TULP2G

7/21/2019 TULP2G

1/36

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA

PROGRAMACIN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS

SISTEMAS I/O AVANZADOS DE ALTO NIVEL

[email protected]

Traducido por Sykrayo Espaa
https://sites.google.com/site/sykrayo/

7/21/2019 TULP2G

2/36

International Journal of Digital Evidence Fall 2005, Volume 4, Issue 2

www.ijde.org

TULP2G - Una fuente Framework Software Forense abiertapara

Adquirir y decodificacin de datos almacenados en losdispositivos electrnicos

Jeroen van den Bos y Ronald van der KnijffPases Bajos Instituto Forense

Abstracto

TULP2G es un marco de software forense para adquirir y decodificar los datosalmacenados en los dispositivos electrnicos. El marco consiste en una arquitectura en

capas con la comunicacin, el protocolo, la conversin y plug-ins de exportacin paraadquirir, decodificar, y el informe evidencia diseos personalizables. Todos los datosobtenidos se almacenan en un archivo de datos con formato XML, junto coninformacin para fines de auditora. Archivos XML tambin se pueden usar parapersonalizar el marco con diferentes idiomas de la interfaz de usuario. Un mecanismode perfiles se basa en guardar y cargar la configuracin del marco de lasinvestigaciones comunes. Conversin y plug-ins de exportacin tambin pueden serutilizados para decodificar los datos adquiridos con otros mtodos de adquisicin dedatos. TULP2G se implementa en C # utilizando. NET1.1 y liberado bajo la licenciaBSD. Todo el software, incluyendo el cdigo fuente est disponible enhttp://tulp2g.sourceforge.net/.En la actualidad dispone de plug-ins estn dirigidos

principalmente hacia los exmenes de telfonos GSM, pero la estrategia de cdigoabierto aplicado intenta estimular otras partes en el desarrollo de una mayorfuncionalidad examen.

1Introduccin

Preparacin de imgenes probatorias de los medios de comunicacin de dispositivosmviles es diferente a hacer una copia forense de sonido de un disco duro. Los mediosde comunicacin de dispositivos mviles por lo general no pretenden serexchangeable1, sino que literalmente pegados al circuito impreso del dispositivo

boards2. No existe una interfaz abierta general para acceder directamente a los mediosde comunicacin de dispositivos mviles msque la eliminacin fsica de los chips y los de lectura con los llamados programmers3dispositivo. Estos tipos de investigaciones slo se puede hacer por los ingenierostcnicos en entornos de laboratorio y por lo tanto slo se llevan a cabo en casosexcepcionales.

Dado que los dispositivos mviles pueden contener una gran cantidad de evidenciapotencial, otras tcnicas de investigacin se utilizan para extraer datos de estosdispositivos [1]. El mtodo de investigacin ms bsica es el uso de la interfaz deusuario habitual para extraer manualmente tanto usuario relacionada

http://www.ijde.org/http://tulp2g.sourceforge.net/http://tulp2g.sourceforge.net/http://www.ijde.org/

7/21/2019 TULP2G

3/36


www.ijde.org

1Recientes telfonos mviles se utilizan cada vez ms las tarjetas multimedia intercambiables, pero una gran

cantidad de datos de usuario relacionados an estn almacenados en las memorias de estado slido duro soldadas.2Los telfonos mviles actuales almacenar datos no voltiles en memorias Flash empaquetados en los llamados micro

bolas arrays red,

lo que significa que todas las conexiones fsicas estn en el lado inferior del chip, no accesibles sin quitar primero

todo el chip de la placa de circuito impreso.3Un programador dispositivo se conecta fsicamente a un dispositivo y es utilizado por la industria de

dispositivos de programa durante la fabricacin.

http://www.ijde.org/http://www.ijde.org/

7/21/2019 TULP2G

4/36


www.ijde.org 2

informacin posible4. Esto funciona para los tipos ms antiguos de los telfonosmviles, pero se pone incmodo con dispositivos modernos que contienen miles deobjetos en una gran cantidad de formatos diferentes. Por esta razn, el NFI5

desarrollado algunas herramientas a finales del siglo pasado para ayudar a losinvestigadores con sus manuales investigations6. Haba varias razones para sustituirestas herramientas con un marco general para el anlisis de dispositivos electrnicos:

1. Las herramientas existentes se basan en el formato de salida de texto ASCII. El usocada vez mayor de Unicode7 y la popularidad emergente de datos multimedia en lacomunicacin mvil exigir un nuevo formato de salida y almacenamiento.

2. Forenses especialistas en sistemas embebidos quieren concentrarse en laextraccin de datos y la decodificacin de datos y no en la integracin de losdiferentes mtodos en un producto de software fcil de usar. La mayora de las

herramientas quedan en un "slo para uso en laboratorio" etapa y no puede serutilizada por usuarios novatos. Un marco puede aliviar los especialistas forenses deproblemas complejos de desarrollo de software.

3. Especialistas integrados en el NFI estn ocupados con los exmenes de laboratoriocomplejos y no tienen tiempo para implementar todos los mtodos requeridos. Conun marco mslas personas son capaces de aadir soluciones.

Este artculo presenta TULP2G8, un marco de software forense para la adquisicin dey decodificar los datos almacenados en los dispositivos electrnicos. Seccin 2

describe la arquitectura marco y la funcionalidad principal que ofrece. Seccin 3ilustra el uso de marco tpico con un tutorial sobre cmo leer las imgenes de undeterminado tipo de telfono mvil. Uso avanzado de funciones de decodificacin dedatos TULP2G se demuestra en la Seccin 4. Seccin 5 se enumeran todas lasherramientas de examen disponibles en la actualidad para el marco TULP2G ydescribe la actualizacin deseada y el mecanismo de apoyo.

2TULP2G Framework Software

2.1 Propsito

TULP2G es un marco de software forense para ayudar a los investigadoresforenses con sus exmenes de los dispositivos electrnicos. No es una funcin"pulsar un botn" automatizar el proceso de anlisis forense completo. Se suponeque los examinadores capacitados que saben cmo investigar un dispositivo, peroestn en necesidad de un poco de ayuda para acelerar el proceso de investigacinforense y para minimizar los errores humanos.

4Para las investigaciones de telfonos mviles este mtodo puede en parte ser normalizados utilizando la

estructura de men de un telfono como gua.5Pases Bajos Instituto Forense.6Cards4Labs para la lectura de tarjetas chip SIM y TULP para leer datos de los telfonos mviles.


7/21/2019 TULP2G

5/36


www.ijde.org 3

7Se utiliza un conjunto de normas destinadas a proporcionar una forma universal de codificacin de caracteres

de cualquier idioma, sin importar el sistema informtico, o plataforma,.8El nombre TULP2G refiere al antiguo programa TULP. TULP es holands del tulipn y se utiliza como un acrnimo

de

Telefoon UiTlees Programma, que significa "programa para leer los

telfonos".


7/21/2019 TULP2G

6/36


www.ijde.org 4

El marco en s no contiene una funcionalidad especfica para la extraccin de datos,decodificacin o informes. Slo define un flujo de trabajo de exploracin general paralos investigadores y ofrece un diseo abstracto de los desarrolladores de los llamados

plug-ins. Estos plug-ins contiene los mtodos de investigacin actuales. Desde laperspectiva de un usuario la ventaja de utilizar un concepto de marco es el principio de"aprender de una vez aplicarse en todas partes". Una desventaja de este concepto depropsito general es el primer esfuerzo necesario para acostumbrarse al flujo detrabajo. La razn ms importante para la introduccin de un concepto de marco es el dehacer ms fcil para los desarrolladores de software para agregar funcionalidad dedispositivo especfico, sin preocuparse con GUI9 aspectos y se repiten las tareas deprogramacin comunes. Mediante la creacin de esta esperamos estimular losdesarrolladores y aumentar el nmero de mtodos de extraccin forensesautomatizados para dispositivos electrnicos.

2.2 Marco y arquitectura plug-en concepto

La figura 1 muestra la arquitectura de marco general.

Figura 1: Configuracin del marco TULP2G.

Cada investigacin se inicia con una exposicin que contiene datos y finaliza con uninforme que contiene informacin procedente de los datos de exposicin y / o

relacionadas con el proceso de investigacin. El proceso de investigacin se basa encuatro plug-in de diferentes categoras: dos para la adquisicin de datos y dos para laconversin de datos y la exportacin. Una quinta herramienta plug-in de categora seha definido para las tareas relacionadas con los casos que no estn directamentevinculados a una exposicin o tareas que necesitan una interfaz de usuario dedicada.Las investigaciones se pueden agrupar en Cases. Todos los datos relacionados con uncaso se almacenan en un XML [2] archivo con formato (ver seccin 2.3 para msdetalles).


7/21/2019 TULP2G

7/36


www.ijde.org 5

9Interfaz grfica de usuario.


7/21/2019 TULP2G

8/36


www.ijde.org 6

2.2.1 Comunicacin plug-insEstos plug-ins manejar el nivel ms bajo de la comunicacin con devices10: establecery cerrar conexiones y el envo y recepcin de datos en bruto. Debido a esto que

interactan directamente con el dispositivo externo a travs de un conductor u otrapieza de bajo nivel de software. Los ejemplos de los plug-ins de comunicacin son lacomunicacin serie plug-in para acceder a los dispositivos a travs de RS232,infrarrojos o Bluetooth, y el PC / SC de comunicacin plug-in paraacceso a la tarjeta de chip a travs de la PC estandarizada / SC interfaz [3].Comunicacin plug-ins puede llamar a las funciones del marco API11 para lospropsitos de interfaz de tala y el usuario. Dado que la comunicacin de plug-ins sonespecficos de un cierto tipo de comunicacin yno a un dispositivo, que no se utilizan en su propia para leer la informacin desde undispositivo. Otro complemento que utiliza los servicios de una comunicacin plug-in esnecesario para suministrar los datos reales que necesita ser intercambiada con el

dispositivo para obtener informacin til a partir de ella.

2.2.2 Protocolo de plug-insProtocolo de plug-ins son los homlogos de comunicacin plug-ins. Ellos no tienen lacapacidad de conectarse a un dispositivo de realidad, pero en su lugar implementan unprotocolo de comunicacin y el uso de un plug-IN12 para enviar y recibir informacindesde un dispositivo en realidad, de acuerdo con el protocolo que se implementan.Ejemplos de protocolos de plug-ins son el protocolo AT_ETSI plug-in [0] para laextraccin de datos de los telfonos mviles y el protocolo SIM plug-in [5] para laextraccin de datos de tarjetas de chip SIM. Protocolo de plug-ins pueden llamar afunciones de la API de marco para el registro, la interfaz de usuario, y el

almacenamiento de datos de los propsitos expuestos.

2.2.3 Conversin de plug-insUna conversin de plug-in recibe los datos almacenados por el marco, procedentes deexposiciones, y es capaz de convertir los tipos de datos especficos. Conversin deplug-ins pueden ser encadenados con el fin de apoyar la decodificacin secuencial(cebolla pelado). Este mecanismo se apoya para maximizar la reutilizacin del cdigo yevitar complejos procedimientos de mantenimiento de software. Los ejemplos de losplug-ins de conversin son la conversin SIM plug-in para la conversin de datos SIMde bajo nivel en los datos XML informe exprs (a excepcin de bajo nivel SMSTPDUs13, son slo "peladas" de su "piel SIM") y el SMS conversin de plug-in para la

conversin de unidades PDU SMS no slo se originan en las tarjetas SIM, pero lostelfonos mviles. Conversin de plug-ins pueden llamar a funciones de la API demarco para los propsitos de interfaz de usuario y el registro y se controla a travs deuna exportacin de plug-in seleccionado.

Plug-ins 2.2.4 ExportacinExportacin plug-ins enviar todos los datos almacenados por el marco, procedentes deexposiciones, y seleccionado por el usuario, a travs de la conversin activada plug-ins.Si los datos se convierten por un

10Esto significa que el nivel ms bajo desde la perspectiva Marco TULP2G. Esto no significa necesariamente el

nivel ms bajo posible visto desde el sistema operativo del ordenador.


7/21/2019 TULP2G

9/36


www.ijde.org 7

11 Interfaz de programacin de aplicaciones: un conjunto de mtodos para la construccin de aplicaciones de software.12

Un protocolo plug-in puede ser capaz de utilizar diferentes comunicaciones plug-ins para la conexin a una

exposicin. Para que esto funcione los desarrolladores de la comunicacin de plug-ins deben utilizar el mismo

formato de los datos en la aplicacin de la

Interfaz marco entre la comunicacin y el protocolo de plug-ins.13

Servicio de mensajes cortos Transfer Protocol Data Unit: un mensaje de un protocolo dado que comprende cargaSMS y especfica de protocolo de informacin de control.


7/21/2019 TULP2G

10/36


www.ijde.org 8

conversin determinada plug-in, la exportacin plug-in reemplaza el elemento de datosoriginal con el que convertir. Una vez que todas las conversiones de datos han tenidolugar, la exportacin plug-in convierte los datos resultantes de un plug-in de formato

especfico de salida, como XML, HTML14, PDF15 o DOC16. Plug-ins ms Export va autilizar un mtodo de conversin basado en plantillas para permitir a los pequeoscambios que deben introducirse en el formato de salida sin tener que recompilar ovolver a escribir toda una exportacin plug-in. Un ejemplo de una exportacin plug-in esla exportacin XML plug-in para la generacin de XML y / o HTML utilizando XSL17hojas de estilo. Conversin de plug-ins pueden llamar a funciones de la API de marcopara los propsitos de interfaz de tala y el usuario (por ejemplo, la especificacin de unarchivo de plantilla o una carpeta de salida para datos multimedia extrados).

2.2.5 Herramienta de plug-insLa funcionalidad de la herramienta de marco hace posible la creacin de plug-ins

adicionales para realizar tareas de investigacin relacionadas con ricos plug-in deTULP2G interfaz. Herramienta de plug-ins son, bsicamente, de forma libre, no hayinterfaz estricta deben observar adems el mecanismo utilizado por TULP2G paracargar plug-ins. Esta herramienta permite a los plug-ins para realizar todo tipo detareas. Un ejemplo de una herramienta plug-in es la IMEI18 decodificador plug-in paraconseguir la marca y el tipo de informacin de los telfonos mviles.

2.3 Evidencformato de archivo de correo

TULP2G fuertemente utiliza XML para el almacenamiento y recuperacin de datos.XML no slo se utiliza para guardar y cargar datos de la investigacin, pero para el

almacenamiento de datos de salida, la configuracin, y lenguaje, as como para lasestructuras de datos internos durante la conversin y exportacin. La Figura 2describe el formato utilizado por TULP2G para almacenar datos relacionados conlas causas.

14 Hyper Text Markup Language, el lenguaje de autor utilizado para crear documentos en la World Wide Web.15

Portable Document Format, un formato de archivo desarrollado por Adobe Systems.16 Formato de archivo utilizado por el software de Microsoft Word.


7/21/2019 TULP2G

11/36


www.ijde.org 9

17Extensible Stylesheet Language, una especificacin para la separacin de estilo del contenido al crear HTML o

XML

pginas.18

International Mobile Equipment Identity, un nmero nico asignado a cada telfono mvil nico, tpicamente

se encuentran detrs de la batera.


7/21/2019 TULP2G

12/36


www.ijde.org 10

...

...

...

...

...

...

...

...

...

Figura 2: TULP2G XML Evidencia formato dearchivo.

Cada expediente de prueba TULP2G tiene slo un elemento del caso con tres posibles tipos denios:

1. Notas: a lo sumo un elemento para almacenar notas relacionadas casos.2. Artculo: cero o ms elementos para almacenar el registro de datos que

no pertenecen a una investigacin (por ejemplo, en relacin con lasexportaciones y las medidas de conversin).

3. Investigacin: Elemento de nivel superior para los datos pertenecientes a unadeterminada investigacin.

Investigacin elementos tienen dos tipos posibles nio: a lo sumo un elementoNotas para almacenar notas relacionadas con la investigacin, y cero o ms

elementos de artculos para el almacenamiento de datos que pertenecen a lainvestigacin.

DateCreatedy DateModified son marcas de tiempo en FILETIME format19 igual a lahora local del equipo que ejecuta TULP2G.

MD5y SHA1 son values20 hachs calculado de la siguiente way21:

Hash (Artculo) =Hash (Nombre +DateCreated +DataType + StorageType +ItemType

+ StringContent )

# Artculos


7/21/2019 TULP2G

13/36


www.ijde.org 11

Hash (Investigacin) =Hash Nombre + Creador+DateCreated+Notas +Hash (artculo [i]) yo= 1

19La estructura de datos FILETIME es un valor de 64 bits que representa el nmero de intervalos de 100 nanosegundos desde

01 de enero 1601.20 Se agregan los valores hash para garantizar la integridad de datos de archivos de evidencia.21 "+" Significa: la concatenacin de cadenas, marcas de tiempo se convierten primero en UTC (Tiempo Universal Coordinado).


7/21/2019 TULP2G

14/36


www.ijde.org 12

Hash (Case) =Hash (Nombre+ Creador+DateCreated+DateModified+Notas +

# ItemChildenOfCase

Hash (artculo

[i]) +yo= 1

#Investigaciones

Hash (Investigacin [j]))j= 1

DataType es utilizado por la conversin de plug-ins para decidir si la conversin de losdatos especficos de elementos es posible. DataTypes se definen por losdesarrolladores de complementos que se necesitan para asegurar que el mismo tipode datos no se utiliza para diferentes formatos de datos. Ejemplo DataTypes sonETSI_11.11_FILE utilizado por el protocolo SIM plug-in y ETSIAT utilizado por elprotocolo AT_ETSI plug-in.

StorageType es una cadena de datos de cadena y binarios para base6422elementos de datos codificados binarios.

ItemType es el error de registro de errores de datos, Programas-Info para los plug-in deregistro de datos relacionados,Recibirpara los datos recibidos de exposiciones, y enviar los datos enviados a laexposicin.

ItemTypes con un valor de error tienen dos atributos adicionales:

ErrorClass con los valores posibles: Comunicacin, forense, informes, Sistema

o desconocido

ErrorSeveritycon los valores posibles: Advertencia, no fatal, fatal o desconocido

2.4 Auditabilidad (registro)

Para fines forenses todas las acciones tomadas por el investigador en relacin conexposiciones necesitan ser almacenados para su revisin. El marco TULP2G registralas acciones del usuario relacionadas con la investigacin de casos y en el fichero dedatos utilizando el PluginInfo valor del atributo ItemType. Por esta razn, los archivosde las pruebas cargadas que tenga que ser salvado incluso si no se aade nueva

investigacin. Si no hay ningn archivo de pruebas est abierto el registro de datos sealmacenan en un archivo de registro mundial especificado con el elementosystemlogfile en el marco TULP2G archivo de configuracin config.xml(Valor por defecto es systemlog.xml). ItemTypes con valor de error tambin se muestranen elDetalles seccin en el formulario de progreso TULP2G (Figura 3).


7/21/2019 TULP2G

15/36


www.ijde.org 13

22Base64 es una codificacin para los datos binarios mediante 64 caracteres de codificacin (AZ, az, 0-9, +, /).


7/21/2019 TULP2G

16/36


www.ijde.org 14

Figura 3: guardan los errores que aparecen en el formulario de Progreso.

Plug-in los desarrolladores se les aconseja para crear elementos de registro con el APIde marco mnimo para todas las comunicaciones con los objetos expuestos y despusde cada error encontrado o evento anormal. Artculos de auditora registrados puedenser utilizados por las exportaciones y / o conversin de plug-ins para la encapsulacinen los informes. Si se solicita una extensa revisin, una conversin dedicada plug-in sepuede crear para extraer toda la comunicacin de bajo nivel con una exhibicin delexpediente de prueba y lo convierte en un informe de auditora.

Para ilustrar el registro, asumir una investigacin de la tarjeta SIM con TULP2Gutilizando el protocolo SIM plug-in y el PC / SC de comunicacin plug-in. El protocoloSIM plug-in utiliza la API de marco para almacenar los datos del sistema de archivosSIM en un archivo de pruebas. El protocolo plug-in tambin registra los posibleserrores-SIM y acciones pertinentes de los usuarios, como el PIN y PUK. El PC / SC decomunicacin plug-in es controlado por el protocolo SIMplug-in, pero los registros de forma independiente los artculos para el archivo depruebas como los intentos de conexin, transferencia de datos de bajo nivel con latarjeta SIM, y todas las anomalas en el nivel de conexin. Estos datos de registronormalmente no se utiliza para la presentacin de informes, sino que se almacena enel archivo de datos para fines de auditora. Despus de completar la investigacin, un

informe se puede generar con la exportacin XML plug-in y la tarjeta SIM y laconversin SMS plug-ins. Durante la exportacin del marco crea un elemento deregistro que describe la exportacin y la conversin de plug-ins utilizados. Laexportacin y conversin de plug-ins utilizados utilizan la API de marco de referenciapara iniciar posibles errores en el archivo de datos y tambin pueden incluir puntosespecficos en el informe. Por ejemplo, la conversin SIM plug-in escribe una mesa elinforme con todos los PIN y PUK acciones ejecutadas durante el examen (Figura 4).


7/21/2019 TULP2G

17/36


www.ijde.org 15

Verificacin de Titular (CHV)

PIN UKPIN2PUK2Estado 3 10 3 10

Verificaci 0000

Estado 3 10 3 10

Figura 4: parte de un informe SIM generada a partir de datos registrados por elProtocolo de SIM Plug-In.

2.5 Documentacin del usuario

El marco soporta ayuda contextual modular. Cada plug-in puede tener su propioarchivo de ayuda compilada [8], posiblemente en diferentes versiones (ver seccin2.6). La convencin de nomenclatura utilizada se TULP2G. . . . chm. Para vincular un elemento de ayuda especfica en unarchivo de ayuda compilada a unElemento de interfaz grfica de usuario de los marcos supone lo siguiente convencin denomenclatura marcador: , Con:

Especificando el tipo de control GUI con los valores posiblesdel texto, informacin, Combo, Button y salida.

igual que el texto de la leyenda del control con todos losespacios reemplazados por guiones bajos ("_") y todos los dems caracteres noalfanumricos eliminados.

Ejemplo: al pulsar la tecla [F1] en el combo-box Puerto en el formulario deconfiguracin de la serie plug-in har TULP2G para abrir el archivoTULP2G.Communication.Serial.en-GB.chm y mostrar el elemento marcado conComboPort. 23

La documentacin relacionada con los elementos de informe se aadepreferentemente al informe con el fin de hacer una separacin entre las personas que

hacen una investigacin y las personas que tienen que interpretar los resultados de lainvestigacin. Plantillas de informe actuales incrustar esta documentacin de talmanera que el lector pueda elegir un nivel de documentacin para mostrar (cadaelemento est precedido por una explicacin, slo explicaciones se muestran o semuestra una explicacin cuando el ratn se arrastra sobre el elemento de contenido).

2.6 Configuracin del idioma

El marco TULP2G est diseado para soportar mltiples idiomas de interfaz deusuario. Objetos dependientes del idioma etiquetados y pueden adaptarse a unalengua especfica con archivos XML externos. Adaptacin de la interfaz de usuario

TULP2G a otro idioma es un proceso de seis pasos:


7/21/2019 TULP2G

18/36


www.ijde.org 16

23El marco de espera que todos los archivos de ayuda compilados en la ruta relativa a la carpeta ejecutable

TULP2G, se especifican ms con el elemento en el archivo de configuracin global. El marco

tambin aade una extensin del lenguaje basado en el valor del elemento de en el archivo de

configuracin global.


7/21/2019 TULP2G

19/36


www.ijde.org 17

1. Instale TULP2G en la mquina de un administrador y configurarlo con losplug-ins preferido.

2. Salir TULP2G y abra el archivo config.xml para cambiar el elemento al

idioma de destino mediante el cdigo de idioma ISO-639 [6] y la ISO-3166cdigo de pas de dos letras [7] (por ejemplo nl-NL para holands, ya que sehabla en los Pases Bajos). Cambie el elemento localizar.

3. Inicie el marco TULP2G. Sin interfaz de usuario ser visible, el marco slogenera archivos XML de la plantilla para la localizacin con nombres comoTULP2G. . . . Xml (por ejemploTULP2G.Protocol.AT_SIEMENS.nl- NL.xml). Edite estos archivos de plantilla ytraducir todos los valores de los elementos de texto de ingls a la lengua meta.Tambin traduce la GUI archivo. . Xml.

4. Cambie el de GUI y el marco utilizar los valores de los elementostraducidos del idioma seleccionado. Estos archivos de idioma traducidos

ahora pueden ser distribuidos en equipos de destino.5. Traducir todos los modelos de informes.6. Traducir todos los archivos de ayuda compilados en lnea (ver seccin 2.5)

utilizando la misma convencin de nombres como en los archivos delocalizacin.

Adems de elementos de la interfaz de usuario del marco apoya la traduccin de otrosdatos dependientes del idioma (como mensajes de error y de estado). Plug-in losdesarrolladores tendrn que definir los nombres de la etiqueta al usar datosdependientes del lenguaje y las etiquetasser necesario aadir a los archivos de localizacin manualmente. Si es necesario,

versiones marco futuros podran automatizar este proceso en la misma forma que conla generacin de plantillas de traduccin de la interfaz de usuario.

2.7 Perfiles

Configuracin TULP2G para una investigacin especfica puede ser una tarea queconsume tiempo. En primer lugar, los plug-ins de derecho necesita ser instalado. Luego,cada adquisicin de datos plug-in tiene que ser configurado antes de poder ejecutar lainvestigacin. Despus de que el proceso de adquisicin de datosse acab, pero antes de que pueda ser generado un informe, se debe configurar conuna plantilla adecuada una exportacin plug-in. Tambin se debe seleccionar el

derecho de conversin de plug-ins, arreglado, y posiblemente configurar.

Para acelerar las investigaciones estndar del marco apoya un mecanismo de perfilesque se pueden utilizar para guardar y cargar de investigacin particularesconfiguraciones. Despus de configurar y probar una investigacin completa einformacin de flujo, la configuracin actual se puede guardar en un archivo XML con lafuncin Guardar perfil. La prxima vez que una investigacin similar necesita serrealizada, el perfil guardado puede ser cargado con la funcin de perfil de carga. Estafuncin intenta primero para configurar los plugins instalados como se especifica en elperfil guardado. Si una determinada versin plug-in no est instalado, la arquitecturabusca una instalacin plug-in con el mismo nombre y nmero de la versin ms

reciente. A continuacin, el marco le pide al usuario para el caso, investigador, y los


7/21/2019 TULP2G

20/36


www.ijde.org 18

nombres de Investigacin. Despus de la entrada del usuario del marco estconfigurado como se especifica en el perfil cargado y est listo para ejecutar lainvestigacin seguida por la generacin de un informe adjunto.


7/21/2019 TULP2G

21/36


www.ijde.org 19

3Tutorial

Para dar una idea del uso de marco tpico, esta seccin presenta un tutorial para unainvestigacin especfica utilizando TULP2G. Este tutorial asume la ltima versininstalada de TULP2G (vase la seccin 5 para ms detalles). En este tutorial se utilizaun telfono mvil Sony Ericsson, modelo K700i y queremos extraer las fotos hechascon la cmara incorporadadel telfono. Adems de la interfaz de radio GSM y la interfaz de usuario, un K700i tienetres interfaces para la comunicacin de datos: cable, infrarrojos y Bluetooth. En estetutorial de la interfaz de infrarrojos se utiliza para conectar el telfono a un ordenadorpersonal con un adaptador de infrarrojos externo. Para extraer las imgenes delOBEX24 protocolo de plug-in se utiliza. El protocolo OBEX plug-in est diseado para

utilizar la comunicacin Socket plug-in. Un socket es una de las tecnologas msfundamentales de las redes de computadoras. Sockets permiten que las aplicaciones secomuniquen utilizando mecanismos estndar incorporados en los sistemas operativos yel hardware de red y.

Despus de iniciar la comprobacin marco TULP2G que el zcalo y los plug-ins OBEXse cargan a travs del botn "Lista de ..." en la pestaa "Tulp2g". Si no cargar losarchivos TULP2G.Communication.Socket.dll y TULP2G.Protocol.OBEX.dll de lacarpeta Plugins TULP2G.

Vaya a la pestaa "Case", escriba un "Nombre del caso", opcionalmente algunas

"notas" y seleccione el botn "Crear". Esto crea el elemento de la caja de nivel superiory un elemento de investigacin en el archivo de datos (ver seccin 2.3).


7/21/2019 TULP2G

22/36


www.ijde.org 20

24 Objeto Exchange Protocol, un protocolo de sesin binario optimizado para ad-hoc enlaces inalmbricos [9].


7/21/2019 TULP2G

23/36


www.ijde.org 21

Figura 5: La pestaa de la caja antes de seleccionar el botn "Crear".

Ahora ve a la pestaa de "Investigacin", escriba un "nombre de Investigacin", y,opcionalmente, algunos "Notas". Seleccione la "comunicacin Socket" comunicacinplug-in de la "Comunicacin plug-in" combo-box, y seleccione el botn de la derecha"Configure ...". Ahora coloque el telfono con el sensor infrarrojo delante del receptor

de infrarrojos del PCy asegrese de que la transferencia por infrarrojos est activada en el phone25. El "TipoSocket" debe ser "IRDA" [9], y despus de seleccionar el botn de prueba del campo"Estado" debe cambiar de "desconocido" a "OK" indica la conexin funciona en estenivel de protocolo. Seleccione el botn "Aceptar" para guardar los ajustes, seleccione el"protocolo OBEX telfono plug-in" y seleccione el botn de la derecha "Configure ...".Cambie el valor "ObexFTP" del combo-box "Servicio" a "OBEXOBJECTPUSH" yseleccione el botn "Test". El campo "Estado" debe cambiar de "desconocido" a "OK"indica la conexin funciona en este nivel de protocolo. Seleccione el botn "Aceptar", lacomunicacin y protocolo de plug-ins sonahora configurado.

25 Cambie el "Puerto de infrarrojos" en "On" mediante el men "Conectividad" telfonos. Si se habilita el PC ahora


7/21/2019 TULP2G

24/36


www.ijde.org 22

muestra un icono en la barra de tareas que indica actividad de infrarrojos.


7/21/2019 TULP2G

25/36


26This might take a long time (hours) if a lot of multi-media data is present in the phone. It is not exactly clear why

it takes such a long time for a relatively small amount of data.

www.ijde.org 13

Figura 6: La ficha Configuracin de investigacin despus de la Comunicacin y el Protocolo dePlug-Ins.

Seleccione el botn "Ejecutar" para iniciar la adquisicin de datos. Aparecer elformulario de "progreso" que muestra el estado de la adquisicin. Despus de laadquisicin ha sido completed26, mensajes de error y advertencia se visualiza al

seleccionar el botn "Mostrar detalles" en la forma de "progreso". Seleccione elbotn "OK" para completar la investigacin. Para guardar el archivo de pruebasvaya a la pestaa "Case", selecciona "Guardar caso ..." y elegir un nombre dearchivo y la ubicacin en el cuadro de dilogo de seleccin de archivos. Todos losdatos de prueba se guarda para su uso posterior.

Para hacer un informe de los datos adquiridos, la exportacin XML plug-in tiene que serinstalado junto con la conversin OBEX plug-in. Ir a la pestaa "Informe", seleccione laexportacin XML / HTML plug-in y seleccione el botn de la derecha "Configure ...". Conla opcin "Seleccionar archivo de estilos ..." seleccione la hoja de estilo"ReportOBEX.xsl" y seleccione el botn "OK". Ahora seleccione la opcin "Seleccionar..." botn en la derecha de la "conversin seleccionado plug-in (s)" cuadro de lista yagregar el "OBEX telfono conversin de datos" plug-in a la lista de "Uso de plug-ins".Con la opcin "Configure ..." botn de una carpeta se puede seleccionar para todos losdatos exportados. Ahora, el informe puede ser generado por la seleccin del botn"Ejecutar". El marco pide un nombre de archivo para el informe y se inicia el proceso deinformacin. Despus de todas las conversiones se termin el informe se carga en elnavegador instalado por defecto con todas las imgenes que normalmente sonaccesibles a travs de la interfaz de usuario del telfono. Todos los datos multimedia(imgenes, sonidos, vdeos) se extraen en la carpeta de exportacin seleccionado. El


7/21/2019 TULP2G

26/36


26This might take a long time (hours) if a lot of multi-media data is present in the phone. It is not exactly clear why

it takes such a long time for a relatively small amount of data.

www.ijde.org 14

archivo de informe slo contiene enlaces a estos archivos para permitir que "haga clicpara abrir" funcionalidad en el equipo en el marco est en marcha.


7/21/2019 TULP2G

27/36


27For example the IRMC protocol plug-in for data from the phone book, text messages and calendar data, and the

SIM protocol plug-in to extract data from the SIM chip card attached to the phone.

www.ijde.org 14

Figura 7: La pestaa "Informe" Justo antes de seleccionar el botn "Ejecutar".

Para fines de auditora, debe guardarse antes de cerrar TULP2G o iniciar un nuevocaso de incluir el proceso de informacin en el expediente de prueba del caso. Esteejemplo slo se centra en la extraccin de las imgenes de la exposicin. Otros plug-

ins puede ser capaz de obtener otros datos de este phone27.

4Advanced Uso de Conversin Plug-ins

En esta seccin se mostrar cmo la conversin de plug-ins puede ser utilizado paradecodificar los datos que no se adquiere con el protocolo de plug-ins, pero importadosde otras fuentes. Para ello, los datos de destino tiene que ser encapsulado en unarchivo de pruebas vlidas. A modo de ejemplo, tomemos el TPDUs SMS (ver seccin2.2.3) mostr en la Figura 8. Estos TPDUs pueden provenir de una variedad de fuentes,tales como un conector azul, un disco duro, o bajo nivel de lectura de la imagen de

chips de memoria de un telfono mvil.


7/21/2019 TULP2G

28/36


www.ijde.org 15

07912111525521F3440B912134323452F300F5202131019362448C0B0504158A000000030103013000001C486572

6527732074686174206C6F676F20796F752077616E7465642102010000481C010000000000000000000000000000

0000000000000000000030C00000000000000030C0001F1E64CF3CF1F0FB1819B36ED9B19B30CDB019B36EDFB1FB

30CDB019B33B98318330CDB019B33B99B19B30CCE01F1E318F30F1F0F8FF

07912111525521F3400B912134323452F300F5202131019392448C0B0504158A00000003010302E0180000000000

0000C018000000000000038000000000000000000000000000000000000000000000000000000000000000000000

00000C00060000C1B031F00C00660000C1B033181E00600000633873181E1EF6C33C36387300123366C3661C3CF1

C0333066667E1C3CF07033306666603637B0183F30663C606337B31861FF

07912111525521F3440B912134323452F300F5202131019313442F0B0504158A00000003010303B3661866C1B33318619E36183CC1B331F0000000000000000000000000000000000000FF

Figura 8: Datos binarios de tres TPDUs SMS.

Para obtener estos TPDUs decodificados por TULP2G necesitan ser encapsulado en

un archivo de pruebas vlidas con el Tipo de datos y formato adecuados (ver seccin2.3) para permitir la conversin SMS TPDU plug-in de hacer la decodificacin. Elarchivo de ayuda compilada de la conversin SMS TPDU plug-in se describe elformato de datos esperado. La Figura 9 muestra un archivo de pruebas con los tresTPDUs. Los valores hash no se especifican y marcas de tiempo se establecen envalores irracionales. Para cargar este archivo evidencia el elemento validatehashes delarchivo de configuracin global se debe establecer en false. Despus de guardar elarchivo evidencia el marco calcula los valores de hash y agrega estos al expediente deprueba.

desconocido

0000000003F1E758000000000003F3C

desconocido

0002C7FC00FC000000000D03FE01FF8

desconocido

/ SMSrecord>

]]>

Figura 9: TPDUs encapsulado en un archivo de pruebas vlidas.

A partir de este archivo de prueba un informe se puede generar con la conversin SMS

TPDU plug-in y la exportacin XML / HTML plug-in, el uso de la hoja de estilo


7/21/2019 TULP2G

29/36


www.ijde.org 16

ReportSIM.xsl. El resultado se muestra en


7/21/2019 TULP2G

30/36


www.ijde.org 17

La Figura 10.

Nr. Ext. Tipo Int. Tipo Part Marca de tiempo

3 recuperadPictureMessage

TipoTod

30-5-200503:50:50

Centro de Servicios de Direccin de origen

+31655555000 +31612356781

Conteni

, .

Figura 10: Informe resultante del proceso de decodificacin, un multi-part SMS Mensaje deFoto.

5Availability y la versin actual

TULP2G se ha implementado en C # con. NET 1.1. El software es de cdigo abierto yliberado bajo la licencia BSD. La licencia BSD es una licencia muy restrictivo, lo quepermite diversos usos del software, as como (modificado) la redistribucin de la fuentey / o la forma binaria. Distribucin bajo esta licencia es un intento de la NFI paraestimular el desarrollo de herramientas de software forense. Para la gestin de ladistribucin y la liberacin se utiliza el software de cdigo abierto de desarrollo webSourceForge. TULP2G se puede descargar desde http:/ / Tulp2g.sourceforge.net /.

El NFI mantiene una distribucin binaria de TULP2G que se puede utilizar para lasinvestigaciones forenses. Para comprobar la integridad de esta distribucin de cadamdulo est protegidocon una clave privada solo est disponible para el NFI. El medio ambiente. NET verificacada mdulo antes de que se carga utilizando la clave pblica del NFI. El hash de 8bytes de la clave pblica del NFI es igual a: 34 80 62 A3 4A C4 8F 93, y se imprime entodos los informes generados.

El, el paquete de distribucin total actual de TULP2G en Sourceforge contiene el plug-ins siguientes:

Comunicuncin Puerto serie para la comunicacin a travs de canales de serie (por ejemplo,

RS232, infrarrojos,BlueTooth);

PCSCpara la comunicacin a travs de lectores de tarjeta chip compatibles con

PC / SC; Enchufe para la comunicacin zcalo.

Protocolo

AT-ETSIpara equipos mviles que implementa el conjunto de comandos AT para


7/21/2019 TULP2G

31/36


www.ijde.org 18

GSMEquipo mvil;

AT-SIEMENS para equipos mviles que implementa comandos AT especficos

para

Telfonos Siemens;


7/21/2019 TULP2G

32/36


www.ijde.org 19

AT-SAMSUNG para equipos mviles que implementa comandos AT especficapara los telfonos de Samsung;

SIMpara tarjetas SIM GSM; OBEXOBEX para telfonos mviles compatibles a travs de OBEX empuje oservicio FTP; IRMCpara iRMC telfonos mviles compatibles.

Conversin AT-ETSI para la conversin de los datos obtenidos con el protocolo AT-ETSI

plug-in; AT-SIEMENS para la conversin de los datos extrados con el protocolo AT-SIEMENS

plug-in;

AT-SAMSUNG para la conversin de los datos extrados con el protocolo AT-SAMSUNG

plug-in; SIMpara la conversin de los datos obtenidos con el protocolo SIM plug-in; SMS para la conversin de SMS TPDUs; OBEXpara la conversin de los datos obtenidos con el protocolo OBEX plug-in; IRMCpara la conversin de los datos obtenidos con el protocolo IRMC plug-in; Volcado Hexpara visor hexadecimal como mostrar.

Exportar XML / HTML para guardar los datos de casos en XML y / o HTML.

Instrumentos IMEIpara los nmeros de serie de decodificacin de equipos GSM mvil.

Tambin hay un archivo ZIP independiente disponible en Sourceforge con plug-ins parapreparar untarjeta SIM de escritura del examen de un telfono mvil sin tener la ltima SIM insertaday sin cambiar los datos importantes de datos de usuario en el telfono examinado.

Trabajo 6Related

En los ltimos aos una serie de herramientas forenses han aparecido dirigidoespecficamente a la adquisicin, el anlisis y la comunicacin de los datosalmacenados en los dispositivos mviles. Para asistentes personales digitales (PDAs)[10] ofrece una visin general del software disponible y el conocimiento de suscapacidades y limitaciones. Un panorama similar, en relacin a los telfonos mviles hasido publicado por el NIST en [11].

7Conclusions y Trabajo Futuro

Este documento presenta un marco de software forense para adquirir y decodificar


7/21/2019 TULP2G

33/36


www.ijde.org 20

los datos almacenados en los dispositivos electrnicos. La versin actual del marco,junto con los plug-ins disponibles ya se puede utilizar para ayudar a losinvestigadores con sus tareas de investigacin manuales. Para ampliar la utilidad, senecesita una nueva funcionalidad para dar soporte a ms dispositivos y aumentar la

integridad de la extraccin de datos y el proceso de decodificacin para losdispositivos compatibles. TULP2G Publicado como un paquete de cdigo abierto esuna


7/21/2019 TULP2G

34/36


www.ijde.org 21

intento del NFI para estimular otras partes en el desarrollo de TULP2G plug-ins. Paraque sea ms fcil para los desarrolladores comienzan con un plug-in, un documentodesarrollador dedicado se publicar junto con algunos plug-ins tutorial. El trabajo

adicional se requiere en el rea de prueba y evaluacin. La funcionalidad marco bsicotiene extensas pruebas y auditora y para la prueba especfica plug-in configuracionesnecesita un protocolo de prueba general para determinar.

Copyright 2005 Revista Internacional de Evidencia Digital

Acerca de los autores

Jeroen van den Bos ([email protected]) Trabaja en el departamento de Tecnologa

Digital del Instituto Forense de Holanda (http:/ / Www.forensischinstituut.nl / INF /es)como arquitecto de software en el grupo de ingeniera de software. Disea eimplementa herramientas de software que automatizan y ayudar en hacer lasinvestigaciones forenses.

Ronald van der Knijff ([email protected]) Trabaja en el departamento de TecnologaDigital del Instituto Forense de Holanda (http:/ / Www.forensischinstituut.nl / INF /es)como investigador cientfico y es responsable del grupo de sistemas embebidos.Tambin da conferencias sobre "Las tarjetas inteligentes y biometra" en el Masters deprograma "Tecnologas de la Informacin" de Business School, en Tas, en "tarjetas yde TI" en la Academia de Polica holandesa.

Referencias

1. R.M. van der Knijff. Embedded Systems Analysis, el captulo 11 del Manual deInvestigaciones de Delitos Informticos - Herramientas y TecnologaForense, editado por Eoghan Casey, Academic Press, 2002.

2. Extensible Markup Language (XML). http://www.w3.org/XML/

3. PC / SC Workgroup. http://www.pcscworkgroup.com/.

4. Sistema de telecomunicaciones digitales celulares (Fase 2) (GSM), conjunto decomandos AT para

GSM Mobile Equipment (ME) (GSM 07.07). http://www.etsi.org/.

5. Sistema de telecomunicaciones digitales celulares (Fase 2 +) (GSM); Especificacindel

Subscriber Identity Module - equipo mvil (SIM - ME) interface (GSM11,11). http://www.etsi.org/

6. 639 cdigos de idioma de 2 letras ISO. http://www.w3.org/WAE / ER / IG /

ert/iso639.htm

http://www.ijde.org/mailto:[email protected]:[email protected]:[email protected]:[email protected]://www.w3.org/XML/http://www.pcscworkgroup.com/http://www.etsi.org/http://www.etsi.org/http://www.w3.org/WAEhttp://www.w3.org/WAEhttp://www.etsi.org/http://www.etsi.org/http://www.pcscworkgroup.com/http://www.w3.org/XML/mailto:[email protected]:[email protected]://www.ijde.org/

7/21/2019 TULP2G

35/36


www.ijde.org 22

7. Cdigos de pas ISO 3166. http://www.iso.org/iso/en/prsobredosiss-services/iso3166ma /02iso-

3166-cdigo-lists/list-en1.html

http://www.ijde.org/http://www.iso.org/iso/en/prsobredosiss-http://www.iso.org/iso/en/prsobredosiss-http://www.ijde.org/

7/21/2019 TULP2G

36/36


8. Ayuda HTML de Microsoft. http://msdn.microsoft.com/library / default.asp? url = /library/en- us / htmlhelp / html / vsconHH1Start.asp

9. La Asociacin de datos por infrarrojos (IrDA), las especificaciones para lacomunicacin inalmbrica por infrarrojos. http://www.irda.org /.

10. R Ayers, W Jansen. PDA Herramientas Forenses: Una visin general yanlisis. Instituto Nacional de Estndares y Tecnologa (NIST). Abril de2004. http://csrc.nist.gov/publications/nistir/nistir-7100-PDAForensics.pdf

11. R Ayers, W Jansen., N Cilleros, R Daniellou. Telfono celular HerramientasForenses: Una visin general y anlisis. Instituto Nacional de Estndares yTecnologa (NIST). Octubre de 2005.http://csrc.nist.gov/publications/nistir/nistir-7250.pdf

http://msdn.microsoft.com/libraryhttp://www.irda.org/http://csrc.nist.gov/publications/nistir/nistir-7100-PDAForensics.pdfhttp://csrc.nist.gov/publications/nistir/nistir-7100-PDAForensics.pdfhttp://www.irda.org/http://msdn.microsoft.com/library

TULP2G

Documents

Transcript of TULP2G