Date post: | 28-Jun-2015 |
Category: |
Technology |
Upload: | luiz-vieira |
View: | 4,657 times |
Download: | 1 times |
Android ForensicThe Hard Work
Por Luiz Vieira@HackProofing
Arquitetura
Android SDK
• Desenvolvimento• Bibliotecas, APIs, Emulador,
Documentação e etc• Utilizada durante o processo de
investigação• Disponível para os 3 principais sistemas
operacionais
Android Virtual Device
Identificação do Aparelho
• Quais dados preciso verificar?• Quais informações analisar?• Quais características são importantes?• Quais ferramentas serão necessárias?• Algum hardware em especial?
Senha de acesso
Tipos de Memórias
• RAM– Passwords– Encryption keys– Usernames– App data– Data from system processes and services
• NAND– File system
Técnicas Forenses
• Identificação• Mídia Removível (SD Card)• Aquisição Lógica• Aquisição Física• Chip-Off
Imagem Exata
Ferramentas para Aquisição de Imagens
• FTK Imager• DD
• Atenção : – SD Card = Fat32 (sdcard.img)
– Outra partições do dispositivo: YASFF2(cache.img e userdata-qemu.img)
Acesso como ROOT
• Utilização do ADB – Android Debug Bridge• Permite acesso como root à um shell do
dispositivo• Permite acesso aos arquivos *.img
Informações de Interesse
/data/data/com.google.android.location/Cache de GeoLocalização
/data/data/com.google.android.providers.gmail/Gmail
/data/data/com.android.providers.browser/Dados do Browser
/data/data/com.android.providers.downloads/Downloads
/data/data/com.android.providers.telephon/SMS
/data/data/com.android.providers.calendar/ Calendário
/data/data/com.android.providers.contacts/ Contatos
LocalizaçãoDados
Aquisição Lógica
• Acesso como ROOT• Modo USB ativo• Corremos o risco de alterar as evidências
http://code.google.com/p/android-forensics/
Aquisição Física
• Live Forensic• Dump da memória física (RAM)• Na cadeia de volatilidade, essa deve ser a
primeira ação• Ferramentas:
– Memfetch � faz o dump de espaços específicos da memória
– DMD � módulo que permite o dump de memória física, incluindo o envio por TCP
DMD
• Instalação e configuração do DMD:$ adb push dmd-evo.ko /sdcard/dmd.ko$ adb forward tcp:4444 tcp:4444$ adb shell$ su#
• Aquisição:– No dispositivo: # insmod dmd path=tcp:4444– Em um host: $ nc localhost 4444 > ram.dump
• Análise:– Volatility e seus plugins
Outras Ferramentas
• Data Carving � Scalpel• Extração de Strings � Strings
• Análise de Estrutura de Arquivos � Hexeditor• Análise de Base de Dados � SQLite
• Timeline de Filesystem FAT32 � The Sleuth Kit
Perguntas
Contatos
Luiz Vieirahttp://hackproofing.blogspot.com
http://[email protected]
[email protected]@owasp.org