Seguridad informatica chile

© Todos los derechos reservados

Análisis Forense Digital en Android con @lawwait



SbD

Lorenzo Martínez R. (@lawwait) [email protected]

https://www.securizame.comhttps://cursos.securizame.com



Motivación del “peritaje”• Con Autorización – Nos lo pide un juez – Nos lo pide el dueño

• Sin autorización – ….



Las aplicaciones en Android• Tipos de aplicaciones: – Las que vienen con Android – Las que añade el fabricante – Las que añade el operador – Las que instala el usuario

• Artifacts:– Conversaciones IM – GPS – Fotos/Videos – Historial navegación

– Búsquedas web – Citas de

calendario – Facebook,

twitter, etc…

– SMS/MMS – Contactos – Llamadas – Emails



Info y configuración de sistema• /data/dalvik-cache -> ficheros .dex en ejecución • /data/app -> apk files • /data/data -> subdirectorios por cada app (sqlites) • /data/misc -> Info de sistema

– bluetooth, dhcp, wifi (wpa_supplicant.conf), vpn,… • /data/system -> Más info • /data/user/0 -> ln -s a /data/data • /cache -> adjuntos de gmail, descargas, updates,…



Datos de sistema• /data/data/com.android.phone/shared_prefs – com.android.phone_preferences.xml • IMSI

• /data/system – packages.xml – SimCard.dat – accounts.db (users/0/accounts.db) – locksettings.db



Habilitar Developer Options

Tap7veces->



Habilitar USB Debugging



ADB: Android Debug Bridge• adb devices [-l] • adb kill-server • adb shell [command] • adb push <file_local> <file_remote> • adb pull <file_remote> <file_local> • adb install file.apk • adb uninstall path_to_file.apk • adb forward tcp:localport tcp:remoteport • adb logcat • adb reboot



Adquisición lógica• Herramientas: – Backup – Androick – AFLogical – ViaExtract

• Acceso directo a ficheros (shell) – adb – Android File Transfer (Mac)



• adb shell

Lawbook:Desktop Lawrence$ adb shellshell@android:/ $ iduid=2000(shell) gid=2000(shell) groups=1003(graphics),1004(input),1007(log),1011(adb),1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats)shell@android:/ $ sushell@android:/ # iduid=0(root) gid=0(root)

Adquisición física (soft): shell (rooteando)



• df

/system 1.13G 871M 281M 4096/data 1.53G 606M 958M 4096/cache 709M 12.9M 696M 4096/storage/sdcard0 1.48G 606M 908M 4096/storage/extSdCard 7.21G 8.91M 7.20G 32768




• tarjeta extraíble nueva • mount o cat /proc/mounts /dev/block/platform/msm_sdcc.3/by-num/p21 /system ext4/dev/block/platform/msm_sdcc.3/by-num/p24 /data ext4/dev/block/platform/msm_sdcc.3/by-num/p22 /cache ext4

• dd + adb pull dd if=/dev/block/platform/msm_sdcc.3/by-num/p24 of=/storage/extSdCard/data.img bs=1M

adb pull /storage/extSdCard/data.img




Los logs de Android• dmesg -> Mensajes de kernel (POSIX) • dumpsys -> Muestra datos de sistema • dumpstate -> Muestra estado del dispositivo • logcat -> Muestra mensajes de sistema y de

apps en pantalla (en real-time) • bugreport = dumpsys + dumpstate + logcat -> file



Ubicaciones con info interesante



Datos Ubicación

Contactos /data/data/com.android.providers.contacts/

Calendario /data/data/com.android.providers.calendar/

SMS&MMS /data/data/com.android.providers.telephony/

DownloadHistory /data/data/com.android.providers.downloads/

BrowserData /data/data/com.android.providers.browser/

Gmail /data/data/com.google.android.providers.gmail/

LocaBonCache /data/data/com.google.android.locaBon/

Content Providers



Información del usuario



sqlite3 command-line• sqlite3 datafile.db – .tables – .schema [tabla] – .mode [line || column] – .headers [on || off] – .quit – PRAGMA [pragma_value]=X



SQLite Database Browser



¿Quién ha robado mi queso?• APKs – /data/app – /system/app

• La info de las apps – /data/data – /mnt/sdcard – /mnt/extSdCard



https://cursos.securizame.com/cursos/analisis-forense-en-android/#contenido

Código Descuento:

“seginfochile”



https://www.securizame.com https://cursos.securizame.com

http://bit.ly/securizame

[email protected]

@ lawwait @securizame @secbydefault

https://telegram.me/securizame

Seguridad informatica chile

Internet

Transcript of Seguridad informatica chile