國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
62
圖 60-7:MEGA 相關設定內容
(五)在/tmp/MDZ3TCCI 路徑底下存放著上傳文件的檔案 doc4.pdf(如圖 14-8)。
圖 61-8:MEGA 暫存檔內容
4.3 APP 執行分析
APP 執行分析即是針對執行中的 APP 進行分析,瞭解 APP 在運作過程中如何呼叫 各種函式或存取各種資料,透過這樣的方式可以知道雲端儲存 APP 在操作過程中,可 能在哪些地方留下數位跡證,讓數位鑑識人員得以即時取得任何可能的數位證據。為了 順利執行APP 執行分析,我們將採用 Snoop-it 工具,Snoop-it 是一套可幫助執行 iOS APP 安全性評估與動態分析的工具。主要是利用 APP 執行的過程中,將自己注入到該 APP
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
63
裡面,以瞭解APP 所執行過程中的程序方法。而 Snoop-it 的操作方法也相當簡單,首先 我們開啟Snoop-it 之後,預設是沒有 APP 被執行分析(如圖 15-1),接著我們點擊「Select App Store Apps」選項,可以選擇我們想要分析的 APP(如圖 15-2),選擇完成之後,再 點 擊 「Settings 」 選 項 , 可 以 發 現 管 理 後 台 網 址 http://Joannas-iPad.local:12345/ 或 http://172.20.10.7:12345/,Joannas-iPad 代表這台 iPad,而 172.20.10.7 代表 iPad 的 IP 位 址,後面均帶有Port 號 12345,但也可以自行設定成其他 Port 號,最後也提供管理後台 預設帳號密碼「Snoop-it」,這部分也可由分析人員自行修改(如圖 15-3),完成相關設 定之後,便可開啟瀏覽器,輸入管理後台網址,並輸入預設帳號密碼,便可登入Snoop-it 管理後台(如圖15-4)。登入之後,畫面中央會顯示分析APP 的基本資訊(如圖 15-5),
而左方的功能列主要分為三大部分,分別是Monitoring、Analysis 及 Manipulation(如圖 15-6),以下將利用 Monitoring 中的 Filesystem 功能對 OneDrive、Google Drive 及 Mega 進行實驗分析。
圖 62-1:Snoop-it 開啟畫面
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
64
圖 63-2:Snoop-it 選擇分析 APP
圖 64-3:Snoop-it 相關設定
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
65
圖 65-4:Snoop-it 登入畫面
圖 66-5:Snoop-it 登入成功畫面
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
66
圖 67-6:Snoop-it 提供功能
一、OneDrive
依照步驟將 OneDrive 納入分析之後,我們登入 Snoop-it 管理後台,可以確認 OneDrive 的基本資訊,包含其版本等(如圖 16-1)。
圖 68-1:Snoop-it 管理後台的 OneDrive 基本資訊
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
67
我們開啟OneDrive APP 之後,發現他會直接呼叫設定檔,如 Config.plist,同時也 會將紀錄寫入log 檔,本實驗的 log 檔是 com.microsoft.skydrive 2017-05-28 00-47.log(如 圖16-2)。
圖 69-2:Snoop-it 中開啟 OneDrive 呼叫的檔案
接著我們在 OneDrive 輸入錯誤帳號 [email protected],但此刻未顯示讀取任 何檔案,隨之我們輸入正確帳號[email protected],OneDrive 即通過驗證,再輸入 密 碼 crea123456,則會呼叫 Cookies.binarycookies_tmp_5158_0.dat、Pages.lock 還有 HSTS.plist 這 3 個檔案(如圖 16-3)。
圖 70-3:OneDrive 輸入密碼通過驗證
然後我們嘗試將圖片上傳至OneDrive,發現檔案會儲存在路徑/Library/manualFileU
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
68
pload/底下(如圖 16-4),同時在路徑/Library/Cache/com.apple.nsurlsessiond/Downloads/c om.microsoft.skydrive/會出現.tmp 的暫存檔。當我們開啟檢視其他在 OneDrive 上的圖片 檔時,也會出現暫存檔(如圖16-5)。
圖 71-4:OneDrive 上傳圖片儲存位置
圖 72-5:OneDrive 開啟圖片的暫存檔
最後我們嘗試下載存放於OneDrive 上的 PDF 檔案,我們在 OneDrive 開啟 PDF 檔 案時,該檔案會預先產生暫存檔並儲存在路徑/tmp/TempDownloadFiles 底下;此外,該 PDF 檔案會儲存在路徑/Library/SreamCache 底下(如圖 16-6)。
圖 73-6:OneDrive 開啟 PDF 檔
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
69
在OneDrive 上要針對該 PDF 檔案點選以其他方式開啟,才能下載該檔案,點選開 啟後OneDrive 會將該 PDF 檔案下載至路徑/tmp/PSPDFKit 底下(如圖 16-7)。而這些操 作動作,OneDrive 都會記錄到 log 檔中(如圖 16-8),並且用 zip 檔封存。
圖 74-7:OneDrive 下載 PDF 檔案儲存路徑
圖 75-8:OneDrive 相關操作寫入 log 檔案
二、Google Drive
依照前述步驟將Google Drive 納入分析之後,我們登入 Snoop-it 管理後台,可以確 認Google Drive 的基本資訊,包含其版本等(如圖 17-1)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
70
圖 76-1:Snoop-it 管理後台的 Google Drive 基本資訊
我們開啟Google Drive 登入畫面之後,就會存取 HSTS.plist 等檔案(如圖 17-2)。
圖 77-2:開啟 Google Drive 所存取檔案
然後我們輸入錯誤帳號[email protected],發現 Google Drive 有存取 HSTS.pl ist 及 Cookies.binarycookies_tmp_5432_0.dat(如圖 17-3);因錯誤帳號無法驗證通過,所 以我們再次輸入正確帳號[email protected],發現 Google Drive 依然會讀取 HSTS.
plist 及 Cookies.binarycookies_tmp_5432_0.dat 這兩個檔案(如圖 17-4),緊接著我們輸入
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
71
正確密碼,就成功登入Google Drive,發現會存取路徑/Library/Caches 底下的 com.goog le.commmon.SSO 檔案及路徑/Library/Caches/com.google.commmon.SSO/11468513843625 9289442 底下的 Profile.plist 檔案(如圖 17-5)。
圖 78-3:Google Drive 輸入錯誤帳號所存取檔案
圖 79-4:Google Drive 輸入正確帳號所存取檔案
圖 80-5:Google Drive 輸入正確密碼所存取檔案
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
72
使用者登入Google Drive 之後,一樣會先讀取 HSTS.plist、Cookies.binarycookies、
com.google.commmon.SSO 等檔案,然後會再存取 upload_state.dat、cello_settings.plist、
drivekit00.log 等檔案,以即時更新目前上傳狀態、網路設定及 log 檔案(如圖 17-6),接 著Google Drive 便會建立目前儲存於 Google Drive 所有檔案的 thumbnail,所有 thumb nail 會儲存在路徑/Documents/drivekit/users/114685138436259289442/thumbnail 底下(如 圖17-7)。
圖 81-6:Google Drive 更新上傳狀態及網路設定
圖 82-7:Google Drive 建立所有檔案 thumbnail
接著我們將iPad 上的圖片檔案上傳至 Google Drive,會去存取 upload_state.dat(如 圖17-8),然後建立剛才所上傳圖片的 thumbnail,並儲存在路徑/Documents/drivekit/use rs/114685138436259289442/thumbnail 底下(如圖 17-9),隨之我們再開啟檢視任何儲存
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
73
於Google Drive 上的圖片,發現會自動下載該圖片,並儲存於路徑/Library/Caches/drive kit/users/114685138436259289442/images 底下(如圖 17-10)。
圖 83-8:Google Drive 上傳圖片時存取 upload_state.dat
圖 84-9:Google Drive 對上傳圖片建立 thumbnail
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
74
圖 85-10:Google Drive 自動下載所檢視的檔案
最後我們要下載儲存於Google Drive 上的 PDF 檔案,首先開啟檢視該 PDF 檔案,
Google Drive 會先建立該檔案的 thumbnail(如圖 17-11),接著我們選擇開啟方式,進 一步下載該檔案,Google Drive 會在路徑/tmp 底下產生暫存檔案(如圖 17-12)。
圖 86-11:Google Drive 建立開啟檔案的 thumbnail
圖 87-12:Google Drive 建立下載檔案的暫存檔
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
75
三、MEGA
依照前述步驟將Mega 納入分析之後,我們登入 Snoop-it 管理後台,可以確認 ME GA 的基本資訊,包含其版本資訊(如圖 18-1)。
圖 88-1:Snoop-it 管理後台的 MEGA 基本資訊
首先我們開啟MEGA,發現僅會存取 MEGACD.sqlite 檔案(如圖 18-2)。
圖 89-2:開啟 MEGA
隨之我們輸入錯誤帳號 [email protected],未發現 MEGA 存取任何資料,接 著我們輸入正確帳號([email protected])及密碼之後,仍未存取任何檔案,但是 在登入成功之後,MEGA 會先產生所有儲存於雲端檔案的 thumbnail(如圖 18-3)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
76
圖 90-3:MEGA 登入成功後產生雲端檔案之 thumbnail
然後我們嘗試上傳儲存於iPad 的圖片檔案,在成功上傳圖片之後,發現 MEGA 仍 未存取任何檔案,但是重新產生所有儲存於雲端檔案的thumbnail(如圖 18-4)。
圖 91-4:MEGA 上傳圖片後產生所有檔案 thumbnail
最後我們試著下載儲存於MEGA 雲端上的 PDF 檔案,首先在開啟 PDF 檔案之後,
MEGA 產生.getxfer.5658.0.mega 的檔案(如圖 18-5)。然後選擇下載開啟方式,MEGA 則存取.mecabrc 檔案(如圖 18-6),當下載檔案成功之後,MEGA 會再次存取或產生所 有檔案的thumbnail(如圖 18-7)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
77
圖 92-5:MEGA 開啟 PDF 檔案產生.mega 檔
圖 93-6:MEGA 存取.mecabrc 檔案
‧
以網路封包分析結果來說,我們發現OneDrive、Google Drive 及 MEGA 這幾款 APP 均有採用 HTTPS 協定傳輸相關資料,確保網路傳輸的安全性,但我們利用 Burp Suite