안드로이드 포렌식 3편 Log

커널, 시스템, App 로그들

시스템과 커널은 리눅스 시스템에서 확인할 수 있는 내용을 그대로 담고 있습니다.
시스템에서 남기는 로그를 확인하는 방법은 아래와 같습니다.

ㅁ Kernel log

time stamp를 확인하거나 언제 boot-up되었는지에 대한 내용을 알 수 있습니다.(최근에 boot하지 않을 경우, 없을 수 있음)

길이가 길경우, 파이프라인( | )으로 확인하거나, 리다이렉트( > )하여 확인합니다. 전체 길이는 ( | wc -l)로 확인합니다. 

 

ㅁ 시스템의 Update List, App의 debug Message

해당 로그로 경도 / 위도 데이터의 정보, 날짜 / 시간 정보, App의 자세한 정보 등을 알 수 있습니다.

맨 앞에 있는 I는 message의 type을 말해줍니다. type의 정보는 아래와 같습니다.

Message Type     Description
V                           Verbose
D                           Debug
I                            Information
W                          Warning
E                           Error
F                           Fatal
S                           Silent 

로그는 기본으로 전체를 보여주나, radio와 events로 구분해서 볼 수 있습니다.
방법은 -b radio 하거나 -b events 하면 됩니다.

ㅁ radio

radio에서는 아래와 같은 정보를 확인할 수 있습니다.
- Time stamp - Unix Epoch로 시간 정보를 확인 가능합니다.

(ex> 123451234) => dcode나, date -d @1234512345로 확인.

- 모바일 폰이 통신을 위해 새용한 cellular modem의 AT 명령어
- SMS의 받는 사람, 크기, 인코딩된 SMS Message
- 장치의 IP 주소, network정보, 위치 정보
- 무선 통신 정보

ㅁ events

INSERT와 SELECT 정보로 DB에 저장되는 내용이 존재하는 것을 알 수 있습니다.

ㅁ dumpsys

dumpsys는 서비스, 메모리, 시스템의 자세한 정보를 제공합니다. 제공하는 정보는 아래와 같습니다.

root@ubuntu:~/android-sdk-linux_x86# adb shell dumpsys

- 동작중인 services
- 각서비스들의 Dump (Sync, 위치, 사용자,
- 현재 동작하고 있는 Services, broadcasts, pending intents, activities, processes
- Processes이 사용하는 Memory, Process IDs(PID), databases 


ㅁ 로그로 사용되는 정보
 

ㅁ bugreport
위의 명령어나 파일들을 어떻게 일일이 수집할까하는 고민이 있을 수 있습니다.
그와 관련해서 이번 섹션에서 소개되는 bugreport는 굉장히 유용합니다.
데이터를 한번에 수집할 때, 사용할 수 있으므로 의미있지만, 상당히 긴 로그를 불러옵니다.

사용방법은 아래와 같습니다. 
root@ubuntu:~/android-sdk-linux_x86# adb bugreport