来自 CC防护 2022-05-10 23:20 的文章

网站防护_白盾云盘_免费试用

网站防护_白盾云盘_免费试用

Avast从eBay购买了20部二手手机,ddos防御器,发现手机上仍保留着大量个人数据。

数字取证是一门科学分支,负责回收和调查在数字设备中发现的材料。法医学通常与犯罪有关,与《犯罪现场调查》和《犯罪现场调查》等电视节目中的犯罪调查有点相似。然而,包括这一项在内的几项实验(1、2)使用数字取证方法证明,人们在更换数字设备(计算机、硬盘、手机)时不注意个人数据的变化。在本系列博客文章中,我们将展示我们从被认为已擦除的设备中挖掘出的东西。敏感信息包括照片(即使是非常隐私的照片!),视频、联系人、短信、Facebook聊天日志、谷歌搜索、GPS位置坐标等。

当人们想要删除文件时,大多数人会使用操作系统附带的标准功能。在完成之后,他们认为不需要的数据将永远消失。但是,事实并非如此。

删除文件时,操作系统只会删除文件表中相应的指针,并将文件占用的空间标记为空闲。事实上,文件并未被删除,其中包含的数据仍保留在驱动器上。定期使用驱动器后,剩余数据迟早会被不同的数据覆盖。同样的事情也会发生在你的电脑上。

下面的屏幕截图显示了这个场景。我们使用FTK Imager程序装载包含用户数据的分区的图像。第一个图显示了一个[root]目录,后跟[unallocated space]。虽然所有敏感文件都以常规方式删除,但仍有一些未分配的空间。在这个特定的示例中,我们成功地转储了251个未分配的数据块,并恢复了感兴趣的消息,例如从Facebook聊天中恢复的消息。这部HTC轰动手机的卖家认为他的个人信息被清除了,但下图显示,他/她错得很惨。

安卓取证团队的任务是利用几种不同的方法,防火墙防御ddos攻击,从删除的文件和未分配的空间块中搜索和恢复尽可能多的数据。

尽管有一些专门的硬件设备可以对手机,我们没有订购任何这些,只是停留在软件分析。我们使用三种主要的分析方法来发现删除的数据:大容量存储装载;逻辑分析;和低层次分析。

这似乎令人难以置信,但一些卖家仍然不将数据存储在可移动微型SD卡或内部存储设备上。在这种情况下,调查人员只需通过USB电缆将手机连接到计算机,然后将其作为可移动存储器安装。下图显示了Motorola Droid Razr XT912的一个示例,它通过安装三种存储方法来报告它的存在——包含驱动程序的CD驱动器(F:)MotoCast、MOT(G:)内部存储和可移动磁盘(H:)可移动SD卡。从可用空间/总可用空间的比率可以看出,从这个特定示例中恢复了大量个人数据。

但是,并非所有设备都支持大容量存储安装。某些设备需要根目录,华为DDOS防御做的最好,并且需要安装大容量存储应用程序。媒体传输协议(MTP)通常用于在便携式设备之间传输媒体文件。

正如xda开发者论坛上提到的,可以在不使用Android调试桥(adb备份命令)解锁/根的情况下备份手机中的所有当前数据。命令adb backup-apk-shared-system-all-f%1.backup创建了一个备份文件,该文件随后在Android备份提取器的帮助下,使用命令java-jar abe.jar unpack%1%1.tar

转换为.tar归档文件。该归档文件包含一个包含所有当前安装的应用程序的目录结构,其中可能包含多个目录;db等。Db目录(如果存在)包含SQLite数据库文件,例如可由SQLite viewer查看。

如果上述两种方法均未产生任何有趣的数据,则执行低级分析。低级分析基于用户数据分区的精确、逐位拷贝。复制后,免费的ddos防御工具,该分区存储为单个文件(通常大小为几GB),稍后用作其他分析工具的输入。只有root用户才能制作这样的副本,因此手机首先必须是根用户。

i)什么是根用户?

根用户是一个克服制造商对智能手机或平板电脑用户施加的限制的过程。它使所有者能够替换和/或更改系统应用程序和设置,运行需要管理员级别权限的应用程序,并且通常可以运行普通用户不允许执行的任何操作。这包括列出活动安装的分区,并将其克隆,以便进一步进行法医分析,如以下小节所述。

ii)我们如何植根

我们需要植根大多数手机。像xda开发者这样的论坛为我们提供了足够的指导,可以简单地执行根的过程。像RazrBlade和Saferoot这样的程序顺利地完成了工作,没有任何问题。我们所需要做的就是按照手册中的说明去做。在成功地生根之后,我们的摩托罗拉Droid上安装了SuperSU应用程序。从现在起,我们拥有对设备的root访问权限,可以执行特权操作。

使用管理员权限(root),mount命令(使用adb shell调用shell控制台后)可以通过Android调试桥运行。它生成已装入分区的列表。Userdata分区(在某些设备上,同一分区仅称为data)是我们最感兴趣的分区,因此我们需要找出它映射到的块设备文件。Ls司令部给了我们正确的答案。下面的列表以粗体字母显示了包含用户数据的分区及其引用的设备文件。