В 2022 году во всем мире насчитывалось более 5,32 миллиардов граждан, использующих мобильные телефоны, при этом в 2000 году этот показатель был равен всего лишь 1 миллиарду. Мы являемся свидетелями повальной миграции пользователей с персональных компьютеров на мобильные телефоны.
Трафик мобильной передачи данных в России к 2022 достиг 43 эксабайт, что почти в 6 раз больше, чем в 2017 году (7.3 эксабайта). Смартфоны сегодня такие, как iPhone, Samsung Galaxy и другие, представляют собой карманные компьютеры с высокой эффективностью, огромным объемом памяти и увеличенным функционалом.
Мобильные телефоны – это самые часто используемые человеком устройства. Разумеется, что и преступники являются пользователями такого типа устройств, поэтому при грамотном проведении экспертизы смартфоны могут раскрыть бесценную и ключевую информацию для следствия. Вот почему все чаще встречаются дела, в которых применяется исследование мобильных устройств. Журнал вызовов, геолокация – эта и иная информация может помочь следствию доказать причастность или невиновность подозреваемого. Поэтому необходимо постоянно совершенствовать и изучать новые методы изъятия и исследования информации на мобильных телефонах.
В нынешних реалиях эксперту необходимо иметь запас инструментов (желательно бесплатных и доступных), которые позволят максимально точно ответить на поставленные перед ним вопросы. В данной статье мы рассмотрим как проблемы, связанные с легальностью использования программного эмулятора операционной системы (далее – ОС) Android при проведении экспертизы, так и какие вопросы, поставленные перед экспертом, можно решить при помощи программного эмулятора ОС Android.
Юридические аспекты эмуляторов ОС Android
При написании заключения по компьютерно-технической экспертизе экспертам необходимо указывать, с помощью каких методик и программного обеспечения (далее – ПО) данное исследование было проведено. При проведении экспертизы по делу об административном правонарушении эксперт может указать любое ПО (кроме нелегально скопированного), которое было использовано для ответов на поставленные ему вопросы, но необходимо понять, можно ли использовать системы виртуализации при проведении экспертиз вне компетенции статьи 1278 Гражданского Кодекса Российской Федерации.
Сама ОС Android имеет лицензию Apache, т.е. лицензию на свободное программное обеспечение. Как и любая лицензия такого типа, Apache дает пользователю право на использование программного обеспечения для любых целей, таких как свободное распространение, изменение и распространение измененной копии. Единственным условием данной лицензии является информирование конечного пользователя об использовании исходного кода.
При распространении указанного программного обеспечения необходимо поместить два файла в корневой каталог:
LICENSE — файл, который содержит копию текста лицензии Apache;
NOTICE — текстовый файл, перечисляющий все библиотеки, лицензированные под лицензией Apache вместе с именами их создателей.
В каждый измененный файл должна добавляться информация об изменениях, а в каждом лицензируемом файле должна быть сохранена вся исходная информация о патентах или копирайтах.
В связи с этим создатели эмуляторов ОС Android могут использовать данную операционную систему в своих программах при выполнении вышеуказанных условий.
Следующим шагом необходимо выяснить может ли эксперт свободно скачивать эмуляторы и с их помощью отвечать на вопросы, поставленные судом. Данную тему можно рассмотреть на примере BlueStacks.
BlueStacks App Player – это бесплатная платформа для запуска Android-приложений на персональном компьютере пользователя под управлением ОС Windows или Mac OS, которая поддерживает все приложения, распространяющиеся в Google Play. С некоторыми разработчиками она может взаимодействовать напрямую для обеспечения быстродействия приложений на платформе.
Указанное ПО, в отличие от ОС Android, уже распространяется с другой лицензией, а именно Shareware – лицензией на условно-бесплатное программное обеспечение. Данная лицензия позволяется свободно распространять ПО, но только с урезанными возможностями, ограниченным сроком действия или со встроенной рекламой. Для получения же доступа ко всем возможностям программы необходимо заплатить ее автору. Однако даже при таких условиях ПО остается общедоступным, что дает пользователю возможность скачивать и работать в нем.
Исходя из вышесказанного можно сделать вывод, что эксперты при проведении любой экспертизы имеют право пользоваться эмуляторами ОС Android, если в этом возникает необходимость.
Исследование эмуляторов ОС Android
Для работы с системами виртуализации сначала необходимо понять, какими функциями они обладают.
Эмуляторы предназначены для копирования функций одной вычислительной системы на другую таким образом, чтобы эмулированное поведение как можно точнее отражало поведение оригинальной системы. Первая из этих систем, в основном, называется гостем, в то время как последняя является хозяином (хостом). Другими словами, если гостевая система имеет какое-либо программное обеспечение или периферийные устройства, предназначенные для нее, хост-система может запускать или использовать их соответствующим образом.
Bluestacks
Bluestacks на данный момент является самым популярным эмулятором. Приложение предлагает зарегистрироваться в предустановленном Google Play, однако отказ от данной функции не помешает установить файл формата «.apk» из памяти компьютера.
Nox
Приложение Nox, в отличии от Bluestacks, обладает более широким спектром криминалистически важных функций. В нем предусмотрена функция выбора модели и марки телефона, создание IMEI и изменение своего местоположения для приложений, которые его запрашивают. Также есть возможность переноса APK-файлов из бэкапа.
Nox включает в себя удобный интерфейс, который очень легко исследовать и менять под нужды пользователя. Эмулятор также предлагает возможность включения root-прав. Все, что для этого необходимо сделать, это поставить галочку в чек-боксе рядом с полем «Рут» в настройках системы. Это автоматически установит режим суперпользователя, что позволит предоставлять root-доступ к установленным приложениям. Приложения также могут быть установлены путем перетаскивания файлов формата «.apk».
AppUse
AppUse – это виртуальная машина, разработанная компанией AppSec Labs, и являющаяся уникальной платформой для тестирования безопасности мобильных приложений в среде ОС Android, включающая в себя эксклюзивные пользовательские инструменты, созданные AppSec Labs. Представлены две версии данной виртуальной машины на сайте производителя – платная и бесплатная. Для проведения исследования эксперту будет достаточно и функционала бесплатной версии. Данное программное обеспечение скачивается в формате “.vmx”, поэтому легко открывается с помощью программы VMware.
Эмулятор встроен в виртуальную машину, при этом к ней может быть подключено мобильное устройство. Эксперту на выбор предлагается эмулировать три устройства разных версий ОС Android, при этом на одном из них будет включен режим суперпользователя. В зависимости от поставленных задач эксперт может выбрать любую версию из представленных. Если же исследуемое приложение находится на изъятом устройстве, то для подключения к AppUse необходимо включить на устройстве отладку по USB, подключить устройство к компьютеру, на котором установлено приложение, а затем разрешить использование USB-портов виртуальной машиной для обнаружения подключенного устройства.
В AppUse присутствует богатый арсенал инструментов для пентестинга, которые будут полезны эксперту во многих случаях при изучении приложения.
Burp Suite – является ведущим программным обеспечением для тестирования веб-безопасности. Это инструмент, который поможет перехватить запрос между клиентом и сервером.
Wireshark – это инструмент захвата сетевого трафика, который дает четкое представление о пакетах в сети.
IDA – это многопроцессорный дизассемблер и отладчик для Windows, Linux или Mac OS X.
Eclipse – предоставляет IDE и платформы почти для каждого языка программирования и архитектуры.
NetBeans – это свободная интегрированная среда разработки приложений на языках программирования Java, JavaScript, HTML5, PHP, C / C++ и других.
Браузер SQLite – используется для просмотра файлов баз данных.
Nmap – утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов и определения состояния объектов сканируемой сети.
Для комфортного исследования файлов формата «.apk» в AppUse предусмотрены встроенные инструменты. Например, есть несколько способов загрузки APK-файла на виртуальную машину. Как было описано выше, к компьютеру можно подключить мобильный телефон и исследовать файлы, содержащиеся на нем, либо воспользоваться встроенным эмулятором, загрузить на него нужное приложение и исследовать. Также доступна функция загрузки APK-файла напрямую на виртуальную машину с разных сайтов, в том числе и с Google Play.
Однако в основном при помощи AppUse проводится декодировка APK-файлов. Для этого на панели инструментов необходимо прописать путь до APK-файла, находящегося на физическом носителе, на эмуляторе либо на самой виртуальной машине.
После начала исследования выбранного файла будет создана папка в том же каталоге с декомпилированными файлами в нем. Файл формата «.apk» состоит из XML и других ресурсов приложений для ОС Android. Далее можно пролечить информацию с помощью встроенных в AppUse утилит. Apktools декодирует данные файлы и преобразует в байт-код Android. Утилита dex2jar преобразует файлы формата «.dex» в файл байт-кода java, архивированный в jar-файл. JD GUI и Luyten декомпилирует байт-код java в файл исходного кода java.
После установки или выбора APK-файла эксперт может посмотреть manifest-файл Android в папке, созданной Apktools.
Далее рассмотрим эмулятор Dalvik Virtual Machine (DVM), который не использует байт-код java, а вместо него применяет свой собственный формат файлов, называемый dex (Dalvik Executable Format). Данный формат содержит определение нескольких классов и типов данных:
Smali/Baksmali – это дизассемблер для формата файлов «.dex».
Save java sources – это инструмент dex2jar, который используется для декодирования dex-файлов на jar-файлов.
JD-GUI – это автономная графическая утилита, которая отображает исходные коды class-файлов языка программирования Java.
В дополнении ко всему вышесказанному, можно обратиться к Santoku Linux. В статье очень подробно и доступно разбирают функционал дистрибутива.
Выводы
При проведении судебной компьютерно-технической экспертизы и ответа на вопросы, поставленные судом, эксперту необходимо иметь различные инструменты для выполнения всестороннего исследования. Для этого при изъятии и изучении данных с мобильного телефона требуются специализированные программные комплексы такие, как «Мобильный Криминалист».
Эмуляторы же ОС Android необходимы при решении следующего ряда задач:
Анализ действий вредоносных программ;
Тестирование работы программы;
Выгрузка данных из объектов, представленных на исследование, в приложение, если они не могут быть проанализированы при помощи обычных инструментов.
Эмуляторы ОС Android гораздо менее производительны, чем ряд новых телефонов, но при этом с ними гораздо удобнее работать. Практически на каждом эмуляторе есть возможность подключения root-прав. Встроенные функции систем виртуализации такие, как снимки экрана или горячие клавиши, позволяющие копировать какие-либо данные, могут быть очень полезны для ведения отчетности. Простота копирования файлов с компьютера на эмулятор и автоматически записывающиеся логи облегчают задачу эксперта при тестировании программ на наличие вирусов.
Одним из значимых преимуществ эмуляторов является также возможность изъятия данных из них с помощью специализированных программных комплексов. Это позволяет изучить то, как воздействуют на данные те или иные вирусы, программы, как изменяются полученные данные из разных версий приложений, какие аппаратные комплексы извлекают больше информации.
