Günümüzde birçok ticari olarak hazırlanmış mobil cihaz adli veri inceleme yazılımı bulunmaktadır. Bunlar arasında yaygın olarak kullanılanları Oxygen Forensic, Cellebrite UFED, MSAB XRY, Belkasoft ve MobilEdit Forensic'dir

Elbette, bu araçlar çok, hatta son derece güçlü ve Android de dahil olmak üzere birçok mobil cihazdan büyük veri kümeleri çıkartabilmektedirler. Ancak ticari olanların oldukça pahalı olması nedeniyle kullanıcılar bunlar yerine kullanılabilecek alternatif açık kaynak kodlu yazılım arayışındadır.

Endişelenmeyin ticari yazılımlar yerine kullanılabilecek bir alternatif ürün bulunmaktadır. Bilgisayar incelemelerinde kullanılan açık kaynak kodlu Autopsy adli veri inceleme yazılımı imdadınıza yetişecektir.

Tabii ki bu araç yeni bir araç değildir. Geleneksel bilgisayar adli veri inceleme işlemlerinde özellikle de dosya sistemlerinin incelenmesinde dünya çapında adli bilişim uzmanları tarafından yaygın şekilde kullanılmaktadır. Linux platformunda çalışan bu uygulama Windows işletim sistemi platformalarında da kullanılabilir hale getirilmiştir.

Autopsy adli veri inceleme yazılımın 4.0.0. üzeri sürümlerinde “Android Analyzer Modülü” bulunmaktadır. Bu mödül ile mobil cihazların adli kopyalarından aşağıda belirtilen bilgiler çıkartılabilmektedir. Bunlar;

• Kısa mesajlar (SMS / MMS);
• arama kayıtları;
• Rehber;
• Tango mesajları;
• Arkadaşlar mesajları ile Kelimeler;
• Tarayıcıdan ve Google Haritalar'dan GPS;

Ancak bu, Android adli incelemesi için uygun olan tek modül değildir. EXIF Ayrıştırıcı Modülü, Anahtar Kelime Arama Modülü, PhotoRec Veri Kazıma Modülü ve diğerleri gibi önemli modüllerdir.

Bir vaka oluşturup bir Android mobil cihaz adli kopyasını ekleyelim. Paketi çalıştırırsanız Hoş Geldiniz penceresini görürsünüz.

Yeni bir vaka oluşturmamız gerekiyor, bu nedenle ilgili seçeneği seçin.

 Dava bilgilerimizi doldurmamızın zamanı geldi:

Vaka adından başlayarak "WeAre4n6_Android_Test" i seçiyoruz, temel dizinimiz D: \, kendi verilerinizi seçebilirsiniz, böylece verilerimiz D: \ WeAre4n6_Android_Test dosyasında saklanacaktır.

Vaka numarasını ve muayene görevlisinin adını belirlemek isteğe bağlıdır, isterseniz atlayabilirsiniz:

Veri kaynağımızı seçmenin zamanı geldi.

Bizim incelememizde, C: \ Users \ Olly \ Desktop'da bulunan bir Android mobil cihaz fiziksel adli kopyası (userdata.dd) bulunmaktadır. İnceleme için doğru saat dilimini ayarlamayı unutmayın!

Şimdi resim üzerinde çalıştırmak istediğiniz içe aktarma modüllerini seçin.

Android Analyzer'ı seçmeyi unutmayın! Exif Ayrıştırıcı, Anahtar Kelime Araması ve PhotoRec Carver da çok yararlıdır. Ayrılmış Alan Çalıştırma seçeneğini işaretlediğinizden de emin olun - otomatik olarak PhotoRec ile kurtarılmış olacaktır.

Şimdi adli kopya Autopsy Ingest Modülleri tarafından analiz edilmektedir.

İşte Android Analyzer modülünden elde ettiğimiz şey

Gördüğünüz gibi oldukça fazla veri otomatik olarak çıkarılmaktadır. Arama günlükleri, kişiler, GPS trackpoints ve mesajları Android Analyzer modülü tarafından ayıklanır, EXIF ​​meta verileri EXIF ​​Ayrıştırıcı modülü tarafından ayıklanır, yanlış uzantılara sahip dosyalar Uzantı Uyumsuzluğu Dedektörü modülü, web çerezleri, web indirmeleri, web geçmişi ve web aramaları tarafından algılanır.

Uzantı Uyumsuzluğu Dedektör modülü, örneğin, Android adli veri inceleme işlemi için çok yararlıdır, önbelleklenmiş resimleri bulmak için kullanılabilir.

Gördüğünüz gibi ön belleğe eklenmiş resim "jpg" yerine "0" uzantısına sahip:

Konumunu analiz ederek, bu resmin popüler bir Rus sosyal medya uygulaması olan "Odnoklassniki" tarafından önbelleğe alındığı sonucuna varıyoruz.

Ayrıca Autopsy, Ext4 dosya sisteminden otomatik olarak silinen dosyaları kurtarmayı desteklemektedir.

Son olarak, PhotoRec Carver modülü, bir adli incelemecinin, ayrılmamış alanından veri kazıma tekniği ile veri çıkarmasına yardımcı olmaktadır.

Bu yazı, Autopsy'nin, hem veri ayrıştırma hem de kurtarma yeteneğine sahip birçok modülle Android forensics için oldukça güçlü bir açık kaynak aracı olduğunu göstermiştir.