UT5A3 - Forense Móviles -

Análisis imagen móvil rooteado (RA2,

RA5)
Módulo ANZ

Actividad evaluable UT5A3 – Forense Móviles - Análisis imagen móvil rooteado

En los sistemas operativos Android, los datos accesibles por el usuario se encuentran en
/data/media/0. Esta sería como la carpeta home del usuario. Son los datos a los que nosotros, como
usuarios del móvil, podemos acceder.

Por otra parte, los datos de las aplicaciones se encuentran en /data/data. Éstos no son accesibles por
el usuario del móvil. Para poder llegar a ellos es necesario rootear el móvil.

En esta práctica usaremos una imagen adquirida de la memoria no volátil de un móvil Android 9
rooteado. La imagen en cuestión la deben descargar de:

https://digitalcorpora.org/corpora/cell-phones/android-9/

En el enlace de arriba se te descarga un archivo comprimido. Lo descomprimen y verán que a parte

de tener la imagen tiene información sobre dicha imagen.

Una vez tengan la imagen la abren en Autopsy como Logical Files. Verán que se ejecutan módulos
de Android, entre otros, así que el procesado completo tardará un rato.

Una vez abierta la imagen deben realizar las siguientes tareas de búsqueda de información propias
de un análisis forense:

1. Escribe en tu informe forense el modelo de móvil que estás analizando.

2. Con el módulo de Android que se ejecuta por defecto al cargar la imagen en Autopsy, veremos a
la izquierda datos referidos a las llamadas, cuentas, etc. dentro de Data Artifact. Busca ahí
información relativa a:

a) sms
b) Contactos
c) Llamadas
d) Historial web

3. Busca, en la estructura de directorios, tanto las imágenes realizadas con la cámara del móvil
como las imágenes descargadas.
a) Escribe la ruta en la cual se guardan tanto las imágenes sacadas con la cámara del móvil
como las imágenes descargadas y saca captura de pantalla de las mismas.

b) Contesta a la siguiente pregunta: ¿Podríamos acceder a estas imágenes si el móvil no

estuviera rooteado? Justifica tu respuesta.

CIFP Villa de Agüimes C/ Alcorac n.º 50, Polígono Residencial de Arinaga, Agüimes CP 35118
Página 1 de 3
Tel: 928599141 www.cifpvilladeaguimes.es cifpvilladeaguimes@gmail.com
 UT5A3 - Forense Móviles -
Análisis imagen móvil rooteado (RA2,
RA5)
Módulo ANZ

4. Busca las imágenes de Whatsapp tanto enviadas como recibidas por el dispositivo:

a) Escribe la ruta donde se encuentran dichas imágenes y saca capturas de pantalla.

b) Contesta a la siguiente pregunta: ¿Podríamos acceder a estas imágenes si el móvil no

estuviera rooteado? Justifica tu respuesta.

5. ¿En qué carpeta se almacenan las .apk de las aplicaciones? Pon la ruta y saca captura de pantalla.

6. Tanto la información de las diversas aplicaciones instaladas en el móvil, como información de

los sms y contactos, la vamos a encontrar en /data/data. En general, dentro de cada carpeta asociada
a una aplicación, tendremos varias subcarpetas. La más importante es Databases, puesto que
almacena las bases de datos de dicha aplicación. En este apartado vamos a navegar por algunas de
dichas carpetas. La tarea consiste en explicar qué contienen las carpetas (en especial la de
databases. Tendrás que navegar por las distintas tablas de la base de datos hasta encontrar
datos) y sacar capturas de pantalla de los ficheros cuyos datos consideres relevantes desde el
punto de vista forense:

a) La carpeta databases en /data/data/com.android.providers.telephony

b) La carpeta databases de /data/data/com.android.providers.contacts

c) El fichero siguiente: /data/data/com.android.chrome/app_chrome/Default/History

7. A continuación aprenderás a visualizar las conversaciones de Whatsapp que están encriptadas.

Sigue los siguientes pasos:

1º) Obtener las conversaciones encriptadas de Whatsapp de la carpeta

/data/media0/Whastapp/Databases. Para obtenerlas botón derecho Extract files.

2º) Obtener el archivo key para poder desencriptar las conversaciones. Se encuentra en la
carpeta /data/data/com.whatsapp/files. Lo extraigo.

3º) Para desencriptar las conversaciones usa el programa Whatsapp Viewer. Busca
información de cómo funciona y desencripta las conversaciones.

CIFP Villa de Agüimes C/ Alcorac n.º 50, Polígono Residencial de Arinaga, Agüimes CP 35118
Página 2 de 3
Tel: 928599141 www.cifpvilladeaguimes.es cifpvilladeaguimes@gmail.com
 UT5A3 - Forense Móviles -
Análisis imagen móvil rooteado (RA2,
RA5)
Módulo ANZ

Instrucciones para enviar la actividad

Deben enviar la actividad en formato pdf con el siguiente nombre:

PrimerApellido_SegundoApellido_Nombre_ANZ_Código.pdf

En lugar de Código, se deberá poner el código de la actividad. En este caso, la UT5A3.

Ejemplo: Henríquez_Rodríguez_Patricia_ANZ_UT5A3.pdf

Usa letra Arial o Times New Roman tamaño 12. Se valorará la presentación de la actividad (orden,
claridad, …).

PUNTUACIÓN

Entrega Nota MÁXIMA

1) El ejercicio se entrega en plazo y resuelto 10

correctamente.

2) Igual que el 1) pero fuera de plazo. 6

Máximo 24 horas

3) No se admiten entregas fuera de plazo cuando 0

se han pasado más de 24 horas de la fecha límite
de entrega.

4) Si no se cumplen las especificaciones de 0

entrega la tarea irá directamente a recuperación.

En la tabla se indican las notas máximas en cada situación.

(*) La nota de suspenso dependerá de varios factores (retraso en la entrega y calidad de la
actividad entregada). En el caso de que no se produzca la entrega es un 0.

CIFP Villa de Agüimes C/ Alcorac n.º 50, Polígono Residencial de Arinaga, Agüimes CP 35118
Página 3 de 3
Tel: 928599141 www.cifpvilladeaguimes.es cifpvilladeaguimes@gmail.com