Androidforensics thehardwork-120515212329-phpapp01

Android ForensicThe Hard Work

Por Luiz Vieira@HackProofing

Arquitetura

Android SDK

• Desenvolvimento• Bibliotecas, APIs, Emulador,

Documentação e etc• Utilizada durante o processo de

investigação• Disponível para os 3 principais sistemas

operacionais

Android Virtual Device

Identificação do Aparelho

• Quais dados preciso verificar?• Quais informações analisar?• Quais características são importantes?• Quais ferramentas serão necessárias?• Algum hardware em especial?

Senha de acesso

Tipos de Memórias

• RAM– Passwords– Encryption keys– Usernames– App data– Data from system processes and services

• NAND– File system

Técnicas Forenses

• Identificação• Mídia Removível (SD Card)• Aquisição Lógica• Aquisição Física• Chip-Off

Imagem Exata

Ferramentas para Aquisição de Imagens

• FTK Imager• DD

• Atenção : – SD Card = Fat32 (sdcard.img)

– Outra partições do dispositivo: YASFF2(cache.img e userdata-qemu.img)

Acesso como ROOT

• Utilização do ADB – Android Debug Bridge• Permite acesso como root à um shell do

dispositivo• Permite acesso aos arquivos *.img

Informações de Interesse

/data/data/com.google.android.location/Cache de GeoLocalização

/data/data/com.google.android.providers.gmail/Gmail

/data/data/com.android.providers.browser/Dados do Browser

/data/data/com.android.providers.downloads/Downloads

/data/data/com.android.providers.telephon/SMS

/data/data/com.android.providers.calendar/ Calendário

/data/data/com.android.providers.contacts/ Contatos

LocalizaçãoDados

Aquisição Lógica

• Acesso como ROOT• Modo USB ativo• Corremos o risco de alterar as evidências

http://code.google.com/p/android-forensics/

Aquisição Física

• Live Forensic• Dump da memória física (RAM)• Na cadeia de volatilidade, essa deve ser a

primeira ação• Ferramentas:

– Memfetch � faz o dump de espaços específicos da memória

– DMD � módulo que permite o dump de memória física, incluindo o envio por TCP

• Instalação e configuração do DMD:$ adb push dmd-evo.ko /sdcard/dmd.ko$ adb forward tcp:4444 tcp:4444$ adb shell$ su#

• Aquisição:– No dispositivo: # insmod dmd path=tcp:4444– Em um host: $ nc localhost 4444 > ram.dump

• Análise:– Volatility e seus plugins

Outras Ferramentas

• Data Carving � Scalpel• Extração de Strings � Strings

• Análise de Estrutura de Arquivos � Hexeditor• Análise de Base de Dados � SQLite

• Timeline de Filesystem FAT32 � The Sleuth Kit

Perguntas

Contatos

Luiz Vieirahttp://hackproofing.blogspot.com

http://www.oys.com.brluizwt@gmail.com

luiz.vieira@oys.com.brluiz.vieira@owasp.org

Androidforensics thehardwork-120515212329-phpapp01

Technology

Transcript of Androidforensics thehardwork-120515212329-phpapp01

Complexotenasecisticercose 120611171301-phpapp01

Mdic 131024092907-phpapp01

3danielmansurapresentaodeplancnc2705 110530172429-phpapp01

Traduzido Codice de Talentos 814 Talentos 1310771449 Phpapp01 110715181225 Phpapp01

seitas -phpapp01

Numeros phpapp01

Comogerarresultadosemmdiassociais 100826124700-phpapp01

Guia pratico-rede-e-servidores-linux-120904130641-phpapp01-140507215427-phpapp01

Situaesquearotinanecessitacontemplar 120628125647-phpapp01-120716213148-phpapp01 (1)

Apostilaportugues ana-130605164534-phpapp01-140124172522-phpapp01

Educaosociedadeetrabalho 110906101528-phpapp01

Sixpix 090925150238 Phpapp01

Componentesdosistemadetratamentocomoznio 130512125410-phpapp01

Assertividade 090602120502 Phpapp01

Histriadaeducaonobrasil 110711143108-phpapp01

Palestramsica 090920152632-phpapp01

Emchamasparadeus 120208114732-phpapp01-130513051643-phpapp01 (1)

Seguranadigital 090905102626-phpapp01

Direitodafamilia 130713021635-phpapp01

Propostadetrabalhocomosalunos 120930102848-phpapp01