Ce cours présente l’os Android et son architecture, et fournit une vue d'ensemble de ce que lle forensique Android implique. Vous verrez comment les données sont stockées sur les appareils Android et comment configurer un environnement d'examen forensics. Ensuite, vous allez passer en revue les différentes techniques physiques et logiques permettant d'extraire des données de périphériques afin d'obtenir des preuves concrêtes. Vous apprendrez également à désosser des applications et à analyser de manière précise les données à l'aide de divers outils open source et commerciaux.
3. Une formation
Plan de la formation
Présentation de la formation
L’analyse forensique mobile
Introduction à Android
Acquisitions de données
Analyse de la mémoire
Analyse applicative
Conclusion et perspectives
4. Une formation
Connaissances requises
Avoir des bases réseau, telles que le
modèle OSI et les généralités sur
TCP/IP,
Avoir des notions de bases Linux,
Avoir suivi la formation Hacking et
Sécurité, l'essentiel et avancé (l’idéal)
10. Une formation
Introduction aux Forensic
Analyse post mortem
Récolte, analyse et exposition de
preuves
Récupération d’informations
Analyse avancée
Outils hardware et Software
Volatilité des données
12. Une formation
Evolution incroyable de l’industrie
mobile
Prend la place des ordinateurs
Mine d’or
Données confidentielles
Photos
Contact
Pourquoi le forensique mobile ?
13. Une formation
Le smartphone connait tout sur vous
Ce qui en fait une cible privilégiée
pour les hackers
Les données étant la cible de tout
Hacker (de nos jours)
Pourquoi le forensique mobile ?
17. Une formation
Processus d’analyse forensic
mobile
Grande
variations
hardware
Sécurité built-in
Systèmes de
fichiers
différents
Chiffrement Wiping
Volatilité des
données
Cloud
19. Une formation
L’OS Android
Un système d'exploitation mobile
fondé sur le noyau Linux
Développé actuellement par Google
Open Source
OS Mobile le plus utilisé
52. Une formation
Le premier objectif du Forensic est
l’extraction de données
Le but étant une analyse efficiente
Le plus important pour
l’investigateur est donc de
comprendre où et comment ces
données sont stockées
Introduction
55. Une formation
En outre il y a aussi les partitions
d'une carte SD :
Partitions sous Android
/sdcard /sdc-ext
Note : seule la partition /sdcard est
présente dans TOUS les appareils
Android. La /sdc-ext est présente dans
certains appareils
56. /boot
C'est la partition qui permet au téléphone de démarrer. Elle
inclut le kernel et le ramdisk
Sans cette partition, le téléphone ne sert à rien vu qu'il ne
peut pas démarrer. Le fait d'effacer cette partition depuis le
recovery doit uniquement être fait dans des situations bien
précises
Attention! Une fois la partition effacée, il ne faut PAS
redémarrer l’appareil avant d'en avoir installé une nouvelle
Le fait de flasher une ROM installe cette partition /boot
57. /system
Elle contient le système d'exploitation en entier, sauf le
kernel et le ramdisk
On a donc l'interface utilisateur Android ainsi que toutes les
applications système qui sont préinstallées sur l'appareil ou
une rom
Le fait d'effacer cette partition va supprimer Android de
l'appareil sans le rendre "non démarrable"
Vous pourrez toujours passer le téléphone en mode recovery
ou bootloader pour flasher une ROM
58. /recovery
Cette partition peut être considérée comme une
partition alternative de démarrage qui vous permet de
démarrer l'appareil dans la console recovery pour
procéder à des opérations avancées
59. /data
Egalement appelée "données utilisateurs" ou "userdata«
Cette partition contient les données de l'utilisateur. C'est à cet
endroit que vos contacts, messages, paramètres et
applications téléchargées sont stockés.
Le fait de supprimer cette partition correspond à un "factory
reset", autrement dit une réinitialisation usine. Toutes les
données personnelles ne seront pas effacées mais une
grande partie. Par exemple, si vous avez stocké des photos
dans /sdcard/DCIM, elles ne seront pas effacées
60. /cache
Il s'agit de la partition où Android stocke les données
fréquemment utilisées et des composants de
l'application Nettoyer le cache n'affecte pas vos
données personnelles, mais permet simplement de se
débarrasser des données existantes là-bas, qui sont
automatiquement reconstruites à chaque redémarrage
61. /misc
On retrouve ici des paramètres système divers qui sont
actifs ou pas. On a par exemple le CID (ID
Opérateur/Région), la configuration USB et certains
paramètres matériels
Elle représente une partition importante alors si elle
vient à être manquante ou corrompue, plusieurs
fonctionnalités de votre téléphone ne marcheront plus
ou de manière anormale
62. /sd-ext
Ceci n'est pas une partition Android standard mais elle est devenue populaire via
les ROMs Custom. C'est globalement une partition additionnelle sur votre carte
SD qui fonctionne comme la partition /data lorsqu‘elle est utilisée par certaines
ROMs ayant des fonctionnalités particulières comme App2SD ou Mount2SD
activées. Elle est particulièrement utile sur les appareils dotés d'une petite
mémoire interne allouée à la partition /data
Par conséquent, les utilisateurs - qui veulent installer plus de programmes que la
mémoire interne ne le permet - peuvent utiliser cette partition /sd-ext avec leur
ROM Custom (qui doit être compatible) pour avoir un espace de stockage
complémentaire
Le fait de supprimer cette partition aura les mêmes effets que /data, vous perdrez
donc contacts, messages, applications téléchargées et paramètres.
67. Une formation
Le Wi-Fi
Base de données
Source de données très intéressante
/data/misc/wifi/wpa_supplicant.conf
Points d'accès par défaut
Analyse Wi-Fi
68. Une formation
Les contacts et les appels existent
dans la même BDD
Parfois auto-complétés depuis gmail
Package :
com.android.providers.contacts
Analyse des appels et
contacts
72. Une formation
Répertoires courants
Liste des contacts :
•com.android.providers.contacts
Historique des appels:
•com.android.providers.contacts
SMS/MMS
•com.android.providers.telephony
Calendrier
•com.android.providers.calendar
Historique du navigateur
•com.android.browser
•com.android.chrome
Photos/Vidéos
•/data/media/ ou DCIM
75. Une formation
La base de notre analyse Forensic
Exposition de toutes les données
intéressantes :
Acquisition logique des
données
SMS
Historique
des appels
Data Logs Photos
92. Une formation
Utilisé pour de développement
Utilisé pour le débogage
Ex : copie de fichiers, Shell,
récupération des logs…
ADB pull
93. Une formation
Adb backup est une technique populaire
qui est couramment utilisée pour les
sauvegardes de périphérique Android.
« adb –h »
Acquérir et analyser les
sauvegardes Android
94. Une formation
L’avantage par rapport à une
sauvegarde complète c’est que
vous n’avez pas besoin d’un
accès « Root »
Acquérir et analyser les
sauvegardes Android
95. Une formation
Placez vous dans le répertoire vers le
quel vous voulez extraire les données :
Adb backup -all (N’oubliez pas de le
valider sur le téléphone)
adb backup -shared ou -apk ou -system
Acquérir et analyser les
sauvegardes Android
96. Une formation
Avec l’outil Android Backup Extractor,
Nous allons extraire en tar notre
backup
http://sourceforge.net/projects/adbextr
actor/files/latest/download
Acquérir et analyser les
sauvegardes Android
97. Une formation
Effectuer la commande suivante en se
plaçant dans le répertoire qui contiendra
abe.jar et backup.ab :
Java -jar abe.jar -debug unpack
backup.ab backup.tar
Acquérir et analyser les
sauvegardes Android
98. Une formation
Enfin utiliser la commande tar
pour décompresser :
tar -xvf backup.tar
Acquérir et analyser les
sauvegardes Android
105. Une formation
Processus spécifique à chaque version
Utilisation de l’outil LiMe
Outils hardware et software dédiés
https://github.com/504ensicsLabs/LiME
http://opensource.samsung.com/reception.do
https://source.android.com/source/building-kernels.html
Acquisition de la mémoire
106. Une formation
Mémoire flash RAM Processeur
Tout dépend de l’utilisation du
périphérique
Données volatiles
Tendance des applications récentes
Acquisition de la mémoire
130. Lab : Analyse avec MOBFS
Une formation
Hamza KONDAH
131. Une formation
Mobile Security Framework
(MobSF)
Framework de pentesting
Android, iOS et Windows Mobile
Analyse statique et dynamique
Analyse de malware
MobFS
133. Une formation
Bilan
Analyse forensique mobile
Introduction au forensique sur
Android
L’ acquisition de données
Analyse de la mémoire
Analyse applicative et malware