android forensics the hard work

Android ForensicThe Hard Work

Por Luiz Vieira@HackProofing

Arquitetura

Android SDK

• Desenvolvimento• Bibliotecas, APIs, Emulador,

Documentação e etc• Utilizada durante o processo de

investigação• Disponível para os 3 principais sistemas

operacionais

Android Virtual Device

Identificação do Aparelho

• Quais dados preciso verificar?• Quais informações analisar?• Quais características são importantes?• Quais ferramentas serão necessárias?• Algum hardware em especial?

Senha de acesso

Tipos de Memórias

• RAM– Passwords– Encryption keys– Usernames– App data– Data from system processes and services

• NAND– File system

Técnicas Forenses

• Identificação• Mídia Removível (SD Card)• Aquisição Lógica• Aquisição Física• Chip-Off

Imagem Exata

Ferramentas para Aquisição de Imagens

• FTK Imager• DD

• Atenção : – SD Card = Fat32 (sdcard.img)

– Outra partições do dispositivo: YASFF2(cache.img e userdata-qemu.img)

Acesso como ROOT

• Utilização do ADB – Android Debug Bridge• Permite acesso como root à um shell do

dispositivo• Permite acesso aos arquivos *.img

Informações de Interesse

/data/data/com.google.android.location/Cache de GeoLocalização

/data/data/com.google.android.providers.gmail/Gmail

/data/data/com.android.providers.browser/Dados do Browser

/data/data/com.android.providers.downloads/Downloads

/data/data/com.android.providers.telephon/SMS

/data/data/com.android.providers.calendar/ Calendário

/data/data/com.android.providers.contacts/ Contatos

LocalizaçãoDados

Aquisição Lógica

• Acesso como ROOT• Modo USB ativo• Corremos o risco de alterar as evidências

http://code.google.com/p/android-forensics/

Aquisição Física

• Live Forensic• Dump da memória física (RAM)• Na cadeia de volatilidade, essa deve ser a

primeira ação• Ferramentas:

– Memfetch � faz o dump de espaços específicos da memória

– DMD � módulo que permite o dump de memória física, incluindo o envio por TCP

DMD

• Instalação e configuração do DMD:$ adb push dmd-evo.ko /sdcard/dmd.ko$ adb forward tcp:4444 tcp:4444$ adb shell$ su#

• Aquisição:– No dispositivo: # insmod dmd path=tcp:4444– Em um host: $ nc localhost 4444 > ram.dump

• Análise:– Volatility e seus plugins

Outras Ferramentas

• Data Carving � Scalpel• Extração de Strings � Strings

• Análise de Estrutura de Arquivos � Hexeditor• Análise de Base de Dados � SQLite

• Timeline de Filesystem FAT32 � The Sleuth Kit

Perguntas

Contatos

Luiz Vieirahttp://hackproofing.blogspot.com

http://[email protected]

[email protected]@owasp.org

android forensics the hard work

Technology

android forensic

ferramentas para aquisio

android virtual device

dump anlise

acesso como root utilizao

adb shell

adb forward tcp

adb push dmdevo