Python 포렌식-모바일 포렌식

하드 디스크와 같은 표준 컴퓨터 하드웨어에 대한 법의학 조사 및 분석은 안정적인 분야로 발전했으며 비표준 하드웨어 또는 일시적인 증거를 분석하는 기술의 도움을받습니다.

스마트 폰은 디지털 조사에 점점 더 많이 사용되고 있지만 여전히 비표준으로 간주됩니다.

법의학 분석

법의학 조사는 스마트 폰에서 수신 된 전화 또는 전화 건 번호와 같은 데이터를 검색합니다. 여기에는 문자 메시지, 사진 또는 기타 유죄 증거가 포함될 수 있습니다. 대부분의 스마트 폰에는 암호 또는 영숫자를 사용하는 화면 잠금 기능이 있습니다.

여기에서는 Python이 화면 잠금 암호를 해독하여 스마트 폰에서 데이터를 검색하는 데 어떻게 도움이되는지 보여주는 예제를 살펴 보겠습니다.

수동 검사

Android는 PIN 번호 또는 영숫자 비밀번호로 비밀번호 잠금을 지원합니다. 두 암호문의 제한은 4 ~ 16 자리 숫자 또는 문자 여야합니다. 스마트 폰의 비밀번호는 Android 시스템에 다음과 같은 특수 파일에 저장됩니다.password.key/data/system.

Android는 비밀번호의 솔트 된 SHA1-hashsum 및 MD5-hashsum을 저장합니다. 이러한 암호는 다음 코드에서 처리 할 수 ​​있습니다.

public byte[] passwordToHash(String password) {

   if (password == null) { 
      return null; 
   }

   String algo = null;
   byte[] hashed = null;

   try { 
      byte[] saltedPassword = (password + getSalt()).getBytes(); 
      byte[] sha1 = MessageDigest.getInstance(algo = "SHA-1").digest(saltedPassword);
      byte[] md5 = MessageDigest.getInstance(algo = "MD5").digest(saltedPassword); 
      hashed = (toHex(sha1) + toHex(md5)).getBytes(); 
   } catch (NoSuchAlgorithmException e) { 
      Log.w(TAG, "Failed to encode string because of missing algorithm: " + algo); 
   }
   
   return hashed;
}

다음의 도움으로 암호를 해독하는 것은 불가능합니다. dictionary attack 해시 된 암호가 salt file. 이salt64 비트 임의의 정수를 16 진수로 표현한 문자열입니다. 액세스하기 쉽습니다.salt 사용하여 Rooted Smartphone 또는 JTAG Adapter.

루팅 된 스마트 폰

파일 덤프 /data/system/password.key SQLite 데이터베이스에 저장됩니다. lockscreen.password_salt키. 아래에settings.db, 암호가 저장되고 값이 다음 스크린 샷에 명확하게 표시됩니다.

JTAG 어댑터

JTAG (Joint Test Action Group) 어댑터로 알려진 특수 하드웨어를 사용하여 salt. 마찬가지로Riff-Box 또는 JIG-Adapter 동일한 기능에 사용할 수도 있습니다.

Riff-box에서 얻은 정보를 사용하여 암호화 된 데이터의 위치를 ​​찾을 수 있습니다. salt. 다음은 규칙입니다-

  • 연관된 문자열 "lockscreen.password_salt"를 검색하십시오.

  • 바이트는 솔트의 실제 너비를 나타냅니다. length.

  • 스마트 폰에 저장된 비밀번호 / 핀을 얻기 위해 실제로 검색하는 길이입니다.

이러한 규칙 세트는 적절한 솔트 데이터를 가져 오는 데 도움이됩니다.