AF-2DFB-MB · Mobil (Android)
Silinen Mesaj
İNDİRİLEBİLİR gerçek SQLite. Bir mesaj uygulamasından SİLİNEN suçlayıcı mesajı freelist'ten kurtar. Canlı bir 'promo' mesajı tuzaktır.
Senaryo
Android-stili bir mesaj veritabanı (.db). Şüpheli suçlayıcı bir mesajı SİLDİ; ama secure_delete kapalı olduğu için satır freelist'te kalır ve kurtarılabilir. Naif bir SELECT ya da grep, canlı bir sahte 'promosyon' mesajını da gösterir. Silinen mesajın bayrağını ve göndereni kurtar; canlı tuzağı raporlama.
Anti-forensics teknikleri
- Silinen kayıt kurtarma (SQLite freelist)
- Canlı sahte mesaj (red herring)
Sağlanan artefaktlar
- SQLite veritabanı (Android mesaj uygulaması .db)
Örnek sorular
- q1: Silinen mesajdan kurtarılan bayrak nedir?
- q2: Silinen mesajı kim gönderdi (sender)?
- q3: Asıl kanıt mesajın durumu nedir? (silinmiş)
- trap1: Canlı 'promo' mesajının bayrağını kanıt diye raporlama.
Soundness tuzağı
Canlı promo mesajı SELECT'te görünür ama zararsızdır; onu raporlamak ağır ceza. Asıl kanıt SİLİNMİŞ olandır (freelist).
Puanlama
Silinen-kayıt kurtarma + canlı-tuzak direnci (soundness).
İNDİRİLEBİLİR
İndir ve çöz
Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.