Análisis Forense de otros móviles
-
Upload
eventos-creativos -
Category
Technology
-
view
1.172 -
download
3
description
Transcript of Análisis Forense de otros móviles
![Page 1: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/1.jpg)
Juan Garrido & Juan Luis García Rambla
Consultores de Seguridad I64
http://windowstips.wordpress.com
http://www.informatica64.com
![Page 2: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/2.jpg)
Introducción
Tecnología Windows Mobile
Estructura Física y Lógica
Adquisición de imágenes
Live Forensics
![Page 3: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/3.jpg)
![Page 4: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/4.jpg)
El auge de los sistemas de movilidad y uso intensivo de los mismospropician el uso fraudulento o criminal con los mismos.
Las empresas empiezan a tener en consideración el control de dispositivos por riesgos de usos maliciosos o fuga de información.
El forense de dispositivos móviles sigue las mismas directrices y métodos que los forenses convencionales:
Buenas prácticas.
Preservación de la información.
Analisis basados en métodos.
Herramientas forenses.
![Page 5: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/5.jpg)
Arquitectura diferente.
Diversidad en los modelos y tecnologías.
Diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales.
Software de análisis forense y hardware específico.
La mayoría de software forense es de pago.
![Page 6: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/6.jpg)
SIM.
Memoria interna.
Memorias internas secundarias.
Unidades Flash.
Discos SD.
![Page 7: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/7.jpg)
Es posible aunar ambas tecnologías.
La generación de imágenes de memoria interna se puede realizarcon herramientas específicas para móviles.
Herramientas con EnCase o FTK permiten analizar a posteriori la información recogida en las imágenes capturadas.
![Page 8: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/8.jpg)
![Page 9: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/9.jpg)
Aun siendo modelos y diseños muy diferentes mantienen la arquitectura incluso entre versiones.
El componente principal en un caso forense es la memoriainterna.
La estructura de la memoria interna es mantenida desde lasversiones Pocket PC 2003.
Los distintos modelos pueden contar con más o menos memoria o diferentes unidades internas.
![Page 10: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/10.jpg)
Adicionalmente al PIN de la SIM algunos terminales pueden tenercódigo de Bloqueo.
Bloquear no cifra, solo bloquea el acceso a datos desde el terminal.
La unidad puede ser extraída y analizada en otro dispositivo o terminal hardware de análisis.
El desbloqueo del mismo solo puede ser llevado por metodologíaHardware o "puertas traseras específicas de dispositivos".
El Hard Reset Hardware anularía dicho mecanismo.
![Page 11: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/11.jpg)
Al igual que la tecnología convencional debemos distinguir entre eliminación lógica de ficheros o contenido o formateo o recuperación de valores de fábrica del dispositivo.
La recuperación de ficheros eliminados puede ser realizada con herramientas forense como OXY-Forensics o Paraben s Device Seizure.
Empresas como DiskLabs permiten la recuperación de datoseliminados aún incluso realizado mediante un Hard Reset.
www.disklabs.com
![Page 12: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/12.jpg)
![Page 13: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/13.jpg)
Los sistemas de Windows Mobile cuenta habitualmente con dos estructuras.
Física.
Lógica.
Los discos aunque pueden ser modificados contienen en combinación de fábrica 4 particiones.
![Page 14: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/14.jpg)
![Page 15: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/15.jpg)
![Page 16: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/16.jpg)
![Page 17: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/17.jpg)
Part 00: Contiene una actualización del Kernell para los procesosde actualización del Sistema Operativo.
Part 01: Contiene el Kernell Primario.
Part 02: Contiene la imagen ROM comprimida en formato LZX.
Part 03 u otro Disco contiene la información de ficheros, Carpetasy otros datos interesantes para una investigación.
![Page 18: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/18.jpg)
![Page 19: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/19.jpg)
![Page 20: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/20.jpg)
Se puede especificar a través del Objeto que crea
Windows
![Page 21: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/21.jpg)
Puede ser utilizado mediante aplicaciones específicas de forense.Herramientas XACT Forensics LTD
Conjunto de utilidades OXY.
Paraben Device Seizure.
Mobiledit Forense de Compelson.
Conjunto de aplicaciones no forense que permiten trabajar con dispositivos.
ITSUtilsBin.
TULP2G (en desarrollo el módulo de obtención de imágenes de disco).
![Page 22: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/22.jpg)
Hay pasarle los datos en HEX
Se hace por problemas de compatibilidad
Especificarle el Disco y la partición a copiar
Offset de Inicio + Offset final
Copia al vuelo
Problema con ficheros abiertos
![Page 23: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/23.jpg)
![Page 24: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/24.jpg)
Tenemos que acatar la ley
Sentar jurisprudencia
Que la prueba sea admisible
Que se pueda “Hashear” (Evidencia fiable)
Se pueda analizar a posteriori
![Page 25: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/25.jpg)
![Page 26: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/26.jpg)
Se puede realizar en la mayoría
Iphone & Android
Hardware… Of Course
SSH
USB
Windows Mobile
Hardware… Of Course
SD Card
![Page 27: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/27.jpg)
![Page 28: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/28.jpg)
![Page 29: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/29.jpg)
Listar directorios
PDIR
Modo Verbose
Recursividad
Procesos en ejecución
PPS
Hilos en ejecución
Ficheros abiertos
PHANDLE
![Page 30: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/30.jpg)
Copiar archivos específicos
PGET
No copia archivos en uso (API!!)
Examinar y copiar el registro
PREGUTL
![Page 32: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/32.jpg)
Suscripción gratuita en [email protected]
![Page 33: Análisis Forense de otros móviles](https://reader031.fdocument.pub/reader031/viewer/2022020105/559bab071a28ab65358b45e3/html5/thumbnails/33.jpg)
http://elladodelmal.blogspot.com