tekil Application ile 8845 adetten fazla application versiyonlarına ait kullanıcı verilerinin tespiti (versiyona göre değişiklik gösterebilmektedir),
  • Silinen ancak Oxygen Forensic SQLite Viewer ile kurtarılan verilerin analizi,
  • SIM kart ve hafıza kartından verilerin kurtarılması,
  • MTK chipset sahip akıllı saatlerden verilerinin imajının alınması,
  • Dünya genelinde bilinen 60’dan fazla bulut servisinden (iCloud, Google, Microsoft, Huawei, Samsung, Mi Cloud, E-Mail (IMAP) Server, FitBit gibi) kullanıcı verilerinin kopyalanması,
  • IoT sürücülerinden (Amazon Alexa and Google Home) kullanıcı verilerin imajlarının alınması,
  • Drone cihazlarından uçuş geçmişi ve metadata bilgileri, resimler, videolar, application uygulaması ve drone cloud (DJI Cloud, SkyPixel) verilerinin alınması,
  • Düzenli ifadelerin, kelime listesinin Project VIC ve diğer hash set’lere dayalı olarak çeşitli arama metodları ile hedef verilerin aranması,
  • GSM şirketlerinden alınan HTS (Call Data Records) verilerinin program içerisine import edilerek analiz edilmesi,
  • İnceleme konusuna yönelik tespit edilen verilerin birkaç formatta (PDF, XLS veya RTF gibi) raporlanması mümkündür.

Desteklediği sistemler

Güncel program ile;

  • 900 adetten fazla mobil cihaz,
  • 453 adet tekil application,
  • 845 adet application türü,
  • 60 adet Cloud servisini desteklemektedir.

Desteklenen işletim sistemleri

  • Android,
  • Bada,
  • Blackberry,
  • iOS,
  • MTK,
  • Spreadtrum ve Qualcomm chipset sahip telefonlar,
  • Symbian,
  • Windows Mobile 5/6,
  • Windows Phone 8 ve
  • Diğer akıllı telefonlar

Bunun yanında, diğer Forensic tools kullanılarak alınan IOS ve Android mobil cihazların (Apple iOS, Android OS, Windows Phone OS, BlackBerry OS ve Nokia) backups veya images dosyalarını da programa import ederek ve verileri analiz etmek mümkündür.

Çalışma platformu

Oxygen Forensic programı için özel bir bilgisayar sistemine gerek duyulmamaktadır. Ancak mobil cihazların dahili hafızaları ile içerisindeki hafıza kartlarının büyüklükleri dikkate alındığında, imaj işlemleri ve inceleme işlemlerinin daha hızlı sonuçlanabilmesi için SSD disklere sahip yeni ve güçlü bir bilgisayar sistemi tavsiye edilmektedir.

Program Windows 7, Windows 8 veya Windows 10 işletim sistemlerinin 32-bit veya 64-bit versiyonlarında çalışabilmektedir.

Mobil cihazların sistem bilgisayarına bağlantı yapılacak olan USB kablo özelliği ile kablosuz bağlantısı Bluetooth (Microsoft, Widcomm) özelliğini desteklemektedir.

Programın Kurulumu

Oxygen Forensic programının kurulumu öncesinde sistem bilgisayarına özel olarak kurulması gereken herhangi bir yardımcı dosya bulunmamaktadır. Kurulum için firmanın web sitesinden download edilen veya temin edilen kurulum dosyasının (OxyDetective_Setup_11.1.1.20.exe gibi) çalıştırılması yeterlidir. Kurulum sırasında ihtiyaç duyulan bütün dosyalar Setup dosyasının içerisindedir.

Kurulum başlangıcında, öncelikle kullanıcıdan dil seçimi yapması istenecektir. Dil seçeneklerinde henüz Türkçe dil desteği bulunmadığından default olarak English dili seçilebilir.

Oxygen Forensic programı iki tür lisansa sahiptir.

Eğer program, bir elektronik lisans ile kullanılacaksa, kurulum yapıldığı bilgisayardan başka bir bilgisayarda kullanılamayacaktır. Bu tür lisansın kullanımında, lisansın aktivite edilebilmesi için sistem bilgisayarının internete bağlanması istenecektir.

Program USB dongle lisansı ile kullanılacaksa, programı USB dongle ile herhangi bir bilgisayarda kullanmak mümkündür. USB dongle lisanslarda, sistem bilgisayarının internete bağlantı yapılmasına gerek olmayacaktır. USB dongle lisansına sahip programın kurulumu sırasında, USB dongle sistem bilgisayarına takılmalı ve sürücüler yüklene kadar beklenilmelidir.

Kurulum sırasında, programın kurulacağı yerin seçimi ile masaüstüne program ait kısayol oluşturulmasına yönelik kullanıcıya seçenek sunulacaktır. Son aşamada, lisans sözleşmesi kullanıcıya gösterilecek ve kullanıcının onaylaması sonrasında kurulum başlayacaktır.

Kurulum tamamlandığında, kullanıcıya son bir pencere içerisinde, yüklenen programın versiyonunda yapılan yeniliklerin anlatıldığı Whats’s new in version linki ile Driver Pack dosyalarının indirilebileceği bir link bulunacaktır.

Mobil cihazların program tarafından otomatik olarak tanınmasını sağlayacak mobil cihaz driverlarını doğrudan indirmek için menü üzerindeki link kullanılabileceği gibi http://customer.oxygen-forensic.com/download/drivers/Oxygen_Driver_Pack.zip linki de kullanılabilir.

Kurulum sonrasında Launch ile program başlatabilir.

Programın başlatılması

Kurulumu sonrasında programı başlatmak için masaüstündeki kısayol veya başlat menüsü içerisindeki “Oxygen Forensic Detective” kullanılabilir. Program başlatıldığında, kullanıcıyı boş bir ana ekran karşılayacaktır.

Tools Menü ayarlaması

Kurulum sonrasında tools menüsünden bazı ayarlamalar yapılması gerekmektedir.

Program için kullanılacak dil için Languages menüsü kullanılacak olup henüz Türkçe desteği yoktur. Default olarak English kullanılabilecektir.

Program zamanı ile sistem bilgisayarının zamanını kontrol etmek için Time zone settings menüsü kullanılacaktır. Eğer menü üzerinde görülen sistem zamanı güncel zaman ile aynı ise Device Time seçilerek işlem tamamlanır. Eğer mobil cihazın zamanı, inceleme yapılacak time zone bölgesinden farklı ise, Case işlemleri öncesinde programın zamanı hedef cihazın zamanına göre ayarlanmalıdır.

Program içerisindeki kullanılacak renkleri ayarlamak için Color Setting menüsü kullanılacaktır.

Çocuk müstehcenliğine yönelik yürütülen soruşturmalar kapsamında, cihaz içerisinde tespit edilecek resim ve video dosyalarının soruşturma konusuna yönelik olup olmadığını otomatik olarak tespit edebilmek için bu alanda oluşturulan uluslararası veritabanı kullanılabilecektir. Program üreticileri bu amaç için (3) adet veritabanı sunmaktadır. Kullanacak veritabanı Project VIC region menüsü içerisinden seçilmelidir.

Desteklenen cihaz kontrolü

Case işlemlerine başlanılmadan önce, hedef mobil cihaz ve eklentileri gerekli evraklarla kontrol edilmelidir. Kontrol sonrasında mobil cihazların imajlarının alınması için cihazların şarjlarının tam olması istenildiğinden, şarjı olmayan veya eksik olanların şarjları tamamlanmalıdır.

Program tarafından desteklenen cihazlar ve özeliklerini kontrol etmek için Help > Supported Device menüsü kullanılabilir.

Bu menü içerisinde, seçilen cihaza ait default resim görüntülenecektir. Eğer görüntülenen resim mobil cihaza ait değilse, Change Picture menüsü kullanılarak cihazın resmi değiştirebilecektir.

 Desteklenen applicationlar

Help > Supported Applications menüsü ile program tarafından desteklenen applicationlar görülebilir.

Mobil cihazlar üzerinden yapılacak inceleme konusu, bir application kullanımına yönelik ise kullanım öncesinde bu Supported Applications menüsü ile desteklenen applicationlar ve versiyonları kontrol edilebilir.

Bu tür çalışmalarda, mobil cihazın imajı alınmış olmasına rağmen, cihaz içerisindeki bazı applicationların imajları alınamamaktadır. Bu gibi bir olumsuz durumla karşılaşmamak için, imaj işlemi tamamlandığında, imaj ve cihaz içeriğinin kontrol edilmesi faydalı olacaktır.

Bir mobil cihaz bağlantısı

Mobil cihazlara yönelik çalışma öncesinde, Oxygen Forensic programının güncel versiyonu kontrol edilmelidir. Her yeni versiyonda desteklenen mobil cihaz ve application miktarı artmasının yanında, kullanıcıların tavsiyeleri doğrultusunda veri analizlerine yönelik çeşitli özellikler eklenebilmektedir.

Yine çalışma öncesinde, mobil cihazlara ait güncel sürücüler (daha önce yüklenmemişse) sistem bilgisayarına yüklenmiş olmalıdır.

Mobil cihazları sistem bilgisayarına bağlamak için, cihaz türü ve modeline göre kablo veya Bluetooth sistemi kullanılacaktır. Eğer bağlantı için kablo kullanılacaksa, program tarafından verilen veya cihaza ait orijinal kablo kullanılmalıdır. Bluetooth bağlantısı kullanılacaksa, cihaz içerisinden Bluetooth özelliği açılmalı ve cihaz görünür hale getirilmelidir. İmaj için Bluetooth bağlantısı seçildiğinde, imaj süresi uzayacaktır.

Cihaz bağlantısı için program ana ekran üzerindeki Connect device menüsü kullanılacaktır. Bu menü içerisinde (3) adet alt menü bulunmaktadır.

 

  • Connet Device menüsü ile cihazları manuel olarak eklemek,
  • Auto device connection menüsü ile cihazları otomatik aramak,
  • Fast backup/image extraction menüsü ile de imaj/backup dosyalarını programa yüklemek mümkündür.

Connet Device

İmaj işlemlerine başlamak için Connect Device Extractor menüsü başlatılır. Bu menü vasıtasıyla;

  • Ekran vasıtasıyla cihaz imaj işlemi (manuel veya otomatik),
  • Fiziksel imaj işlemi (ekran kilidi bypass için),
  • SIM kart imaj işlemi veya,
  • LG model mobil cihazlara yönelik ekran kilidi açılması yapılabilecektir.

Manuel device connection

Cihazları marka ve model yöntemiyle adım adım programa tanıtmak için manuel device connection bağlantısı kullanılacaktır. Gelen menüden öncelikle hedef cihazın bağlantı türü (kablo veya bluetooth), ardından üretici ve modeli seçilmelidir.

Aşağı açılan menüden üretici seçmeden, doğrudan Find bölümüne marka ve model yazılarak ta liste oluşturulabilir.

Eğer hedef cihazın modeli liste içerisinde yoksa, hedef cihaza yakın bir model seçilmelidir. Seçim sonrasında Next ile işleme devam edildiğinde, seçilen modele göre cihazın sistem bilgisayarına bağlanabilmesi için yapılacak işlemler listesi kullanıcıya sunulacaktır. Bazı modellerin imajlarının alınabilmesi için, yeteri büyüklükte bir hafıza kartına ihtiyaç duyulabilecektir. Bu nedenle, imaj öncesinde hafıza kartı hazır edilmelidir.

Bağlantı için gerekli kontroller ve ayarlamalar yapıldıktan sonra listelenen işlemlerin yapıldığına dair onay verilmeli ve Next menüsü ile işleme devam edilmelidir. Eğer hedef cihaz sistem bilgisayarına takılmamışsa, program cihazın takılması için ikaz edecektir.

Takılı cihaz program tarafından tespit edildiğinde, cihaz kullanıcıya gösterilecektir.

Automatic connection

Sistem bilgisayarına takılan hedef bir cihazın program tarafından otomatik olarak bulunabilmesi için Automatic connection seçeneği kullanılmalıdır. Otomatik işlemler için kullanılabilecek platformlar (işletim sistemleri) ekranda listelenecektir.

Eğer bilinen birkaç cihaz varsa, sadece onlar seçilebilir.

Seçilen platformlara yönelik işlemler sırasında cihaz ile irtibat sağlanamaz ise, söz konusu cihaza yönelik MTP olarak aranması istenildiğinde, MTP onay kutusu işaretlenmelidir.

Case ve cihaz bilgilerinin girilmesi

İmaj öncesi Case, cihaz özellikleri ve cihaz sahibine ait bilgiler girilmelidir.

  • Case Number ; Soruşturma numarası,
  • Evidence Number ; Delil numarası,
  • Place ; İmajın alındığı yer,
  • Incident Number ; Olay numarası,
  • Hash ; İmajın hesaplanması istenilen hash türü,
  • Inspector ; Görevli personel
  • Device Owner ; Cihaz sahibi,
  • Owner Email ; Cihaz sahibine ait eposta adresi,
  • Owner phone number ; Cihaz sahibine ait telefon numarası,
  • Device Notes ; Cihaza ait girilecek bilgiler (nerede ve nasıl ele geçirildiği gibi)

İmaj işlemlerine başlanılmadan önce parse applications databases and collect data for analytical sections menüsü işaretlendiğinde, cihaz kullanıcısına ait hesap bilgileri, telefon rehberi, SMS, media dosyaları ve kullanım geçmiş bilgileri ile birleştirilmiş rehber verileri, cihaz sahibine ait profil bilgileri, bağlantı bilgileri, sosyal grafik ve timeline verileri imaj sırasında pars edilecektir. Pars işlemi nedeniyle imaj süresi de uzayacaktır. İşlem sırasında yeteri kadar zaman yoksa, bu işlem imaj sonrasına da bırakılabilir.

Seçilen imaj alma seçeneğine bağlı olarak, cihazın fiziksel imajının veya backup dosyasının alınacak cihaz imajı içerisinde depolanabilmesi için Store extracted Physical dump or backup in the device image menüsü işaretlenmelidir. İşlem neticesinde oluşturulacak imaj dosyası, program saklama klasörü içerisinde veya .ofb uzantılı backup dosyası ile birlikte bulunabilir. Hedef klasörde fiziksel imajın sığabileceği kadar boş alanın olduğundan emin olunmalıdır.

Silinen verilerin kurtarılması

İmaj alma sırasında silinmiş verilere yönelik yapabilecek (4) adet seçenek mevcuttur.

  • Birinci seçenek ; Application’lardan silinmiş verilerin (Hesap ayarları, rehber verileri, SMS, media veya kullanım geçmişi) otomatik olarak aranması ve kurtarılması,
  • İkinci seçenek ; Cihaz imaj işlemi bitiminden hemen sonrasında silinmiş verilerin aranması ve kurtarılması,
  • Üçüncü seçenek ; Cihaz imaj işlemi bitiminden hemen sonrasında cihaz dosya sisteminden silinmiş verilerin aranması ve kurtarılması,
  • Dördüncü seçenek ; Unallocated alandaki silinmiş application verilerinin kurtarılmasını sağlayacaktır. Dördüncü seçenek sadece Android fiziksel imajlar için kullanılabilecektir.
  • İmaj alma sırasında zamandan tasarruf edilebilmesi için bu işlemler inceleme sırasında da yapılabilecektir.

Physical data acquisition

Exractor içerisindeki Physical data acquisition menüsü ile herhangi bir ekran kilidi olan Android işletim sistemine sahip cihazların ekran kilitlerinin bypass edilerek fiziksel imajları alınabilmektedir.

LG, Motorola, MTK Samsung cihazları ile Spreadtrum ve Qualcomm chipsets kullanan android cihazların ekran kilitleri bypass edilebilecektir. Fiziksel imajın kullanıma yönelik olarak hazırlanan talimat linki kullanıcıya sunulacak olup, talimatta yazılı hususlara dikkat edilmelidir.

DEVAM EDECEKTİR

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir