Novija izmjena
|
Starija izmjena
|
racfor_wiki:forenzika_aplikacija:forenzicka_analiza_podataka_outlook_android_aplikacije [2023/01/09 18:51] dt51904 stvoreno |
racfor_wiki:forenzika_aplikacija:forenzicka_analiza_podataka_outlook_android_aplikacije [2023/06/19 18:17] (trenutno) |
===== Forenzička analiza Outlook Android aplikacije ===== | ===== Forenzička analiza podataka Outlook Android aplikacije ===== |
| |
| ===== Sažetak ===== |
| |
| E-pošta je postala glavno sredstvo poslovne komunikacije, te je tako Outlook kao jedan od najpopularnijih klijenata za rad s e-poštom postao zanimljiv predmet za forenzičku analizu. Ovaj seminarski rad daje pregled podataka koje Outlook Android aplikacija pohranjuje na mobilne uređaje, opisuje tehniku prikupljanja prikazanih podataka i njihovu strukturu. |
| |
===== Uvod ===== | ===== Uvod ===== |
| |
| E-pošta je i dalje najčešće korištena tehnologija za poslovnu komunikaciju, stoga ne čudi što je forenzika e-pošte vrlo česta i bitna u forenzičkim istragama. Microsoft Outlook je jedan od najpopularnijih klijenata za rad s e-poštom, postoji kao program za sve veće operacijske sustave uključujući i operacijske sustave za mobitele a prvi put je objavljen 1997. godine. Outlook zapravo nije kategoriziran kao klijent za e-poštu, već kao upravitelj osobnim informacijama odnosno u originalnom terminu Personal Information Manager(PIM). To je zato što osim pružanja mogućnosti rada s e-poštom, pruža i dodatne mogućnosti upravljanja kalendarom, zadatcima, kontaktima, itd. Iz perspektive računalne forenzike to znači da je potencijalno moguće saznati puno raznih informacija, puno više od samo poruka e-pošte. |
| |
| S razvojem i popularizacijom pametnih mobitela, Outlook je 2015. godine dobio prvu mobilnu verziju. Postojeća forenzika Outlook programa uglavnom se svodi na analiziranje PST datoteke koju je moguće generirati na verziji programa za osobna računala. Iz tog razloga, a i aktualnosti mobilnih uređaja, u ovom seminaru ćemo proanalizirati podatke Outlook aplikacije za operacijski sustav Android. Želimo saznati što to Outlook sprema na mobilni uređaj, štiti li podatke, i koje informacije je moguće saznati iz tih podataka. |
| |
Forenzička analiza aplikacija za razmjenu poruka i poziva obično uključuje ispitivanje i analizu podataka pohranjenih na uređaju ili u oblaku kako bi se identificirale i izvukle relevantne informacije. Točnije, ona može uključivati i analizu poruka, dnevnika razgovora, metapodataka i drugih vrsta podataka koji mogu biti pohranjeni kao dio aplikacije. Cilj forenzičke analize je povratiti i sačuvati dokaze koji se mogu koristiti za razumijevanje konteksta razgovora i identificiranje potencijalnih tragova. | ===== Prikupljanje i struktura podataka ===== |
| |
| Kako bi prikupili podatke, potrebno je znati nešto o strukturi podataka na Android operacijskom sustavu. |
| |
===== Poglavlje 3 ===== | Glavni direktoriji su: |
| * ''/boot'' |
| * ''/system'' |
| * ''/recovery'' |
| * ''/data'' |
| * ''/cache'' |
| * ''/misc'' |
| * ''/sdcard'' |
| |
| Nama je zanimljiv ''/data'' direktorij jer se u njemu nalaze svi korisnikovi podatci, uključujući podatke od aplikacija. Konkretno, podatci Outlook aplikacije nalaze se u ''/data/data/com.microsoft.office.outlook'' direktoriju. Da bi pristupili tom direktoriju potrebne su root ovlasti, koje nemamo dok koristimo mobilni uređaj. Bez root ovlasti ipak možemo pristupiti direktoriju koji sadrži cache datoteke. Te datoteke nam nisu od velike koriste jer ne sadrže puno podataka, nisu lijepo strukturirane i teško im je pristupiti jer su u posebnom ''.m'' formatu koji ne možemo čitati bez posebnih programa. |
| |
| Ostaje pitanje kako doći do root ovlasti? Kada bi radili forenziku na stvarnom uređaju bilo bi potrebno steći root ovlasti za taj uređaj, za što postoje brojne upute na internetu. No, kako se stjecanjem root ovlasti gubi garancija na uređaj, za potrebe ovog seminara korišten je **virtualni Android uređaj** na koji je stavljena slika operacijskog sustava u kojoj su već prisutne root ovlasti. Zatim je ručno instalirana Outlook mobilna aplikacija. Aplikacija Outlook u izvođenju na virtualnom Android uređaju prikazana je na slici ispod. Sada kada imamo root ovlasti možemo pristupiti navedenom direktoriju i pogledati koje datoteke se unutra nalaze. Ovo radimo pomoću **Device File Explorer** alata koji je dostupan u **Android Studio programu**. |
| |
| {{ :racfor_wiki:forenzika_aplikacija:outlook_aplikacija_u_simulatoru.jpg?nolink&200 |}} |
| |
| ===== Analiza podataka Outlook aplikacije ===== |
| |
| U direktoriju aplikacije se nalazi veći broj poddirektorija, od kojih ćemo razmatrati sljedeće: |
| * ''app_logs'' |
| * ''databases'' |
| * ''files/files/S0/1/Attachments'' |
| * ''files/files/S0/1/Photos'' |
| |
===== Poglavlje ... ===== | Svi poddirektoriji su prikazani na slici |
| {{ :racfor_wiki:forenzika_aplikacija:sadrzaj_outlook_direktorija.jpg?nolink |}} |
| |
| |
| ==== Logovi ==== |
| |
| Logovi se nalaze u ''app_logs'' direktoriju. Na slici ispod je prikazan sadržaj ''app_logs'' direktorija. |
| Log datoteka koja sadrži najviše podataka je ''outlook.log''. U njoj je zapisano gotovo sve što je korisnik radio u aplikaciji, te je uz pomoću puno truda moguće odrediti koje poruke je čitao i slao i kada. Datoteka je vrlo opsežna i teško ju je čitati. Druge manje zanimljive log datoteke su ''appUpdates.log'' koja govori kada je aplikacija ažurirana, ''calendarSync.log'' koja govori kada je sinkroniziran kalendar te ''contactSync.log'' koja govori kada su sinkronizirani kontakti. Direktorij sadrži još log datoteka no iz njihovog sadržaja je teško išta zaključiti. |
| {{ :racfor_wiki:forenzika_aplikacija:sadrzaj_app_logs_direktorija.jpg?nolink |}} |
| |
| ==== Baze Podataka ==== |
| |
| Aplikacija sadrži nekoliko baza podataka, slika ispod prikazuje sadržaj ''/databases'' direktorija. Baze podataka nisu sadržavale puno korisnih informacija, to je vjerojatno zbog toga što je aplikacija tek instalirana na uređaj i nije puno korištena. Za čitanje podataka iz datoteke baze podataka formata ''.db'' korišten je alat **sqlitebroswer**([[www.sqlitebrowser.org]]). Najkorisnije baze podataka su ispale ''accompliAcct.db'' i ''olmcore.db'' koje jedine sadrže neke korisne podatke. |
| Baza ''accompliAcct.db'' sadrži podatke o postojećim korisničkim računima zajedno s korisničkim postavkama. Sadržaj tablice ''mailAccounts'' je prikazan na slici ispod. |
| Baza ''olmcore.db'' sadrži podatke o cache-iranim body dijelovima poruka e-pošte. Sadržaj njene tablice ''message_body_cache'' je prikazan na slici ispod. Za bolju kvalitetu slika kliknuti na sliku! |
| {{ :racfor_wiki:forenzika_aplikacija:tablica_mailaccounts.jpg?direct&400 |}} |
| |
| {{ :racfor_wiki:forenzika_aplikacija:tablica_message_body_cache.jpg?direct&400 |}} |
| ==== Datoteke ==== |
| |
| U direktoriju ''/files'' se nalazi veći broj poddirektorija, no samo mali broj tih direktorija sadrži korisne datoteke. Poddirektorij ''files/files/S0/1/Attachments'' sadrži privitke poruka e-pošte, što su dosad najkorisnije informacije koje smo uspjeli prikupiti. Jedna slika iz privitka i preglednik datoteka za taj direktorij su prikazani na slici ispod. Poddirektorij ''files/files/S0/1/Photos'' sadrži slike korisnika s kojima smo komunicirali porukama e-pošte preko Outlook klijenta. |
| {{ :racfor_wiki:forenzika_aplikacija:prikaz_privitka_i_files_direktorija.jpg?direct&400 |}} |
| |
| |
===== Zaključak ===== | ===== Zaključak ===== |
| |
| Doći do podataka mobilnih aplikacija na operacijskom sustavu Android nije lagan zadatak te je za prikupljanje podataka bilo koje aplikacije potrebna root razina ovlasti. U podatcima Outlook Android aplikacije nije pronađeno puno podataka, a još manje stvarno korisnih podataka za forenzičku analizu. Moguć uzrok ovoga je što je analizirana svježe instalirana Android aplikacija na svježe pokrenutoj inačici operacijskog sustava, pa kako aplikacija nije puno korištena nije ni spremljeno puno podataka. Drugi mogući uzroci su da Outlook aplikacija bitne podatke ne sprema na standardnu lokaciju što je moguće, no malo vjerojatno. Moguće je da su podatci sadržani u datotekama kojima nisam uspio pristupiti zbog nepoznatih formata i ne poznavanja alata kojima je moguće doći do informacija sadržanih u tim datotekama. |
| |
===== Literatura ===== | ===== Literatura ===== |
| |
[1] [[https://dl.acm.org/doi/pdf/10.1145/1161366.1161375| Wang W., Farid H.: Exposing Digital Forgeries in Video by Detecting Double MPEG Compression]] | [1] [[https://en.wikipedia.org/wiki/Microsoft_Outlook]] |
| |
| [2] [[https://thesecmaster.com/explore-the-android-file-system-hierarchy-in-depth/]] |
| |
| [3][[https://infosecwriteups.com/get-yourself-a-rooted-android-virtual-device-avd-fb443d590dfa]] |
| |
| [4] [[https://www.systoolsgroup.com/forensics/outlook-pst/]] |
| |
[2] [[http://clem.dii.unisi.it/~vipp/website_resources/publications/conferences/2014_ICASSP_GironiFBPB_A_Video_Forensic_Technique_For_Detecting_Frame_Deletion_And_Insertion.pdf | A. Gironi, M. Fontani, T. Bianchi, A. Piva, M. Barni: A VIDEO FORENSIC TECHNIQUE FOR DETECTING FRAME DELETION AND INSERTION ]] | |
| |
[3] [[https://www.forensicfocus.com/articles/forensics-bitcoin/]] | Poveznice na prezentaciju: |
| |
| PDF -> [[https://drive.google.com/file/d/1Qx_X4pUiRVF2m3FQqOMypK9J-vlTcsvw/view?usp=share_link]] |
| |
| PPTX -> [[https://docs.google.com/presentation/d/1J5URF6ssoMCNS5L7GMsaDxqrPZj6QWWv/edit?usp=share_link&ouid=101885060050855535465&rtpof=true&sd=true |
| ]] |