O documento discute técnicas forenses em dispositivos Android, incluindo a identificação do aparelho, aquisição de imagens lógicas e físicas, e localização de dados como contatos, SMS e cache de geolocalização. Ele também apresenta ferramentas como FTK Imager, DD e ADB para aquisição de imagens e acesso root ao dispositivo.
4. Android SDK
• Desenvolvimento
• Bibliotecas, APIs, Emulador,
Documentação e etc
• Utilizada durante o processo de
investigação
• Disponível para os 3 principais sistemas
operacionais
7. Identificação do Aparelho
• Quais dados preciso verificar?
• Quais informações analisar?
• Quais características são importantes?
• Quais ferramentas serão necessárias?
• Algum hardware em especial?
12. Ferramentas para Aquisição de Imagens
• FTK Imager
• DD
• Atenção:
– SD Card = Fat32 (sdcard.img)
– Outra partições do dispositivo: YASFF2
(cache.img e userdata-qemu.img)
13. Acesso como ROOT
• Utilização do ADB – Android Debug Bridge
• Permite acesso como root à um shell do
dispositivo
• Permite acesso aos arquivos *.img
14. Informações de Interesse
Dados Localização
Contatos /data/data/com.android.providers.contacts/
Calendário /data/data/com.android.providers.calendar/
SMS /data/data/com.android.providers.telephon/
Downloads /data/data/com.android.providers.downloads/
Dados do Browser /data/data/com.android.providers.browser/
Gmail /data/data/com.google.android.providers.gmail/
Cache de GeoLocalização /data/data/com.google.android.location/
15. Aquisição Lógica
• Acesso como ROOT
• Modo USB ativo
• Corremos o risco de alterar as evidências
http://code.google.com/p/android-forensics/
16. Aquisição Física
• Live Forensic
• Dump da memória física (RAM)
• Na cadeia de volatilidade, essa deve ser a
primeira ação
• Ferramentas:
– Memfetch faz o dump de espaços
específicos da memória
– DMD módulo que permite o dump de
memória física, incluindo o envio por TCP
17. DMD
• Instalação e configuração do DMD:
$ adb push dmd-evo.ko /sdcard/dmd.ko
$ adb forward tcp:4444 tcp:4444
$ adb shell
$ su
#
• Aquisição:
– No dispositivo: # insmod dmd path=tcp:4444
– Em um host: $ nc localhost 4444 > ram.dump
• Análise:
– Volatility e seus plugins
18. Outras Ferramentas
• Data Carving Scalpel
• Extração de Strings Strings
• Análise de Estrutura de Arquivos Hexeditor
• Análise de Base de Dados SQLite
• Timeline de Filesystem FAT32 The Sleuth Kit