데이터 복구, 디지털 포렌식 기법 체험담(Android편)

이전 CTF 기사 htps : // 이 m / 55도 가져 오면 55 / ms / 03 ~ cd0 111b38061 6fc
은 매우 간단한 ADB 서비스를 이용하여 Android 기기를 침입하는 방법입니다.
어제도 회사의 인턴쉽 같은 학년에서 "내 스마트 폰으로 해 보겠어?"듣고, 경제적인 방면에서 생각한다고 포기했습니다 (변상 가능성 무한대).

그래서 오늘 아침 다시 한번 이 모의 안드로이드를 체크할 때, 이 안에 재미있는 서비스를 발견했습니다.
/system/xbin에 busybox라는 도구가 있습니다.


busybox는 LINUX의 일반 명령을 Android 기기에서 실행할 수 있는 도구입니다.

법의학 원리 : busybox를 설치하는 ANDROID 장치를 dd 명령을 실행하고 미래의 디지털 법의학을 분석하기 위해 현재 Android 장치의 이미지 파일을 만들고 원격 OS로이 이미지 파일을 전송합니다.

먼저 루트를 취합니다.


mount 명령을 사용하여 누군가 system을 [mount]하고 있는지 확인합시다 : (/dev/block/sda1입니다)


LISTEN 모드를 사용합니다.이 Android 기기는 원격 OS 명령을 받으면 8888 포트에서/dev/block/sda1 이미지 파일을 전송합니다.


원격 OS에서는 터미널을 사용하여 8888 포트에서 이미지 파일을 전송합니다.

결과를 확인합니다.


이대로 기사 끝내는 것이 아니다



현실적인 사용 환경을 감안할 때 Android 기기에 busybox를 넣는 일반인은 적을 것입니다. 문제점은 :
1, 무슨 커맨드 사용하면 수사 대상 디바이스에 busybox를 넣는다?
2, 명령 싫기 때문에, 어떻게 하면 간단하게 수사 대상 디바이스의 메모리를 읽는다?
3, 수사 대상 디바이스를 전원이 켜지는 대로 디버그 모드를 변경하고 싶은 방법?
2번의 대답은(전자계 출신):
물리적 수단 : 칩 오프 방법 : 히트 건을 사용하여 플래시 메모리를 장치의 마더 보드에서 가져옵니다.
그러면 플래시 메모리 읽기 전용 설비를 사용합니다.
주의 : 플래시 메모리의 내열 온난은 거의 낮다 (100-150도 이내?), 히트 건의 사용법이 잘못되면 파손의 가능성이 매우 높습니다.
3번의 대답은:JTAG:직접 메인보드로 배선해, 강제적으로 디바이스를 디버그 모드로 변경시킵니다(메이커의 설계도 있으면 도움이 됩니다).


1번의 생각:
목표: busybox를/system/xbin에 씁니다.
1, 종래, 【READ-ONLY】의 system 파일을 기입 상태로 합니다. 여기서 mount -o remount 를 사용합니다. 루트가 아닌 계정은 chmod 명령을 사용하여/system/xbin을 읽을 수 있습니다. (비 ROOT 계정은 xbin 파일을 읽을 수 없기 때문에)
2. 그런 다음 busybox 파일을 adb shell push 명령어를 사용하여 xbin에 씁니다.
3, 현재/system/xbin/busybox라는 루트가 만들어져 Android의 터미널에서 busybox-install라는 명령을 사용하여 Android에 설치합니다.
4, busybox 벌써 수사 대상 디바이스에 인스톨 되고, 이후의 흐름은 이 기사의 맨 위로부터 할 것입니다.

앞으로 YOUTUBE에서 비디오를 만들어 자세한 조작 방법을 소개하고 싶습니다.

좋은 웹페이지 즐겨찾기