LABORATÓRIO DE PERÍCIA DIGITAL

PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL LABORATÓRIO DE PERÍCIA DIGITAL PROFESSOR: DIEGO AJUKAS

ANÁLISE DE DISPOSITIVOS MÓVEIS Conceitos Processo de Forense em Dispositivos Móveis Métodos de Aquisição Cenários Malware Arquivos e Pastas de Interesse para Forense Ferramentas Exercício

CONCEITOS Forense em dispositivos móveis é uma espécie de forense digital destinada a recuperar evidências e dados de uma gama de dispositivos móveis. Apesar de associarmos comumente dispositivos móveis a celulares e smatphones, incluem-se nessa categoria outros dispositivos como tablets, PDAs, GPS e qualquer outro dispositivos móvel com memória interna e capacidade de comunicação.

CONCEITOS Foco: Android...

CONCEITOS Foco: Android...

PROCESSO DE FORENSE EM DISPOSITIVOS MÓVEIS Quatro fases: Preservação Coleta (Extração) Análise Formalização (Elaboração do Laudo)

PROCESSO DE FORENSE EM DISPOSITIVOS MÓVEIS Quatro fases: Preservação Coleta (Extração) Análise Formalização (Elaboração do Laudo)

PROCESSO DE FORENSE EM DISPOSITIVOS MÓVEIS Preservação Identificação Preparação Isolamento

PROCESSO DE FORENSE EM DISPOSITIVOS MÓVEIS Identificação Identificar as características e capacidades do dispositivos; Identificar os objetivos da análise; Identificar autoridade legal sobre o conteúdo examinado.

PROCESSO DE FORENSE EM DISPOSITIVOS MÓVEIS Preparação Preparar os métodos a serem utilizados; Preparar a mídia e a estação de trabalho; Preparar as ferramentas para versão adequada.

PROCESSO DE FORENSE EM DISPOSITIVOS MÓVEIS Isolamento Isolar o acesso a redes externas para evitar alteração ou destruição remota de dados.

PROCESSO DE FORENSE EM DISPOSITIVOS MÓVEIS

PROCESSO DE FORENSE EM DISPOSITIVOS MÓVEIS

PROCESSO DE FORENSE EM DISPOSITIVOS MÓVEIS

MÉTODOS DE AQUISIÇÃO Quatro principais métodos de aquisição: Lógico Físico Sistemas de Arquivos Manual

MÉTODOS DE AQUISIÇÃO Lógico Inclui informações ativas/atuais; Extração de dados lógicos; É realizável pela maioria das ferramentas;

MÉTODOS DE AQUISIÇÃO Físico Inclui dados ativos e apagados; Não é possível em todos dispositivos; Gera relatórios mais complexos.

MÉTODOS DE AQUISIÇÃO Sistemas de Arquivos Inclui arquivos ativos; Nem sempre é possível recuperar dados apagados; Possui suporte intermediário entre o Lógico e Físico;

MÉTODOS DE AQUISIÇÃO Manual Consiste na analise através do próprio dispositivo; Possível acesso a todas as informações do aparelho; Documentado através de fotos e vídeos; Relatório simples, porém a análise é demorada.

CENÁRIOS Existem 4 cenários possíveis: A: Aparelho ligado e Desbloqueado; B: Aparelho Ligado e Bloqueado; C: Aparelho Desligado e Funcional; D: Aparelho Desligado e Não Funcional.

CENÁRIOS A: Aparelho ligado e Desbloqueado: Isolar comunicação; Garantir acesso físico ao dispositivo; Realizar aquisição física; Realizar demais aquisições.

CENÁRIOS B: Aparelho Ligado e Bloqueado (IOS) Alterar boot loader (ver versão); Aquisição de info do SIM card; Verificar existência de backups.

CENÁRIOS B: Aparelho Ligado e Bloqueado (Android) Alterar boot loader (ver versão); Aquisição de info do SIM card; Aquisição de info de Memory card; Verificar existência de backups.

CENÁRIOS C: Aparelho Desligado e Funcional Tentar aquisição física a partir do aparelho desligado; Ligar e tentar o passo 1 dos Cenários A e B;

CENÁRIOS D: Aparelho Desligado e Não Funcional Acessar mídias removíveis; Extrair elementos de armazenamento ou acesso direto; Forensic desoldering, Chip re-balling, JTAG etc.

MALWARE Quando procurar: Sinais ou Sintomas; Possuir potenciais vetores de infecção O que fazer: Identificação Procedimentos

MALWARE Sinais ou Sintomas: Android; Bateria com vida curta; Chamadas e Aplicações finalizando automaticamente; Grande volume de dados; Comportamento inesperado do dispositivo; Usuário com comportamento de risco; Etc.

MALWARE Possuir potenciais vetores de infecção: Apps com muitas permissões; Instalações inseguras; Versão muito antiga do OS; Rooted (Android) ou Jailbroken (ios); Etc.

MALWARE Identificação: Tipos de Malware Backdoor; Trojan (SMS, spys etc.); Worm; Adware; Trackware; Fake install Etc.

MALWARE Procedimentos: Procurar por malware com ferramentas de forense; Procurar por malware com anti-vírus; Checar manualmente por.apk nos diretórios; Checar pastas de downloads; Checar links em SMS, MMS, email e outras mensagens; Etc.

MALWARE Ferramentas: Online: www.apk-analyzer.net anubis.iseclab.org github.com/pjlantz/droidbox

MALWARE Ferramentas: Offline: Android SDK / SUITE Dexter Dex2Jar JD-GUI Santoku (VM)

ARQUIVOS E PASTAS DE INTERESSE PARA FORENSE Android: Timezone Timezone Ligações, Contatos MMS e SMS Mapas Mapas Histórico Intenet Histórico Intenet Histórico Intenet Info GMAIL Root/Property/persist.sys.timezone Root/Property/netpolicy.xml com.android.providers.contacts/contacts2.db com.android.providers.telephony/mmssms.db com.google.android.apps.maps/da_destination_history com.google.android.apps.maps/search_history.db com.android.email/webviewcache.db com.android.browser/databases/browser.db com.android.browser/databases/webview.db /data/com.google.android.gm/databases/<mail-name>.db

ARQUIVOS E PASTAS DE INTERESSE PARA FORENSE ios: Informações de Conta Fotos do aparelho Aplicações Fotos Atividade Safari SMS, imessage e FaceTime Caixa de Voz Histórico de Ligações Contatos SMS Histórico Safari mobile/library/dataaccess DCIM/100APPLE Folder /private/mobile/var/applications Media/PhotoData/* Library/Cookies/Cookies.binarycookies Library/Preferences/com.apple.imservice* Library/Voicemail/* Library/CallHistory/call_history.db Library/AddressBook/AddressBook.sqlitedb Library/SMS/sms.db Library/Safari/*

FERRAMENTAS Aquisição de imagem (Android): Drivers + SDK (adb - Android Debug Bridge) rootear se preciso: https://towelroot.com http://root-apk.kingoapp.com/ (1.5 a 5.0) http://www.framaroot.net/ (2.x a 4.x) Disco: dd ou suítes... Memória: LiME Ferramentas Extras: nc, busybox etc.

FERRAMENTAS Análise: Autopsy (Android Analyzer)

FERRAMENTAS Análise: Oxygen Forensic http://www.oxygen-forensic.com/en/products/oxygen-forensic-detective

EXERCÍCIO Para o caso 2: (Identificar as últimas 5 ocorrências) Identificar SMS; Identificar Chamadas realizadas; Identificar acessos no Navegador; Identificar Aplicativos instalados; Identificar pelo menos mais 6 informações relevantes para forense e justificar.

PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL LABORATÓRIO DE PERÍCIA DIGITAL PROFESSOR: DIEGO AJUKAS