Académique Documents
Professionnel Documents
Culture Documents
Pentester: Rafael Gmez Del ngel Director de N3XAsec Docente de la certificacin: FDM Forense Investigador de dispositivos mviles.
info@n3xasec.com
www.n3xasec.com
Celulares
Android 2.2 Android 2.3 Android 4
Arquitectura de Android
Laboratorio
AFLogical
Logs
La obtencin del acceso root en la terminal es primordial ya que nos ayudara a la ejecucin de comandos arbitrariamente
Terminal emulator
La conocen?
El cuerpo humano en el transcurso del da secreta cierto tipo de aceites en los dedos, los cuales bajo la luz ultravioleta estos aceites resaltan
Esta herramienta nos permite realizar un ataque de fuerza bruta para desbloquear la contrasea numerica del dispositivo.
Es muy invasiva Corremos el riesgo de tronar la memoria RAM El dispositivo debe estar rooteado
/dev/block/mtdblock1 /system, /dev/block/mtdblock9 /data, /dev/block/mtdblock8 /cache los cuales corresponden al sistema, y de color amarillo /dev/block/vold /179:1 /mnt/sdcard correspondiente a la tarjeta SD externa del telfono montada en /mnt/sdcard.
Puntos de montaje
sera posible
Hash MD5
ImgAir
Ahora analizaremos las carpetas contenidas en la imagen data. Realizaremos un ejemplo de una simple bsqueda de strings, en este caso ser el numero 228 el cual es la clave lada de la localidad ,con el siguiente comando:
strings -a ./mtd9.dd| grep 228 > numeros.txt La extraccin automatiza de archivos nos ayudara en la bsqueda de correlaciones a archivos de alguna extensin requerida, con esto podremos seguir con la obtencin de metadatos funcionales para nuestra investigacin.
La informacin de validacin de las cuentas de los usuarios as como su proteccin esta a cargo del software de las empresas que brindan dichos servicios, cuando se realiza una auditora forense el auditor puede se capaz de obtener informacin aparentemente confidencial o privada. Al analizar el archivo picasa.db de com.cooliris.media, nos encontramos que hace uso de una llave de autentificacin para acceder a informacin de imgenes subidas a la cuenta de blogger vinculada con la cuenta de correo nosferatu.security@gmail.com
Apreciamos con un editor hexadecimal la llave de autentificacin vinculada con el blog Seguridad e Inseguridad informtica
Empezando a rastrar esta conexin que se realiza a travs del protocolo http se obtuvo que dicha llave de autentificacin es usada para acezar a imgenes subidas por el usuario, con esta llave de autentificacin podemos a acceder a descargar informacin del servidor de blogger para saber cundo y a qu hora fue subida una foto.
Apreciamos con un editor hexadecimal la llave de autentificacin vinculada con el blog Seguridad e Inseguridad informtica
Empezando a rastrar esta conexin que se realiza a travs del protocolo http se obtuvo que dicha llave de autentificacin es usada para acezar a imgenes subidas por el usuario, con esta llave de autentificacin podemos a acceder a descargar informacin del servidor de blogger para saber cundo y a qu hora fue subida una foto.
Muestra un archivo .xml que se descargo del servidor, obteniendo fecha y hora de publicacin ,esto nos puede ayudar a una lnea del tiempo.
Dentro de data/data/com.whastapp/databases encontraremos 2 archivos .db wa.db y msgstore. Estos contienen una variedad de informacin, wa.db contiene la lista de contactos guardados en la agenda e indica si est guardado en el telfono o en la tarjeta sim
mostrando un nmero telefnico el nombre del contacto y el lugar de almacenamiento, en este caso esta en tarjeta sim
Contactos
Este mensaje obtenido tiene de igual modo meses de haber sido borrado y en su defecto permanece casi intacto esto nos sugiere la idea de que existen sectores de memoria que aun no han sido sobrescritos.
Bluetooth
Wireless GSM GPS
Meta datos Informacin almacenada en una evidencia, donde nos proporciona una pista de donde o con que fue cometido el DELITO
Gracias !!
Informes de la certificacin
info@n3xasec.com
www.n3xasec.com