Post on 12-Apr-2017
transcript
© Todos los derechos reservados
Análisis Forense Digital en Android con @lawwait
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
SbD
Lorenzo Martínez R. (@lawwait) lorenzo@securizame.com
https://www.securizame.comhttps://cursos.securizame.com
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Motivación del “peritaje”• Con Autorización – Nos lo pide un juez – Nos lo pide el dueño
• Sin autorización – ….
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Las aplicaciones en Android• Tipos de aplicaciones: – Las que vienen con Android – Las que añade el fabricante – Las que añade el operador – Las que instala el usuario
• Artifacts:– Conversaciones IM – GPS – Fotos/Videos – Historial navegación
– Búsquedas web – Citas de
calendario – Facebook,
twitter, etc…
– SMS/MMS – Contactos – Llamadas – Emails
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Info y configuración de sistema• /data/dalvik-cache -> ficheros .dex en ejecución • /data/app -> apk files • /data/data -> subdirectorios por cada app (sqlites) • /data/misc -> Info de sistema
– bluetooth, dhcp, wifi (wpa_supplicant.conf), vpn,… • /data/system -> Más info • /data/user/0 -> ln -s a /data/data • /cache -> adjuntos de gmail, descargas, updates,…
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Datos de sistema• /data/data/com.android.phone/shared_prefs – com.android.phone_preferences.xml • IMSI
• /data/system – packages.xml – SimCard.dat – accounts.db (users/0/accounts.db) – locksettings.db
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Habilitar Developer Options
Tap7veces->
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Habilitar USB Debugging
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
ADB: Android Debug Bridge• adb devices [-l] • adb kill-server • adb shell [command] • adb push <file_local> <file_remote> • adb pull <file_remote> <file_local> • adb install file.apk • adb uninstall path_to_file.apk • adb forward tcp:localport tcp:remoteport • adb logcat • adb reboot
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Adquisición lógica• Herramientas: – Backup – Androick – AFLogical – ViaExtract
• Acceso directo a ficheros (shell) – adb – Android File Transfer (Mac)
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
• adb shell
Lawbook:Desktop Lawrence$ adb shellshell@android:/ $ iduid=2000(shell) gid=2000(shell) groups=1003(graphics),1004(input),1007(log),1011(adb),1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats)shell@android:/ $ sushell@android:/ # iduid=0(root) gid=0(root)
Adquisición física (soft): shell (rooteando)
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
• df
/system 1.13G 871M 281M 4096/data 1.53G 606M 958M 4096/cache 709M 12.9M 696M 4096/storage/sdcard0 1.48G 606M 908M 4096/storage/extSdCard 7.21G 8.91M 7.20G 32768
Adquisición física (soft): shell (rooteando)
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
• tarjeta extraíble nueva • mount o cat /proc/mounts /dev/block/platform/msm_sdcc.3/by-num/p21 /system ext4/dev/block/platform/msm_sdcc.3/by-num/p24 /data ext4/dev/block/platform/msm_sdcc.3/by-num/p22 /cache ext4
• dd + adb pull dd if=/dev/block/platform/msm_sdcc.3/by-num/p24 of=/storage/extSdCard/data.img bs=1M
adb pull /storage/extSdCard/data.img
Adquisición física (soft): shell (rooteando)
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Los logs de Android• dmesg -> Mensajes de kernel (POSIX) • dumpsys -> Muestra datos de sistema • dumpstate -> Muestra estado del dispositivo • logcat -> Muestra mensajes de sistema y de
apps en pantalla (en real-time) • bugreport = dumpsys + dumpstate + logcat -> file
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Ubicaciones con info interesante
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Datos Ubicación
Contactos /data/data/com.android.providers.contacts/
Calendario /data/data/com.android.providers.calendar/
SMS&MMS /data/data/com.android.providers.telephony/
DownloadHistory /data/data/com.android.providers.downloads/
BrowserData /data/data/com.android.providers.browser/
Gmail /data/data/com.google.android.providers.gmail/
LocaBonCache /data/data/com.google.android.locaBon/
Content Providers
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
Información del usuario
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
sqlite3 command-line• sqlite3 datafile.db – .tables – .schema [tabla] – .mode [line || column] – .headers [on || off] – .quit – PRAGMA [pragma_value]=X
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
SQLite Database Browser
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
¿Quién ha robado mi queso?• APKs – /data/app – /system/app
• La info de las apps – /data/data – /mnt/sdcard – /mnt/extSdCard
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
https://cursos.securizame.com/cursos/analisis-forense-en-android/#contenido
Código Descuento:
“seginfochile”
Análisis Forense Digital en Android con @lawwait
© Todos los derechos reservados
https://www.securizame.com https://cursos.securizame.com
http://bit.ly/securizame
lorenzo@securizame.com
@ lawwait @securizame @secbydefault
https://telegram.me/securizame