Fran 馃悵 Brizzolis

hace 6 a帽os 路 4 min. de lectura 路 ~10 路

Blogging
>
Blog de Fran 馃悵
>
Inform谩tica forense: Extracci贸n de datos en dispositivos m贸viles

Inform谩tica forense: Extracci贸n de datos en dispositivos m贸viles



Ne \
ANALISIS FORENSE oA
AQ a


En este art铆culo, voy a mostraros un muy ligero esbozo de algunas de las t茅cnicas que se usan en inform谩tica forense para el an谩lisis de los dispositivos m贸viles que ejecutan el sistema operativo Android, con el fin de poder extraer datos importantes en una hipot茅tica investigaci贸n.


La mayor铆a de los dispositivos m贸viles en el mundo ejecutan el sistema operativo Android. Durante el examen y an谩lisis de los dispositivos m贸viles que ejecutan el sistema operativo Android (en adelante, dispositivos m贸viles) no enfrentamos a las siguientes dificultades:


  • No hay un programa de inform谩tica forense que soporte la extracci贸n de datos de todos los dispositivos m贸viles existentes en el mundo.
  • Hay un gran n煤mero de programas dise帽ados para el sistema operativo Android, en los cuales los datos podr铆an ser potencialmente interesantes para los investigadores forenses. Hasta el momento, no existe un programa de apoyo de an谩lisis forense de los registros y los datos de todos esos programas.
  • El tiempo, en el que los investigadores estaban interesados en los datos de una libreta de tel茅fonos, llamadas, mensajes SMS que fueron extra铆dos por el experto de pruebas de penetraci贸n, ya ha pasado, ahora tambi茅n est谩n interesados en la historia de los recursos de la red (datos de navegadores), la historia de los programas de intercambio de mensajes cortos, los archivos eliminados (archivos gr谩ficos, v铆deos, bases de datos SQLite, etc.) y otra informaci贸n criminal铆stica valiosa acuerdo una encuesta de empresas de pruebas de penetraci贸n.
  • Los delincuentes a menudo eliminan los archivos de la memoria de sus dispositivos m贸viles, tratando de ocultar informaci贸n sobre el crimen cometido.
  • Los laboratorios de inform谩tica forense y subdivisiones de pruebas de penetraci贸n que examinan no pueden permitirse el lujo de comprar paquetes de software especializado, debido al alto costo.



Extracci贸n de datos f铆sicos de los dispositivos m贸viles


Teniendo en cuenta el hecho de que los investigadores tambi茅n est谩n interesados en los archivos borrados que se encuentran en la memoria de los dispositivos m贸viles, los expertos de inform谩tica forense tienen que hacer la extracci贸n de datos f铆sicos de la memoria del dispositivo m贸vil. Eso significa que los expertos de an谩lisis forense tienen que obtener una copia completa del dispositivo examinado. Un experto de an谩lisis forense puede hacer un volcado de memoria f铆sica utilizando los m茅todos siguientes:


  • Extracci贸n de los datos directamente de los chips de memoria del dispositivo m贸vil utilizando el m茅todo de Chip-off. Seg煤n empresa de pruebas de penetraci贸n, este m茅todo m谩s dif铆cil de extracci贸n de datos, pero a veces es la 煤nica manera de extraer los datos desde el dispositivo.
  • La extracci贸n de datos desde la memoria del dispositivo m贸vil utilizando la interfaz JTAG de depuraci贸n. Este m茅todo permite extraer datos de los dispositivos que tengan insignificantes da帽os en hardware y software.
  • Extracci贸n de los datos de a trav茅s de programas especializados (por ejemplo, Oxygen Forensic Suit) y complejos hardware-software (.XRY (Micro Systemation), UFED (CellebriteForensics), Secure View 3.
  • Creaci贸n de copia de la memoria del dispositivo m贸vil manualmente.



Extracci贸n de datos l贸gicos almacenados en la memoria


No importa qu茅 m茅todo los expertos an谩lisis forense utilicen para obtener la copia de memoria del dispositivo m贸vil, al final un experto de an谩lisis forense va a recibir un archivo (o varios archivos), los cuales tienen que ser examinados de alguna manera y lo que necesita es extraer los datos necesarios.


En este caso, la tarea del experto de an谩lisis forense es la extracci贸n solamente de datos l贸gicos que se encuentran en la copia de la memoria de un dispositivo m贸vil que ejecuta el sistema operativo Android, se puede montar una imagen recibida en FTK Imager o UFS Explorer. Seg煤n expertos de pruebas de penetraci贸n, copias de memoria de los dispositivos m贸viles que ejecutan el sistema operativo Android por lo general contienen un gran n煤mero de particiones l贸gicas. Los datos del usuario de dispositivos m贸viles est谩n en la partici贸n l贸gica, que se nombra USERDATA. De esta partici贸n, puedes extraer datos tales como bases de datos, v铆deos, archivos gr谩ficos, archivos de audio, etc.


“aa iawn)

 

0a Gh aw)
£55 Co mn)

007 0a aus)

sc vs 3 fw)
RAD (1 (M3)

Ha azamn)
SreTiM en (hE)
—



La descodificaci贸n de la base de datos SQLit


Como regla general, bases de datos SQLite extra铆das de la memoria de copia del dispositivo m贸vil son de sumo inter茅s para los expertos de an谩lisis forense. En primer lugar, est谩 conectado con el hecho de que la informaci贸n criminal铆stica valiosa se almacena en este formato. Seg煤n expertos de pruebas de penetraci贸n, en bases de datos SQLite se almacenan los datos siguientes: una agenda de tel茅fonos, llamadas, mensajes SMS, mensajes MMS, diccionarios, los datos de los dispositivos m贸viles de los navegadores web, registros de sistema del dispositivo m贸vil y etc.


. eesesm Pp
1 te om thr, orn dd sh 02

A rey tm lp, tr, A sh 8

 

 

 

 

Ta mm se stent ot et, Str £5

 

© bn htry lm ot et tm, tn] 1

 

7 ut lit tr te esr orton, at $44


Algunos investigadores proponen utilizar dos programas para decodificar los archivos de bases de datos SQLite: DCode v4.02a, SQLite Database Browser 2.0b1. En caso de que nosotros usemos la combinaci贸n de estos programas, todav铆a hay un problema en la recuperaci贸n y el an谩lisis de los archivos borrados. Una de las herramientas que solucionan este problema Oxygen Forensic SQLite Viewer.



Recuperaci贸n de datos y archivos borrados


La recuperaci贸n de los datos y los archivos borrados de los dispositivos m贸viles es un proceso complicado. No es com煤n, pero la mayor parte de los programas de an谩lisis forense no son compatibles con el sistema de archivos YAFFS2. Por eso el experto de inform谩tica forense puede encontrarse a s铆 mismo en una situaci贸n en que su programa no es capaz de recuperar algo de la descarga de memoria del dispositivo m贸vil durante el examen de copia f铆sica de los dispositivos m贸viles que ejecutan el sistema operativo Android.


UFS Explorer, R-Studio ha obtenido los mejores resultados en la esfera de la recuperaci贸n de datos borrados de dispositivos m贸viles que ejecutan el sistema operativo Android.


roi

5° rotates —
ress

8 tw we



Para la recuperaci贸n de datos borrados y los archivos de dispositivos m贸viles que ejecutan el sistema operativo Android los cuales contienen archivos de YAFFS2, se recomienda utilizar los siguientes programas: Encase Forensic version 7, The Sleuth Kit o Belkasoft Evidence Center.

0b68e5c5.png



Al igual que en los sistemas operativos Microsoft Windows, en el sistema operativo Android hay archivos que son thumbnails bases y que contienen im谩genes en miniatura de los archivos gr谩ficos y de v铆deo, creados por el usuario (incluyendo archivos borrados). En el sistema operativo Microsoft Windows thumbnails bases tiene nombres: Thumbs.DB o thumbcache_xxx.db (donde xxx es el tama帽o de la imagen en miniatura en la base). En el sistema operativo Android no hay un nombre unificado de tales bases seg煤n expertos de pruebas de penetraci贸n. Adem谩s, vale la pena se帽alar que estas bases se pueden encontrar como en el almacenamiento interno al igual que en la tarjeta de memoria instalada en el dispositivo m贸vil. Por regla general, este tipo de archivos permiten recibir informaci贸n criminal铆stica valiosa, si las principales evidencias son archivos gr谩ficos (fotos) o videos que fueron tomados por el dispositivo m贸vil examinado.



Conclusi贸n


La combinaci贸n de los programas tradicionales para el an谩lisis de los dispositivos m贸viles y los programas tradicionales que se utilizan en forense cibern茅tica da los mejores resultados de an谩lisis de copia de los dispositivos m贸viles que ejecutan el sistema operativo Android.




Referencias:

https://www.certsi.es/blog/herramientas-forense-moviles

http://www.binaryintel.com/services/jtag-chip-off-forensics/chip-off_forensics/

https://es.wikipedia.org/wiki/JTAG

https://www.oxygen-forensic.com/es/

http://www.dmthumbs.com/

https://en.wikipedia.org/wiki/YAFFS

http://www.forensicswiki.org/wiki/FTK_Imager

http://www.ufsexplorer.com/






"""""
Comentarios

Fran 馃悵 Brizzolis

hace 6 a帽os #2

#3
Seguro???... Yo me condidero "mu normaliro"... Para mi un privilegio ser de intetes para todos vosotros de verdad lo digo.

Fran 馃悵 Brizzolis

hace 6 a帽os #1

No se merecen. Es siempre un placer compartir estas "cosas raras"

Art铆culos de Fran 馃悵 Brizzolis

Ver blog
hace 5 a帽os 路 5 min. de lectura

隆Hola abejas! Este a帽o 2018 est谩 siendo algo complicado para m铆, supongo que como para algunos de vo ...

hace 5 a帽os 路 7 min. de lectura

Muchos habremos o铆do alguna vez eso de 鈥渁dministrador de sistemas鈥 (el famoso SysAdmin), que suena t ...

hace 4 a帽os 路 3 min. de lectura

Los mecanismos conocidos como "skimmers de tarjetas" han sido una amenaza importante para la segurid ...

Puede que te interesen estos puestos de trabajo

  • Onix Assessors,Sl - ABOX

    T茅cnico en gesti贸n centralizada de dispositivos m贸viles

    Encontrado en: JOIN ES S2 T2 - hace 6 d铆as


    Onix Assessors,Sl - ABOX Madrid, Espa帽a Employee

    Se ofrece 4 plazas para t茅cnicos con titulaci贸n de grado universitario en 谩reas t茅cnicas como inform谩tica, ingenier铆a, matem谩ticas, f铆sicas, etc. 路 Ubicaci贸n del centro de trabajo: Madrid 路 Se realiz ...

  • Cronoshare

    Recuperar datos de m贸vil capacidad 64

    Encontrado en: Cronoshare ES C2 - hace 4 d铆as


    Cronoshare Molina de Segura (Murcia), Espa帽a

    Necesito un servicio de Recuperaci贸n de datos disco duro con las siguientes caracter铆sticas:Tipo de dispositivo 路 M贸vil 路 驴Qu茅 le ocurre al dispositivo? 路 Se encuentra con el chasis y placa, el dispos ...

  • ACADEMIA TECNICA UNIVERSITARIA S.L.

    Docente IFCD37Desarrollo de app para dispositivos m贸viles

    Encontrado en: Jooble ES S2 - hace 1 d铆a


    ACADEMIA TECNICA UNIVERSITARIA S.L. Madrid, Espa帽a

    Proceso de selecci贸n continuo. 路 Funciones 路 Se precisa docente para impartir curso sobre desarrollo de app para dispositivos m贸viles en Madrid. 路 Requisitos 路 Titulaci贸n requerida: 路 Titulaci贸n u ...