Professional Documents
Culture Documents
TR 2
TR 2
ALINTILAR OKUMALAR
16 1.781
3 yazar :
Bu sayfayı takip eden tüm içerik İmam Riadi tarafından yüklenmiştir. 15 Haziran 2018'de.
Endonezya Yogyakarta
ÖZET Günümüzde Siber suçların yükselişi, dijital delillerin yargı sisteminin ayrılmaz
bir parçası haline gelmesine neden oldu. Bu nedenle dijital kanıtlar cep
Anlık Mesajlaşma (IM) uygulamaları (apps) adli tıp araştırmacıları için
telefonlarından, bilgisayarlardan, ATM'lerden ve güvenlik
her zaman temel bir araştırma alanı olmuştur.
kameralarından bulunabilir. Herhangi bir dijital delil unsuru olmadan
IM uygulamaları, operatör merkezli mesajlaşma hizmetlerinin düşük
suçu hayal etmek zordur [2]. Mobil cihaz adli bilişimi, dijital adli tıp
maliyetli olması nedeniyle dünyadaki çoğu insan tarafından kullanılmaktadır.
alanında bir uzmanlık alanıdır. Mobil cihaz adli bilimi, kabul edilen
Dijital adli tıp uzmanları genellikle Android cihazlar için Instant Messenger
yöntemleri kullanarak, adli olarak geçerli koşullar altında bir mobil
uygulamasının adli analizini gerçekleştirir. Bu alandaki mevcut
cihazdan dijital delil keşfetme bilimidir.
araştırma çalışmaları dikkate alındıktan sonra bu makale, android
cihazlar IMO'ya yönelik IM'ler üzerinde adli analiz yapılmasına
odaklanmıştır. Testler iki android cihazda gerçekleştirildi. Testler şunlardan oluşuyordu: Mobil cihazların adli muayenesi bir meydan okumadır
IMO uygulamasını her Android cihaza yüklemek, uygulama aracılığıyla adli müfettişler. Mobil cihazlarda bulunan veriler genellikle cihazlara
ortak kullanıcı faaliyetlerini yürütmek, edinilen her mantıksal müdahale edilerek çıkarılmak zorundadır [3].
görüntünün fiziksel görüntüsünü elde etmek. Adli analiz, IMO
uygulamasındaki klasörlerin yapısını belirlemenin yollarını bulmayı IMO, sosyal medya kullanıcılarının kullandığı anlık mesajlaşma
amaçladı. Eğer öyleyse ne ve nerede programlarından biridir. Bu uygulama, kullanıcıların kısa mesaj
Bu klasörlerin içeriği adli delil olarak mı kullanılacak? göndermesine, grup sohbetlerine, fotoğraf, video paylaşımına ve
Test sonuçları, IMO'daki klasörlerin yapısının sesli aramalara yardımcı olan internet üzerinden gerçek zamanlı veri
Uygulama, edinme işlemi ile analiz edilebilmekte ve Android cihazların aktarımı sağlar. Bu nedenle IMO, siber suçların işleri için kullandığı
dahili hafızasında saklanmakta olup, içerisinde 6 klasörden oluşmakta potansiyel IM uygulamalarından biridir. IMO uygulamaları sosyal medya
olup, bunların 2 tanesinde kullanıcı aktivitelerinden elde edilen resim ve kullanıcıları için popüler olmasına rağmen, IMO uygulamalarıyla ilgili adli
videolardan oluşan alt klasörler bulunmaktadır ve bu klasörler tarafından yapay oluşumların tanımlanmasına ve analiz edilmesine odaklanan sınırlı
incelenebilmektedir. adli müfettişler. sayıda yayınlanmış araştırma bulunmaktadır. Bu makale, klasör yapısının
incelenme yollarını analiz etmeyi ve o klasörün içeriğini araştırmayı
amaçlamaktadır. O uygulamadaki verilerin bütünlüğünü korumak için
yapılması önemlidir.
Anahtar Kelimeler
Anlık mesajlaşma uygulaması, Android, IMO, adli tıp uzmanları.
Bu makalenin yapısı şu şekildedir: 2. bölümde dijital adli topluluğun ilgili
çalışmaları tartışılmaktadır.
Bu uygulamalar aynı zamanda kullanıcı numaralarını kişisel kişiler olarak Adli Bilişim Son yıllarda adli
içeren hem çevrimiçi hem de çevrimdışı işlemler için de kullanılabilir. sistemin ayrılmaz bir parçası haline gelmesi nedeniyle dijital adli tıp
Instant Messenger Uygulamalarının anlık mesajlaşma, grup oldukça önem taşımaktadır. Dijital adli bilişimin tanımı bu konuda çalışan
sohbetleri, fotoğraf, video paylaşımı, sesli arama gibi pek çok özelliği bazı uzmanlar tarafından önerilmiştir. Bu uzmanlardan biri olan Miller,
bulunmaktadır. dijital adli bilişimin, dijital kaynaklardan elde edilen dijital delillerin
korunması, toplanması, doğrulanması, tanımlanması, analiz edilmesi,
IM uygulamalarının kullanıcıların kullanabileceği pek çok işlevi olduğundan
yorumlanması, belgelenmesi ve sunulmasına yönelik bilimsel olarak
iyilik amaçlı mı yoksa suç amaçlı mı kullandıkları tespit edilememektedir.
türetilmiş ve kanıtlanmış yöntemlerin kullanılması olduğunu
Kimlik avcıları, dolandırıcılar, çocuk avcıları, terörist gruplar ve organize
söyledi. Suç teşkil ettiği tespit edilen olayların yeniden inşasını
siber suçlular da IM uygulamalarını kendi avantajları için kullanıyor. RSA
kolaylaştırmak veya ilerletmek veya planlanan operasyonları aksattığı
Anti Freud Komuta Merkezi (AFCC), 2013'ten 2015'e kadar tüm dünyada
gösterilen izinsiz eylemlerin önceden tahmin edilmesine yardımcı olmak
siber suç faaliyetlerinin %73'e çıktığını ve bunun 325 milyon ABD doları
tutarında mali kayba neden olduğunu söyledi. Bu [4].
9
Google'ınTranslated
Machine Çevirdiği Makine
by Google
Bu nedenle dijital adli bilişimin bazı bilim dalları vardır. Bunlardan biri adli
mobildir. Adli mobil, gerekçelendirme yönteminin uygulanmasıyla dijital
kanıtları veya mobil verileri geri yükleyebilen bir dijital adli tıp dalıdır
[6].
eserleri bulmak için Android cihazların kullanımını tanıttı[11]. yapılandırmasını, yer imini ve geçmişini kaydetmek için kullanılır. Android
akıllı telefonlarda SQLite genellikle kişilerin kişilerini kaydetmek için kullanılır.
Bu nedenle SQLite tüm platformları destekler [17].
yararlı verilerin toplanmasında Android uygulamalarının tasarımı ve uygulanması Pek çok özelliği var, bunlar (1) bağımlılık yok, (2) sunucusuz ve sıfır
üzerine bir araştırma 2013 yılında yapılmıştır [12]. Android adli yapılandırma, (3) uyumluluk ve (4) çok sayıda platforma sahip [18]. Bu
soruşturmasında dijital adli bilişimin önemli ve gerekli olduğu avantajların yanı sıra SQLite'ın birçok dezavantajı da vardır. Bunlar: (1)
gösterilmiştir[13]. SQLite sözdiziminin bir kısmı sağ ve dış birleştirme tarafından desteklenmiyor.
SQLite'ın güvenliği iyi değil. Sistem okuma/yazma güvenliğiyle sınırlı
1.1.2 SQLite SQLite, olduğundan güvenlik sisteminin iş mantığı katmanı uygulamasıyla
ACID uyumlu, küçük bir kütüphane koduna sahip özel bir özelliğe sahip bir yönetilmesi gerekir. Bunu yönetmek için SQLite veritabanındaki yönetici
veritabanıdır. SQLite, açık, kararlı bir veritabanı kaynağıdır ve Android verilerini şifreleyebilen bir şifreleme algoritmasının uygulanmasına ihtiyaç
de dahil olmak üzere küçük ekipmanı nedeniyle popülerdir. Android, SQLite vardır [19].
kullanan tüm uygulamalar için rasyonel veritabanı sunar [14]. Bu
uygulama, veri güvenliğini ve verimli bir şekilde tasarruf etmek için ilişkisel
2. ARAŞTIRMA METODOLOJİSİ
veritabanı motorunu yönetebilir. SQLite, çalışma zamanı Android'inde
yapılandırılmıştır, bunun sonucunda her Android uygulaması, her Android 2.1 Araştırma Adımları Bu
uygulaması SQLite'ın temel verilerini oluşturabilir[15]. SQLite'ın bir Android araştırmada ilk adım, araştırma nesnesi ile ilişkisi olan literatür çalışmasının
uygulamasıyla çok uyumlu olmasının bazı nedenleri vardır. İlk olarak, yapılmasıdır. Ayrıca araştırma nesnesinin bulunmasının ardından ikinci
veritabanının yapılandırması boş. Bu, geliştiriciler için veritabanı adım, vakaların simülasyonunun yapılması ve dijital adli soruşturma
yapılandırmasının olmadığı, dolayısıyla kullanımının ucuz olduğu aşamasını gerçekleştirmek için senaryo tasarımının gerçekleştirilmesidir.
anlamına gelir. Daha sonra IMO sohbet analizi aşamasında yapılacak olan aktivite daha
Sunucusu yoktur ve SQLite veritabanının çalışma süreci yoktur [16]. sonra içinde bulunacağı dijital nesneyi aramaktır. Son adım ise dijital adli
bilişim aşamalarının en önemli faaliyeti olarak rapor analizi yapmaktır.
10
Google'ınTranslated
Machine Çevirdiği Makine
by Google
1 Linux Santoku
İşletim sistemi
Satın almak için araştırmacı
dizüstü bilgisayarı
3 DB Tarayıcı
Veri toplama sonuçlarının
SQLite analizi için yazılım
tarafından hem otomatik hem de manuel olmak üzere çeşitli senaryoların bir C. Bir sonraki adımda her ikisinin de edinimi/görüntülenmesi yapıldı
kombinasyonu kullanılarak toplanan ve veri bütünlüğünü koruyarak verilerin akıllı telefonlar analiz edilecek görüntüleri elde etmek için Linux
ihtiyaca göre değerlendirilip serbest bırakıldığı veri işleme aşamasıdır. kullanıyor. D.
Bu adımda, ihtiyaç duyulan dijital kanıtları elde etmek için her iki
akıllı telefon cihazının IMO Kanıtının analizi yapılır.
2.4 IMO'ya İlişkin Simülasyonlar ve Senaryolar Ulusal
Standartlar Bürosu (NIST), Amerika Birleşik Devletleri Ticaret Bakanlığı e. Son adım bir SQLite Record analizi gerçekleştirmektir
Teknoloji İdaresi'nin düzenleyici olmayan bir organı olup, testin IMO Instant messenger uygulamasıyla ilgili önemli bilgilerin elde
yürütülmesinde tüm araç ve cihazların teste dahil edilmesi gerektiğini edilmesi için bulunan kanıtlara yönelik.
belirtmiştir. Simülasyon, sistemin gerçek davranışını taklit edecek bir modelin
çalıştırılması için gerekli bir süreçtir.
Bu çalışmada problemin formülasyonunun kanıtlanması amaçlanmaktadır.
2.6 Edinme Edinme, özellikle
Simülasyon yapılır çünkü gerçek bir durumda araştırma yapılması mümkün suç faaliyetlerinde bulunmak için kullanılan cep telefonu cihazlarının
değildir.
görüntülenmesi veya veri elde edilmesine yönelik bir süreçtir. Dijital kanıt
Simülasyon, Şekil 4'te gösterildiği gibi senaryo düzenlenerek yapılır. toplama sürecinde cep telefonu cihazlarında Fiziksel Toplama, Mantıksal
Toplama ve Dosya Sistemi Çıkarma gibi 3 çıkarma tekniği kullanılmaktadır
(Pardhasaradhi Chintalapati, 2015).
11
Google'ınTranslated
Machine Çevirdiği Makine
by Google
Samsung Akıllı Telefon Sekmesinin karma değeri. 3.8 Tablo 2’de ve Samsung
3. SONUÇ VE TARTIŞMA
GT-S 5312 hash değerinin hash değeri Tablo 3’te gösterilmektedir.
Simülasyonlar Adli Dijital Merkezi'nde gerçekleştirildi.
Samsung Akıllı Telefon Tab 3.8 ve Samsung GT - S 5312'nin "AF Mantıksal OSE"
kullanılarak edinilmesi sürecinden, Linux İşletim Sistemi Santoku'nun USB
sürücüsünü tam olarak okuması nedeniyle bu süreçte herhangi bir kısıtlama veya
IMO uygulamalarına ilişkin veritabanlarının adli analizine ilişkin örnek olay çalışması,
sorun olmadığını göstermektedir [21]. Sohbet
kurulu IMO uygulamalarının dahili belleğinden elde edilir.
IMO uygulamasında bulunabilen ayıklama sonuçları, şekil 7'de gösterildiği gibi lib
Bu çalışmada cep telefonları kullanılmış olup, dijital delillere zarar vermemek
klasörü, önbellek, veritabanları, dosyalar, no_backup ve paylaşılan_pref gibi çeşitli
amacıyla veri klonlama veya çoğaltma elde etmek için edinme veya
klasörlerden oluşur.
görüntüleme işlemi yoluyla delil görevi gören Akıllı Telefon Samsung Tab 3.8 ve
Samsung GT - S 5312 olmak üzere 2 adet bulunmaktadır. Araçlar veya
Racioppo ve Murthy (2012) yaptıkları çalışmada HTC telefondaki dizinin içeriğini
Uygulamalar Santoku Linux İşletim sisteminde çalışan Uygulamaları kullanan
bilmeyi amaçlamaktadır. Benzer şekilde Iqbal ve diğerleri (2014), iO56 ve Samsung
OSE AF mantıksal. Veri toplama süreci Şekil 5'te açıklanabilir.
Galaxy Android 4.1 üzerinde çalışan iPhone cihazındaki metin veri dizininin içeriğini
de bilmeyi amaçlamaktadır. Ancak IMO ve Hike Messenger uygulamaları
üzerine vaka çalışmaları yürüten Swati Bushan Deb ve Sudhir Misra (2017), veri
Edinme işlemi, Akıllı Telefonun dahili belleğinden SD karta klonlama ve ardından dizininin içeriğini açıklamıyor veya bilmiyor. Yalnızca IMO ve Hike Messenger
'dd' dosyasını oluşturma işlemiyle başlar. uygulamalarındaki veri dizinlerinin konumunu veya konumunu açıklarlar.
Gerçekleştirilen satın alma veya görüntüleme işleminin, elde edilen karma değerlerinin
yedek dosyasından hesaplanabildiğinden veya doğrulanabildiğinden emin olmak Yazar buradayken, 2 Akıllı Telefon Samsung Tab 3.8 ve Samsung GT - S 5312'deki
için aşağıdaki Şekil 5'e bakınız. anlık mesajlaşma IMO'sunda bulunan verilerin konumunu ve içeriğini bulmak
için kanıtları analiz eder. Edinme işleminden sonra, çıkarma Imo sohbet
sistemi). Adli tıp yaparken karma algoritmalar genellikle MD5 ve SHA-1'i kullanır.
Ayrıca hash'in yaygın olarak bilinen bir adı daha vardır: "tek yönlü fonksiyon".
Bu, açıklamada karma değerinin döndürülemeyeceği anlamına gelir
Şekil 6 kanıt elde etmek için karma işlemini açıklamaktadır. Edinme dosyasına
Seri Hash alma süreci
Md5sum /home/santoku/forensic/gts5312.dd
12
Google'ınTranslated
Machine Çevirdiği Makine
by Google
KB. Önbellek klasöründe 10 görüntü dosyasının yanı sıra 1 video dosyası da bulunmaktadır.
Veritabanları klasörünün daha ayrıntılı analizi, 1 alt klasör ve bazı dosyalar buldu.
Windows'ta SQLite için Linux Santoku veya DB Tarayıcısı. DB dosyaları şurada görülebilir:
Şekil 8.
IMO'da uygulama, birkaç klasörün alt klasörlerle dolu olduğu ve alt klasörlerin bulunmadığı altı
klasörden oluşuyordu. 4 klasörün alt klasörü yoktur (lab, dosyalar, yedekleme yok,
1 kitap -
Şekil 9, accountdb veritabanı dosyasıdır, iki (2) tablo vardır ve bunlar aşağıdakilerle doldurulmuştur:
- Exocatche
veriler, yani: hesap tablosu ve
-
Android meta verileri. Bir masa hesabında Serpente kullanıcı adına sahip 1 kullanıcı bulunmaktadır.
Com.android.renderscript.cat Bu
akıllı telefon hesabında kayıtlı e-posta adını ifade eder. Android'deyken
- Image_manager_disk_catche
- webviewcatcheChromium
- webviewcatcheChromiumSta
gitmiş
10 dosya resmi
- com.google.android.gms
.ads.db
4 dosya veritabanı
4 Dosyalar -
Şekil 9. immofriends veritabanındaki Video_message
başvuru. AF OSE mantığını Linux sistemi santoku üzerinde çalıştıran uygulama aynı zamanda
veritabanı, dosya, back_up ve no. paylaşılan_pref. altı klasörden yalnızca bir klasördür ve
Bu klasörler tek tek açıldıktan sonra analiz edilebilecek bazı kanıtlar bulunur, bunlar önbellek klasörü ve alt klasörleri olan bir veritabanını yakalar. Alt klasörler bir resim koleksiyonu içerir
veritabanı klasörüdür. Her iki klasörde de IMO kullanıcı aktivitelerinden resim ve video biçiminde bir ve IMO kullanıcı etkinliği uygulamasından video dosyaları. Altı klasör başarıyla açıldıktan sonra,
dosya koleksiyonu bulunur resim ve video içeren alt klasörlere sahip yalnızca 2 klasör kalır.
Dosyalar. Önbellek klasöründe bazı görüntü dosyaları ve 1 video dosyası içeren göz alıcı bir alt klasör Kanıtları tamamlayacak bir referans olabilir.
bulunur.
görüntü dosyaları com.imo.adroid.IMO / önbellek adresinde mevcuttur. Görüntü dosyasının türü/türü Linux Santoku kullanan IMO Uygulaması üzerine SQlite Veritabanının bu araştırması
RIFF ses iken. Resim dosyasının boyutu en büyük boyuttan 74,0 KB'ye kadar değişir, edinme yalnızca Günlük Görüntülü Aramayı bulabilir. Bu nedenle önümüzdeki dönemde beklenen
ve en küçük boyut 20,1'dir araştırma, IMO Uygulaması tabanlı Android'de Görüntülü Arama dosyalarını arayabilir.
13
Machine Translated
Google'ın Çevirdiği Makine by Google
5. KAYNAKLAR [1] A. Fauzan, I. NIST Çerçevesini kullanan Messenger,” Int. J. Siber Güvenlik Rakamı.
Adli tıp, cilt. 16, hayır. 4, s. 198–205, 2017.
Riadi ve A. Fadlil, "Siber Suçların İşlenmesi için Line Messenger'ın
Dijital Adli Bilimi" Annu. Res.
Semin., cilt. 2, hayır. 1, s. 159–163, 2017. [12] J. Grover, "Android adli bilimi: Mobil cihazdan otomatik veri toplama ve
raporlama," Digit. Araştırma., cilt. 10, hayır.
[2] AS ve J.-PVB Richard de Beer, “Anti Forensics: A
EK., 2013.
Uygulayıcı perspektifi,” Int. J. Siber Güvenlik. Hane.
Adli tıp, cilt. 4 no.2, 2015.
[13] A. Prayogo, I. Riadi ve A. Luthfi, “Statik Adli Bilimi Kullanarak Mobil Bankacılık
Uygulamasının Mobil Adli Tıp Gelişimi,” Int. J.
[3] A. Simão, F. Sícoli, L. Melo, F. Deus ve R. Sousa Júnior, “Android Akıllı
Hesapla. Başvuru, cilt. 160, hayır. 1, s. 5–10,
Telefonlarda Dijital Kanıtların Edinilmesi ve Analizi,” Int. J. Adli
2017.
Bilişim. Sci., cilt. 6, hayır. 1, s. 28–43, 2011.
[8] R. Umar, I. Riadi ve G. Maulana, “A Comparative Study of [19] D. Ariyus, Kriptografiye Giriş: Teorilerin Analizi ve Uygulaması.
NIST Ölçümlerini Kullanarak WhatsApp Analizi için Adli Yogyakarta: CV. Andi Ofset, 2008.
Araçlar,” Int. J. Av. Hesapla. Bilim. Başvuru, cilt. 8, hayır. 12, s. 69–75,
2017.
[20] MP Aji, I. Riadi ve A. Lutfhi, "XML kayıtlarını kullanarak snapchat
[9] J. Lessard ve GC Kessler, “Android Forensicsÿ: Simplifying uygulamasının dijital adli analizi", J.
Cep Telefonu Muayeneleri” Küçük Ölçekli Rakam. Device Forensics J., cilt. Teori. Başvuru Enf. Technol., cilt. 95, hayır. 19, s. 4992– 5002,
4, hayır. 1, s. 1–12, 2010. 2017.
[10] C. Racioppo ve N. Murthy, “Android Forensicsÿ: Bir Vaka Çalışması [21] R. Ruuhwan, I. Riadi ve Y. Prayudi, “Entegrasyonun Değerlendirilmesi
' HTC Incredible ' Telefonunun, Proc.
Yumuşak sistem metodolojisi kullanılarak akıllı telefonların araştırılmasına
Öğrenci-Fakülte Arş. Gün, s. 1–8, 2012. yönelik dijital adli tıp soruşturma çerçevesi,” Int. J. Elektr.
bilgisayar Müh., cilt. 7, hayır. 5, s. 2806–2817, 2017.
[11] I. Riadi, Sunardi; ve A. Firdonsyah, “Android's Blackberry'de Adli
Araştırma Tekniği
14
IJCATM: www.ijcaonline.org