Day-7
Positive Day -7
Android Version 6 ကနေစပြီးရင် Full Disk Encryption (FDE) ကိုစတင်လာပါတယ်။ User ရဲ့ data တွေကို Secret Key နဲ့ Encrypt လုပ်လိုက်ပါတယ်။ Secret Key ကို User ပေးထားတဲ့ Pin, Password နဲ့ ထပ်ပြီး Encrypt ထပ်လုပ်ထားပါသေးတယ်။ Flash Memory ပေါ် မှာ သွားမသိမ်းခင်ကတည်းက user ရဲ့ data တွေကို Encryption လုပ်ထားလိုက်ပါတယ်။ ဒါက Chipoff အတွက် အခက်အခဲ ဖြစ်လာစေပါတယ်။
Android Version 7 ကနေစပြီးရင် Android Verify Boot စတင်ပါ၀င်လာပါတယ်။ Normal Mode အနေနဲ့ Phone Operation System တက်လာဖို့ Partation နဲ့ Segment တွေမှာ အဆင့်တိုင်း Integrity ရှိ မရှိ စစ်ဆေးပါတယ်။ တစ်ခုခုကို ပြင်ထားမယ်ဆိုရင် Integrity မမှန်ဘူးဆိုရင် Normal Mode အနေနဲ့ Boot တက်လာမှာ မဟုတ်ပါဘူး။ ကွန်ပျူတာမှာ UEFI ပုံစံနဲ့ ဆင်တူပါတယ်။
Android Version 7 နဲ့ နောက်ပိုင်းမှာ File Base Encryption (FBE) ပါ၀င်လာပါတယ်။ File အာလုံးအတွက် Encryption Key တစ်ခုထဲမဟုတ်ပဲ File တစ်ခုချင်းစီကို Encryption Key တစ်ခုစီ ဖြစ်လာပါတယ်။
Full Disk Encryption (FDE) မှာတုန်းကလို File အားလုံးကို Decrypt လုပ်ဖို့စောင့်စရာမလိုတော့ပါ။ ဒါကြောင့် Notification အချို့ကို User က Phone ကို Unlock မလုပ်ထားရင်တောင်မှ Screen မှာ မြင်နေရတာပါ။
Android 7 နှင့် နောက်ပိုင်းမှာ File Base Encryption ပါ၀င်လာတဲ့အတွက် ( FBE ) ပါတဲ့ ဖုန်းတွေမှာ Root Access ရဖို့မလွယ်ကူတာ့ပါ။နောက်ပိုင်း Boot Loader Unlock လုပ်ရတာတွေ ။ Boot Loader Unlock လုပ်ရရင် Phone က Reset ကျတဲ့ အတွက် Root လုပ်ဖို့ မလွယ်ကူတော့ပါ။ Recovery ပိုင်းအတွက် Challenge တွေ ဖြစ်လာစေပါတယ်။
Custom Recovery Methods အသုံးပြုရင်တော့ ရနိုင်ပါတယ်။ ဘာလို့လဲဆိုရင် Android ရဲ့ Recovery Partation မှာ Root Access ရှိလို့ဖြစ်ပါတယ်။
နောက်ပိုင်း Commercial Mobile Forensics Tools တွေမှာ CWM, TWRP တို့လုပ်ဖို့အတွက် အဆင့်တွေ။ CWM, TWRP ကနေရလာတဲ့ File တွေကို Analysis လုပ်ဖို့အတွက် ပါ၀င်လာပါတယ်။ ဒီအဆင့်တွေကို ကျော်ပြီး(အသုံးမပြုပဲ)
အသုံးပြုလို့ရပေမဲ့ ကျွမ်းကျင်အောင် လေ့လာထားသင့်ပါတယ်။
Forensics မှာ Data ရဖို့က အရေးကြီးဆုံး အချက်ဖြစ်ပါတယ်
Comments