You are on page 1of 4

ZAJEMANJE SLIKE PODATKOV Zajemanje slike podatkov je proces pri katerem kopiramo nespremenjene datoteke v slikovno datoteko.

Slikovno datoteko si lahko predstavljamo kot ko datoteko, ki zagotavlja plast zaite njeni vsebini. Bolj po domae je enako kot zipanje veih datotek. Fizina slika trdega diska bo shranila vse enke in nile na disku. Prav tako bo shranila tudi izbrisan prostor trdega diska, tudi e je bil ta ravnokar formatiran. Shranil bo izbrisane podatke in datoteno fragmentacijo. e nekdo ustvarja fizino sliko 1 TB podatkov, bo rezultat 1 TB podatkov, edino e niso uporabljeni kompresijski algoritmi.

Logina slika trdega diska bo shranila vse aktivne podatke oziroma datoteni sistem. Vse to bo shranjeno, e zajemamo logino sliko podatkov. Ponavadi izbrisan prostor, izbrisane datoteke in fragmetacije, ne bodo shranjene. e nekdo dela sliko 1 TB podatkov, in je samo 30 GB podatkov aktivnih, potem bo rezultat logine slike 30 GB, e seveda nad podatki ne bomo delali kompresije.

PRIDOBIVANJE LOGINE SLIKE PODATKOV Imamo dva naina za pridobivanje logine slike podatkov. Prvi nain je logina analiza specifine baze podatkov. Drug nain pa je naprava imenovana UEFD. V nadaljevanju si bomo pogledali oba naina pridobivanja logine slike in na koncu ugotavljali prednosti in slabosti obeh pristopov.

Logina analiza specifine baze podatkov eprav ima pridobivanje fizine slike zelo velik pomen za dostop do izbrisanih informacij, ki bi jih drugae spregledali, je veliko podatkov, ki so bili vidni z FTK (acess data forensic tool kit), fragmentiranih in jih je bilo zelo teko prebrati. e gledamo logino sliko podatkov, nam ta pokae celotno bazo podatkov, ki niso fragmentirani. V primeu opisanem v lanku so pregledovali direktorij /data/data, v katerem je bilo najdenih 154 poddirektorijev. Z spodnjim ukazom, smo naredili logino sliko podatkov, in jih zapekli na scard: dd if=/data/data/subdir/databases/file.db of=/sdcard/file.db Nekaj zanimivih direktorijev: /data/data/com.android.browser/databases/browser.db, ki predstavlja bazo podatkov Android brskalnika. Vsebina tega direktorija razkriva uporabnika imena, URL-je, in gesla, ki so v istopisu, vsi podatki zapisani v razline obrazce, zgodovina brskalnika in zgodovina iskanja (eprav smo mislili, da so te informacije zbrisane). /data/data/com.android.browser/gears /geolocation.db, ki hrani zadnjo znano lokacijo, ki je bila zaznana s strani GPS. /data/data/com.google.android.apps.maps/databases/search_history.db. Ta datoteka vsebuje zgodovino vseh iskanj, ki so bile vneene v google maps aplikacijo. /data/data/com.google.android.googleapps/databases/accounts.db. Vsebuje informacije o google aplikacijah, prav tako shranjuje uporabniko ime in kriptirano geslo. /data/data/com.android.providers.telephony/databases/ direktorij vsebuje informacije povezane z sporoilnimi aplikacijami (vsa besedilna in slikovna sporoila).

UEFD Univerziteta CelleBrite je ustvarila forenzino napravo imenovano UFED, ki je zasnovana tako, da lahko pridobi vse podatke s telefona. Te podatke lahko shranjuje na USB, SD kartico ali na raunalnik. Lahko tudi kloniramo SIM kartico. Prednost tega je, da lahko vsavimo klonirano SIM kartico v telefon in ta bo normalno funkcioniral. UFED je samostojna strojna oprema, ki pridobi vse: -kontakte, - SMS - zgodovino klicev (prejeti, opravljeni, zgreeni) - zbrisani SMS-i - audio posnetki - video - slike - podrobni podatki o telefonu (IMEI/ESN tevilka telefona)

Slika 1: Naprava UFED

UFED lahko kominicira s telefonom preko podatkovnega kabla, infrardeega kabla ali bluetooth. Podatki na SIM kartici so lahko prebrani direktno s kartice, ali pa je kartica e v samem telefonu. UEFD naprava lahko pridobi logine ali fizine podatke, eprav pridobitev fizinih podatkov ni podprta za vse telefone. Podatke pridobimo v HTML, XLS, CSV ali XML formatu. Naprava ima prav tako vmesnik, ki je enostaven in ne potrebuje nobenega poglobljenega tehninega znanja. UEFD naprava zane svoje poroilo z osnovnimi informacijami o samem telefonu (npr. MEID to je globalno unikatna tevilka, ki identificira telefon), s katerim modelom telefona sploh imamo opravka, koliko je ura na telefonu, kdaj smo zaeli z pridobivanjem podatkov, itd.

Slika 2: UFED Report Manager

Prednosti in slabosti Logina analiza specifine baze podatkov: Prednosti: virtualno popravi vse, kar je lahko v pomo mobilni forenziki, vkljuno z zgodovino klicev, zgodovino brskalnika in iskanja, slik, MMS/SMS-ev, e-mail sporoil, in celo GPS podatkov, gesel in glasovnih sporoil. Slabosti: potrebuje root dostop, in ni nael vseh zbrisanih SMS, klicev in kontaktnih informacij.

UEFD: Prednosti: pridobi vse izbrisane MMS/SMS, zgodovino klicev, slik, video, kontaktnih informacij. Enostaven vmesnik, ni potrebno poglobljeno tehnino znanje. Kloniranje SIM kartice. Slabosti: logina ekstrakcija podatkov, medtem ko fiizna ekstrakcija e ni podprta za vse modele. Izbrisani e-majli, zgodovina brskanja in klicev ni mo pridobiti.