O documento discute as técnicas forenses para investigação de dispositivos Android, incluindo a identificação do dispositivo, aquisição de imagens lógicas e físicas, e ferramentas para análise de dados como SMS, contatos e localização. Ele também aborda o uso do ADB para acesso root e dump de memória física com ferramentas como o DMD.
4. Android SDK
• Desenvolvimento
• Bibliotecas, APIs, Emulador,
Documentação e etc
• Utilizada durante o processo de
investigação
• Disponível para os 3 principais sistemas
operacionais
7. Identificação do Aparelho
• Quais dados preciso verificar?
• Quais informações analisar?
• Quais características são importantes?
• Quais ferramentas serão necessárias?
• Algum hardware em especial?
12. Ferramentas para Aquisição de Imagens
• FTK Imager
• DD
• Atenção:
– SD Card = Fat32 (sdcard.img)
– Outra partições do dispositivo: YASFF2
(cache.img e userdata-qemu.img)
13. Acesso como ROOT
• Utilização do ADB – Android Debug Bridge
• Permite acesso como root à um shell do
dispositivo
• Permite acesso aos arquivos *.img
14. Informações de Interesse
/data/data/com.google.android.location/Cache de GeoLocalização
/data/data/com.google.android.providers.gmail/Gmail
/data/data/com.android.providers.browser/Dados do Browser
/data/data/com.android.providers.downloads/Downloads
/data/data/com.android.providers.telephon/SMS
/data/data/com.android.providers.calendar/Calendário
/data/data/com.android.providers.contacts/Contatos
LocalizaçãoDados
15. Aquisição Lógica
• Acesso como ROOT
• Modo USB ativo
• Corremos o risco de alterar as evidências
http://code.google.com/p/android-forensics/
16. Aquisição Física
• Live Forensic
• Dump da memória física (RAM)
• Na cadeia de volatilidade, essa deve ser a
primeira ação
• Ferramentas:
– Memfetch faz o dump de espaços
específicos da memória
– DMD módulo que permite o dump de
memória física, incluindo o envio por TCP
17. DMD
• Instalação e configuração do DMD:
$ adb push dmd-evo.ko /sdcard/dmd.ko
$ adb forward tcp:4444 tcp:4444
$ adb shell
$ su
#
• Aquisição:
– No dispositivo: # insmod dmd path=tcp:4444
– Em um host: $ nc localhost 4444 > ram.dump
• Análise:
– Volatility e seus plugins
18. Outras Ferramentas
• Data Carving Scalpel
• Extração de Strings Strings
• Análise de Estrutura de Arquivos Hexeditor
• Análise de Base de Dados SQLite
• Timeline de Filesystem FAT32 The Sleuth Kit