Análisis Forense de otros móviles

Análisis Forense Dispositivos
Windows Mobile
Juan Garrido & Juan Luis García Rambla
Consultores de Seguridad I64
http://windowstips.wordpress.com
http://www.informatica64.com

Agenda
Introducción
Tecnología Windows Mobile
Estructura Física y Lógica
Adquisición de imágenes
Live Forensics

INTRODUCCIÓN

El auge de los sistemas de movilidad y usointensivo de los mismospropician el usofraudulento o criminal con los mismos.
Las empresasempiezan a tener en consideración el control de dispositivosporriesgos de usosmaliciosos o fuga de información.
El forense de dispositivosmóvilessiguelasmismasdirectrices y métodosque los forensesconvencionales:
Buenasprácticas.
Preservación de la información.
Analisisbasados en métodos.
Herramientasforenses.
Introducción

Arquitecturadiferente.
Diversidad en los modelos y tecnologías.
Diseño de aplicacionesespecificadosparatecnología e inclusodeterminadostipos de terminales.
Software de análisisforense y hardware específico.
La mayoría de software forensees de pago.
Diferencias con el forense digital tradicional

SIM.
Memoriainterna.
Memoriasinternassecundarias.
Unidades Flash.
Discos SD.
¿Quéanalizar?

Esposibleaunarambastecnologías.
La generación de imágenes de memoriainterna se puederealizar con herramientasespecíficasparamóviles.
Herramientas con EnCase o FTK permitenanalizar a posteriori la informaciónrecogida en lasimágenescapturadas.
Forensetradicional + Forense de móviles

Tecnología Windows Mobile

Aunsiendomodelos y diseñosmuydiferentesmantienen la arquitecturaincluso entre versiones.
El componente principal en un casoforensees la memoriainterna.
La estructura de la memoriainternaesmantenidadesdelasversiones Pocket PC 2003.
Los distintosmodelospuedencontar con más o menosmemoria o diferentesunidadesinternas.
Tecnología

Adicionalmente al PIN de la SIM algunosterminalespuedentenercódigo de Bloqueo.
Bloquear no cifra, solo bloquea el acceso a datosdesde el terminal.
La unidadpuedeserextraída y analizada en otrodispositivo o terminal hardware de análisis.
El desbloqueo del mismo solo puedeserllevadopormetodología Hardware o "puertastraserasespecíficas de dispositivos".
El Hard Reset Hardware anularíadichomecanismo.
Bloqueo del teléfono

Al igualque la tecnologíaconvencionaldebemosdistinguir entre eliminaciónlógica de ficheros o contenido o formateo o recuperación de valores de fábrica del dispositivo.
La recuperación de ficheroseliminadospuedeserrealizada con herramientasforensecomo OXY-Forensics o Paraben´s Device Seizure.
EmpresascomoDiskLabspermiten la recuperación de datoseliminadosaúninclusorealizadomediante un Hard Reset.
www.disklabs.com
Recuperación de datoseliminados

Estructura física y lógica

Los sistemas de Windows Mobile cuentahabitualmente con dos estructuras.
Física.
Lógica.
Los discos aunquepuedensermodificadoscontienen en combinación de fábrica 4 particiones.
Estructura de discos.

EstructuraFísica

Estructuralógica I

Estructuralógica II

Part 00: Contieneunaactualización del Kernellpara los procesos de actualización del SistemaOperativo.
Part 01: Contiene el KernellPrimario.
Part 02: Contiene la imagen ROM comprimida en formato LZX.
Part 03 u otro Disco contiene la información de ficheros, Carpetas y otrosdatosinteresantesparaunainvestigación.
Particiones de un disco

Particiones Windows Mobile

Adquisición de imágenes

Clonado de disco
Se puede especificar a través del Objeto que crea Windows

Puede ser utilizado mediante aplicaciones específicas de forense.
Herramientas XACT Forensics LTD
Conjunto de utilidades OXY.
Paraben Device Seizure.
Mobiledit Forense de Compelson.
Conjunto de aplicaciones no forense que permiten trabajar con dispositivos.
ITSUtilsBin.
TULP2G (en desarrollo el módulo de obtención de imágenes de disco).
Copiado binario de la memoria interna

Clonado a través de ITUTILS
Hay pasarle los datos en HEX
Se hace por problemas de compatibilidad
Especificarle el Disco y la partición a copiar
Offset de Inicio + Offset final
Copia al vuelo
Problema con ficheros abiertos

Clonado a través de ITUTILS

Y si….
Tenemosqueacatar la ley
Sentarjurisprudencia
Que la prueba sea admisible
Que se pueda “Hashear” (Evidenciafiable)
Se puedaanalizar a posteriori

No tengodinero!

Clonado de SmartPhones
Se puederealizar en la mayoría
Iphone & Android
Hardware… Of Course
SSH
USB
Windows Mobile
Hardware… Of Course
SD Card

Clonado Windows Mobile

Live Forensics

Tareas comunes
Listar directorios
PDIR
Modo Verbose
Recursividad
Procesos en ejecución
PPS
Hilos en ejecución
Ficheros abiertos
PHANDLE

Tareas comunes
Copiar archivos específicos
PGET
No copia archivos en uso (API!!)
Examinar y copiar el registro
PREGUTL

http://Windowstips.wordpress.com

TechNews de Informática 64
Suscripción gratuita en technews@informatica64.com

http://elladodelmal.blogspot.com

http://legalidadinformatica.blogspot.com

Análisis Forense de otros móviles

by Eventos Creativos on Jul 08, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Análisis Forense de otros móviles — Presentation Transcript