2. ArgomentiArgomentiArgomentiArgomenti
• Android?
• Android Forensics
• Caso pratico
sandro@deftlinux.net

3. Android?

4. www.android.com
2005 - Inizio Sviluppo
12/2011 - Release finale 4.03
Licenza: Apache 2.0
AndroidAndroidAndroidAndroid
Sistema operativo per
dispositivi mobili
2008 - Release iniziale 1.0
Sorgente: FOSS
Linux Kernel (Monolitico)

5. Diffusione esponziale
GestioneGestioneGestioneGestione deglideglideglidegli aggiornamentiaggiornamentiaggiornamentiaggiornamenti
http://tinyurl.com/androidworm
Attacchi su misura

6. StrutturaStrutturaStrutturaStruttura
classicaclassicaclassicaclassica

7. Principali VersioniPrincipali VersioniPrincipali VersioniPrincipali Versioni v2.2.xv2.2.xv2.2.xv2.2.x FroyoFroyoFroyoFroyo
v2.3.xv2.3.xv2.3.xv2.3.x GingerbreadGingerbreadGingerbreadGingerbread
v3.xv3.xv3.xv3.x HoneycombHoneycombHoneycombHoneycomb
v4.xv4.xv4.xv4.x IceIceIceIce CreamCreamCreamCream SandwichSandwichSandwichSandwich

8. FilesystemFilesystemFilesystemFilesystem
YAFFS2
EXT4
VARI eseseses.... RFSRFSRFSRFS
2.3 Gingerbread2.3 Gingerbread2.3 Gingerbread2.3 Gingerbread
2.22.22.22.2 FroyoFroyoFroyoFroyo

9. ApplicazioniApplicazioniApplicazioniApplicazioni
AppAppAppApp PreinstallatePreinstallatePreinstallatePreinstallate : /system/app
AppAppAppApp scaricatescaricatescaricatescaricate: /data/app
DatiDatiDatiDati applicazioniapplicazioniapplicazioniapplicazioni: /data/data, MicroSD
DB diDB diDB diDB di sistemasistemasistemasistema: /data/database

10. Android
Forensics

11. Un tempo …Un tempo …Un tempo …Un tempo …

13. AFLOGICALAFLOGICALAFLOGICALAFLOGICAL
Acquisizione logicaAcquisizione logicaAcquisizione logicaAcquisizione logica
42 diversi tipi di dati
In pochi minuti
AndroidForensics.apkAndroidForensics.apkAndroidForensics.apkAndroidForensics.apk

14. AcquisizioneAcquisizioneAcquisizioneAcquisizione
FisicaFisicaFisicaFisica
mount
Diritti Root
dd if=partizione of=/mnt/sdcard/nomefile.imgdd
su
Rilevazione numero partizioni
+ NB - VUOTA!!!

15. Esempio

16. Samsung Galaxy S
i9000
AcquisizioneAcquisizioneAcquisizioneAcquisizione
Su nuova MICROSD
Tastiera virtuale
dd
ODIN + CF ROOT
Installazione demone SSH
Acquisizione «Standard» MicroSD
Hash delle immagini dd microSD con

17. Samsung Galaxy S
i9000
Analisi ClassicheAnalisi ClassicheAnalisi ClassicheAnalisi Classiche
Carving
Timeline
Database
Foto/video
Analisi SpecificheAnalisi SpecificheAnalisi SpecificheAnalisi Specifiche
Antiforensics ?
Correlazione
informazioni
Applicazioni
terze?

18. PerPerPerPer ApprofondireApprofondireApprofondireApprofondire

19. Deft?

20. Grazie perGrazie perGrazie perGrazie per
l’attenzionel’attenzionel’attenzionel’attenzione!!!!
sandro@deftlinux.net
SandroSandroSandroSandro RossettiRossettiRossettiRossetti