Android Forensic
The Hard Work
Por Luiz Vieira
@HackProofing
Arquitetura
Android SDK
• Desenvolvimento
• Bibliotecas, APIs, Emulador,
Documentação e etc
• Utilizada durante o processo de
investig...
Android Virtual Device
Identificação do Aparelho
• Quais dados preciso verificar?
• Quais informações analisar?
• Quais características são impor...
Senha de acesso
Tipos de Memórias
• RAM
– Passwords
– Encryption keys
– Usernames
– App data
– Data from system processes and services
• N...
Técnicas Forenses
• Identificação
• Mídia Removível (SD Card)
• Aquisição Lógica
• Aquisição Física
• Chip-Off
Imagem Exata
Ferramentas para Aquisição de Imagens
• FTK Imager
• DD
• Atenção:
– SD Card = Fat32 (sdcard.img)
– Outra partições do dis...
Acesso como ROOT
• Utilização do ADB – Android Debug Bridge
• Permite acesso como root à um shell do
dispositivo
• Permite...
Informações de Interesse
/data/data/com.google.android.location/Cache de GeoLocalização
/data/data/com.google.android.prov...
Aquisição Lógica
• Acesso como ROOT
• Modo USB ativo
• Corremos o risco de alterar as evidências
http://code.google.com/p/...
Aquisição Física
• Live Forensic
• Dump da memória física (RAM)
• Na cadeia de volatilidade, essa deve ser a
primeira ação...
DMD
• Instalação e configuração do DMD:
$ adb push dmd-evo.ko /sdcard/dmd.ko
$ adb forward tcp:4444 tcp:4444
$ adb shell
$...
Outras Ferramentas
• Data Carving Scalpel
• Extração de Strings Strings
• Análise de Estrutura de Arquivos Hexeditor
• Aná...
Perguntas
Contatos
Luiz Vieira
http://hackproofing.blogspot.com
http://www.oys.com.br
luizwt@gmail.com
luiz.vieira@oys.com.br
luiz.v...
Androidforensics thehardwork-120515212329-phpapp01
Androidforensics thehardwork-120515212329-phpapp01
Androidforensics thehardwork-120515212329-phpapp01
Próximos SlideShares
Carregando em…5
×

Androidforensics thehardwork-120515212329-phpapp01

119 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
119
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Androidforensics thehardwork-120515212329-phpapp01

  1. 1. Android Forensic The Hard Work Por Luiz Vieira @HackProofing
  2. 2. Arquitetura
  3. 3. Android SDK • Desenvolvimento • Bibliotecas, APIs, Emulador, Documentação e etc • Utilizada durante o processo de investigação • Disponível para os 3 principais sistemas operacionais
  4. 4. Android Virtual Device
  5. 5. Identificação do Aparelho • Quais dados preciso verificar? • Quais informações analisar? • Quais características são importantes? • Quais ferramentas serão necessárias? • Algum hardware em especial?
  6. 6. Senha de acesso
  7. 7. Tipos de Memórias • RAM – Passwords – Encryption keys – Usernames – App data – Data from system processes and services • NAND – File system
  8. 8. Técnicas Forenses • Identificação • Mídia Removível (SD Card) • Aquisição Lógica • Aquisição Física • Chip-Off
  9. 9. Imagem Exata
  10. 10. Ferramentas para Aquisição de Imagens • FTK Imager • DD • Atenção: – SD Card = Fat32 (sdcard.img) – Outra partições do dispositivo: YASFF2 (cache.img e userdata-qemu.img)
  11. 11. Acesso como ROOT • Utilização do ADB – Android Debug Bridge • Permite acesso como root à um shell do dispositivo • Permite acesso aos arquivos *.img
  12. 12. Informações de Interesse /data/data/com.google.android.location/Cache de GeoLocalização /data/data/com.google.android.providers.gmail/Gmail /data/data/com.android.providers.browser/Dados do Browser /data/data/com.android.providers.downloads/Downloads /data/data/com.android.providers.telephon/SMS /data/data/com.android.providers.calendar/Calendário /data/data/com.android.providers.contacts/Contatos LocalizaçãoDados
  13. 13. Aquisição Lógica • Acesso como ROOT • Modo USB ativo • Corremos o risco de alterar as evidências http://code.google.com/p/android-forensics/
  14. 14. Aquisição Física • Live Forensic • Dump da memória física (RAM) • Na cadeia de volatilidade, essa deve ser a primeira ação • Ferramentas: – Memfetch faz o dump de espaços específicos da memória – DMD módulo que permite o dump de memória física, incluindo o envio por TCP
  15. 15. DMD • Instalação e configuração do DMD: $ adb push dmd-evo.ko /sdcard/dmd.ko $ adb forward tcp:4444 tcp:4444 $ adb shell $ su # • Aquisição: – No dispositivo: # insmod dmd path=tcp:4444 – Em um host: $ nc localhost 4444 > ram.dump • Análise: – Volatility e seus plugins
  16. 16. Outras Ferramentas • Data Carving Scalpel • Extração de Strings Strings • Análise de Estrutura de Arquivos Hexeditor • Análise de Base de Dados SQLite • Timeline de Filesystem FAT32 The Sleuth Kit
  17. 17. Perguntas
  18. 18. Contatos Luiz Vieira http://hackproofing.blogspot.com http://www.oys.com.br luizwt@gmail.com luiz.vieira@oys.com.br luiz.vieira@owasp.org

×