TOPIC:

Serinin 2. Bölümünde bilgsayar ile telefonun haberleşmesini sağlayan ADB (Android Debug Bridge) uygulamasını kullanarak Android üzerindeki Log'lar incelenecektir. Logcat, dumpsys gibi komutlar ile Cihaz üzerinden alınabilecek verilere göz atılacaktır.

Mobile Forensics - Bölüm 2'yi okumadan önce Mobile Forensics - Bölüm 1'i incelemek bütünlük açısından faydalı olacaktır.



resim-1.png
Android Debug Bridge
Android cihazlar ile bilgisayar arasında köprü vazifesi gören ADB için Türkçe "Android Hata Ayıklama Köprüsü" denilebilir. Android cihazlar üzerindeki hata ayıklama modu aktif hale getirildikten sonra cihaz, diğer farklı cihazlar ile ADB üzerinde iletişim kurabilmektedir.

ADB içerisinde birçok farklı alan için komut satırı barındırılmaktadır. Bunların ayrıntılı listesi ve kullanımı için adb /help komutu veya direkt olarak bu sayfa ziyaret edilebilir.

ADB ile alaka birincil olarak cihaz bağlantısı 2 ayrı kolda ele alınacaktır.

Cihaz ile bağlantı

Bir çok cihaz, farklı bir cihaz ile usb bağlantısı kurduğunda, bağlantı kurmuş olduğu cihazı kendisine enerji kaynağı olarak algılamaktadır. Buda cihazın işletim sistemi tarafından tanınma ve algılanmasında sorunlar yaşatmaktadır. Windows işletim sistemi üzerinden giderek anlatmak gerekirse; Windows İşletim sistemine bağlanılan Android cihazın, işletim sistemi tarafından, tam olarak "Android Cihaz" olarak algılanması yani ilgili cihazın işletim sisteminize uygun Driver'ının yüklenmiş olması gereklidir.

Piyasada birçok kişi-uzman aynı sorunu yaşamaktadır. Özelliklede piyasadaki ÇİN (Chinese) malı Android cihazların chipset farklılıkları ve üretici firmaların driver konusunda destek vermemesi en çok yaşanan sorunlardan biridir. Buradan anlaşılması gereken şey işletim sistemine bağlanan Android cihazın, sisteme uygun usb driver'inin yüklü olması gerektiğidir.

resim-2.png
Yukarıda ki resimde görüldüğü gibi bağlanan cihaz sistem tarafından Android USB Devices altında listelenir. Bu mutlaka dikkat edilmesi gerek bir ayrıntıdır.

Bunun dışında bazı cihazlar USB bağlantısı sağlandıktan sonra sistem tarafından harici depolama birimi olarak algılanabilir. Bu şekilde bir sorunla karşılaşıldığında Windows işletim sistemi üzerinde Taskbar'daki System Tray olarak adlandırılan bölümde yer alan USB aygıtların listelendiği (Safely Remove Hardware and Eject Media ) bölüme gelip mouse ile sağ tuşu tıklayıp "Eject SD Card" denilebilir.

resim-3.png
resim-4.png
Daha sonra cihazın işletim sistemi ve ADB tarafından Android cihaz olarak algılandığını kontrol edilmelidir.

ADB için Android SDK içerisindeki platforms-tools içerisinden ulaşılabilir. Eğer elde mevcut değilse bu adresten indirilebilir.

Üretici firmaların Android ürettiği cihazlar için sağlamış olduğu driver'lar kendi web sitelerinden indirilmelidir. Bunun için bu link takip edilebilir.

Çin malı diye tabir edilen piyasadaki üretici firması belli olmayan ve farklı chipset'lere sahip Android cihazlar için google'ın USB driver'ı kullanılabilir. Android SDK içerisinde bulunan extra/google/usb_driver dizinindeki android_winusb.inf dosyasına eklemek istenilen cihazin id'sini dosyasına manuel olarak eklenebilir. USB\VID_CIHAZDISI bu şekilde bu cihazlar üzerindede işlem yapılabilir.

ADB ile cihazın tanındığından emin olmak gerekirşe; yeni bir command penceresi açıp (ADB'nin bulunduğu dizinde olunmasına dikkat edilmalidir. Yada bilgisayarın Enviroment Variables kısmındaki user variables for PC altında kalan path'e adb dizinini dahil edilmelidir. )

resim-5.png
"# adb devices" komutu çalıştırılır ve cihazın I5508.. Device olarak algılandığını görülür.

resim-6.png
Kullanılacak ADB sürümüne dikkat etmek gerekir. En güncel sürümü tercih edilmelidir. Örneğin ADB 1.0.26 sürümünde backup özelliği yoktur fakat ADB 1.0.31 sürümünde backup özelliği kullanılabilir durumdadır.

Mobile Forensics - Bölüm 1'de Oxygen Forensics Suite'den bahsedilmişti. Bu uygulamayı inceleyenler uygulama içerisinde DrivePack olarak toplu driver klasörü olduğunu göreceklerdir. Anddroid ve bir çok cihaz içip toplu bir derleme yapılmış durumdadır.

Logcat

#adb logcat

veya spesifik olarak birden fazla cihaz bağlı ise tek bir cihaz üzerinden:

#adb -s cihazserialnumarası logcat olarak bu komut çalıştırılabilir.

Logcat, android debug yöntemlerinden biridir. Sistem ve uygulamalara ait debug mesajlarını barındırır. Bu uygulamaların başlatılmasından sonlandırılmasına kadar geçen sürede bir sistem mesajını ve uygulamayı oluşturan kişinin belirlediği mesajlardan oluşmaktadır. Bu mesajlar arasında bir çok bilgiye rastlamak mümkündür.

İlgili uygulamaların verbose, debug, information, warning, error başlıkları arasında herhangi bir konu/alanda bilgi barındırabilirler. Nedir bu bilgiler? denirse ve biraz konuyu geliştirmek gerekirse iki örnekle tanımlanabilir.

resim-7.png
Yukarıdaki resimde görüldüğü gibi V/WifiMonitor'den verbose başlığı altında bir bilgi aktarılmış bu bilgi bir wifi aygıtının mac adresi ve ssid altında isminden oluşmaktadır. Bu bilgi yerine göre çok kıymetli olabilir. Örneğin; karşılaşılan, çıkan/incelenen olay kişinin bir alanda bulunmasını kanıtlamaksa ve bulunan mac adresi olay mahalindeki bir cihaza ait ise şahsın burada bulunup bulunmadığını kolayca anlaşılabilir. Daha birçok konu hakkında bilgi barındırabilir ve en güzel kısmı root hakkı gerektirmemektedir.

resim-8.png
Yine aynı şekilde I/SearchDialog için information başlığı altında girilen bir website adresine rastlamak mümkündür. İyi analiz edilerek çok faydalı bilgiler toplanabilir.

Dumpsys

#adb dumpsys

veya spesifik olarak birden fazla cihaz bağlı ise tek bir cihaz üzerinden:

#adb -s cihazserialnumarası dumpsys olarak bu komu çalıştırılabilir.

Dumsys sistem dump olarak açıklanabilir. Bu komut servislerin, memory ve diğer sistem detaylarını verir ve yine en güzel kısmı root hakkı gerektirmemektedir ve iyi bir analiz ile faydalı bilgiler elde edilebilir.

resim-9.png
Yukarıda ki resimde görüldüğü üzere account servisi için cihaz'a yüklenmiş olan e-posta hesabıda yine sysdump içerisinde görülmektedir. Yine aynı şekilde GPS servisi için location bilgisi bulmakta mümkündür.

resim-10.png
Devamı Mobile Forensics - Bölüm 3'te paylaşılacaktır.