Baru-baru ini saya menerima
Pengumuman Windows 10 Insider Preview Build 18999 termasuk pembaruan untuk aplikasi "Telepon Anda", dan hal pertama saya adalah - apakah ada sesuatu yang berguna untuk forensik digital?
Jadi, saya segera menginstal aplikasi ini di workstation pengujian saya dan menghubungkannya dengan ponsel Android saya. Pada saat yang sama saya memeriksa semua aktivitas sistem dengan Process Monitor untuk memahami di mana semua file aplikasi Ponsel Anda disimpan.
Tampaknya semua file berada di:
% userprofile% \ AppData \ Local \ Packages \ Microsoft.YourPhone _ ??????? \ LocalCache \ Indexed \ ???????????????????????? \ Sistem \ Database
Di mana "????" adalah ID acak
Berikut adalah konten di dalam folder ini:
Dan Anda dapat melihat beberapa file
.db yang merupakan
SQLite DatabasesYah, saya sudah mengunduh Browser SQLite sederhana dan membukanya satu per satu untuk memeriksa internal. Beberapa DB kosong, oleh karena itu saya akan menjelaskan hanya yang dengan info "Forensically sound".
1. Pemberitahuan.dbTabel pemberitahuan :
Ketika sesuatu terjadi pada smartphone Android Anda, pemberitahuan tentang acara tersebut muncul dan aplikasi Ponsel Anda menempatkan acara ini di sini, ke dalam tabel ini. Saya telah mengirim email dari desktop ke ponsel cerdas saya, pemberitahuan sembulan tentang surat baru telah muncul dan di sini Anda dapat melihat banyak properti yang diekstraksi dari pemberitahuan:
appname - aplikasi email seluler saya
bigtext - subjek dan teks
bigtitle - nama saya
posttime - cap waktu ketika pesan telah diterima oleh server email dalam format Unix-time
subteks - alamat email pengirim
timestamp - timestamp ketika pesan telah dikirim
Nah, seorang penyelidik bahkan tidak perlu pesan itu sendiri, ia bisa mendapatkan banyak info, termasuk teks, dari notifikasi.
2. Telepon.dbSaya menemukan banyak tabel menarik di dalam!
Tabel alamat :
Boom! Semua nomor masuk dengan stempel waktu! Keren!
Meja kontak :
BOOM lagi! Seluruh daftar kontak bahkan dengan foto :))
Tabel pesan :
Pesan teks (SMS) dengan nama pengirim (saya telah memotong pengirim dengan nomor, tetapi Anda dapat mempercayai saya - mereka ada di sana) dan cap waktu, dan teks (ya, dari bank dan jenis)
Tabel berlangganan :
Ini adalah info tentang kartu SIM
3. Foto.dbMeja foto :
Suatu kejutan! Semua foto yang disimpan di ponsel dengan cap waktu :-)
4. Pengaturan.dbTabel Phone_apps :
Semua daftar aplikasi terpasang. Tidak begitu menarik, tetapi siapa yang tahu ...
Jadi, sebagai final - bagaimana menurut saya?
Tentu saja itu cara yang benar-benar tidak aman untuk menyimpan informasi yang sangat penting dalam database yang tidak dienkripsi. Sebagai contoh, seorang penyusup bisa mendapatkan akses jarak jauh ke laptop atau stasiun kerja Anda (menggunakan
Telegram RAT , haha โโ:)) dan mengunduh banyak data pribadi penting Anda.
Di sisi lain - ini adalah tempat yang baik untuk mendapatkan lebih banyak bukti digital untuk penyelidik forensik komputer, misalnya, dalam kasus ketika inseder terlibat dalam serangan cyber yang ditargetkan perusahaan. Mendapatkan nomor telepon dari penyerang serangan adalah poin yang bagus untuk penyelidikan lebih lanjut.
Diamankan dan terima kasih atas perhatiannya!