Vous êtes sur la page 1sur 36

Traducido por Sykrayo Espaa

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL sykrayo@hotmail.com

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

TULP2G - Una fuente Framework Software Forense abierta para Adquirir y decodificacin de datos almacenados en los dispositivos electrnicos
Jeroen van den Bos y Ronald van der Knijff Pases Bajos Instituto Forense Abstracto TULP2G es un marco de software forense para adquirir y decodificar los datos almacenados en los dispositivos electrnicos. El marco consiste en una arquitectura en capas con la comunicacin, el protocolo, la conversin y plug-ins de exportacin para adquirir, decodificar, y el informe evidencia diseos personalizables. Todos los datos obtenidos se almacenan en un archivo de datos con formato XML, junto con informacin para fines de auditora. Archivos XML tambin se pueden usar para personalizar el marco con diferentes idiomas de la interfaz de usuario. Un mecanismo de perfiles se basa en guardar y cargar la configuracin del marco de las investigaciones comunes. Conversin y plug-ins de exportacin tambin pueden ser utilizados para decodificar los datos adquiridos con otros mtodos de adquisicin de datos. TULP2G se implementa en C # utilizando. NET1.1 y liberado bajo la licencia BSD. Todo el software, incluyendo el cdigo fuente est disponible en http://tulp2g.sourceforge.net/.En la actualidad dispone de plug-ins estn dirigidos principalmente hacia los exmenes de telfonos GSM, pero la estrategia de cdigo abierto aplicado intenta estimular otras partes en el desarrollo de una mayor funcionalidad examen. 1Introduccin Preparacin de imgenes probatorias de los medios de comunicacin de dispositivos mviles es diferente a hacer una copia forense de sonido de un disco duro. Los medios de comunicacin de dispositivos mviles por lo general no pretenden ser exchangeable1, sino que literalmente pegados al circuito impreso del dispositivo boards2. No existe una interfaz abierta general para acceder directamente a los medios de comunicacin de dispositivos mviles ms que la eliminacin fsica de los chips y los de lectura con los llamados programmers3 dispositivo. Estos tipos de investigaciones slo se puede hacer por los ingenieros tcnicos en entornos de laboratorio y por lo tanto slo se llevan a cabo en casos excepcionales. Dado que los dispositivos mviles pueden contener una gran cantidad de evidencia potencial, otras tcnicas de investigacin se utilizan para extraer datos de estos dispositivos [1]. El mtodo de investigacin ms bsica es el uso de la interfaz de usuario habitual para extraer manualmente tanto usuario relacionada www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

Recientes telfonos mviles se utilizan cada vez ms las tarjetas multimedia intercambiables, pero una gran cantidad de datos de usuario relacionados an estn almacenados en las memorias de estado slido duro soldadas. 2 Los telfonos mviles actuales almacenar datos no voltiles en memorias Flash empaquetados en los llamados micro bolas arrays red, lo que significa que todas las conexiones fsicas estn en el lado inferior del chip, no accesibles sin quitar primero todo el chip de la placa de circuito impreso. 3 Un programador dispositivo se conecta fsicamente a un dispositivo y es utilizado por la industria de dispositivos de programa durante la fabricacin.

www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

informacin posible4. Esto funciona para los tipos ms antiguos de los telfonos mviles, pero se pone incmodo con dispositivos modernos que contienen miles de objetos en una gran cantidad de formatos diferentes. Por esta razn, el NFI5 desarrollado algunas herramientas a finales del siglo pasado para ayudar a los investigadores con sus manuales investigations6. Haba varias razones para sustituir estas herramientas con un marco general para el anlisis de dispositivos electrnicos: 1. Las herramientas existentes se basan en el formato de salida de texto ASCII. El uso cada vez mayor de Unicode7 y la popularidad emergente de datos multimedia en la comunicacin mvil exigir un nuevo formato de salida y almacenamiento. 2. Forenses especialistas en sistemas embebidos quieren concentrarse en la extraccin de datos y la decodificacin de datos y no en la integracin de los diferentes mtodos en un producto de software fcil de usar. La mayora de las herramientas quedan en un "slo para uso en laboratorio" etapa y no puede ser utilizada por usuarios novatos. Un marco puede aliviar los especialistas forenses de problemas complejos de desarrollo de software. 3. Especialistas integrados en el NFI estn ocupados con los exmenes de laboratorio complejos y no tienen tiempo para implementar todos los mtodos requeridos. Con un marco ms las personas son capaces de aadir soluciones. Este artculo presenta TULP2G8, un marco de software forense para la adquisicin de y decodificar los datos almacenados en los dispositivos electrnicos. Seccin 2 describe la arquitectura marco y la funcionalidad principal que ofrece. Seccin 3 ilustra el uso de marco tpico con un tutorial sobre cmo leer las imgenes de un determinado tipo de telfono mvil. Uso avanzado de funciones de decodificacin de datos TULP2G se demuestra en la Seccin 4. Seccin 5 se enumeran todas las herramientas de examen disponibles en la actualidad para el marco TULP2G y describe la actualizacin deseada y el mecanismo de apoyo. 2TULP2G Framework Software 2.1 Propsito TULP2G es un marco de software forense para ayudar a los investigadores forenses con sus exmenes de los dispositivos electrnicos. No es una funcin "pulsar un botn" automatizar el proceso de anlisis forense completo. Se supone que los examinadores capacitados que saben cmo investigar un dispositivo, pero estn en necesidad de un poco de ayuda para acelerar el proceso de investigacin forense y para minimizar los errores humanos.

Para las investigaciones de telfonos mviles este mtodo puede en parte ser normalizados utilizando la estructura de men de un telfono como gua. 5 Pases Bajos Instituto Forense. 6 Cards4Labs para la lectura de tarjetas chip SIM y TULP para leer datos de los telfonos mviles.

www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence


7

Fall 2005, Volume 4, Issue 2

Se utiliza un conjunto de normas destinadas a proporcionar una forma universal de codificacin de caracteres de cualquier idioma, sin importar el sistema informtico, o plataforma,. 8 El nombre TULP2G refiere al antiguo programa TULP. TULP es holands del tulipn y se utiliza como un acrnimo de Telefoon UiTlees Programma, que significa "programa para leer los telfonos".

www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

El marco en s no contiene una funcionalidad especfica para la extraccin de datos, decodificacin o informes. Slo define un flujo de trabajo de exploracin general para los investigadores y ofrece un diseo abstracto de los desarrolladores de los llamados plug-ins. Estos plug-ins contiene los mtodos de investigacin actuales. Desde la perspectiva de un usuario la ventaja de utilizar un concepto de marco es el principio de "aprender de una vez aplicarse en todas partes". Una desventaja de este concepto de propsito general es el primer esfuerzo necesario para acostumbrarse al flujo de trabajo. La razn ms importante para la introduccin de un concepto de marco es el de hacer ms fcil para los desarrolladores de software para agregar funcionalidad de dispositivo especfico, sin preocuparse con GUI9 aspectos y se repiten las tareas de programacin comunes. Mediante la creacin de esta esperamos estimular los desarrolladores y aumentar el nmero de mtodos de extraccin forenses automatizados para dispositivos electrnicos. 2.2 Marco y arquitectura plug-en concepto La figura 1 muestra la arquitectura de marco general.

Figura 1: Configuracin del marco TULP2G.

Cada investigacin se inicia con una exposicin que contiene datos y finaliza con un informe que contiene informacin procedente de los datos de exposicin y / o relacionadas con el proceso de investigacin. El proceso de investigacin se basa en cuatro plug-in de diferentes categoras: dos para la adquisicin de datos y dos para la conversin de datos y la exportacin. Una quinta herramienta plug-in de categora se ha definido para las tareas relacionadas con los casos que no estn directamente vinculados a una exposicin o tareas que necesitan una interfaz de usuario dedicada. Las investigaciones se pueden agrupar en Cases. Todos los datos relacionados con un caso se almacenan en un XML [2] archivo con formato (ver seccin 2.3 para ms detalles).

www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence


9

Fall 2005, Volume 4, Issue 2

Interfaz grfica de usuario.

www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

2.2.1 Comunicacin plug-ins Estos plug-ins manejar el nivel ms bajo de la comunicacin con devices10: establecer y cerrar conexiones y el envo y recepcin de datos en bruto. Debido a esto que interactan directamente con el dispositivo externo a travs de un conductor u otra pieza de bajo nivel de software. Los ejemplos de los plug-ins de comunicacin son la comunicacin serie plug-in para acceder a los dispositivos a travs de RS232, infrarrojos o Bluetooth, y el PC / SC de comunicacin plug-in para acceso a la tarjeta de chip a travs de la PC estandarizada / SC interfaz [3]. Comunicacin plug-ins puede llamar a las funciones del marco API11 para los propsitos de interfaz de tala y el usuario. Dado que la comunicacin de plug-ins son especficos de un cierto tipo de comunicacin y no a un dispositivo, que no se utilizan en su propia para leer la informacin desde un dispositivo. Otro complemento que utiliza los servicios de una comunicacin plug-in es necesario para suministrar los datos reales que necesita ser intercambiada con el dispositivo para obtener informacin til a partir de ella. 2.2.2 Protocolo de plug-ins Protocolo de plug-ins son los homlogos de comunicacin plug-ins. Ellos no tienen la capacidad de conectarse a un dispositivo de realidad, pero en su lugar implementan un protocolo de comunicacin y el uso de un plug-IN12 para enviar y recibir informacin desde un dispositivo en realidad, de acuerdo con el protocolo que se implementan. Ejemplos de protocolos de plug-ins son el protocolo AT_ETSI plug-in [0] para la extraccin de datos de los telfonos mviles y el protocolo SIM plug-in [5] para la extraccin de datos de tarjetas de chip SIM. Protocolo de plug-ins pueden llamar a funciones de la API de marco para el registro, la interfaz de usuario, y el almacenamiento de datos de los propsitos expuestos.

2.2.3 Conversin de plug-ins

Una conversin de plug-in recibe los datos almacenados por el marco, procedentes de exposiciones, y es capaz de convertir los tipos de datos especficos. Conversin de plug-ins pueden ser encadenados con el fin de apoyar la decodificacin secuencial (cebolla pelado). Este mecanismo se apoya para maximizar la reutilizacin del cdigo y evitar complejos procedimientos de mantenimiento de software. Los ejemplos de los plug-ins de conversin son la conversin SIM plug-in para la conversin de datos SIM de bajo nivel en los datos XML informe exprs (a excepcin de bajo nivel SMS TPDUs13, son slo "peladas" de su "piel SIM") y el SMS conversin de plug-in para la conversin de unidades PDU SMS no slo se originan en las tarjetas SIM, pero los telfonos mviles. Conversin de plug-ins pueden llamar a funciones de la API de marco para los propsitos de interfaz de usuario y el registro y se controla a travs de una exportacin de plug-in seleccionado. Plug-ins 2.2.4 Exportacin Exportacin plug-ins enviar todos los datos almacenados por el marco, procedentes de exposiciones, y seleccionado por el usuario, a travs de la conversin activada plug-ins. Si los datos se convierten por un
10

Esto significa que el nivel ms bajo desde la perspectiva Marco TULP2G. Esto no significa necesariamente el nivel ms bajo posible visto desde el sistema operativo del ordenador.

www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence


11

Fall 2005, Volume 4, Issue 2

Interfaz de programacin de aplicaciones: un conjunto de mtodos para la construccin de aplicaciones de software. 12 Un protocolo plug-in puede ser capaz de utilizar diferentes comunicaciones plug-ins para la conexin a una exposicin. Para que esto funcione los desarrolladores de la comunicacin de plug-ins deben utilizar el mismo formato de los datos en la aplicacin de la Interfaz marco entre la comunicacin y el protocolo de plug-ins. 13 Servicio de mensajes cortos Transfer Protocol Data Unit: un mensaje de un protocolo dado que comprende carga SMS y especfica de protocolo de informacin de control.

www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

conversin determinada plug-in, la exportacin plug-in reemplaza el elemento de datos original con el que convertir. Una vez que todas las conversiones de datos han tenido lugar, la exportacin plug-in convierte los datos resultantes de un plug-in de formato especfico de salida, como XML, HTML14, PDF15 o DOC16. Plug-ins ms Export va a utilizar un mtodo de conversin basado en plantillas para permitir a los pequeos cambios que deben introducirse en el formato de salida sin tener que recompilar o volver a escribir toda una exportacin plug-in. Un ejemplo de una exportacin plug-in es la exportacin XML plug-in para la generacin de XML y / o HTML utilizando XSL17 hojas de estilo. Conversin de plug-ins pueden llamar a funciones de la API de marco para los propsitos de interfaz de tala y el usuario (por ejemplo, la especificacin de un archivo de plantilla o una carpeta de salida para datos multimedia extrados). 2.2.5 Herramienta de plug-ins La funcionalidad de la herramienta de marco hace posible la creacin de plug-ins adicionales para realizar tareas de investigacin relacionadas con ricos plug-in de TULP2G interfaz. Herramienta de plug-ins son, bsicamente, de forma libre, no hay interfaz estricta deben observar adems el mecanismo utilizado por TULP2G para cargar plug-ins. Esta herramienta permite a los plug-ins para realizar todo tipo de tareas. Un ejemplo de una herramienta plug-in es la IMEI18 decodificador plug-in para conseguir la marca y el tipo de informacin de los telfonos mviles. 2.3 Evidencformato de archivo de correo TULP2G fuertemente utiliza XML para el almacenamiento y recuperacin de datos. XML no slo se utiliza para guardar y cargar datos de la investigacin, pero para el almacenamiento de datos de salida, la configuracin, y lenguaje, as como para las estructuras de datos internos durante la conversin y exportacin. La Figura 2 describe el formato utilizado por TULP2G para almacenar datos relacionados con las causas.

14 15

Hyper Text Markup Language, el lenguaje de autor utilizado para crear documentos en la World Wide Web. Portable Document Format, un formato de archivo desarrollado por Adobe Systems. 16 Formato de archivo utilizado por el software de Microsoft Word.

www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence


17

Fall 2005, Volume 4, Issue 2

Extensible Stylesheet Language, una especificacin para la separacin de estilo del contenido al crear HTML o XML pginas. 18 International Mobile Equipment Identity, un nmero nico asignado a cada telfono mvil nico, tpicamente se encuentran detrs de la batera.

www.ijde.org

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

<Case Name = "..." Creador = "..." DateCreated = "..." DateModified = "..." MD5 = "..." SHA1 = "..."> <Notas> ... </ Notes> <Artculo Name = "..." DateCreated = "..." Tipo de datos = "..." StorageType = "..." ItemType = "..." MD5 = "..." SHA1 = "..."> ... </ Item> <Investigacin Name = "..." Creador = "..." DateCreated = "..." MD5 = "..." SHA1 = "..."> <Notas> ... </ Notes> <Artculo Name = "..." DateCreated = "..." Tipo de datos = "..." StorageType = "..." ItemType = "..." MD5 = "..." SHA1 = "..."> ... </ Item> <Artculo Name = "..." DateCreated = "..." Tipo de datos = "..." StorageType = "..." ItemType = "..." MD5 = "..." SHA1 = "..."> ... </ Item> ... </ Investigacin> <Investigacin Name = "..." Creador = "..." DateCreated = "..." MD5 = "..." SHA1 = "..."> ... </ Investigacin> <Artculo Name = "..." DateCreated = "..." Tipo de datos = "..." StorageType = "..." ItemType = "..." MD5 = "..." SHA1 = "..."> ... </ Item> ... </ Case>

Figura 2: TULP2G XML Evidencia formato de archivo.

Cada expediente de prueba TULP2G tiene slo un elemento del caso con tres posibles tipos de nios: 1. Notas: a lo sumo un elemento para almacenar notas relacionadas casos. 2. Artculo: cero o ms elementos para almacenar el registro de datos que no pertenecen a una investigacin (por ejemplo, en relacin con las exportaciones y las medidas de conversin). 3. Investigacin: Elemento de nivel superior para los datos pertenecientes a una determinada investigacin. Investigacin elementos tienen dos tipos posibles nio: a lo sumo un elemento Notas para almacenar notas relacionadas con la investigacin, y cero o ms elementos de artculos para el almacenamiento de datos que pertenecen a la investigacin. DateCreated y DateModified son marcas de tiempo en FILETIME format19 igual a la hora local del equipo que ejecuta TULP2G. MD5 y SHA1 son values20 hachs calculado de la siguiente way21:
Hash (Artculo) =Hash (Nombre +DateCreated +DataType +StorageType +ItemType

+StringContent )

# Artculos

www.ijde.org

10

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Hash (Investigacin) =Hash Nombre +Creador +DateCreated +Notas +Hash (artculo [i]) yo= 1

Fall 2005, Volume 4, Issue 2

19

La estructura de datos FILETIME es un valor de 64 bits que representa el nmero de intervalos de 100 nanosegundos desde 01 de enero 1601. 20 Se agregan los valores hash para garantizar la integridad de datos de archivos de evidencia. 21 "+" Significa: la concatenacin de cadenas, marcas de tiempo se convierten primero en UTC (Tiempo Universal Coordinado).

www.ijde.org

11

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

Hash (Case) =Hash ( Nombre+Creador +DateCreated +DateModified +Notas +


# ItemChildenOfCase

Hash (artculo
[i]) +
yo= 1

# Investigaciones j= 1

Hash (Investigacin [ j]))

DataType es utilizado por la conversin de plug-ins para decidir si la conversin de los datos especficos de elementos es posible. DataTypes se definen por los desarrolladores de complementos que se necesitan para asegurar que el mismo tipo de datos no se utiliza para diferentes formatos de datos. Ejemplo DataTypes son ETSI_11.11_FILE utilizado por el protocolo SIM plug-in y ETSIAT utilizado por el protocolo AT_ETSI plug-in. StorageType es una cadena de datos de cadena y binarios para base6422 elementos de datos codificados binarios. ItemType es el error de registro de errores de datos, Programas-Info para los plug-in de registro de datos relacionados, Recibir para los datos recibidos de exposiciones, y enviar los datos enviados a la exposicin. ItemTypes con un valor de error tienen dos atributos adicionales: ErrorClass con los valores posibles: Comunicacin, forense, informes, Sistema o desconocido ErrorSeverity con los valores posibles: Advertencia, no fatal, fatal o desconocido 2.4 Auditabilidad (registro) Para fines forenses todas las acciones tomadas por el investigador en relacin con exposiciones necesitan ser almacenados para su revisin. El marco TULP2G registra las acciones del usuario relacionadas con la investigacin de casos y en el fichero de datos utilizando el PluginInfo valor del atributo ItemType. Por esta razn, los archivos de las pruebas cargadas que tenga que ser salvado incluso si no se aade nueva investigacin. Si no hay ningn archivo de pruebas est abierto el registro de datos se almacenan en un archivo de registro mundial especificado con el elemento systemlogfile en el marco TULP2G archivo de configuracin config.xml (Valor por defecto es systemlog.xml). ItemTypes con valor de error tambin se muestran en el Detalles seccin en el formulario de progreso TULP2G (Figura 3).

www.ijde.org

12

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

22

Base64 es una codificacin para los datos binarios mediante 64 caracteres de codificacin (AZ, az, 0-9, +, /).

www.ijde.org

13

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

Figura 3: guardan los errores que aparecen en el formulario de Progreso.

Plug-in los desarrolladores se les aconseja para crear elementos de registro con el API de marco mnimo para todas las comunicaciones con los objetos expuestos y despus de cada error encontrado o evento anormal. Artculos de auditora registrados pueden ser utilizados por las exportaciones y / o conversin de plug-ins para la encapsulacin en los informes. Si se solicita una extensa revisin, una conversin dedicada plug-in se puede crear para extraer toda la comunicacin de bajo nivel con una exhibicin del expediente de prueba y lo convierte en un informe de auditora. Para ilustrar el registro, asumir una investigacin de la tarjeta SIM con TULP2G utilizando el protocolo SIM plug-in y el PC / SC de comunicacin plug-in. El protocolo SIM plug-in utiliza la API de marco para almacenar los datos del sistema de archivos SIM en un archivo de pruebas. El protocolo plug-in tambin registra los posibles errores-SIM y acciones pertinentes de los usuarios, como el PIN y PUK. El PC / SC de comunicacin plug-in es controlado por el protocolo SIM plug-in, pero los registros de forma independiente los artculos para el archivo de pruebas como los intentos de conexin, transferencia de datos de bajo nivel con la tarjeta SIM, y todas las anomalas en el nivel de conexin. Estos datos de registro normalmente no se utiliza para la presentacin de informes, sino que se almacena en el archivo de datos para fines de auditora. Despus de completar la investigacin, un informe se puede generar con la exportacin XML plug-in y la tarjeta SIM y la conversin SMS plug-ins. Durante la exportacin del marco crea un elemento de registro que describe la exportacin y la conversin de plug-ins utilizados. La exportacin y conversin de plug-ins utilizados utilizan la API de marco de referencia para iniciar posibles errores en el archivo de datos y tambin pueden incluir puntos especficos en el informe. Por ejemplo, la conversin SIM plug-in escribe una mesa el informe con todos los PIN y PUK acciones ejecutadas durante el examen (Figura 4).

www.ijde.org

14

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

Verificacin de Titular (CHV)


PUK PIN2 PUK2 10 3 10 Estado 3 (habilitado) Verificacin0000 Estado 3 10 3 10 (habilitado)
Figura 4: parte de un informe SIM generada a partir de datos registrados por el Protocolo de SIM Plug-In.

PIN

2.5 Documentacin del usuario El marco soporta ayuda contextual modular. Cada plug-in puede tener su propio archivo de ayuda compilada [8], posiblemente en diferentes versiones (ver seccin 2.6). La convencin de nomenclatura utilizada se TULP2G. <Plug-inType>. <PluginName>. <LanguageCode>. chm. Para vincular un elemento de ayuda especfica en un archivo de ayuda compilada a un Elemento de interfaz grfica de usuario de los marcos supone lo siguiente convencin de nomenclatura marcador: <ControlTag> <ControlCaption>, Con: <ControlTag> Especificando el tipo de control GUI con los valores posibles del texto, informacin, Combo, Button y salida. <ControlCaption> igual que el texto de la leyenda del control con todos los espacios reemplazados por guiones bajos ("_") y todos los dems caracteres no alfanumricos eliminados. Ejemplo: al pulsar la tecla [F1] en el combo-box Puerto en el formulario de configuracin de la serie plug-in har TULP2G para abrir el archivo TULP2G.Communication.Serial.en-GB.chm y mostrar el elemento marcado con ComboPort. 23 La documentacin relacionada con los elementos de informe se aade preferentemente al informe con el fin de hacer una separacin entre las personas que hacen una investigacin y las personas que tienen que interpretar los resultados de la investigacin. Plantillas de informe actuales incrustar esta documentacin de tal manera que el lector pueda elegir un nivel de documentacin para mostrar (cada elemento est precedido por una explicacin, slo explicaciones se muestran o se muestra una explicacin cuando el ratn se arrastra sobre el elemento de contenido). 2.6 Configuracin del idioma El marco TULP2G est diseado para soportar mltiples idiomas de interfaz de usuario. Objetos dependientes del idioma etiquetados y pueden adaptarse a una lengua especfica con archivos XML externos. Adaptacin de la interfaz de usuario TULP2G a otro idioma es un proceso de seis pasos: www.ijde.org 15

Traducido por Sykrayo Espaa

International Journal of Digital Evidence


23

Fall 2005, Volume 4, Issue 2

El marco de espera que todos los archivos de ayuda compilados en la ruta relativa a la carpeta ejecutable TULP2G, se especifican ms con el elemento <onlinehelppath> en el archivo de configuracin global. El marco tambin aade una extensin del lenguaje basado en el valor del elemento de <idioma> en el archivo de configuracin global.

www.ijde.org

16

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

1. Instale TULP2G en la mquina de un administrador y configurarlo con los plug-ins preferido. 2. Salir TULP2G y abra el archivo config.xml para cambiar el elemento <idioma> al idioma de destino mediante el cdigo de idioma ISO-639 [6] y la ISO-3166 cdigo de pas de dos letras [7] (por ejemplo nl-NL para holands, ya que se habla en los Pases Bajos). Cambie el elemento <runmode> localizar. 3. Inicie el marco TULP2G. Sin interfaz de usuario ser visible, el marco slo genera archivos XML de la plantilla para la localizacin con nombres como TULP2G. <Plug-inType>. <Plug-inName>. <LanguageCode>. Xml (por ejemplo TULP2G.Protocol.AT_SIEMENS.nl- NL.xml). Edite estos archivos de plantilla y traducir todos los valores de los elementos de texto de ingls a la lengua meta. Tambin traduce la GUI archivo. <LanguageCode>. Xml. 4. Cambie el <runmode> de GUI y el marco utilizar los valores de los elementos traducidos del idioma seleccionado. Estos archivos de idioma traducidos ahora pueden ser distribuidos en equipos de destino. 5. Traducir todos los modelos de informes. 6. Traducir todos los archivos de ayuda compilados en lnea (ver seccin 2.5) utilizando la misma convencin de nombres como en los archivos de localizacin. Adems de elementos de la interfaz de usuario del marco apoya la traduccin de otros datos dependientes del idioma (como mensajes de error y de estado). Plug-in los desarrolladores tendrn que definir los nombres de la etiqueta al usar datos dependientes del lenguaje y las etiquetas ser necesario aadir a los archivos de localizacin manualmente. Si es necesario, versiones marco futuros podran automatizar este proceso en la misma forma que con la generacin de plantillas de traduccin de la interfaz de usuario. 2.7 Perfiles Configuracin TULP2G para una investigacin especfica puede ser una tarea que consume tiempo. En primer lugar, los plug-ins de derecho necesita ser instalado. Luego, cada adquisicin de datos plug-in tiene que ser configurado antes de poder ejecutar la investigacin. Despus de que el proceso de adquisicin de datos se acab, pero antes de que pueda ser generado un informe, se debe configurar con una plantilla adecuada una exportacin plug-in. Tambin se debe seleccionar el derecho de conversin de plug-ins, arreglado, y posiblemente configurar. Para acelerar las investigaciones estndar del marco apoya un mecanismo de perfiles que se pueden utilizar para guardar y cargar de investigacin particulares configuraciones. Despus de configurar y probar una investigacin completa e informacin de flujo, la configuracin actual se puede guardar en un archivo XML con la funcin Guardar perfil. La prxima vez que una investigacin similar necesita ser realizada, el perfil guardado puede ser cargado con la funcin de perfil de carga. Esta funcin intenta primero para configurar los plugins instalados como se especifica en el perfil guardado. Si una determinada versin plug-in no est instalado, la arquitectura busca una instalacin plug-in con el mismo nombre y nmero de la versin ms reciente. A continuacin, el marco le pide al usuario para el caso, investigador, y los www.ijde.org 17

Traducido por Sykrayo Espaa

International Journal of Digital Evidence Fall 2005, Volume 4, Issue 2 nombres de Investigacin. Despus de la entrada del usuario del marco est configurado como se especifica en el perfil cargado y est listo para ejecutar la investigacin seguida por la generacin de un informe adjunto.

www.ijde.org

18

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

3Tutorial Para dar una idea del uso de marco tpico, esta seccin presenta un tutorial para una investigacin especfica utilizando TULP2G. Este tutorial asume la ltima versin instalada de TULP2G (vase la seccin 5 para ms detalles). En este tutorial se utiliza un telfono mvil Sony Ericsson, modelo K700i y queremos extraer las fotos hechas con la cmara incorporada del telfono. Adems de la interfaz de radio GSM y la interfaz de usuario, un K700i tiene tres interfaces para la comunicacin de datos: cable, infrarrojos y Bluetooth. En este tutorial de la interfaz de infrarrojos se utiliza para conectar el telfono a un ordenador personal con un adaptador de infrarrojos externo. Para extraer las imgenes del OBEX24 protocolo de plug-in se utiliza. El protocolo OBEX plug-in est diseado para utilizar la comunicacin Socket plug-in. Un socket es una de las tecnologas ms fundamentales de las redes de computadoras. Sockets permiten que las aplicaciones se comuniquen utilizando mecanismos estndar incorporados en los sistemas operativos y el hardware de red y. Despus de iniciar la comprobacin marco TULP2G que el zcalo y los plug-ins OBEX se cargan a travs del botn "Lista de ..." en la pestaa "Tulp2g". Si no cargar los archivos TULP2G.Communication.Socket.dll y TULP2G.Protocol.OBEX.dll de la carpeta Plugins TULP2G. Vaya a la pestaa "Case", escriba un "Nombre del caso", opcionalmente algunas "notas" y seleccione el botn "Crear". Esto crea el elemento de la caja de nivel superior y un elemento de investigacin en el archivo de datos (ver seccin 2.3).

www.ijde.org

19

Traducido por Sykrayo Espaa

International Journal of Digital Evidence


24

Objeto Exchange Protocol, un protocolo de sesin binario optimizado para ad-hoc enlaces inalmbricos [9].

Fall 2005, Volume 4, Issue 2

www.ijde.org

20

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

Figura 5: La pestaa de la caja antes de seleccionar el botn "Crear".

Ahora ve a la pestaa de "Investigacin", escriba un "nombre de Investigacin", y, opcionalmente, algunos "Notas". Seleccione la "comunicacin Socket" comunicacin plug-in de la "Comunicacin plug-in" combo-box, y seleccione el botn de la derecha "Configure ...". Ahora coloque el telfono con el sensor infrarrojo delante del receptor de infrarrojos del PC y asegrese de que la transferencia por infrarrojos est activada en el phone25. El "Tipo Socket" debe ser "IRDA" [9], y despus de seleccionar el botn de prueba del campo "Estado" debe cambiar de "desconocido" a "OK" indica la conexin funciona en este nivel de protocolo. Seleccione el botn "Aceptar" para guardar los ajustes, seleccione el "protocolo OBEX telfono plug-in" y seleccione el botn de la derecha "Configure ...". Cambie el valor "ObexFTP" del combo-box "Servicio" a "OBEXOBJECTPUSH" y seleccione el botn "Test". El campo "Estado" debe cambiar de "desconocido" a "OK" indica la conexin funciona en este nivel de protocolo. Seleccione el botn "Aceptar", la comunicacin y protocolo de plug-ins son ahora configurado.

25

Cambie el "Puerto de infrarrojos" en "On" mediante el men "Conectividad" telfonos. Si se habilita el PC ahora

www.ijde.org

21

Traducido por Sykrayo Espaa

International Journal of Digital Evidence


muestra un icono en la barra de tareas que indica actividad de infrarrojos.

Fall 2005, Volume 4, Issue 2

www.ijde.org

22

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

Figura 6: La ficha Configuracin de investigacin despus de la Comunicacin y el Protocolo de Plug-Ins.

Seleccione el botn "Ejecutar" para iniciar la adquisicin de datos. Aparecer el formulario de "progreso" que muestra el estado de la adquisicin. Despus de la adquisicin ha sido completed26, mensajes de error y advertencia se visualiza al seleccionar el botn "Mostrar detalles" en la forma de "progreso". Seleccione el botn "OK" para completar la investigacin. Para guardar el archivo de pruebas vaya a la pestaa "Case", selecciona "Guardar caso ..." y elegir un nombre de archivo y la ubicacin en el cuadro de dilogo de seleccin de archivos. Todos los datos de prueba se guarda para su uso posterior. Para hacer un informe de los datos adquiridos, la exportacin XML plug-in tiene que ser instalado junto con la conversin OBEX plug-in. Ir a la pestaa "Informe", seleccione la exportacin XML / HTML plug-in y seleccione el botn de la derecha "Configure ...". Con la opcin "Seleccionar archivo de estilos ..." seleccione la hoja de estilo "ReportOBEX.xsl" y seleccione el botn "OK". Ahora seleccione la opcin "Seleccionar ..." botn en la derecha de la "conversin seleccionado plug-in (s)" cuadro de lista y agregar el "OBEX telfono conversin de datos" plug-in a la lista de "Uso de plug-ins". Con la opcin "Configure ..." botn de una carpeta se puede seleccionar para todos los datos exportados. Ahora, el informe puede ser generado por la seleccin del botn "Ejecutar". El marco pide un nombre de archivo para el informe y se inicia el proceso de informacin. Despus de todas las conversiones se termin el informe se carga en el navegador instalado por defecto con todas las imgenes que normalmente son accesibles a travs de la interfaz de usuario del telfono. Todos los datos multimedia (imgenes, sonidos, vdeos) se extraen en la carpeta de exportacin seleccionado. El
26

This might take a long time (hours) if a lot of multi-media data is present in the phone. It is not exactly clear why it takes such a long time for a relatively small amount of data.

www.ijde.org

13

Traducido por Sykrayo Espaa

International Journal of Digital Evidence Fall 2005, Volume 4, Issue 2 archivo de informe slo contiene enlaces a estos archivos para permitir que "haga clic para abrir" funcionalidad en el equipo en el marco est en marcha.

26

This might take a long time (hours) if a lot of multi-media data is present in the phone. It is not exactly clear why it takes such a long time for a relatively small amount of data.

www.ijde.org

14

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

Figura 7: La pestaa "Informe" Justo antes de seleccionar el botn "Ejecutar".

Para fines de auditora, debe guardarse antes de cerrar TULP2G o iniciar un nuevo caso de incluir el proceso de informacin en el expediente de prueba del caso. Este ejemplo slo se centra en la extraccin de las imgenes de la exposicin. Otros plugins puede ser capaz de obtener otros datos de este phone27. 4Advanced Uso de Conversin Plug-ins En esta seccin se mostrar cmo la conversin de plug-ins puede ser utilizado para decodificar los datos que no se adquiere con el protocolo de plug-ins, pero importados de otras fuentes. Para ello, los datos de destino tiene que ser encapsulado en un archivo de pruebas vlidas. A modo de ejemplo, tomemos el TPDUs SMS (ver seccin 2.2.3) mostr en la Figura 8. Estos TPDUs pueden provenir de una variedad de fuentes, tales como un conector azul, un disco duro, o bajo nivel de lectura de la imagen de chips de memoria de un telfono mvil.

27

For example the IRMC protocol plug-in for data from the phone book, text messages and calendar data, and the SIM protocol plug-in to extract data from the SIM chip card attached to the phone.

www.ijde.org

14

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

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

Figura 8: Datos binarios de tres TPDUs SMS.

Para obtener estos TPDUs decodificados por TULP2G necesitan ser encapsulado en un archivo de pruebas vlidas con el Tipo de datos y formato adecuados (ver seccin 2.3) para permitir la conversin SMS TPDU plug-in de hacer la decodificacin. El archivo de ayuda compilada de la conversin SMS TPDU plug-in se describe el formato de datos esperado. La Figura 9 muestra un archivo de pruebas con los tres TPDUs. Los valores hash no se especifican y marcas de tiempo se establecen en valores irracionales. Para cargar este archivo evidencia el elemento validatehashes del archivo de configuracin global se debe establecer en false. Despus de guardar el archivo evidencia el marco calcula los valores de hash y agrega estos al expediente de prueba.
<? Xml version = "1.0" encoding = "UTF-8" ?> <Case Name = "TPDU conversin " Creador = "Knijff" DateCreated = "1" DateModified = "1"> <Investigacin Name = "ThreeTPDUs" Investigador = "Knijff" DateCreated = "1"> <Artculo Name = "TPDUs" DateCreated = "1" Tipo de datos = "ETSI_SMS_TPDU" StorageType = "String" ItemType = "Recibir"> <! [CDATA [ <SMS> <SMSrecord Posicin = "1"> <ExternalType> desconocido </ ExternalType>

0000000003F1E758000000000003F3C </ TPDU> </ SMSrecord> <SMSrecord Posicin = "2"> <ExternalType> desconocido </ ExternalType>

0002C7FC00FC000000000D03FE01FF8 </ TPDU> </ SMSrecord> <SMSrecord Posicin = "3"> <ExternalType> desconocido </ ExternalType>

/ SMSrecord> </ SMS> ]]> </ Item> </ Investigacin> </ Case>

Figura 9: TPDUs encapsulado en un archivo de pruebas vlidas.

A partir de este archivo de prueba un informe se puede generar con la conversin SMS TPDU plug-in y la exportacin XML / HTML plug-in, el uso de la hoja de estilo www.ijde.org 15

Traducido por Sykrayo Espaa

International Journal of Digital Evidence ReportSIM.xsl. El resultado se muestra en

Fall 2005, Volume 4, Issue 2

www.ijde.org

16

Traducido por Sykrayo Espaa

International Journal of Digital Evidence La Figura 10. Nr. Ext. Tipo

Fall 2005, Volume 4, Issue 2

Int. Tipo Part Marca de tiempo e PictureMessage 30-5-2005 3 recuperad Tod 03:50:50 Tipo o os / 10.00 Centro de Servicios de Direccin de GMT origen 3 Direccin +31655555000 +31612356781 Conteni do , .

Figura 10: Informe resultante del proceso de decodificacin, un multi-part SMS Mensaje de Foto.

5Availability y la versin actual TULP2G se ha implementado en C # con. NET 1.1. El software es de cdigo abierto y liberado bajo la licencia BSD. La licencia BSD es una licencia muy restrictivo, lo que permite diversos usos del software, as como (modificado) la redistribucin de la fuente y / o la forma binaria. Distribucin bajo esta licencia es un intento de la NFI para estimular el desarrollo de herramientas de software forense. Para la gestin de la distribucin y la liberacin se utiliza el software de cdigo abierto de desarrollo web SourceForge. TULP2G se puede descargar desde http:/ / Tulp2g.sourceforge.net /. El NFI mantiene una distribucin binaria de TULP2G que se puede utilizar para las investigaciones forenses. Para comprobar la integridad de esta distribucin de cada mdulo est protegido con una clave privada solo est disponible para el NFI. El medio ambiente. NET verifica cada mdulo antes de que se carga utilizando la clave pblica del NFI. El hash de 8 bytes de la clave pblica del NFI es igual a: 34 80 62 A3 4A C4 8F 93, y se imprime en todos los informes generados. El, el paquete de distribucin total actual de TULP2G en Sourceforge contiene el plugins siguientes: Comunicuncin Puerto serie para la comunicacin a travs de canales de serie (por ejemplo,

RS232, infrarrojos, BlueTooth); PCSC para la comunicacin a travs de lectores de tarjeta chip compatibles con PC / SC; Enchufe para la comunicacin zcalo.

Protocolo AT-ETSI para equipos mviles que implementa el conjunto de comandos AT para www.ijde.org 17

Traducido por Sykrayo Espaa

International Journal of Digital Evidence Fall 2005, Volume 4, Issue 2 GSM Equipo mvil; AT-SIEMENS para equipos mviles que implementa comandos AT especficos para Telfonos Siemens;

www.ijde.org

18

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

Conversin AT-ETSI para la conversin de los datos obtenidos con el protocolo AT-ETSI

AT-SAMSUNG para equipos mviles que implementa comandos AT especfica para los telfonos de Samsung; SIM para tarjetas SIM GSM; OBEX OBEX para telfonos mviles compatibles a travs de OBEX empuje o servicio FTP; IRMC para iRMC telfonos mviles compatibles. plug-in; AT-SIEMENS para la conversin de los datos extrados con el protocolo ATSIEMENS plug-in; AT-SAMSUNG para la conversin de los datos extrados con el protocolo AT-

Exportar XML / HTML para guardar los datos de casos en XML y / o HTML.

SAMSUNG plug-in; SIM para la conversin de los datos obtenidos con el protocolo SIM plug-in; SMS para la conversin de SMS TPDUs; OBEX para la conversin de los datos obtenidos con el protocolo OBEX plug-in; IRMC para la conversin de los datos obtenidos con el protocolo IRMC plug-in; Volcado Hex para visor hexadecimal como mostrar.

Instrumentos IMEI para los nmeros de serie de decodificacin de equipos GSM mvil.

Tambin hay un archivo ZIP independiente disponible en Sourceforge con plug-ins para preparar un tarjeta SIM de escritura del examen de un telfono mvil sin tener la ltima SIM insertada y sin cambiar los datos importantes de datos de usuario en el telfono examinado. Trabajo 6Related En los ltimos aos una serie de herramientas forenses han aparecido dirigido especficamente a la adquisicin, el anlisis y la comunicacin de los datos almacenados en los dispositivos mviles. Para asistentes personales digitales (PDAs) [10] ofrece una visin general del software disponible y el conocimiento de sus capacidades y limitaciones. Un panorama similar, en relacin a los telfonos mviles ha sido publicado por el NIST en [11]. 7Conclusions y Trabajo Futuro Este documento presenta un marco de software forense para adquirir y decodificar www.ijde.org 19

Traducido por Sykrayo Espaa

International Journal of Digital Evidence Fall 2005, Volume 4, Issue 2 los datos almacenados en los dispositivos electrnicos. La versin actual del marco, junto con los plug-ins disponibles ya se puede utilizar para ayudar a los investigadores con sus tareas de investigacin manuales. Para ampliar la utilidad, se necesita una nueva funcionalidad para dar soporte a ms dispositivos y aumentar la integridad de la extraccin de datos y el proceso de decodificacin para los dispositivos compatibles. TULP2G Publicado como un paquete de cdigo abierto es una

www.ijde.org

20

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

intento del NFI para estimular otras partes en el desarrollo de TULP2G plug-ins. Para que sea ms fcil para los desarrolladores comienzan con un plug-in, un documento desarrollador dedicado se publicar junto con algunos plug-ins tutorial. El trabajo adicional se requiere en el rea de prueba y evaluacin. La funcionalidad marco bsico tiene extensas pruebas y auditora y para la prueba especfica plug-in configuraciones necesita un protocolo de prueba general para determinar. Copyright 2005 Revista Internacional de Evidencia Digital

Acerca de los autores Jeroen van den Bos (jeroen@holmes.nl) Trabaja en el departamento de Tecnologa Digital del Instituto Forense de Holanda (http:/ / Www.forensischinstituut.nl / INF / es)como arquitecto de software en el grupo de ingeniera de software. Disea e implementa herramientas de software que automatizan y ayudar en hacer las investigaciones forenses. Ronald van der Knijff (knijff@holmes.nl) Trabaja en el departamento de Tecnologa Digital del Instituto Forense de Holanda (http:/ / Www.forensischinstituut.nl / INF / es)como investigador cientfico y es responsable del grupo de sistemas embebidos. Tambin da conferencias sobre "Las tarjetas inteligentes y biometra" en el Masters de programa "Tecnologas de la Informacin" de Business School, en Tas, en "tarjetas y de TI" en la Academia de Polica holandesa. Referencias 1. R.M. van der Knijff. Embedded Systems Analysis, el captulo 11 del Manual de Investigaciones de Delitos Informticos - Herramientas y Tecnologa Forense, editado por Eoghan Casey, Academic Press, 2002. 2. Extensible Markup Language (XML). http://www.w3.org/XML/ 3. PC / SC Workgroup. http://www.pcscworkgroup.com/. 4. Sistema de telecomunicaciones digitales celulares (Fase 2) (GSM), conjunto de comandos AT para GSM Mobile Equipment (ME) (GSM 07.07). http://www.etsi.org/. 5. Sistema de telecomunicaciones digitales celulares (Fase 2 +) (GSM); Especificacin del Subscriber Identity Module - equipo mvil (SIM - ME) interface (GSM 11,11). http://www.etsi.org/ 6. 639 cdigos de idioma de 2 letras ISO. http://www.w3.org/WAE / ER / IG / ert/iso639.htm www.ijde.org 21

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

7. Cdigos de pas ISO 3166. http://www.iso.org/iso/en/prsobredosissservices/iso3166ma /02iso3166-cdigo-lists/list-en1.html

www.ijde.org

22

Traducido por Sykrayo Espaa

International Journal of Digital Evidence

Fall 2005, Volume 4, Issue 2

8. Ayuda HTML de Microsoft. http://msdn.microsoft.com/library / default.asp? url = / library/en- us / htmlhelp / html / vsconHH1Start.asp 9. La Asociacin de datos por infrarrojos (IrDA), las especificaciones para la comunicacin inalmbrica por infrarrojos. http://www.irda.org /. 10. R Ayers, W Jansen. PDA Herramientas Forenses: Una visin general y anlisis. Instituto Nacional de Estndares y Tecnologa (NIST). Abril de 2004. http://csrc.nist.gov/publications/nistir/nistir-7100-PDAForensics.pdf 11. R Ayers, W Jansen., N Cilleros, R Daniellou. Telfono celular Herramientas Forenses: Una visin general y anlisis. Instituto Nacional de Estndares y Tecnologa (NIST). Octubre de 2005. http://csrc.nist.gov/publications/nistir/nistir-7250.pdf

www.ijde.org

23