65℃ MAX_HACK

커널, 시스템, App 로그들

시스템과 커널은 리눅스 시스템에서 확인할 수 있는 내용을 그대로 담고 있습니다.
시스템에서 남기는 로그를 확인하는 방법은 아래와 같습니다.

ㅁ Kernel log

time stamp를 확인하거나 언제 boot-up되었는지에 대한 내용을 알 수 있습니다.(최근에 boot하지 않을 경우, 없을 수 있음)

길이가 길경우, 파이프라인( | )으로 확인하거나, 리다이렉트( > )하여 확인합니다. 전체 길이는 ( | wc -l)로 확인합니다. 

 

ㅁ 시스템의 Update List, App의 debug Message

해당 로그로 경도 / 위도 데이터의 정보, 날짜 / 시간 정보, App의 자세한 정보 등을 알 수 있습니다.

맨 앞에 있는 I는 message의 type을 말해줍니다. type의 정보는 아래와 같습니다.

Message Type     Description
V                           Verbose
D                           Debug
I                            Information
W                          Warning
E                           Error
F                           Fatal
S                           Silent 

로그는 기본으로 전체를 보여주나, radio와 events로 구분해서 볼 수 있습니다.
방법은 -b radio 하거나 -b events 하면 됩니다.

ㅁ radio

radio에서는 아래와 같은 정보를 확인할 수 있습니다.
- Time stamp - Unix Epoch로 시간 정보를 확인 가능합니다.

(ex> 123451234) => dcode나, date -d @1234512345로 확인.

- 모바일 폰이 통신을 위해 새용한 cellular modem의 AT 명령어
- SMS의 받는 사람, 크기, 인코딩된 SMS Message
- 장치의 IP 주소, network정보, 위치 정보
- 무선 통신 정보

ㅁ events

INSERT와 SELECT 정보로 DB에 저장되는 내용이 존재하는 것을 알 수 있습니다.

ㅁ dumpsys

dumpsys는 서비스, 메모리, 시스템의 자세한 정보를 제공합니다. 제공하는 정보는 아래와 같습니다.

root@ubuntu:~/android-sdk-linux_x86# adb shell dumpsys

- 동작중인 services
- 각서비스들의 Dump (Sync, 위치, 사용자,
- 현재 동작하고 있는 Services, broadcasts, pending intents, activities, processes
- Processes이 사용하는 Memory, Process IDs(PID), databases 


ㅁ 로그로 사용되는 정보
 

ㅁ bugreport
위의 명령어나 파일들을 어떻게 일일이 수집할까하는 고민이 있을 수 있습니다.
그와 관련해서 이번 섹션에서 소개되는 bugreport는 굉장히 유용합니다.
데이터를 한번에 수집할 때, 사용할 수 있으므로 의미있지만, 상당히 긴 로그를 불러옵니다.

사용방법은 아래와 같습니다. 
root@ubuntu:~/android-sdk-linux_x86# adb bugreport

안드로이드 폰을 우분투에 연결합니다. 테스트한 폰은 SKY 폰입니다. 

 USB 저장소를 사용 중으로 변경하면, 아래와 같이 /dev/sdb1 장치가 /media/6663-6233에 마운팅 된것을 확인 할 수 있습니다. Physical sd card가 4기가 존재합니다. 파일 시스템은 FAT32로 동작합니다. 

USB Debugging
대부분의 모바일 포렌식 도구들은 모바일에 Debugging 옵션을 선택해야 가능한 경우가 많습니다. 
Debugging옵션을 활성화 하면, ADB(Android Debug Bridege)를 이용하여, 
장치(모바일)의 로그나 시스템 쉘을 사용할 수 있습니다.

적용 방법 : 모바일에서 Devices Setting > Applications > Development > USB debugging > check
sky 모바일 폰 : 설정 > 시스템 > 응용프로그램 > 개발 > USB 디버깅 > 체크 

장치가 연결된 후, 우분트엣서는 adb를 사용하여 모바일에 접근할 수 있습니다. 
로컬 adb client program은 5037port를 사용합니다.  

adb devices를 사용할 때, device가 no permissions라고 나올 경우, vendor ID를 확인하여 rule에 추가합니다.
참고 : vendor ID를 추가하는 법은 이미 배워서 넘어갑니다.
참고 : 연결된 ubs의 정보를 확인하는 명령어는 아래와 같습니다.

- 사용되는 명령어
dorumugs@ubuntu:~$ adb devices - 장치에 연결
dorumugs@ubuntu:~$ adb kill-server  - 연결된 장치 refresh
dorumugs@ubuntu:~$ sudo restart udev - usb 장치 재시작
dorumugs@ubuntu:~$ adb shell - 장치에 존재하는 shell을 사용