Android深度取证.pdf

Android深度取证 基于原生闪存和YAFFS2文件系统的 信息获取和分析 Bradley Schatz 博士 Schatz Forensic公司总监 兼任助理教授, 昆士兰科技大学 SyScan360 – 北京 背景 NAND 闪存普遍应用于移动和嵌入式 设备 • 移动电话记录着： – 他们在通话中说了什么 – 他们同何人通话 – 他们在哪里说的这些 – 他们搜索了什么（他们关注什么） – 他们到访何地 – 他们在何时充电 – … © 2013 Schatz Forensic 建立可靠证据的主要挑战 • 获取完整的数据 – 设备和操作系统差异 • 数据转换成可用的证据 – 设备和操作系统差异 • 工具厂商不够科学严谨 – 透明和独立可重复性至今仍达不到 © 2013 Schatz Forensic Android领域异构化 • 引导器: Redboot, HTC HBoot, Samsung • 文件系统: YAFFS2, Samsung RFS, EXT4 • FTL: Integrated, MTD, Samsung XSR • 内存设备: Raw NAND flash (xN footprint), eMMC… © 2013 Schatz Forensic 操作原理 Android存储架构 Linux 内核 VFS YAFFS2 FAT Block MTD Subsystem MTD Device mmc driver Specific Driver Flash Controller MMC Card NAND © 2013 Schatz Forensic 闪存除了保存实际数据还要存储元 数据 Source: Samsung KA100O015E-BJT rev 1.0 Datasheet 元数据和数据在每个内存页中存储 位置不同 Source: Micron TN-29-19 Flash 101 一次内存清除操作包含多个内存页