Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
-
Upload
deft-association -
Category
Documents
-
view
466 -
download
0
description
Transcript of Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Metodologie di acquisizione di
dispositivi Android
Marco Giorgi
Android
Sistema operativo di Google con kernel Linux presente su svariati dispositivi di uso comune come ad esempio smartphone, tablet, navigatori satellitari, ecc.
Modalità di acquisizione
Chip-off
Logica
Fisica
Filesystem
Acquisizione Logica
Disponibilità limitata dei dati
No carving
Accesso diretto ai records dei database rubrica, contatti, ecc.
Acquisizione Filesystem
Disponibilità limitata dei dati
No carving sui files
Estrazione di file e cartelle
Accesso parziale al filesystem
Acquisizione Fisica
Bitstream image (intera memoria o singole partizioni)
Estrazione di tutti i files e cartelle
E’ possibile fare carving
Chip-off
Distruttiva e rischiosa
Intero dump del chip di memoria
Estrazione di tutti i files e cartelle
E’ possibile fare carving
Strumenti acquisizione
Acquisizione fisica tramite ADB
Esecuzione shell di recovery temporanea modificata tramite scheda Micro SD
Avvio del dispositivo in modalità di recovery standard (pulsanti: HOME + VOLUME UP + TASTO CENTRALE)
!
Installazione pacchetto con SU e busybox (netcat e dd) tramite scheda Micro SD
Acquisizione memoria flash
Mettere il dispositivo in “recovery mode” e collegarlo al PC tramite cavo USB!
Impostare la porta per il forwarding dei dati tramite ADB : $ adb forward tcp:8888 tcp:8888
Acquisizione memoria flash
Collegamento al dispositivo tramite ADB ed elevazione dei privilegi di root :$ adb shell$ su
Esempio di blocco di memoria
# ls /dev/block/mmcblk0 mmcblk0p1 ——> /efs mmcblk0p10 —-> /data mmcblk0p11 mmcblk0p12 mmcblk0p2 mmcblk0p3 mmcblk0p4 mmcblk0p5 —-> /kernel mmcblk0p6 —-> /recovery mmcblk0p7 ——> /cache mmcblk0p8 mmcblk0p9 ——> /system
Acquisizione memoria flash
# /system/xbin/busybox nc -l -p 8888 -e /system/xbin/ busybox dd if=/dev/block/mmcblk0
In un’altra finestra del terminale : $ nc 127.0.0.1 8888 | pv -i 0.5 > mmcblk0.raw
Da shell ADB :
Acquisizione memoria flash
Terminata l’acquisizione sarà possibile montare le partizioni per estrarre ed elaborare i dati, effettuare carving, ed altre operazioni di interesse
Sviluppi futuri
E’ in fase di studio e sviluppo un metodo meno invasivo per l’acquisizione fisica