Oxygen Forensic2

İmaj alma metodları

Android backup

Bu metod 4.0 ve üst versiyona sahip Android cihazlar için kullanılacaktır. Hedef cihazın herhangi bir güvenlik kilit (desen, pin veya passport) ile kilitlenmemiş olmaması gerekmektedir.

Android cihaz sistem bilgisayarına takılmalı ve Android Backup imaj metodu seçilmelidir. Oxygen Forensic Detective bu metodu kullanarak uygun olan verileri toplayacaktır. Hangi application verilerinden backup yapılabileceğine ilgili application geliştiricileri karar vermişlerdir. Bu nedenle, bütün application verileri backup yapılamayabilecektir.

OxyAgent Metod

Desteklenen herhangi bir Android cihazlar için kullanılacak metodtur.

Diğer backup metodların başarısız olması durumunda, bu metod vasıtasıyla hedef cihazlardan minimum verilerin imajı alınabilecektir.

OxyAgent dahili hafıza klasörlerine erişim izni olmadığından, dahili hafıza dosyalarını kurtarmayacaktır. İşlem sonunda rehber, SMS, çağrılar, takvim verileri ve flash diskten dosyaların imajını alacaktır.

Program Android cihazın logical imajı için ADB vasıtasıyla iletişime geçecektir. ADB iletişimi için mobil cihazların sürücüleri sistem bilgisayarına yüklenmiş olmalıdır. OxyAgent Android cihaza yüklenecektir.

Mobil cihazın;

  • USB portunun disable olması,
  • USB portunun kırık veya zarar görmüş olması,
  • Üreticinin USB portunun sadece şarja izin vermesi veya,
  • Çeşitli nedenlerden dolayı USB kablosu ile imaj alınamayacaktır.

Bu gibi durumlarda, Oxygen Forensic Detective mobil cihazın logical imajını almak için bir SD kart kullanacaktır.

Bir kart okuyucu içerisine bir Sd kart yerleştirilmeli ve işlem başlatılmalıdır. Program Data Agent’ın özel bir versiyonu kaydedecek ve ardından hedef Android cihaz içerisine yerleştirilecektir.

Özel Data Agent çalışma neticesinde mobil cihazdaki verileri SD kart içerisinde oluşturulacak klasör içerisine kaydedecektir. İşlem tamamlandığında, veriler analiz için Oxygen Forensic Detective import edilebilecektir.

Fiziksel Metod Root Erişimli

Bir mobil cihazın root’una geçici olarak erişilmesi ile birlikte, android sistemin bütün kullanıcı verileri ortaya çıkaracağı gibi araştırmacıya cihaz içerisindeki bütün klasörlere de erişim yetkisi sağlanmış olacaktır. Cihaz ve klasör içeriği File Browser alanında görüntülenecektir.

Program, bu çalışmalar için özel bir Process kullanacak olup, çalışma sonunda %100 işlem başarısı sağlanamasa bile Android 2.0 ile 7.0 versiyonlarında daha güvenli olarak kullanılabilecektir.

Cihaz yeniden başlatıldığında rootlama işlemi kaldırılacaktır.

Başarılı bir root için;

  • Android cihaz bir kablo ile (genellikle orijinal data kablosu) çalışan Oxygen software bağlanmalıdır.
  • Oxygen Forensic Extractor içerisinde Adroid cihazın otomatik olarak bulunabilmesi için “Device Acquisition” seçilmelidir.
  • İmaj için Extractor içerisinden Rooting dayalı fiziksel metod seçilmeli ve ardından listelenecek olan exploit listesinden uygun olan seçilmelidir.
  • Android cihazlar genellikle DirtyCow exploit ile roote edilmektedir.

Root erişimsiz Fiziksel destek

Oxygen Forensic Detective, seçilen android cihazlar root işlemi yapılmadan da destek sunabilmektedir.

Eğer cihaz desteklenen bir cihaz ise, Oxygen Forensic Extractor içerisindeki Physical Data Acquısıtıon seçilmelidir.

Araştırmacı menüden Samsung cihazların Android imajlarını (özel Forensic kurtarmaya dayalı olarak), Motorola, LG, Qualcomm, MTK veya Spreadtrum Android imajını seçebilir.

Bütün bu fiziksel metodlar, full fiziksel image alımı yanında, cihazda bulunan herhangi bir kilidi de bypass edecektir.

MTK Android Dump

Program tarafından kullanılan bu metod vasıtasıyla, kapalı olarak bağlanan MTK cihazlar üzerinden bulunan herhangi bir ekran kilidi (PIN, passcode, pattern, gibi) de bypass edilmiş olacaktır.

Program MT6750, MT6755, MT6737, MT6738 gibi çeşitli chipsetleri desteklemektedirler.

Hedef cihaz sistem bilgisayarına bağlandıktan sonra, özel bootloader yüklenecektir. Bootloader, telefon hafızası, işletim sistem hafızasını okuyacak komutlar içerecek olup, telefon verilerinde herhangi bir değişiklik yapmayacaktır.

Bu sistem kilidi henüz açılmamış bootloader cihazlar için kullanılamayacaktır.

LG Android dump

Bu metod popüler modelleri desteklemektedir. Cihazı sistem bilgisayarına bağlantı talimatı takip edilmeli ve cihazın Device Firmware Update Modem oduna geçtiğinden emin olunmalıdır.

Spreadtrum Android dump

Bağlantı talimatları takip edilmelidir. Desteklenen cihazlar listelenecek ve hedef cihaz listeden seçilecektir.

Samsung Cihazlar için Özel Forensic Recovery

Oxygen Forensic Detective Samsung cihazların imajlarının alınması için etkili ve ileri seviye metodlar sunacaktır. Bu metod güncel Samsung Androis cihazları desteklerken, desteklenen cihaz listesi devamlı olarak güncellenmektedir.

Samsung Android cihaz imajı için Physical data acquisition içerisinden Samsung Android dump seçilerek program tarafından gösterilen talimatlar yerine getirilmelidir.

Kullanıcıya sunulan talimat onaylandıktan sonra, program desteklediği cihazların listesini kullanıcıya gösterecek ve hedef cihazın bu listeden seçilmesi istenecektir.

Eğer fiziksel imaj şifrelenmiş ise, program bilinen şifreler ile şifreyi çözmeye çalışacaktır. Eğer şifre bilinmeyen bir şifre ise Passware programını kullanarak şifreyi çözmeye çalışacaktır. Ancak bu sistem bütün durumlar için geçerli olmayacaktır.

Motorola Physical Dump

Oxygen Forensic Detective Android işletim sistemine sahip kilitli Motorola mobil cihazların imajlarının alınması için yeni teknoloji sunmaktadır. Bu yenilikçi sistem 2015 yılından sonra üretilmiş olan Moto X Pure, Moto G 3rd gen ve Moto G 5th gen gibi modeller için kullanılabilecektir.

Bu metod herhangi bir ekran kilidini bypas etmeye, kilitli bootloader veya yüklenmiş olan FRP’yi atlayarak application ve silinmiş verilerin kazanılması sağlanır.

 Motorola cihazların imajlarının alınması birkaç manuel işlem neticesinde otomatik olarak gerçekleşecektir.

Oxygen Forensic Detective hedef cihaza bir Fastboot imajı yükleyerek cihazı Fastboot Flash moduna geçirilecektir. Bu yöntem hiçbir kullanıcı verisini etkilemeyecektir. Jet Imager kullanılarak fiziksel imaj işlemi başlayacaktır.

Qualcomm Physical Dump

Oxygen Forensic Detective Qualcomm chipset sahip 400’den fazla Android cihazın EDL mode vasıtasıyla ekran kilidinin bypass edilerek fiziksel imajının alınmasına imkan verecektir.

Fiziksel imaj için EDL kullanılması Chip-Off, JTAG, ISP ve diğer imaj türlerinden daha hızlı bir olup ayrıca cihazın sökülmesini de gerektirmeyecektir. Bu sistemin kullanılmasında, kullanıcı veya sistem verilerinde herhangi bir değişikliğe yol açmayacaktır.

Oxygen Forensic Detective MSM8909, MSM8916, MSM8917, MSM8926, MSM8929, MSM8936 gibi chipsets’ler ile Acer, Alcatel, Asus, BLU, Coolpad, Gionee, Huawei, Infinix, Lenovo, LG, LYF, Micromax, Motorola, Nokia, OnePlus, Oppo, Swipe, Vivo, Xiaomi ve bir çok diğer modelleri desteklemektedir.

Jet Imager (Hızlı Android imajı alma)

Oxygen Forensics Android cihazların hızlı şekilde imajlarının alınabilmesi için MITRE Corporation şirketi ile anlaşma yapılmıştır. Yeni Jet-Imager modülü sayesinde Android cihazların imajları önceki metodlara göre daha hızlı şekilde alınabilmektedir.

Jet-Imager modül ile Android cihazların fiziksel imaj işlemi ortalama %25 daha hızlı olup, imaj hızı cihazın büyüklüğüne göre değişkenlik gösterecektir. Örneğin, 16GB boyutundaki bir cihaz imajı 5-7 dakika sürerken, 32Gb boyutundaki cihaz ise 8-10 dakika sürebilecektir.

 Jet-Imager modül içerisinde güncel olarak kullanılabilecek iki adet imaj sistemi bulunmaktadır. İleriki zamanlarda sistem miktarı artacaktır.

  • Özel Forensic recovery dayalı physical extraction
  • Önceden root edilmiş cihazların physical extraction

Jet-Imager modülüne Oxygen Forensic Detective Extractor ekranından ulaşılabilir.

iOS Cihazının İmajının Alınması

         Classic logical

Classic logical üniversal bir metod olup, bütün IOS cihazların İTunes backup işlemlerine yönelik kullanılmaktadır. Eğer ITunes backup bir şekilde şifrelenmiş ise, program desteklenen çeşitli şifre çözme programları kullanarak (brute force, dictionary attack gibi) şifreyi bulmaya çalışacaktır. Bu yöntem, silinmiş durumdaki kullanıcı verisi ile application verileri olmak üzere yeteri kadar veriyi geri getirebilecektir.

Bir Apple iOS cihazının imajının alınabilmesi için birkaç yöntem kullanılabilmektedir.

  • Live Device
  • Import Backup
  • Import of other forensic software image

        Açık cihazın toplanması

  • IOS cihazında şifre ile kilitlenip kilitlenmediği kontrol edilmeli,
  • Cihazın normal mode ile bağlanıp bağlanmadığı kontrol edilmeli,
  • Apple iTunes veya iOS sürücülerinin son versiyonlarının yüklenip yüklenmediği kontrol edilmeli,
  • Toolbar üzerindeki Connect device menüsünden sonra Auto Device Connection veya Manual Device Selection birisi seçilmelidir.
  • Eğer Auto device connection seçilmiş ise, cihaz otomatik olarak bağlanacaktır.
  • Eğer Manual device selection seçilmiş ise, cihaza ait modellerin arasından seçim yapılabilmesi için modeller listelenecektir.
  • Kablo bağlantı türü ve model seçildikten sonra ileri için Next menüsüne basılmalıdır.

       Bir iTunes backup dosyasının Import edilmesi

ITunes içerisinde oluşturulan IOS cihazlarının Backup dosyaları, Oxygen Forensic Extractor ile imaj alma işleminde Oxygen Forensic Detective için önemli olabilecektir. Bir araştırmacı Oxygen Forensic Detective arayüzünde Apple cihazlarının verilerini çok rahat analiz edebilecek ve neticesinde verileri raporlayabilecektir.

İTunes backup dosyasının import edilmesi için;

Import file button > Import Apple backup/image>import iTunes backup menüsü kullanılır.

       Diğer Backup imajları

Oxygen Forensic Detective diğer bir çok Apple cihazlarının imajlarını desteklemektedir. Destek için Oxygen Forensic Extractor kullanılması gerekmektedir.

Diğer backup dosyasının import edilmesi için;

Import file menüsü > Import Apple backup/image> menüsü kullanılır.

 Windows Mobil Cihazının İmajının Alınması

Windows işletim sistemine sahip mobil cihazlara herhangi bir müdahale edilerek veya edilmeden cihaz içerisindeki kullanıcı bilgilerine erişmek için mobil cihazın fiziksel imajını alınmalıdır.

Çoğu araştırmacı, bu tür cihazlar için JTAG metodu kullanmaktadırlar. Bu metotla cihaz tamamen sökülmeden cihaza erişim yapılacak olup, bu sistem çoğu Windows işletim sistemine sahip cihazlar desteklenmektedir.

Windows 8 işletim sistemi telefonlar açık olduğu sürece desteklenmektedir.

      Logical

Oxygen Forensic Detective bir kablo üzerinden veya Windows Phone Cloud erişerek verilerin imajını alabilecektir.

İlk işlem bir kablo üzerinden media dosyaları ile telefon rehberinin, Microsoft Bluetooth bağlantısı üzerinden gelen-giden çağrıların alınması işlemidir. Bu işlemler için hem kablo, hemde Bluetooth bağlantısı vasıtasıyla yapılmaktadır.

Bu tür cihazların full imajı için her iki bağlantının da yapılması gerekmektedir.

Desteklenen items’ler;

  • Phonebook,
  • Event Log,
  • File Browser (Resim, video ve dokümanların bulunduğu media alanlarına erişim MTP yoluyla erişilecektir)

JTAG

Windows Phone 8 ait JTAG imajları Oxygen Forensic Detective içerisine import etmek için Oxygen Forensic Extractor veya toolbar içerisindeki Import File > Import Windows Phone JTAG image menüsü kullanılabilir.

Güncel olarak imaj içerisindeki desteklenen artifact’lar;

  • Phonebook,
  • Messages,
  • Calendar,
  • Event Log,
  • Tasks,
  • File Browser,
  • Applications.

Blackberry 10 cihaz imajı

     Logical

BlackBerry 10 cihazları için USB kablo bağlantısı ve Backup dosyasının import edilmesini desteklemektedir.

Bir Backup dosyasının import edilmesi için, Import file > Import BB10 backup menüsü kullanılacaktır.

Desteklenen items’ler;

  • Phonebook,
  • Messages,
  • Calendar,
  • Event Log,
  • Notes,
  • Tasks,
  • File Browser,
  • Applications,

     Physical

Oxygen Forensic Detective programı BlackBerry 10 cihazlarının fiziksel imaj olarak desteklememektedir. Bununla birlikte, yukarıda açıklandığı şekilde BlackBerry 10 Chip-off imajları import edilerek kullanıcı verileri pars edilebilecektir.

Bu işlem için, Oxygen Forensic Extractor veya Import file > Import BlackBerry 10 Chip-off image kullanılabilecektir.

Memory card extraction

Oxygen Forensic Detective programı FAT32 ve Ext dosya formatındaki hafıza kartlarının fiziksel imalarını alabilmektedir.

Bir kart okuyucu vasıtasıyla sistem bilgisayarına takılacak hafıza kartların imajları Oxygen Forensic Extractor ile alınabilecektir.

İmaj içerisinde GPS koordinatına sahip resimler, video dosyaları, dokumanlar ve diğer dosyalar bulunabilecektir. Silinmiş bilgiler otomatik olarak kurtarılarak çöp kutusu iconu içerisinde gösterilecektir. Hafıza kartlar imajının incelemesi için program içerisindeki menüler kullanılacaktır.

SIM Kart İmajı

Oxygen Forensic Detective SIM kart okuyucu kullanılarak bir SIM kartın imajını alabilecektir. Araştırmacılar, sistem bilgisayarına SIM kart imajı için bir veya birkaç SIM kart okuyucu bağlayabileceklerdir. Bağlantı için normal ayar kullanılacaktır.

Eğer bir SIM kart bir PIN kod ile kilitli ise, Oxygen Forensic Extractor içerisindeki ilgili kutucuğa PIN kodu girilmelidir.

Program vasıtasıyla mevcut ve silinmiş durumdaki SMS, rehber ve son çağrıların imajları alınabilecektir. İmaj işlemi tamamlandığında, araştırmacı SIM kartı diğer imajlarla beraber inceleyebilecektir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir