SlideShare una empresa de Scribd logo
1 de 21
Descargar para leer sin conexión
Android Forensic
The Hard Work
Por Luiz Vieira
@HackProofing
Androidforensics thehardwork-120515212329-phpapp01
Arquitetura
Android SDK
• Desenvolvimento
• Bibliotecas, APIs, Emulador,
Documentação e etc
• Utilizada durante o processo de
investigação
• Disponível para os 3 principais sistemas
operacionais
Androidforensics thehardwork-120515212329-phpapp01
Android Virtual Device
Identificação do Aparelho
• Quais dados preciso verificar?
• Quais informações analisar?
• Quais características são importantes?
• Quais ferramentas serão necessárias?
• Algum hardware em especial?
Senha de acesso
Tipos de Memórias
• RAM
– Passwords
– Encryption keys
– Usernames
– App data
– Data from system processes and services
• NAND
– File system
Técnicas Forenses
• Identificação
• Mídia Removível (SD Card)
• Aquisição Lógica
• Aquisição Física
• Chip-Off
Imagem Exata
Ferramentas para Aquisição de Imagens
• FTK Imager
• DD
• Atenção:
– SD Card = Fat32 (sdcard.img)
– Outra partições do dispositivo: YASFF2
(cache.img e userdata-qemu.img)
Acesso como ROOT
• Utilização do ADB – Android Debug Bridge
• Permite acesso como root à um shell do
dispositivo
• Permite acesso aos arquivos *.img
Informações de Interesse
/data/data/com.google.android.location/Cache de GeoLocalização
/data/data/com.google.android.providers.gmail/Gmail
/data/data/com.android.providers.browser/Dados do Browser
/data/data/com.android.providers.downloads/Downloads
/data/data/com.android.providers.telephon/SMS
/data/data/com.android.providers.calendar/Calendário
/data/data/com.android.providers.contacts/Contatos
LocalizaçãoDados
Aquisição Lógica
• Acesso como ROOT
• Modo USB ativo
• Corremos o risco de alterar as evidências
http://code.google.com/p/android-forensics/
Aquisição Física
• Live Forensic
• Dump da memória física (RAM)
• Na cadeia de volatilidade, essa deve ser a
primeira ação
• Ferramentas:
– Memfetch faz o dump de espaços
específicos da memória
– DMD módulo que permite o dump de
memória física, incluindo o envio por TCP
DMD
• Instalação e configuração do DMD:
$ adb push dmd-evo.ko /sdcard/dmd.ko
$ adb forward tcp:4444 tcp:4444
$ adb shell
$ su
#
• Aquisição:
– No dispositivo: # insmod dmd path=tcp:4444
– Em um host: $ nc localhost 4444 > ram.dump
• Análise:
– Volatility e seus plugins
Outras Ferramentas
• Data Carving Scalpel
• Extração de Strings Strings
• Análise de Estrutura de Arquivos Hexeditor
• Análise de Base de Dados SQLite
• Timeline de Filesystem FAT32 The Sleuth Kit
Perguntas
Androidforensics thehardwork-120515212329-phpapp01
Contatos
Luiz Vieira
http://hackproofing.blogspot.com
http://www.oys.com.br
luizwt@gmail.com
luiz.vieira@oys.com.br
luiz.vieira@owasp.org

Más contenido relacionado

Similar a Androidforensics thehardwork-120515212329-phpapp01

Análise de aplicativos e sistema Android - 1º Fórum Site Blindado Labs
Análise de aplicativos e sistema Android - 1º Fórum Site Blindado LabsAnálise de aplicativos e sistema Android - 1º Fórum Site Blindado Labs
Análise de aplicativos e sistema Android - 1º Fórum Site Blindado LabsRafael Tosetto Pimentel
 
Palestra Murilo Santana - Ownando sistemas por uma porta USB
Palestra Murilo Santana - Ownando sistemas por uma porta USBPalestra Murilo Santana - Ownando sistemas por uma porta USB
Palestra Murilo Santana - Ownando sistemas por uma porta USBBHack Conference
 
Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfFelipeBarreto98
 
Exame pericial de equipamento Portátil
Exame pericial de equipamento PortátilExame pericial de equipamento Portátil
Exame pericial de equipamento PortátilJefferson Matheus
 
Adoti apresentacao completa
Adoti apresentacao completaAdoti apresentacao completa
Adoti apresentacao completaIgor Serra
 
Aula S.O.R. - Visao Geral.pptx
Aula S.O.R. - Visao Geral.pptxAula S.O.R. - Visao Geral.pptx
Aula S.O.R. - Visao Geral.pptxCidrone
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosThaís Favore
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...BHack Conference
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosSofia Trindade
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Software diagnóstico de computadores
Software diagnóstico de computadoresSoftware diagnóstico de computadores
Software diagnóstico de computadoresGonçalo Amaral
 
Aula 03 plataformas, ambientes e configuracoes
Aula 03   plataformas, ambientes e configuracoesAula 03   plataformas, ambientes e configuracoes
Aula 03 plataformas, ambientes e configuracoesFábio Costa
 
Aula 03 plataformas, ambientes e configuracoes
Aula 03   plataformas, ambientes e configuracoesAula 03   plataformas, ambientes e configuracoes
Aula 03 plataformas, ambientes e configuracoesFábio Costa
 

Similar a Androidforensics thehardwork-120515212329-phpapp01 (20)

Análise de aplicativos e sistema Android - 1º Fórum Site Blindado Labs
Análise de aplicativos e sistema Android - 1º Fórum Site Blindado LabsAnálise de aplicativos e sistema Android - 1º Fórum Site Blindado Labs
Análise de aplicativos e sistema Android - 1º Fórum Site Blindado Labs
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
 
Palestra Murilo Santana - Ownando sistemas por uma porta USB
Palestra Murilo Santana - Ownando sistemas por uma porta USBPalestra Murilo Santana - Ownando sistemas por uma porta USB
Palestra Murilo Santana - Ownando sistemas por uma porta USB
 
Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdf
 
Exame pericial de equipamento Portátil
Exame pericial de equipamento PortátilExame pericial de equipamento Portátil
Exame pericial de equipamento Portátil
 
1ª aula forense computacional
1ª aula  forense computacional1ª aula  forense computacional
1ª aula forense computacional
 
Adoti apresentacao completa
Adoti apresentacao completaAdoti apresentacao completa
Adoti apresentacao completa
 
Aula1 microsoft
Aula1 microsoftAula1 microsoft
Aula1 microsoft
 
Aula S.O.R. - Visao Geral.pptx
Aula S.O.R. - Visao Geral.pptxAula S.O.R. - Visao Geral.pptx
Aula S.O.R. - Visao Geral.pptx
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de Arquivos
 
Apresentação RootKits
Apresentação RootKitsApresentação RootKits
Apresentação RootKits
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de Arquivos
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]
 
Software diagnóstico de computadores
Software diagnóstico de computadoresSoftware diagnóstico de computadores
Software diagnóstico de computadores
 
Aula 03 plataformas, ambientes e configuracoes
Aula 03   plataformas, ambientes e configuracoesAula 03   plataformas, ambientes e configuracoes
Aula 03 plataformas, ambientes e configuracoes
 
Aula 03 plataformas, ambientes e configuracoes
Aula 03   plataformas, ambientes e configuracoesAula 03   plataformas, ambientes e configuracoes
Aula 03 plataformas, ambientes e configuracoes
 

Más de Luciano Silva de Souza

Más de Luciano Silva de Souza (6)

Apresentação tableau
Apresentação tableauApresentação tableau
Apresentação tableau
 
TOTVS Protheus - Procedimentos para configuração rápida da proposta comercial
TOTVS Protheus - Procedimentos para configuração rápida da proposta comercialTOTVS Protheus - Procedimentos para configuração rápida da proposta comercial
TOTVS Protheus - Procedimentos para configuração rápida da proposta comercial
 
Tutorial i pv6-fundamentos
Tutorial i pv6-fundamentosTutorial i pv6-fundamentos
Tutorial i pv6-fundamentos
 
Tutorial dnssec201205
Tutorial dnssec201205Tutorial dnssec201205
Tutorial dnssec201205
 
System center2012licensingdatash brz
System center2012licensingdatash brzSystem center2012licensingdatash brz
System center2012licensingdatash brz
 
Lm 71 64_67_04_tut_openaudit
Lm 71 64_67_04_tut_openauditLm 71 64_67_04_tut_openaudit
Lm 71 64_67_04_tut_openaudit
 

Androidforensics thehardwork-120515212329-phpapp01