Analisis Forense

Anlisis Forense de
Dispositivos iOS
Jaime Andrs Restrepo
jueves 22 de septiembre de 11
Agenda de la Charla
Agenda de la Charla
Introduccin
Agenda de la Charla
Introduccin
Como vamos a trabajar?
Agenda de la Charla
Introduccin
Como vamos a trabajar?
Manos a la Obra!!
Introduccin
Introduccin
Cmo vamos a trabajar?

No dejarlos iniciados.

Utilizaremos cdigos QR y
acortadores de direcciones.

Utilizaremos cdigos QR y
acortadores de direcciones.
Dejaremos la teora para la

casa y veremos los temas
practicos
Etapas de un anlisis forense
Etapas de un anlisis forense
Etapa de evaluacin
goo.gl/fskC2
Etapa de evaluacin
Notificar y obtener autorizaciones
goo.gl/fskC2
Etapa de evaluacin

Revisar legislacin y polticas de
cada pas
goo.gl/fskC2
Etapa de evaluacin
Identificar los miembros del

equipo

cada pas
goo.gl/fskC2
Etapa de evaluacin

equipo
Realizar una evaluacin previa

cada pas
goo.gl/fskC2
Etapa de evaluacin

equipo
Realizar una evaluacin previa

cada pas
Prepararse para la adquisicin de

pruebas
goo.gl/fskC2
Etapa de adquisicin
goo.gl/NmZAR
Etapa de adquisicin
Construccin de la
investigacin
goo.gl/NmZAR
Etapa de adquisicin
Construccin de la
investigacin
Recopilar los datos
goo.gl/NmZAR
Etapa de adquisicin
Construccin de la
investigacin
Recopilar los datos

Almacenar y archivar
goo.gl/NmZAR
Tareas previas a la adquisicin
Adquisicin con las uas

Mtodo
Que el dispositivo iOS

tenga Jailbreak.
Mtodo

tenga Jailbreak.
Servidor SSH y netcat o

que permita instalarlos.
Mtodo

tenga Jailbreak.
Servidor SSH y netcat o

que permita instalarlos.
Servidor SSH con clave

por defecto alpine o
una clave dbil.
Mtodo

Mtodo
Obtener el PhoneDisk
Mtodo
tenga Jailbreak.
Mtodo
Que tenga instalado el

componente afc2add.

tenga Jailbreak.
Mtodo

componente afc2add.
Usar cualquier
herramienta forense
para adquirir la imagen.

tenga Jailbreak.
Mtodo

componente afc2add.
Usar cualquier
herramienta forense
para adquirir la imagen.

tenga Jailbreak.
Mtodo
Adquisicin con Kits

Cellebrite UFED
Adquisicin con Kits

Cellebrite UFED
Tener $3,999USD
Etapa de anlisis
goo.gl/Y2pgU
CAMBIAR
Etapa de anlisis
Analizar los datos de la red
goo.gl/Y2pgU
CAMBIAR
Etapa de anlisis
Analizar los datos del
dispositivo
goo.gl/Y2pgU
CAMBIAR
Etapa de anlisis
Analizar los datos del
dispositivo
Analizar los medios de

almacenamiento
goo.gl/Y2pgU
CAMBIAR
Estructura de un sistema iOS

Applications: Es un enlace simblico a -> /var/stash/Applications.pwn
Developer: Esta vaco
Library: Como en cualquier sistema Mac OS X, plugins, configuraciones, etc..
System: Contiene las preferencias del sistema y del dispositivo
User: Es un enlace simblico a -> /var/mobile
bin: Contiene los ejecutables del sistema
boot: Esta vaco
cores: Esta vaco
dev: Esta vaco
etc: Es un enlace simblico a -> private/etc/
lib: Esta vaco
mnt: Esta vaco
private: Contiene los directories etc y var (fstab, passwd y muchos mas)
sbin: Contiene los ejecutables del sistema
tmp: Es un enlace simblico a -> private/var/tmp/
usr: Contiene los datos de zona horaria y ejecutables del sistema
var: Es un enlace simblico a -> private/var/
Anlisis con las uas - Herramientas
Imagen de iOS adquirida

Cliente SQLite (puede ser SQLitebrowser
SQLiteman SQLite Manager) o cualquier otro
Lector de archivos .plist (XCode, plistviewer,

plist editor)


plist editor)
plutil.pl para parsear un .plist si nos lo

encontramos binario


plist editor)

encontramos binario
Software para recuperado de archivos


plist editor)

encontramos binario
Software para recuperado de archivos

Editor hexadecimal
Anlisis con las uas - Contactos

/private/var/mobile/Library/
AddressBook una de las carpetas mas
importantes, ya que en ella se encuentran
los archivos AddressBookImages.sqlitedb
donde estn almacenadas las imgenes
asociadas a los contactos y
AddressBook.sqlitedb que hacen
referencia a nuestra libreta de contactos
Anlisis con las uas - Llamadas
CAMBIAR
IMAGEN
/private/var/wireless/Library/
CallHistory/ en esta carpeta
encontraremos el archivo
call_history.db donde esta el listado
de las ultimas 100 llamadas realizadas
desde el dispositivo.
Anlisis con las uas - Mails

Mail encontraremos mucha
informacin sobre los correos recibidos
desde el dispositivo, las cuentas de
correo, los tiempos de actualizacin,
archivos adjuntos y mensajes de correo
electrnico.
Anlisis con las uas - Media

/private/var/mobile/Media/
DCIM/100APPLE y /private/var/
mobile/Media/PhotoData fotos y
vdeos grabados con el dispositivo iOS,
recuerda que por defecto las fotos
tomadas con un dispositivo iOS incluye la
posicin GPS del lugar donde fue tomada
en sus meta-datos, por lo que puede ser
de mucha utilidad.
Anlisis con las uas - SMSs

SMS la siguiente base de datos que
nos llama la atencin, es la de los
mensajes SMS, en ella podremos
encontrar el archivo sms.db y la
carpeta Drafts con los borradores
que estn guardados en el dispositivo
iOS.
Anlisis con las uas - Notas

Notes la informacin ingresada en la
aplicacin notas incorporada en todas
las versiones del sistema iOS de Apple
Anlisis con las uas - Calendario

Calendar aqu encontraremos el
Calendar.sqlitedb que contiene toda
la informacin sobre los calendarios del
dispositivos, alarmas y fechas lo que nos
puede ser muy til en nuestra
investigacin forense
Anlisis con las uas - Internet

/private/var/mobile/Library/Safari
encontramos los favoritos del safari
Bookmarks.db, el historial History.plist y
los buscadores usados SearchEngines.plist
ademas del archivo SuspendState.plist que
almacena las pestaas o paginas suspendidas
de Safari
Preferences/
com.apple.mobilesafari.plist ultimas
bsquedas en safari
Anlisis con las uas - Spotlight

Spotlight aqu encontraremos un
listado con las aplicaciones abiertas por
medio del buscador spotlight
db.sqlitedb y los mensajes que estn
indexados por este buscador
SMSSearchdb.sqlitedb
Anlisis con las uas - Mapas

Maps encontraremos los archivos
History.plist y Directions.plist
con la informacin que tengamos
almacenada en la aplicacin mapas, del
dispositivo iOS
Anlisis con las uas - Voz

/private/var/mobile/Media/
Recordings encontraremos las notas de
voz y una base de datos Recordings.db
con con toda su informacin y las
etiquetas personalizadas de la nota (si la
tiene) CustomLabels.plist
Voicemail aqu encontraras los correos
de voz que se encuentren en el dispositivo
Anlisis con las uas - Preferencias

/private/var/mobile/Library/Preferences
com.apple.Maps.plist: ultimas bsquedas en el programa de
mapas
com.apple.mobiletimer.plist y
com.apple.mobilecal.alarmengine.plist: informacin sobre
las alarmas puestas en el reloj
com.apple.mobilephone.speeddial.plist: nmeros de
llamada rpida
com.apple.youtube.plist: ltimos vdeos buscados en la
aplicacin de youtube
com.apple.preferences.datetime.plist zona horaria del
dispositivo
com.apple.springboard.plist lista de aplicaciones estndar y
aadidas por el usuario
com.apple.stocks.plist el stock de acciones listadas en la
aplicacin bolsa
com.apple.weather.plist listado de ciudades aadidas a la
aplicacin de clima
Anlisis con las uas - SpringBoard

SpringBoard aqu encontraremos las
aplicaciones instaladas
applicationstate.plist la
organizacin de estas aplicaciones
dentro del equipo IconState.plist y
una miniatura del fondo utilizado
LockBackgroundThumbnail.jpg
Anlisis con las uas - Passwords
/private/etc/master.passwd y /private/etc/passwd
utilizando john the ripper o cualquier otra herramienta para
crackear passwords, podremos obtener las claves del sistema
En la carpeta /private/var/Keychains/ encontraremos
los archivos TrustStore.sqlite3, keychain-2.db,
ocspcache.sqlite3 donde encontraremos en texto plano
algunas de las contraseas usadas por las aplicaciones
instaladas
/private/var/root/Library/Lockdown/ en esta
carpeta encontraras los certificados pblicos y privados del
dispositivo
Anlisis con las uas - Logs

/private/var/logs/ y /private/var/log/en
estas carpetas encontraremos una gran cantidad de
logs del sistema iOS que nos pueden ayudar en la
elaboracin de nuestra linea de tiempo.
/var/wireless/Library/Logs logs sobre las
conexiones inalmbricas (3G, Bluetooht, WiFi) del
dispositivo
/private/var/mobile/Library/Logs Esta
carpeta de logs es bastante interesante, por que nos
muestra los errores de las aplicaciones instaladas en el
equipo, podremos sacar buena informacin de todos
estos archivos
consolidate.db
/private/var/root/
Library/Caches/
locationd/
consolidate.db
archivo que contiene las
ultimas ubicaciones
donde estuvo nuestro
dispositivo
dynamic-text.dat o iKeylogger
/private/var/
mobile/Library/
Keyboard/(idioma)dynamic-text.dat
Diccionario personalizado
que almacena las palabras
que escribimos en el
dispositivo iOS aadir al
diccionario las palabras
que mas usas
ADDataStore.sqlitedb
/private/var/mobile/
Library/Logs/
ADDataStore.sqlitedb
historial de las aplicaciones
abiertas y el tiempo que fu
utilizada
Anlisis con Software Comercial
iSSH
/private/var/
mobile/
Applications/
CAMBIA/Library/
Preferences/
config.dat el cliente
SSH mas popular de los
sistemas iOS no cifra la
informacion
WordPress
Applications/CAMBIA/
Documents/
WordPress.sqlite ademas de
mostrar nuestros datos sin cifrar
almacena todos los post,
comentarios y borradores de
nuestro blog.
WhatsApp
Documents/
ChatStorage.sqlite ademas de
enviar nuestros datos sin cifrar
por la red, almacena todos los
mensajes enviados desde la
aplicacin.
WhatsApp
Documents/
ChatStorage.sqlite ademas de
enviar nuestros datos sin cifrar
por la red, almacena todos los
mensajes enviados desde la
aplicacin.
http://goo.gl/IyjAI
Muchsimas mas Apps...
/private/var/mobile/Applications
Etapa de informes
Recopilar y organizar la
informacin
Escribir los informes

Ganamos un iPad
goo.gl/It5AI

Analisis Forense

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Analisis Forense

Cargado por

Copyright:

Formatos disponibles

Anlisis Forense de

Cmo vamos a trabajar?

Cmo vamos a trabajar?

Cmo vamos a trabajar?

Cmo vamos a trabajar?

Dejaremos la teora para la

Etapas de un anlisis forense

Etapas de un anlisis forense

Notificar y obtener autorizaciones

Notificar y obtener autorizaciones

Notificar y obtener autorizaciones

Identificar los miembros del

Revisar legislacin y polticas de

Notificar y obtener autorizaciones

Identificar los miembros del

Realizar una evaluacin previa

Revisar legislacin y polticas de

Notificar y obtener autorizaciones

Identificar los miembros del

Realizar una evaluacin previa

Revisar legislacin y polticas de

Prepararse para la adquisicin de

Recopilar los datos

Recopilar los datos

Tareas previas a la adquisicin

Tareas previas a la adquisicin

Tareas previas a la adquisicin

Tareas previas a la adquisicin

Tareas previas a la adquisicin

Adquisicin con las uas

Adquisicin con las uas

Que el dispositivo iOS

Adquisicin con las uas

Que el dispositivo iOS

Servidor SSH y netcat o

Adquisicin con las uas

Que el dispositivo iOS

Servidor SSH y netcat o

Servidor SSH con clave

Adquisicin con las uas

Adquisicin con las uas

Adquisicin con las uas

Adquisicin con las uas

Que tenga instalado el

Que el dispositivo iOS

Adquisicin con las uas

Que tenga instalado el

Que el dispositivo iOS

Adquisicin con las uas

Que tenga instalado el

Que el dispositivo iOS

Adquisicin con Kits

Adquisicin con Kits

Analizar los medios de

Estructura de un sistema iOS

Anlisis con las uas - Herramientas

Anlisis con las uas - Herramientas

Imagen de iOS adquirida

Anlisis con las uas - Herramientas

Imagen de iOS adquirida

Anlisis con las uas - Herramientas

Imagen de iOS adquirida

Lector de archivos .plist (XCode, plistviewer,