كنا قد تحدثنا في مواضيع سابقة عن نظام الأندوريد، وأنها تعتبر من أكثر الأنظمة التي يتم استهدافها. في هذا الموضوع سأتحدث عن نظام الأندرويد أيضًا ولكن من وجهة نظر مختلفة. سنتحدث في هذا الموضوع من وجهة نظر المحقق الجنائي. تعتبر الهواتف من أهم المصادر التي يستخدمها المحقق الجنائي لاستخراج البيانات، وذلك لخصوصيتها الكبيرة فهي ستحتوي بالتأكيد على الكثير من البيانات الشخصية وبالتالي فهي تمثل خطوة كبيرة. فتخيل مثلاً أنك كمحقق جنائي حصلت على الهاتف الخاص بأحد الأشخاص المشاركين في عملية إجرامية أو عملية إرهابية، في هذه الحالة كل معلومة تقوم باستخراجها من هذا الهاتف ستمثل أهمية قصوى للسلطات بالطبع.

كنت في درس سابق قد قمت بالتحدث بشكل بسيط عن أداة DumpSys التي من الممكن استخدامها لاستخراج البيانات من الهواتف التي تعمل بنظام الأندرويد.

يتم استخدام هذه الأداة عادةً في عمليات التطوير للتحقق من الخدمات التي تعمل على الهاتف، لكنها يمكن استخدامها أيضًا في عمليات التحقيق الجنائي الرقمي.

ملحوظة: لاستخدام الأداة يجب أن يتم تفعيل الـUSB Debugging والـSecure USB Debugging في الهاتف.

كبداية دعنا نرى كل الخدمات الموجودة على الهاتف وذلك كما هو موضح في الصورة التالية:

01

في الصورة السابقة نرى أن النتيجة مجزئة إلى ثلاثة أجزاء، أولاً رقم الخدمة، ثانيًا اسم الخدمة، ثالثًا اسم مجلد الملفات الخاص بالخدمة.

دعنا الآن نستخدم أداة DumpSys لنرى ما الذي يمكن استخراجه من هذه الخدمة:

02

ما نراه في الصورة السابقة هو نتيجة استخدام الأمر DumpSys على الخدمة المسماه بـiphonesubinfo وكما نرى فقد ظهر لنا النتيجة وهي نوع التقنية المستخدمة في الهاتف وهي عادة ما تكون GSM أو CDMA، ونرى أيضًا الـDevice ID وهي القيمة المتمثلة في رقم الـIMEI. الجدير بالذكر هنا وربما يتسأل بعضكم عن لماذا يوجد خدمتين، الخدمة الأولى iphonesubinfo والخدمة الثانية iphonesubinfo2، الفكرة هنا أن الـIPHONESUBINFO تحتوي على رقم IMEI 1 والـIPHONESUBINFO2 تحتوي على رقم IMEI 2 فبعض الهواتف تحتوي على رقمين IMEI وليس رقم واحد.

دعنا الآن نقوم بتجربة أداة DumpSys على خدمة مختلفة ولنرى النتيجة التي سنصل إليها.

هذه المرة سنقوم باستخدام أداة DumpSys على خدمة batterystats وهي من أهم الخدمات التي تعمل على نظام الأندرويد، وفي الصورة التالية سنرى النتيجة الخاصة بها:

03

في الصورة السابقة قمت بتخصيص النتائج لتظهر النتائج الخاصة بتطبيق الـWhatsApp فقط لأنه للأسف النتيجة كبيرة جدًا ومن الأفضل حفظ النتائج في ملف لأنها لن تظهر بشكل كامل إن قمت بإظهارها بشكل مباشر على التيرمنال.

من أهم الأشياء التي ستراها في النتائج التي ستظهر لك عندما تتعامل مع الـBatteryStats هي ما يسمى بالـWake Lock وهي عبارة عن طريقة لإبقاء الهاتف في وضع التشغيل، بالإضافة إلى أنه يشير إلى محاولة التطبيقات للعمل في الـBackground.

الـWake Lock منقسم إلى أربعة أنماط وهي كالتالي:

04

يعتبر الـWake Lock من أهم الطرق التي من الممكن من خلالها اكتشاف البرمجيات الخبيثة ولكن هذا موضوع أخر دعنا نوفره لمقال منفصل إن شاء الله.

بالطبع لا أستطيع أن أناقش كل النتائج التي قمنا باستخراجها من تنفيذ الأمر على خدمة الـBatteryStats لذلك دعنا ننتقل إلى خدمة أخرى مهمة وهي الـProcstats.

الـProcstats مشابهة للـBatterystats ففي الـBatterystats يقوم الأمر بإظهار نتائج استهلاك التطبيقات للبطارية. أما في الـProcstats فيقوم الأمر بإظهار نتائج استهلاك التطبيقات للمعالج (البروسيسور). يعتبر الـProcstats وسيلة أخرى لاكتشاف إن كان التطبيق قد تم استخدامه على الهاتف مؤخرًا أم لا.

05

في الصورة السابقة نرى نتائج لبعض النتائج الخاصة ببعض التطبيقات التي تم استخدامها في أخر أربعة وعشرون ساعة.

تعتبر أيضًا خدمة user من أهم الخدمات التي من الممكن أن نتعامل معها وخصوصًا في الهواتف التي تعمل بنظام Lolipop أول أعلى وذلك لأن جوجل بداية من إصدار Lolipop قد قامت بإضافة خاصية الـMulti-Users. لذلك تعتبر خدمة user من أهم الخدمات وذلك لأنه من أهم المعلومات التي ستجدها كمحقق جنائي هو اسم المستخدم الذي قام بالعمل الإجرامي الذي تقوم بالتحقيق فيه.

06

في الصورة السابقة نرى مستخدم واحد وللأسف لا يوجد معلومات عنه لأن الهاتف الذي أقوم بالتطبيق عليه يعمل بإصدار Kitkat وليس Lolipop أو أعلى.

حسنٌ، حتى الآن قمنا بالتحدث عن الكثير من الخدمات المهمة، ولكننا أتينا الآن إلى الخدمة الأهم وهي App Ops. كما نعلم عندما نقوم بتثبيت تطبيق جديد تظهر لنا نافذة لتخبرنا بالتصريحات التي يطلبها التطبيق، فمن خلال الـApp Ops يمكننا أن نتوصل إلى أخر مرة قام فيها التطبيق باستخدام تصريح محدد.

07

في الصورة السابقة، نرى نتائج استخدام تبطيق الـWhatsApp للتصريحات.

دعنا نرى مثال أخر يؤكد أهمية هذه الخدمة:

08

في الصورة السابقة، نرى أن الخدمة قامت باستخدام تصريح الـREAD_CONTACTS منذ ثلاثة عشر دقيقة وهو ما يشير إلى أن مستخدم الهاتف قام بالدخول على قائمة الاتصال. وتصريح الـWRITE_CALL_LOG والذي يشير إلى أن مستخدم الهاتف قد ورده اتصال أو أنه قام باتصال منذ 3 ساعات.

صراحة الخدمات المهمة كثيرة ولا أستطيع حصرها كلها هنا في المقال ولكن دعنا الآن نتحدث عن إحدى أهم الخدمات التي يمكننا من خلالها الوصول إلى كثير من المعلومات المهمة، وهي خدمة الـWIFI. فبتتبع خدمة الـWIFI يمككنا أن نستدل على الأماكن التي قام بزيارتها مستخدم الهاتف كما هو موضح في الصورة التالية:

09

الصورة السابقة توضح بيانات عن WIFI اتصلت بها قبل ذلك وهي شبكة الـWIFI الخاصة بي 🙂

أما الصورة التالية فهي توضح الـWIFI الخاصة بالكافية (الله يهدينا):

10

حسنٌ، يوجد العديد والعديد من الخدمات الأخرى المهمة ولكنني أرهقت صراحة 🙂

يمكنكم تجربة بقية الخدمات بأنفسكم لتروا كم المعلومات التي من الممكن استخراجها من الهاتف. بالطبع الطريقة التي تحدثنا عنها في المقال اليوم هي طريقة واحدة فقط يوجد العديد والعديد من الطرق الأخرى التي إن شاء الله سنتحدث عنها في مقالات مقبلة.

فحتى نلتقي في دروس أخرى، أستودعكم الله 🙂