O documento discute técnicas forenses em dispositivos Android, incluindo a identificação do aparelho, aquisição de imagens lógicas e físicas, e localização de dados como contatos, SMS e cache de geolocalização. Ele também apresenta ferramentas como FTK Imager, DD e ADB para aquisição de imagens e acesso root ao dispositivo.

1. Android Forensic
The Hard Work
Por Luiz Vieira
@HackProofing

3. Arquitetura

4. Android SDK
• Desenvolvimento
• Bibliotecas, APIs, Emulador,
Documentação e etc
• Utilizada durante o processo de
investigação
• Disponível para os 3 principais sistemas
operacionais

6. Android Virtual Device

7. Identificação do Aparelho
• Quais dados preciso verificar?
• Quais informações analisar?
• Quais características são importantes?
• Quais ferramentas serão necessárias?
• Algum hardware em especial?

8. Senha de acesso

9. Tipos de Memórias
• RAM
– Passwords
– Encryption keys
– Usernames
– App data
– Data from system processes and services
• NAND
– File system

10. Técnicas Forenses
• Identificação
• Mídia Removível (SD Card)
• Aquisição Lógica
• Aquisição Física
• Chip-Off

11. Imagem Exata

12. Ferramentas para Aquisição de Imagens
• FTK Imager
• DD
• Atenção:
– SD Card = Fat32 (sdcard.img)
– Outra partições do dispositivo: YASFF2
(cache.img e userdata-qemu.img)

13. Acesso como ROOT
• Utilização do ADB – Android Debug Bridge
• Permite acesso como root à um shell do
dispositivo
• Permite acesso aos arquivos *.img

14. Informações de Interesse
Dados Localização
Contatos /data/data/com.android.providers.contacts/
Calendário /data/data/com.android.providers.calendar/
SMS /data/data/com.android.providers.telephon/
Downloads /data/data/com.android.providers.downloads/
Dados do Browser /data/data/com.android.providers.browser/
Gmail /data/data/com.google.android.providers.gmail/
Cache de GeoLocalização /data/data/com.google.android.location/

15. Aquisição Lógica
• Acesso como ROOT
• Modo USB ativo
• Corremos o risco de alterar as evidências
http://code.google.com/p/android-forensics/

16. Aquisição Física
• Live Forensic
• Dump da memória física (RAM)
• Na cadeia de volatilidade, essa deve ser a
primeira ação
• Ferramentas:
– Memfetch faz o dump de espaços
específicos da memória
– DMD módulo que permite o dump de
memória física, incluindo o envio por TCP

17. DMD
• Instalação e configuração do DMD:
$ adb push dmd-evo.ko /sdcard/dmd.ko
$ adb forward tcp:4444 tcp:4444
$ adb shell
$ su
#
• Aquisição:
– No dispositivo: # insmod dmd path=tcp:4444
– Em um host: $ nc localhost 4444 > ram.dump
• Análise:
– Volatility e seus plugins

18. Outras Ferramentas
• Data Carving Scalpel
• Extração de Strings Strings
• Análise de Estrutura de Arquivos Hexeditor
• Análise de Base de Dados SQLite
• Timeline de Filesystem FAT32 The Sleuth Kit

19. Perguntas

21. Contatos
Luiz Vieira
http://hackproofing.blogspot.com
http://www.oys.com.br
luizwt@gmail.com
luiz.vieira@oys.com.br
luiz.vieira@owasp.org