Mobile Forensics (Note

ကျွန်တော်တို့ Phone ကို Analysis လုပ်ရင် အများဆုံးလုပ်တာက Call logs, SMS, Photo, Video, Social Media Contents, Social Media Message စသည်ဖြင့် ဒါတွေပဲများမယ်ထင်ပါတယ်။ လူတိုင်းအလိုချင်ဆုံးကတော့ Deleted Call Logs, Deleted SMS, Deleted Social Media Message နဲ့ Deleted Photo & Video ဖြစ်မှာပါ။ Deleted Call Logs, Deleted SMS, Deleted Social Media Message နဲ့ Deleted Photo & Video က Note (1) မှာရေးခဲ့တဲ့ Phone Model, Phone Specification အပေါ်မူတည်ပြီး ရယူနိုင်တဲ့ Data ပမာဏ မတူညီနိုင်ပါ။ ပြီးရင် ဖုန်းထဲက ပုံတွေစာတွေလိုပဲ အရေးကြီးတာက System Artifacts တွေဖြစ်ပါတယ်။ အခုစာရေးသားနေတဲ့အချိန်မှာ Android 14 ကို Android ဖုန်းတော်တော်များများက အသုံးပြုနေကြပါပြီ။ အချို့ဖုန်းတွေကတော့ Android 13 ဖြစ်မှာပါ။ Android Phone ကိုမှ Xiaomi ဆိုရင် Android OS ကိုမှ MIUI , Samsung ဆိုရင် Knox/ One UI , Huwaei ဆိုရင် Harmony OS. ပိုပြီးပြည့်စုံအောင် အောက်မှာ ဇယားလေးထည့်ထားပါတယ်။

IOS ကတော့ အရှင်းဆုံးဖြစ်ပါတယ်။ Android ဆိုရင် Android OS Base ကိုမှ Model အမျိုးမျိုးရှိတာကြောင့် System Artifacts ရှိတဲ့ နေရာတွေကွဲပြားသွားပါတယ်။ IOS မှာက Model တစ်ခုထဲကိုမှ IOS Version ပဲကွာသွားတာကြောင့် System Artifacts ရှိတဲ့နေရာတွေက အရမ်းကြီးပြောင်းလဲသွားတာမရှိပါဘူး။ နောက်ပြီး Android System File (Artifacts) တွေက Special Access (Root) ရမှ ဒါမှမဟုတ် OS/ Chipset မှာ အားနည်း ချက်ရှိမှာ System File တွေကိုရနိုင်တာဖြစ်ပါတယ်။ ဥပမာ Android Phone A Model ရဲ့ Chipset ABC00 မှာပဲ အားနည်းချက်ရှိပေမဲ့ Android Phone A Model ကိုမှ Chipset ABC00 မဟုတ်ပဲ အခြား Chipset Version အသုံးပြုထားရင် အဲဒီအားနည်းချက်ရှိမှာမဟုတ်ပါဘူး။

Android မှာရော IOS မှာပါ Plist (Properties List) , SQLite Database, XML File စတဲ့ File Type တွေနဲ့ System Configuration, User Data & Logs တွေကိုအများဆုံးသိမ်းဆည်းပါတယ်။ SQLite Forensics အကြောင်းကို SQLite Db Forensics Pdf မှာလေ့လာနိုင်ပါတယ်။ Forensics Commercial Tools တွေက Acquisition လုပ်လို့ရလာတဲ့ Phone Image File ထဲကနေ Phone အမျိုးအစား (Android Or Apple) ဖုန်းအမျိုးအစားရလာခဲ့ရင် Artifacts တွေရှိတဲ့ နေရာတွေကိုရှာပြီး Interpret လုပ်ပေးတာဖြစ်ပါတယ်။ အချို့သော Commercial Tools တွေမှာလဲ Artifacts ရှိတဲ့ Location ရှာတာ / Interpret လုပ်တာမှားတာ နဲ့ Artifacts တွေကို မထုတ်ပေးနိုင်တာစတဲ့ အားနည်းချက်တွေလဲရှိပါတယ်။ blog.digital-forensics.it မှာ IOS 15 ကို Commerical Tools & Open Source Tools တွေနဲ့ စမ်းသာထားကိုနှိုင်းယှဉ်ပြထားပါတယ်။ IOS 18 System Artifacts ဖြစ်တဲ့ WIFI ချိတ်ဆက်မှုကို အောက်မှာဖော်ပြထားတဲ့ location ကနေကြည့်နိုင်ပါတယ်။ Plist File Type ဖြစ်တာကြောင့် အဆိုပါ File ကို Plist Editor နဲ့ကြည့်ရင်အခုလိုမြင်ရမှာပါ။ Plist Editor နဲ့မကြည့်ချင်ရင်လဲ Open Source Mobile Forensics Log Analyzer ဖြစ်တဲ့ Android အတွက်ဆိုရင် ALEAPP , IOS အတွက်ဆိုရင် iLEAPP နဲ့ Analysis လုပ်နိုင်ပါတယ်။ ALEAPP, iLEAPP က Analysis အတွက်သီးသန့်ဖြစ်ပါတယ်။ Commercial Tools ပဲဖြစ်ဖြစ် Open Source Tools ပဲဖြစ်ဖြစ် Mobile Acquisition လုပ်တဲ့အပေါ်မူတည်ပြီး Data ရရှိမှာပဲဖြစ်ပါတယ်။

private/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist

(Open With Plist Editor)

Analysis With (ALEAPP)

အခုပုံအရဆိုရင် SSID 2 ခုကို ချိတ်ထားတဲ့ Log ကိုတွေ့ရမှာဖြစ်ပါတယ်။ ဉပမာ TWR9 ဆိုတဲ့ WIFI က Hotel A က WIFI ဆိုပါစို့ ။ WIFI First Join Time: 24-8-2023:21:51:17, WIFI Last Join Time: 21-1-2024:22:38:32 First Join & Last Join အချိန်အရ Hotel A ကိုရောက်ဖူးတယ်ဆိုတာဖော်ပြနေပါတယ်။ Bluetooth ဆိုရင်လဲ Paird & Connected Device Logs ကိုကြည့်ရင် အပေါ်က ဉပမာနဲ့အတူတူပဲဖြစ်ပါတယ်။ ဉပမာတွေအရ Android မှာပဲဖြစ်ဖြစ် IOS မှာပဲဖြစ်ဖြစ် System Artifacts တွေက အရေးပါတဲ့နေရာကနေ ပါဝင်နေပါတယ်။ WIFI နဲ့ပတ်သတ်တဲ့ Artifacts တွေအများကြီးထဲက Artifacts တစ်ခုထဲကိုပဲ ဉပမာပြထားတာဖြစ်ပါတယ်။ အောက်မှာဆိုရင် 24-8-2023 ကနေ 4-3-2024 အထိ User က စာလုံးရေ 294 လုံးရိုက်ခဲ့တာကိုဖော်ပြပေးတာဖြစ်ပါတယ်။ DB Browser နဲ့ဆိုရင် Date တွေကို Convert ပြန်လုပ်ပေးရမှာဖြစ်ပါတယ်။

Open With DB Browser

Analysis With ALEAPP

Android 14 နဲ့ပတ်သတ်တဲ့ Artifacts တွေကို A first look at Android 14 forensics နှင့်

IOS 18 နဲ့ပတ်သတ်တဲ့ Artifacts တွေကို A first look at iOS 18 forensics မှာကြည့်နိုင်ပါတယ်။

Artifacts တွေက များပြားတဲ့အတွက် Artifacts Location နဲ့ အချက်အလက်တွေကို Poster အနေနဲ့ အောက်မှာပေးထားတဲ့ Links တွေကနေ Download ရယူနိုင်ပါတယ်။ Poster တွေက လေ့လာဖို့အတွက် လိုအပ်တာတင်မဟုတ်ပဲ Forensics Commercial Tools တွေမှာ Artifacts ရှိတဲ့ Location ရှာတာ / Interpret လုပ်တာမှားတာ၊ Artifacts တွေကို မထုတ်ပေးနိုင်တာစတဲ့ အားနည်းချက်တွေ လွဲမှားနိုင်တာတွေရှိပါတယ်။ ဒါကြောင့် အချို့ Artifacts တွေကို Manual Extractm Interpret & Analysis လုပ်မယ်ဆိုရင် Poster တွေကလိုအပ်ပါတယ်။

SAN Mobile Forensics Poster

Android Third Party Mobile Forensics Poster

IOS Third Party Mobile Forensics Poster

Belkasoft Mobile Forensics Poster

နောက်တစ်ခုက Phone နဲ့တိုက်ရိုက်ထိုးပြီး Analysis လုပ်ချင်တဲ့သူတွေဆိုရင် Open Source ဖြစ်တဲ့ UFADE ကိုအသုံးပြုနိုင်ပါတယ်။