androidのファイルシステム rootfs devpts sysfs cgroupのこと
sysfsなどその他のファイルシステム
rootfs、devpts、sysfsとcgroupファイルシステム
Linuxにあるファイルシステムの多くは、起動、指示操作
システムの管理に使われ、たまにフォレンジック調査に使いやすい
情報を含まなかったりします。
しかし、セキュリティエンジニアと調査人は、それらのファイルシステム、
カーネルの内部動作を細かく調査でき、
セキュリティホールを確認することと、他の弱点を試みます。
すぐに4つ以上の強調された構造基盤に関連したファイルシステムを
Androidに見ることができます。
まず、rootfsはカーネルにあり、
起動時にrootファイルシステムにマウントされます。
rootとはディレクトリツリーの最上部にあり、
/(スラッシュ)で表記されます。
カーネルがブートプロセスを完了するために、
コアファイルとライブラリへのアクセスを必要とし、
rootファイルシステムのマウントが必要になります。
カーネルがブートプロセスを終了させるときに、
後のファイルシステムがディレクトリとしてマウントされて、
rootファイルシステムがはずされます。
たとえば、rootファイルシステムは、rootにマウントされ、
そしてキーとなるファイルを格納するでしょう。
さらに全部そろったシステムディレクトリは、
rootシステムにマウントされるでしょう。
シェルの”ls -l”コマンドを走らせるか、
どのファイルシステムがマウントされているか、
どのrootファイルシステムのディレクトリにあるのかを
確認するために”mount”を入力することで、
rootファイルシステムとディレクトリを確認することができます。
devptファイルシステムはAndroidデバイスで
模擬のターミナルセッションを提供します。
同じように従来のUnixサーバに接続するのに、
telnetやsshを使っています。
そのたびに仮想ターミナルは接続し、/dev/ptsに
新しいノードが作られます。
たとえばもし、Androidデバイスにひとつのadbシェルで
接続したことがあれば、
$ cd /dev/pts
/dev/pts$ adb shell
$ ls -l /dev/pts
とコマンドを打ち込んで内容を確認してみてください。
しかし、二つのadbシェルでの接続で、デバイスにインストールされた
アプリからのひとつのターミナルアプリ接続であれば、
$ adb shell ls -l /dev/pts
と打ち込んで内容を確認します。
この/dev/ptsの中に見られるように、/dev/pts/0には
コネクション(接続状態)が存在します。
二つの付加コネクションには現在、そして、
アプリのユニークユーザidの元で走っている
ターミナルアプリからのものを示します。
sysfsは他の仮想ファイルシステムで設定とデバイス用の
ファイルコントロールを格納します。
内容は次のコマンドで確認します。
$ cd /dev/pts
dev/pts$ adb shell ls -l /sys
好奇心の強い人のために、adb pullをフォレンジックを行っている
コンピュータ上ですべてのユーザにファイルを読めるように実行できます。
打ち込むコマンドは、
$ cd /dev/pts
$dev/pts$ adb pull /sys sys
これでファイルリストを構築することができます。
このリストで見れるように、多くのファイルが引き出されます。
フォレンジック調査をするときには、
データの調査にLinuxツールのすべてを使うことができます。
一方で、この情報のフォレンジック値には、
追加のリサーチが必要になります。
このフォレンジック値は明らかにセキュリティリサーチLの手助けをしてくれる
デバイスについての基本的な情報を提供します。
たとえば、もしNANDデバイスについてさらに学びたい場合には、
$ cd /sysfs
/sysfs$ ls -l ./module/msm_nand/parameters/
./module/msm_nand/parameters/のディレクトリを調査します。
catコマンドを使って、 ./mondule/msm_nand?parameters/ディレクトリに
venderを加えれば、メーカー名が表示され、
infoならば、idなどのディレクトリの情報
pagesizeならば、ページの大きさが表示されます。
NANDデバイスを詳細に理解することは、
フォレンジックとセキュリティ分析をする人にとって
重要なステップになります。
3000近くのファイルで、調査に値するデータがあります。
下記にファイル名、パス、サイズなど関連するファイルを,br />
簡単に調査させてくれる早い方法を紹介します。
リスト化をして、ほかのターミナルでファイルの内容を連結するのに
コピー&ペーストを使ってみてください。
$ find sysfs -type f -ls { less
sysfsファイルシステムを手動で調査することを以外で、
インターネットに詳細な情報があり、追加の背景を提供します。
最後の仮想ファイルシステムはcgroupsと様ばれるもので、
追跡に使われていて、Linuxファイルシステムのタスクを集めます。
HTC Incredible上で、二つのcgroupファイルシステムが作られます。
一つ目は、/dev/cpuctlと他の/acctで。
一方追加の分析は結果を生み出すかもしれません。
経理データは一般的にフォレンジック分析の証明に役立ちません。
フォレンジック
ある特定のデバイスの中のデータを
分析し、不正利用などの痕跡を
調査すること。
セッション
インターネットにつなぐといった、
特定のコンピュータによるサービスを
人がつかうときの、
一区切りの時間のこと
デバイス
ここではiPhoneやiPod,iPadなど、
iOSが動いている機器のこと。
躯体的取得
コンピュータ内に保存されている
データをビットごとに保存し、
内容を調査すること
調査人
ここではiPhoneやiPod,iPadなど、
iOSが動いている機器自体の情報や、
不正利用されていないか、
ウィルスなどに感染していないかを
調べる人のことを指す。
ディレクトリ
ファイルの名前や場所を保存している
記憶装置上の場所のこと。
マッキントッシュやWindowsではフォルダ。
ツリー構造で構成されている。
トランザクション
主にデータのやり取り、処理の事。
データベースの場合、ユーザによる
検索、更新などの一連の手続きを指す。