androidのファイルシステム proc tmpfsのこと
proc tmpfsファイルシステム
proc
]
procファイルシステムはカーネル・プロセスと
/procディレクトリの下で作られた流れの中の
パラメタ設定にについての詳しい情報を提供します。
ファイルのいくつかは、シェルユーザによって調査できるもので、
しかし、多くのファイルはユーザがroot権限を持たない限り
アクセスを拒否します。
以前のように、procファイルシステムを探索する方法のひとつは、
フォレンジックに使っているコンピュータにつなげられた
Androidデバイスからファイルを引き出すためのものです。
これらのファイルはコピーができないため
使用するたびに引き出します。
$ sdb pull /proc proc
HTC Incredibleでは、このコマンドの実行は、
プロセス76のコピーをしようとした時に停止されたり
Ctrl+Cでキャンセルされることがあります。
キャンセルさせる前に、sysfs内の調査で大体、25MBのデータと
6000近いファイルを引き出すことに成功するでしょう。
この調査は手動でもでき、”find”コマンドを使ってファイルのリストと
ファイルの位置を調べることもできます。
$ cd /proc
proc$ find . -type f -ls | less
代わりに、adbシェルで/procディレクトリを調査することもできます。
proc$ adb shell
デバイスについての変数情報がprocファイルシステムの中に見られます。
調査する人は、それらのファイルを監査でき、
調査を始めるにもサブディレクトリの代わりに/procディレクトリの
ファイルからスタートすべきです。
tmnpfs
tmpfsはファイルシステムで、
RAMの裏づけのある仮想メモリ内に保存してある
すべてのファイルのことで、
例を示せば、
デバイス用のスワップファイルやキャッシュファイルなど。
この時のほとんどのAndroidデバイスは
スワップスペースを持っていません。
しかし、実際に流通しているファームウェアのいくつかは
このスワップやキャッシュなどの特性を使うことができます。
tmpfsの優位性はRAMを使っていけることで、このストレージは
とても動作が速く、永続的ではないため再起動すると
そのデータは失われます。
もし重要なデータがtmpfsのマウント部に配置されていたとしたら、
デバイスの電源が失われるか再起動される前に、
必要なデータを集めなければなりません。
tmpfsは時折シェルユーザによって読むことができ、
フォレンックプログラムはNAND flashやSDカードの修正をすることなく
tmpfsで実行させ、コピーさせることができます。
これは調査をする人がどんな方法でも
NAND flashやSDカードを修正することなしに、
Androidデバイスからフォレンジックデータを獲得できるように
してくれています。
もし主な興味がデバイスのメモリの中を分析することだったら、
tmpfsを変更させるには、まず興味のあるメモリの部分をコピーして
フォレンジック分析を始めることをお勧めします。
tmpfsのマウント部があります。
/dev、/mnt/asec、/app-casche、/mvt/sdcard/.android/secue
/devディレクトリはNAND flash、SDカード、
文字デバイスなどのような
デバイスにくっつけるために、カーネルを読み書きできるようにする
デバイスファイルを入れています。
/mnt/asecと/mnt/sdcard./android_secureディレクトリは
Androidに新しく加えられた物に関連したり、
/data/dataの代わりにSDカード上にアプリを保存できるようにしたり、
さらにストレージを提供したりします。
/app-cacheも新しく加えられたものなどにtmpfsスペースを提供し
アプリが使えるようにしたりします。
HTC Incredibleで、com.andrew.browserなどのウェブブラウザは、
/app-cacheにディレクトリをつくり、ウェブの閲覧からの
キャッシュファイルを保存します。
この/app-cacheの内容を見ると、
app-cacheディレクトリはすべてのユーザで
読み書き実行ができるようになっています。
加えて、状態表示の最後にある”t”は、
root権限者かディレクトリの所有者のみ削除や
名前変更が可能であることを示しています。
adb shellコマンドの後に、ls -l /app-cacheを打ち込むと
app-cache内部のディレクトリを見ることができ、
com.android.browserが保持しているものになります。
さらにこのディレクトリの中を深く探っていくと分析する際に
もっとも興味がわくアプリだけが使えるファイルとディレクトリや
rootがアクセスするファイル見つけることができます。
もし、webviewCacheディレクトリを
Ubuntuを使ったコンピュータで見た場合、
簡単に他のファイルとイメージを確認できます。
/app-cache tmpfsディレクトリはフォレンジック調査で
重要になる情報を含んでいます。
フォレンジック
ある特定のデバイスの中のデータを
分析し、不正利用などの痕跡を
調査すること。
セッション
インターネットにつなぐといった、
特定のコンピュータによるサービスを
人がつかうときの、
一区切りの時間のこと
デバイス
ここではiPhoneやiPod,iPadなど、
iOSが動いている機器のこと。
躯体的取得
コンピュータ内に保存されている
データをビットごとに保存し、
内容を調査すること
調査人
ここではiPhoneやiPod,iPadなど、
iOSが動いている機器自体の情報や、
不正利用されていないか、
ウィルスなどに感染していないかを
調べる人のことを指す。
ディレクトリ
ファイルの名前や場所を保存している
記憶装置上の場所のこと。
マッキントッシュやWindowsではフォルダ。
ツリー構造で構成されている。
トランザクション
主にデータのやり取り、処理の事。
データベースの場合、ユーザによる
検索、更新などの一連の手続きを指す。