Android forensics the hard work

5.053 visualizações

Publicada em

presented in You Shot The Sheriff 6

Publicada em: Tecnologia
1 comentário
2 gostaram
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
5.053
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3.608
Ações
Compartilhamentos
0
Downloads
69
Comentários
1
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Android forensics the hard work

  1. 1. Android Forensic The Hard Work Por Luiz Vieira @HackProofing
  2. 2. Arquitetura
  3. 3. Android SDK• Desenvolvimento• Bibliotecas, APIs, Emulador, Documentação e etc• Utilizada durante o processo de investigação• Disponível para os 3 principais sistemas operacionais
  4. 4. Android Virtual Device
  5. 5. Identificação do Aparelho• Quais dados preciso verificar?• Quais informações analisar?• Quais características são importantes?• Quais ferramentas serão necessárias?• Algum hardware em especial?
  6. 6. Senha de acesso
  7. 7. Tipos de Memórias• RAM – Passwords – Encryption keys – Usernames – App data – Data from system processes and services• NAND – File system
  8. 8. Técnicas Forenses• Identificação• Mídia Removível (SD Card)• Aquisição Lógica• Aquisição Física• Chip-Off
  9. 9. Imagem Exata
  10. 10. Ferramentas para Aquisição de Imagens• FTK Imager• DD• Atenção: – SD Card = Fat32 (sdcard.img) – Outra partições do dispositivo: YASFF2 (cache.img e userdata-qemu.img)
  11. 11. Acesso como ROOT• Utilização do ADB – Android Debug Bridge• Permite acesso como root à um shell do dispositivo• Permite acesso aos arquivos *.img
  12. 12. Informações de Interesse Dados LocalizaçãoContatos /data/data/com.android.providers.contacts/Calendário /data/data/com.android.providers.calendar/SMS /data/data/com.android.providers.telephon/Downloads /data/data/com.android.providers.downloads/Dados do Browser /data/data/com.android.providers.browser/Gmail /data/data/com.google.android.providers.gmail/Cache de GeoLocalização /data/data/com.google.android.location/
  13. 13. Aquisição Lógica• Acesso como ROOT• Modo USB ativo• Corremos o risco de alterar as evidências http://code.google.com/p/android-forensics/
  14. 14. Aquisição Física• Live Forensic• Dump da memória física (RAM)• Na cadeia de volatilidade, essa deve ser a primeira ação• Ferramentas: – Memfetch faz o dump de espaços específicos da memória – DMD módulo que permite o dump de memória física, incluindo o envio por TCP
  15. 15. DMD• Instalação e configuração do DMD: $ adb push dmd-evo.ko /sdcard/dmd.ko $ adb forward tcp:4444 tcp:4444 $ adb shell $ su #• Aquisição: – No dispositivo: # insmod dmd path=tcp:4444 – Em um host: $ nc localhost 4444 > ram.dump• Análise: – Volatility e seus plugins
  16. 16. Outras Ferramentas• Data Carving Scalpel• Extração de Strings Strings• Análise de Estrutura de Arquivos Hexeditor• Análise de Base de Dados SQLite• Timeline de Filesystem FAT32 The Sleuth Kit
  17. 17. Perguntas
  18. 18. Contatos Luiz Vieirahttp://hackproofing.blogspot.com http://www.oys.com.br luizwt@gmail.com luiz.vieira@oys.com.br luiz.vieira@owasp.org

×