Day-9
Positive Day - 9
iphone ရဲ့ file system တစ်နည်းအားဖြင့် Logical Partation ကို 2 ပိုင်းခွဲခြားထားပါတယ်။
System (Root/Firmware) နဲ့ နောက်တစ်ခုက User Data တွေရှိနဲ့ User Data Partation အပိုင်း။
System Partation မှာ IOS နဲ့ Preloaded Application တွေပါ၀င်ပါတယ်။ System Partation က Read Only အနေနဲ့ပဲ ရှိပါတယ်။ ဒါပေမဲ့ IOS Upgrade လုပ်နေတဲ့ အချိန်နဲ့ Device Jailbroken ဖြစ်နေရင်တော့ Read Only မဟုတ်တော့ပါဘူ။ Android Phone က အရင်ကဆို Root ပြီးရင်လဲ Un root လုပ်လို့ရပေမဲ့ Idevices ကတော့ တစ်ခါ Jailbreak လုပ်ပြီးရင် Forever Jailbreak ဖြစ်နေမှာ ဖြစ်ပါတယ်။
System Partation က Firmware Upgrade လုပ်နေတဲ့အချိန်ပဲ Update ဖြစ်နေမှာ ဖြစ်ပြီး Update လုပ်တဲ့အချိန်မှာ Itune က Partation တစ်ခုလုံးကို Userdata တွေကို မထိခိုက်ပဲ Format လုပ်ပါတယ်။
System Partation size က Phone ရဲ့ Nand Flash ပေါ်မူတည်ပြီး 0.8 GB - 4 GB အထိရှိပါတယ်။
အပေါ်မှာပါတဲ့အတိုင်း Firmware Upgrade လုပ်တဲ့အချိန်အထိပဲ System Partation က update လုပ်တာဖြစ်ပြီး ကျန်တဲ့အချိန်မှာတော့ စက်ရုံက ထုတ်လိုက်တဲ့ အခြေအနေအတိုင်းပဲ ရှိနေမှာ ဖြစ်ပါတယ်။ Evidence အနည်းသာ System Partation ကရရှိနိုင်ပါတယ်။
Jailbreak Device တွေ မှာတော့ System Info တင်သာမက User Data အချို့ပါ System Partation ကနေရရှိနိုင်ပါတယ်။ (Jailbreak Info ပါရရှိနိုင်ပါတယ်။)
Iphone 5 ကနေစပြီး Apple Encryption စနစ်ကြောင့်
Physical Acquisition ရဖို့မဖြစ်နိုင်တော့ပါဘူး။ Commercial Forensics Tools တွေကလဲ Logical Acquisition သာအဓိက Support ပေးပါတယ်။ Filesystem Acquisition နဲ့ DFU Mode ကနေ Acquisition လုပ်မယ်ဆိုရင် Idevices ကို Jailbreak လုပ်ရပါတယ်။
CTF တွေ Exercise တွေမှာ ပေးထားတဲ့ Phone Image တွေက Jailbreak လုပ်ထားတဲ့ Device တွေက နေယူထားတာဖြစ်ပါတယ်။ Acquisition နည်းလမ်းနဲ့ လုပ်တာမတူတဲ့အတွက် Extraction လုပ်ပြီးအခါ ရလာတဲ့ Results ရော Analysis လုပ်တဲ့နေရာမှာ ရရှိတဲ့ Results တွေမှာ Jailbreak မလုပ်တဲ့ Device နဲ့ ကွာခြားနိုင်ပါတယ်။
User Data Partation မှာတော့ User ကနေ Create လုပ်တဲ့ data တွေနဲ့ Third Party App က data တွေကို သိမ်းဆည်းထားပါတယ်။ ဒါကြောင့် Nand Flash Memory ရဲ့ Size တော်တော်များများကို User Data Partation က အဓိကယူထားပါတယ်။ User Data Partation ကို Mount လုပ်မယ်ဆိုရင် /private/var အနေနဲ့ မြင်တွေ့ရမှာ ဖြစ်ပါတယ်။
Most Of Evidence Information တွေက User Data Partation မှာ အများဆုံးတွေ့နိုင်ပါတယ်။ ဥပမာ Gallery, Note
Comments