Smartphones - Android

De Peotta-Wiki
Ir para: navegação, pesquisa

Poderá surgir discussão sobre o método aqui apresentado. O correto seria usar hardwares especialistas para obter as informações diretamente do smartphone, mas como não é possível a todos obter esse tipo de equipamento, e em alguns casos a análise subsidia investigações, considera-se um modelo eficiente.

Existem diversas distribuições produzidas com a finalidade de forense para dispositivos móveis. Algumas bem recentes como Open Source Android Forensics Toolkit e Santoku. Essas distribuições atuam em diversas áreas da forense, como engenharia reversa e malware.

Conteúdo

Criando imagem

Antes de obter os dados da memória interna do dispositivo analisado, deve-se criar uma imagem do cartão de memória (sdcard) e da memória de armazenamento interna.

Uma ferramenta ideal é a FTK Imager de uso livre (não é open).

Caso esteja utilizando o linux pode-se usar qualquer ferramenta que se basei no DD.

A Análise das imagens pode ser feita a partir de ferramentas como [www.sleuthkit.org/‎ sleuthkit], The Autopsy Forensic Browser.

Coletando evidências do dispositivo

Primeiro passo é colocar o android no modo debug. O caminho pode depender do fabricante, versão do android ou firmware utilizada.

Configurações -> Aplicações -> Desenvolvimento -> Depuração de USB

É necessário baixar a SDK do Android, caso esteja utilizando alguma distribuição linux forense é possível que esteja tudo instalado.

Os drivers do dispositivo analisado devem estar instalados para que os seguintes comandos funcionem.

Verificando dispositivos

Caso o dispositivo esteja instalado corretamente irá aparecer a seguinte informação:

C:\Android\sdk\plataform-tools>adb.exe devices
List of devices attached
10005f51efe9    device

Instalando ferramenta forense

A ferramenta utilizada pode ser encontrada no pacote da distribuição Open Source Android Forensics Toolkit.

C:\Android\sdk\platform-tools>adb install AndroidForensics.apk
1622 KB/s (31558 bytes in 0.019s)
pkg: /data/local/tmp/AndroidForensics.apk
Success

Executando a ferramenta Android Forensics

Depois de instalada deve ser executada diretamente no dispositivo analisado. Conforme as figuras

Android1.png
C:\Android\sdk\platform-tools>adb pull /mnt/sdcard/forensics/ forensic
pull: building file list...
pull: /mnt/sdcard/forensics/20130613.1548/SMS.csv -> forensic/20130613.1548/SMS.csv
pull: /mnt/sdcard/forensics/20130613.1548/Social Contracts Activities.csv -> forensic/20130613.1548/Social Contracts Activities.csv
pull: /mnt/sdcard/forensics/20130613.1548/MMS.csv -> forensic/20130613.1548/MMS.csv
pull: /mnt/sdcard/forensics/20130613.1548/People.csv -> forensic/20130613.1548/People.csv
pull: /mnt/sdcard/forensics/20130613.1548/MMSParts.csv -> forensic/20130613.1548/MMSParts.csv
pull: /mnt/sdcard/forensics/20130613.1548/Internal Image Thumb Media.csv -> forensic/20130613.1548/Internal Image Thumb Media.csv
pull: /mnt/sdcard/forensics/20130613.1548/Internal Videos.csv -> forensic/20130613.1548/Internal Videos.csv
pull: /mnt/sdcard/forensics/20130613.1548/IM ProviderSettings.csv -> forensic/20130613.1548/IM ProviderSettings.csv
pull: /mnt/sdcard/forensics/20130613.1548/IM Providers.csv -> forensic/20130613.1548/IM Providers.csv
pull: /mnt/sdcard/forensics/20130613.1548/Internal Image Media.csv -> forensic/20130613.1548/Internal Image Media.csv
pull: /mnt/sdcard/forensics/20130613.1548/IM Invitations.csv -> forensic/20130613.1548/IM Invitations.csv
pull: /mnt/sdcard/forensics/20130613.1548/IM Contacts.csv -> forensic/20130613.1548/IM Contacts.csv
pull: /mnt/sdcard/forensics/20130613.1548/IM Account.csv -> forensic/20130613.1548/IM Account.csv
pull: /mnt/sdcard/forensics/20130613.1548/IM Chats.csv -> forensic/20130613.1548/IM Chats.csv
pull: /mnt/sdcard/forensics/20130613.1548/IM Accounts.csv -> forensic/20130613.1548/IM Accounts.csv
pull: /mnt/sdcard/forensics/20130613.1548/Contacts Settings.csv -> forensic/20130613.1548/Contacts Settings.csv
pull: /mnt/sdcard/forensics/20130613.1548/Contacts Organizations.csv -> forensic/20130613.1548/Contacts Organizations.csv
pull: /mnt/sdcard/forensics/20130613.1548/Contacts Phones.csv -> forensic/20130613.1548/Contacts Phones.csv
pull: /mnt/sdcard/forensics/20130613.1548/Contacts ContactMethods.csv -> forensic/20130613.1548/Contacts ContactMethods.csv
pull: /mnt/sdcard/forensics/20130613.1548/Contacts Groups.csv -> forensic/20130613.1548/Contacts Groups.csv
pull: /mnt/sdcard/forensics/20130613.1548/External Videos.csv -> forensic/20130613.1548/External Videos.csv
pull: /mnt/sdcard/forensics/20130613.1548/Contacts Extensions.csv -> forensic/20130613.1548/Contacts Extensions.csv
pull: /mnt/sdcard/forensics/20130613.1548/CallLog Calls.csv -> forensic/20130613.1548/CallLog Calls.csv
pull: /mnt/sdcard/forensics/20130613.1548/External Image Thumb Media.csv -> forensic/20130613.1548/External Image Thumb Media.csv
pull: /mnt/sdcard/forensics/20130613.1548/External Image Media.csv -> forensic/20130613.1548/External Image Media.csv
pull: /mnt/sdcard/forensics/20130613.1548/Browser Bookmarks.csv -> forensic/20130613.1548/Browser Bookmarks.csv
pull: /mnt/sdcard/forensics/20130613.1548/Browser Searches.csv -> forensic/20130613.1548/Browser Searches.csv
pull: /mnt/sdcard/forensics/20130613.1548/External Media.csv -> forensic/20130613.1548/External Media.csv
pull: /mnt/sdcard/forensics/20130613.1548/info.xml -> forensic/20130613.1548/info.xml
29 files pulled. 0 files skipped.
832 KB/s (713096 bytes in 0.836s)


Desinstalando a Ferramenta

C:\Android\sdk\platform-tools>adb uninstall com.viaforensics.android
Success
Ferramentas pessoais
Espaços nominais

Variantes
Ações
Navegação
Ferramentas