Oxygen Forensics APK Downgrade Güncellemesi

Merakla beklenen Oxygen Foresics 16 versiyonunda downgrade güncellemesi yayınlandı. Özellikle Android 12 ve 13 sürümlerinde kullanan cihazlarda verilerin analiz edilmesi ve imaj alınması büyük bir sorun oluşturuyordu. Yeni yayınlanan güncelleme ile makalemizde APK Düşürmenin nasıl gerçekleştireceğinizi sizlere detaylı olarak anlatmaya çalışacağız.

Android ADB yedeklemesi, kilidi açılmış Android cihazlardan kanıt elde etmek için kullanılan yöntemlerden biridir. Ancak, bu yaklaşımla, araştırmacılar en son sürüme ait uygulamaları çıkaramazlar. Çünkü verileri uygulama sağlayıcısı tarafından yedeklemeye dahil edilmez. Sonuç olarak, ayrıştırılmış bir Android yedeği içeriğinde bir çok uygulayama ait veriler alınamamaktadır. Neyse ki, adli bilişim incelemelerinde yaygın olarak kullanılan bir çözüm var – APK Downgrade yöntemi. Bu yöntem, daha önce Android ADB yedekleme yöntemi kullanılarak erişilemeyen uygulama verilerini içeren yedeklerin oluşturulmasını sağlar. Bir dizi uygulamayı geçici olarak eski sürümlere düşürerek, araştırmacılar değerli kullanıcı ve uygulama verilerini çıkarma olanağına sahip olurlar. APK Düşürme yöntemimiz Android OS 5 ila 13 sürümleriyle uyumludur ve Android OS 12 ve 13’e sahip Samsung cihazları hariç desteklenen tüm cihaz modellerinde çalışmaktadır.

Şu anda, Oxygen Forensic®Detective WhatsApp, Facebook, Instagram, Twitter, Tinder ve diğerleri dahil olmak üzere 46 uygulama için APK düşürmeyi desteklemektedir.

Genel olarak, APK sürüm düşürme prosedürü dört ana adım içerir:

• Desteklenen uygulamalar listesinden hangi uygulamaların düşürüleceğini seçilir.
• Orijinal uygulama APK dosyalarının bir kopyasını oluşturur ve kopya sürümlerini düşürür.
• Uygulama ait verilerini ayıklar.
• APK dosyalarını orijinal hallerine geri yükler.

Not: Bu yöntem uygulama kullanıcı verilerini değiştirmez, bu nedenle kullanımı güvenlidir.

Oxygen Forensic®Detective’de APK nasıl düşürülür?

Oxygen Forensic®Detective’de APK düşürme işleminin tam olarak nasıl gerçekleştirileceğine daha yakından bakalım. Başlamadan önce Android cihazın kilidinin açık, şarjının tam ve uçak modunda olduğundan emin olun. Bu işlem tamamlandıktan sonra, Oxygen Forensic®Device Extractor’da “APK Downgrade” seçeneğini seçin.

“Extract data from applications” seçeneğine tıklayın ve mobil cihazınızı bağlayın. Cihaz algılandıktan sonra, yazılım yüklü uygulamaları tarayacak ve hangilerinin APK Downgrade tarafından desteklendiğini kontrol edecektir. Böylelikle hangi uygulamalara ait veri çıkarım işlemlerini yapabileceğimizi rahatlıkla görebileceğiz.

Oxygen Forensic®Detective, adli bilişim uzmanlarına veya araştırmacılara desteklenen tüm uygulamaların veya yalnızca belirli uygulamaların sürümünü düşürme ve bunlardan veri çıkarma seçeneği sunar. Araştırmacılar, mevcut uygulamalar listesinden verilerin çıkarılmasını istedikleri tüm uygulamaları seçebilirler.

Adli Bilişim uzmanı veya araştırmacı, ilgilendiği uygulamaları seçtikten sonra, sürüm düşürme işlemi başlar. Yazılım, APK dosyalarının orijinal sürümlerini kaydedecek ve seçilen uygulama sürümlerini düşürecektir. Bu işlem seçilen uygulamaların sayısına veya boyutuna göre farklı zaman dilimlerini kapsayabilir.

Not: Bu süre zarfında cihaz üzerinde herhangi bir değişiklik veya işlem yapılmaması tavsiye edilir. çünkü yapılacak olan işlemlerde veri kaybına veya delil zincirinin bozulmasına sebebiyet verebilir. 

Düşürülen uygulama verilerini çıkarmak için bir Android yedeği oluşturulacaktır. Çıkarma işlemi tamamlandıktan sonra, yazılım orijinal APK dosyalarını otomatik olarak geri yükleyecektir. Böylelikle cihazımızın üzerinde yer alan uygulamaların içeriklerini alıp daha sonrasında orjinal hale getirecektir.

Not: Geri yüklendiğinde, indirgenmiş uygulamalar cihazın Ana Ekranında APK indirgemesinden önce bulundukları konumda kalmayacaktır.

Geri yükleme tamamlandıktan sonra, araştırmacılar sürümü düşürülmüş uygulamalara ait verilerini Oxygen Forensic®Detective’e aktarabilir ve inceleme süreçlerine başlayabilir. İçe aktarma sırasında, araştırmacıların Android yedeklemesinin kodunu çözmek için varsayılan 1234 parolasını girmeleri gerekecektir. Parolanın yalnış girilmesi veya girilmemesinden dolayı alınan imaj içeriği açılmayacaktır. 

Yedekleme ayrıştırıldıktan sonra, araştırmacılar kodu çözülmüş tüm uygulama verilerini göreceklerdir. APK düşürme, araştırmacıların klasik Android ADB yedekleme yöntemini kullanarak normalde erişemeyecekleri değerli uygulama kanıtlarını elde etmelerini sağlayan güvenli ve kullanımı kolay bir yöntemdir. Özellikle android 12 ve 13 versiyonlarında fiziksel imajın alınamadığı durumlarda APK Downgrade yöntemiyle cihazların imajı alınarak inceleme süreçlerine başlayabiliriz.