Está en la página 1de 38

   

Juan Garrido Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com

    

Introduccin Copia de Seguridad Local Qu hay en una copia local Estructura de ficheros Extraccin de datos

En un anlisis forense tradicional




Sistemas Operativos


Cliente & Servidor

Dispositivos asociados
Impresoras, Fax, etc  Telefona


Aplicaciones de negocio


Correo, mensajera, navegacin local e Internet

Nuevo giro de tuerca con SmartPhones


Entran de lleno en el OS cliente  Generalmente en porttiles (Corporative mode) (Corporative mode)



Conexiones desde el mvil (AP Mode) Mode)

Muy chulo. Pero.. (Siempre hay un pero..)


No tenemos el mvil  Tenemos el mvil pero no est Jailbreakeado Jailbreakeado  Tenemos el mvil (Restaurado a valores de fbrica)  ??


Al conectar el dispositivo sucede




Itunes sincroniza el dispositivo


Es una copia de seguridad  Se puede analizar directamente desde el backup


Rutas Locales


MAC OSX:/Users/username/Library/Application OSX:/Users/username/Library/Application Support/MobileSync/Backup/ Support/MobileSync/Backup/deviceid Windows XP:C:\Documents and Settings\username\Application XP:C: Settings\username\ Files\MobileSync\Backup\ Files\MobileSync\Backup\deviceid Windows 7:C:\Users\username\AppData\Roaming\Apple 7:C Users\username\AppData\Roaming\ Computer\MobileSync\Backup\ Computer\MobileSync\Backup\deviceid

  

Ficheros sin extensin aparente Nomenclatura basada en SHA1 Se pueden analizar las cabeceras
Windows: head(GNU) & Findstr  Linux: head & Grep, file


Itunes sincroniza las APPS del dispositivo


En algunos casos son ficheros en texto plano  Si ningn tipo de cifrado  Se utiliza para restauracin del dispositivo  Los ficheros se actualizan cada vez que el dispositivo se conecta


 

Generalmente son de pago No destinadas al mbito forense




Gratuitas descontinuadas (Iphone Backup Analyzer) (Iphone Analyzer)

 

Slo extraen la informacin Tools




IphoneBackupExtractor (Comercial)

   

Identificacin de cada evidencia Tratamiento de forma unitaria Separacin de ficheros Anlisis

Fotos eliminadas?


Siempre quedarn los ficheros Thumbs ;-) Thumbs ;C7813fa37817a9fb69dfd64993ca2cf91171ae9d  D29f4fbba1c2a95d92b05d53c1b9c967df6e02d5




Las passwords se encuentran cifradas y en contenedores de claves imposibles de crackear crackear




Iphone recuerda tu gramtica




Diccionarios con palabras ms usadas

Variada informacin sobre el dispositivo


Nmero de serie del dispositivo  IMEI  Nmero de TLF  Versin del Producto  Tipo de Producto (3G, 16GB, etc..)  Datos del ltimo Backup


3 Ficheros Standard
Info.plist  Manifest.plist  Status.plist


 

Variedad de XML Interesante desde el punto de vista de la informacin Puede situar un telfono en un equipo


El Eso no es mo no vale!!

En algunos casos se utilizan ficheros binarios




Es posible parsear la informacin y convertirla a PLIST

Safari Search 1d6740792a2b845f4c1e6220c43906d7f0afe8ab

Muchas funciones de Iphone & Ipad


Se basan en lectura/escritura en BBDD  Esas BBDD se encuentran en texto plano  Codificadas en su mayora en UTF-8 UTF

SMS


3d0d7e5fb2ce288813306e4d4636395e047a3d28 2b2b0084a1bc3a5ac8c27afdf14afb42c61a19ca

Histrico de llamadas


Libreta de direcciones
31bb7ba8914766d4ba40d6dfb6113c8b614be442  cd6702cea29fe89cf280a76794405adb17f9a0ee


Llamadas de Voz


992df473bbb9e132f4b3b6e4d33f72171e97bc7a

WIWI-FI Locations


4096c9ec676f2847dc283405900e284a7c815836

Y muuuuuchas ms

BBDD Collations.db
Se puede parsear con muchas herramientas  Pintan en un mapa las coordenadas por donde ha pasado tu dispositivo  Existentes en


Iphone  Ipad  Android  Windows Phone 7




OTIA.. Un andal hablando en pblico Seguro que no se ha enterao nadie HA HA HA HA

http://Windowstips.wordpress.com

Suscripcin gratuita en technews@informatica64.com

http://elladodelmal.blogspot.com http://elladodelmal.blogspot.com

http://legalidadinformatica.blogspot.com

También podría gustarte