Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Análisis Forense de otros móviles

1,575 views

Published on

Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.

  • Be the first to comment

Análisis Forense de otros móviles

  1. 1. Análisis Forense Dispositivos <br />Windows Mobile<br /><ul><li>Juan Garrido & Juan Luis García Rambla
  2. 2. Consultores de Seguridad I64
  3. 3. http://windowstips.wordpress.com
  4. 4. http://www.informatica64.com</li></li></ul><li>Agenda<br />Introducción<br />Tecnología Windows Mobile<br />Estructura Física y Lógica<br />Adquisición de imágenes<br />Live Forensics<br />
  5. 5. INTRODUCCIÓN<br />
  6. 6. El auge de los sistemas de movilidad y usointensivo de los mismospropician el usofraudulento o criminal con los mismos.<br />Las empresasempiezan a tener en consideración el control de dispositivosporriesgos de usosmaliciosos o fuga de información.<br />El forense de dispositivosmóvilessiguelasmismasdirectrices y métodosque los forensesconvencionales:<br />Buenasprácticas.<br />Preservación de la información.<br />Analisisbasados en métodos.<br />Herramientasforenses.<br />Introducción<br />
  7. 7. Arquitecturadiferente.<br />Diversidad en los modelos y tecnologías.<br />Diseño de aplicacionesespecificadosparatecnología e inclusodeterminadostipos de terminales.<br />Software de análisisforense y hardware específico.<br />La mayoría de software forensees de pago.<br />Diferencias con el forense digital tradicional<br />
  8. 8. SIM.<br />Memoriainterna.<br />Memoriasinternassecundarias.<br />Unidades Flash.<br />Discos SD.<br />¿Quéanalizar?<br />
  9. 9. Esposibleaunarambastecnologías.<br />La generación de imágenes de memoriainterna se puederealizar con herramientasespecíficasparamóviles.<br />Herramientas con EnCase o FTK permitenanalizar a posteriori la informaciónrecogida en lasimágenescapturadas.<br />Forensetradicional + Forense de móviles<br />
  10. 10. Tecnología Windows Mobile<br />
  11. 11. Aunsiendomodelos y diseñosmuydiferentesmantienen la arquitecturaincluso entre versiones.<br />El componente principal en un casoforensees la memoriainterna.<br />La estructura de la memoriainternaesmantenidadesdelasversiones Pocket PC 2003.<br />Los distintosmodelospuedencontar con más o menosmemoria o diferentesunidadesinternas.<br />Tecnología<br />
  12. 12. Adicionalmente al PIN de la SIM algunosterminalespuedentenercódigo de Bloqueo.<br />Bloquear no cifra, solo bloquea el acceso a datosdesde el terminal.<br />La unidadpuedeserextraída y analizada en otrodispositivo o terminal hardware de análisis.<br />El desbloqueo del mismo solo puedeserllevadopormetodología Hardware o "puertastraserasespecíficas de dispositivos".<br />El Hard Reset Hardware anularíadichomecanismo.<br />Bloqueo del teléfono<br />
  13. 13. Al igualque la tecnologíaconvencionaldebemosdistinguir entre eliminaciónlógica de ficheros o contenido o formateo o recuperación de valores de fábrica del dispositivo.<br />La recuperación de ficheroseliminadospuedeserrealizada con herramientasforensecomo OXY-Forensics o Paraben´s Device Seizure.<br />EmpresascomoDiskLabspermiten la recuperación de datoseliminadosaúninclusorealizadomediante un Hard Reset.<br /> www.disklabs.com<br />Recuperación de datoseliminados<br />
  14. 14. Estructura física y lógica<br />
  15. 15. Los sistemas de Windows Mobile cuentahabitualmente con dos estructuras.<br />Física.<br />Lógica.<br />Los discos aunquepuedensermodificadoscontienen en combinación de fábrica 4 particiones.<br />Estructura de discos.<br />
  16. 16. EstructuraFísica<br />
  17. 17. Estructuralógica I<br />
  18. 18. Estructuralógica II<br />
  19. 19. Part 00: Contieneunaactualización del Kernellpara los procesos de actualización del SistemaOperativo.<br />Part 01: Contiene el KernellPrimario.<br />Part 02: Contiene la imagen ROM comprimida en formato LZX.<br />Part 03 u otro Disco contiene la información de ficheros, Carpetas y otrosdatosinteresantesparaunainvestigación.<br />Particiones de un disco<br />
  20. 20. Particiones Windows Mobile<br />
  21. 21. Adquisición de imágenes<br />
  22. 22. Clonado de disco<br />Se puede especificar a través del Objeto que crea Windows<br />
  23. 23. Puede ser utilizado mediante aplicaciones específicas de forense.<br />Herramientas XACT Forensics LTD<br />Conjunto de utilidades OXY.<br />Paraben Device Seizure.<br />Mobiledit Forense de Compelson.<br />Conjunto de aplicaciones no forense que permiten trabajar con dispositivos.<br />ITSUtilsBin.<br />TULP2G (en desarrollo el módulo de obtención de imágenes de disco).<br />Copiado binario de la memoria interna<br />
  24. 24. Clonado a través de ITUTILS<br />Hay pasarle los datos en HEX<br />Se hace por problemas de compatibilidad<br />Especificarle el Disco y la partición a copiar<br />Offset de Inicio + Offset final<br />Copia al vuelo<br />Problema con ficheros abiertos<br />
  25. 25. Clonado a través de ITUTILS<br />
  26. 26. Y si….<br />Tenemosqueacatar la ley<br />Sentarjurisprudencia<br />Que la prueba sea admisible<br />Que se pueda “Hashear” (Evidenciafiable)<br />Se puedaanalizar a posteriori<br />
  27. 27. No tengodinero!<br />
  28. 28. Clonado de SmartPhones<br />Se puederealizar en la mayoría<br />Iphone & Android<br />Hardware… Of Course<br />SSH<br />USB<br />Windows Mobile<br />Hardware… Of Course<br />SD Card<br />
  29. 29. Clonado Windows Mobile<br />
  30. 30. Live Forensics<br />
  31. 31. Tareas comunes<br />Listar directorios<br />PDIR <br />Modo Verbose<br />Recursividad<br />Procesos en ejecución<br />PPS<br />Hilos en ejecución<br />Ficheros abiertos<br />PHANDLE<br />
  32. 32. Tareas comunes<br />Copiar archivos específicos<br />PGET<br />No copia archivos en uso (API!!)<br />Examinar y copiar el registro<br />PREGUTL<br />
  33. 33. http://Windowstips.wordpress.com<br />
  34. 34. TechNews de Informática 64<br />Suscripción gratuita en technews@informatica64.com<br />
  35. 35. http://elladodelmal.blogspot.com<br />
  36. 36. http://legalidadinformatica.blogspot.com<br />

×