Académique Documents
Professionnel Documents
Culture Documents
com/2014/07/09/android-foreniscs-pt-2-how-we-recovered-erased
-data/
http://articles.forensicfocus.com/2014/10/28/extracting-data-from-dump-of-mobile
-devices-running-android-operating-system/
http://www.sciencedirect.com/science/article/pii/S1742287611000879
Forensic analysis of social networking applications on mobile devices
http://link.springer.com/chapter/10.1007/978-3-642-34129-8_21
http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=6933670&url=http%3A%2F%2Fi
eeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D6933670
Android Malware Forensics: Reconstruction of Malicious Events
http://www.sciencedirect.com/science/article/pii/S1742287613000480
Anti-Forensics with Steganographic Data Embedding in Digital Images
On the Construction of a False Digital Alibi on the Android OS
http://www.sciencedirect.com/science/article/pii/S1742287614000449
Memory hacking analysis in mobile devices for hybrid model of copyright protecti
on for Android apps
Database management strategy and recovery methods of Android
Preserving Dates and Timestamps for Incident Handling in Android Smartphones
http://books.google.com.br/books?hl=pt-BR&lr=&id=MyMtAgAAQBAJ&oi=fnd&pg=PA419&dq
=android+anti-forensics&ots=rr3IQTyqID&sig=Kv47FS66TKrAUZPHXdRviYts0K4#v=onepage
&q=android%20anti-forensics&f=false
http://ipv4.os3.nl/_media/2012-2013/courses/ccf/ccf_2013_proposal_canceil_miodus
zewski.pdf
http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=6320454&url=http%3A%2F%2Fi
eeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D6320454
On forensics: A silent SMS attack
diretrio raiz (Android e Linux)
Tudo o que est no seu sistema Linux e Android fica localizado nesse diretrio, con
hecido como diretrio raiz. Ele pode ser considerado o diretrio C:\ do Windows. Ent
retanto, isso no rigorosamente verdade, porque o Linux e o Android no tm letras de
unidades. Enquanto outra partio no Windows ficar localizada em D:\, nos dois sistem
as baseados no Ncleo Linux essa partio ir aparecer em uma pasta dentro do diretrio ra
iz.
/Cache
armazenamento de dados para execues rpidas (Android)
O cache um dispositivo de acesso rpido que serve de intermdio entre um processo e
o dispositivo Android. Ele armazena informaes usadas com frequncia. Neste diretrio,
ficam arquivados esses arquivos temporrios que podem ser lidos com rapidez pelo
sistema.
/Data Dados (Android)
O diretrio /Data contm dados do usurio armazenados em uma partio separada de MTD (Di
spositivo de Tecnologia de Memria, em traduo livre da sigla em ingls).
/Default.prop - (Android)
Em /default.prop so armazenadas as definies de propriedade-padro e valores restaura
dos a partir dos arquivos em cada reinicializao.
/Dev
O diretrio /proc semelhante ao diretrio /dev, pois contm arquivos especiais que re
presentam sistemas e informaes de processo e no contm arquivos padro.
/Root - Diretrio home para o super usurio (Linux e Android)
O diretrio /root o diretrio home para o super usurio do Linux. Em vez de estar loc
alizado em /home/root, ele est localizado apenas em /root. Isto diferente do dire
trio /, que o diretrio raiz do sistema.
/Sbin
O diretrio /sbin semelhante ao diretrio /bin. Ele contm os arquivos binrios essenci
ais destinados a serem executados pelo usurio root na administrao do sistema.
/Sdcard Carto SD (Android)
Diretrio do carto SD no removvel do Android. Geralmente, esse o nico diretrio que
e ser acessado dentro do Android. Os demais diretrios podem ser acessados atravs d
o root feito no aparelho.
/System Sistema (Android)
Armazena o sistema operacional em uma partio separada de MTD, montada na iniciali
zao (somente leitura).
/Tmp - arquivos temporrios (Linux e Android)
Os aplicativos e programas armazenam arquivos temporrios no diretrio /tmp. Esses
arquivos geralmente so apagados quando o sistema reiniciado, sendo que essa requi
sio pode ser revogada a qualquer momento por utilitrios como o tmpwatch.
O Android em algumas partes "reinventou a roda", ou apenas organizou de uma form
a melhor de um lado e pior de outro, veja:
No linux puro /system j fica embutida em , porm em /sys e /proc;
/cache e /tmp so um s /tmp;
/data corresponde a /usr;
/default.prop e /lost+found so somente /lost+found;
/sdcard fica embutido em /dev como /dev/sdb provavelmente pois o dispositivos d
evem ter uma memria interna que ser o /dev/sda;
/etc corresponde ao mesmo /etc no linux puro;
/init corresponde a /boot;
/lib o mesmo /lib;
o /media na verdade o ponto de montagem dos dispositivos tanto no linux como o
android;
/porc o mesmo /proc;
/root o mesmo /root;
/sbin o mesmo /sbin;
porm a faltou o diretrio /home do usurio e tambm o /bin do usurio.
https://books.google.com.br/books?id=ALlVBQAAQBAJ&pg=PA94&lpg=PA94&dq=como+%C3%A
9+a+estrutura+do+android&source=bl&ots=LylDDl2glB&sig=K_j8bbkHzdpNJkIRCeXmpFCwGl
w&hl=pt-BR&sa=X&ei=lPKiVKntL8HZggT3r4GgAQ&ved=0CEAQ6AEwBzgU#v=onepage&q=como%20%
C3%A9%20a%20estrutura%20do%20android&f=false
Q: Por que o uso de criptografia est crescendo em popularidade?
A: Empresas e usurios de computador utilizam a criptografia como uma maneira de p
roteger seus dados confidenciais ou pessoais de violaes, mas o usurio mdio ainda v es
ta tecnologia como dispendiosa de tempo e dinheiro para a sua implementao. Ento, a
mudana para a criptografia no um movimento dos usurios, necessariamente. Ao contrrio
, proveniente de empresas de hardware e software que esto incorporando a tecnolog
ia de criptografia em seus produtos. O BlackBerry um bom exemplo porque todos os
seus dados so criptografados e essa proteo automtica. Mais importante, o uso da tec
nologia de criptografia completamente invisvel para o usurio.
Q: Qual o impacto de criptografia em investigao forense?
R: Como investigadores, ns somos limitados s informaes sobre o dispositivo que podem
os acessar. Se um disco rgido totalmente criptografado, no temos acesso fcil aos da
dos armazenados e as nossas opes de investigao tornam-se limitadas. A primeira coisa
que um investigador deve fazer determinar o nvel e a extenso da criptografia. Sen
has fracas podem ser quebradas, mas se o usurio possui uma senha forte, torna-se
quase impossvel o acesso atravs de mtodos de fora bruta. Pode ser que apenas alguns
arquivos sejam criptografados e possam existir cpias descriptografado em outros l
ugares do dispositivo. O usurio tambm pode ser uma criatura de hbitos e usar o mesm
o conjunto de senhas. Essas senhas podem ser rapidamente localizadas em formatos
facilmente decifrveis em todo o sistema. Em todos os casos, porm, digo aos invest
igadores que evidncias digitais so apenas uma parte do corpo de provas em um caso.
No caia em uma armadilha onde voc gasta muito tempo tentando decifrar um item pot
encialmente probatrio, quando valiosos dados no criptografados podem ser encontrad
os, basta continuar o seu exame.
Q: Existem mais criminosos mais se voltando para a criptografia?
R: No, em nossa experincia. Novamente, a maioria dos usurios, incluindo criminosos,
gostam da ideia, mas eles simplesmente no tm o conhecimento ou pacincia para imple
mentar a criptografia em uma base contnua de uso. A maioria dos arquivos criptogr
afados que nos deparamos proveniente de sistemas corporativos. Isso nos permite
aproveitar as ferramentas de software e hardware que eles j tm para acessar facilm
ente os dados. Uma vez que os dados so descriptografados um investigador pode apl
icar um conjunto de ferramentas forenses para reunir e analisar os dados armazen
ados.
Q: Existe uma maior chance de danificar ou corromper evidncias criptografadas?
A: H sempre uma pequena chance quando se trabalha com mdia eletrnica que os dados p
ossam ser danificados ou corrompidos. O melhor conselho que posso dar para torna
r o seu procedimento de manipulao de evidncias razovel e defensvel. Razovel significa
usar as ferramentas padro da indstria. Defensvel significa que voc deve cuidadosamen
te documentar o processo.
A maior preocupao que todos os dados na unidade devem ser decifrados, o que pode l
evar horas. Enquanto voc trabalha um drive para descriptografar dados, esse drive
pode falhar. Assim, importante ter certeza de que sua ferramenta forense suport
a dados criptografados, o que torna o processo mais transparente, contribuindo p
ara a garantia do procedimento.
Q: Que novas tcnicas os pesquisadores precisam considerar quando se deparam com u
ma unidade criptografada?
R: Para muitos pesquisadores esta uma nova rea. Primeiro, eles devem tentar deter
minar a extenso da criptografia. Existem muitas ferramentas que lhe permitem crip
tografar o disco rgido inteiro, uma parte do espao em um disco, ou at mesmo arquivo
s individuais. Um investigador deve primeiro determinar se o disco todo criptogr
afado, se no, ele pode procurar por arquivos criptografados. Se softwares de crip
tografia como Encrypt ou TrueCrypt esto no Drive, ento h uma expectativa razovel de
que o usurio possa ter criptografado parte do contedo. Examinadores podem analisar
o uso dessas aplicaes e aprender apenas quantas vezes e quando um programa de cri
ptografia foi executado. Isso pode levar a uma busca por outros arquivos digitai
s que estavam sendo acessados no mesmo perodo.