SlideShare una empresa de Scribd logo

LIOS: a tool for IOS Forensic

N
navajanegra

El documento describe LIOS #FF, una herramienta de análisis forense para dispositivos iOS desarrollada por Lorenzo Martínez. LIOS #FF clasifica archivos de una copia de seguridad de iTunes, selecciona archivos importantes como llamadas, SMS y calendario, y genera un informe con información visual e historiales de actividad. La herramienta es de código abierto y está diseñada para ser escalable y compatible con diferentes versiones de iOS.

Tecnología
1 de 28
Descargar para leer sin conexión
SbD LIOS #FF: a tool for IOS Forensics Lorenzo Martínez R. (@lawwait) © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics [root@localhost ~]# whoami © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Echando la vista atrás... Septiembre 2007 Mayo 2013 © Todos los derechos reservados Septiembre 2013
LIOS #FF: A tool for IOS Forensics [root@localhost ~]# whoami • • • • • • • • • • 13 años experiencia profesional en seguridad Integradores -> Fabricantes -> Empresario && formador CTO && Founder www.securizame.com Perito Informático Forense CISSP, CISA Editor de SecurityByDefault Herramientas: Securewin, amispammer, scalparser Twitter: @lawwait, @securizame, @secbydefault Email: lorenzo@securizame.com Web: www.securizame.com www.securitybydefault.com © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics ¿Por qué analizar IOS? © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics • Dos particiones HFS+ (Hierarchical FileSystem+) – Boot/firmware • Sólo lectura (excepto update y JB) • S.O y apps básicas – Datos de usuario y apps • Árbol de directorios y ficheros (Formato UNIX) • Tipos de ficheros fundamentales – SQLite (Agenda, Calendario, Llamadas, SMS,...) – PList (NextStep y XML) © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Adquisición de datos • Desde un Backup de iTunes – Cifrado / sin cifrar • Directamente desde el dispositivo – Con contraseña de (des)bloqueo – Herramienta: iExplorer • Desde un dispositivo con Jailbreak – SSH + dd - En todos ellos, AIRPLANE MODE o Jaula de Faraday © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Backup de iTunes: ¿Dónde? • Windows 7 -> <carpeta usuario>AppDataRoaming Apple ComputerMobileSyncBackup<UDID> • Windows XP -> <carpeta usuario>Application Data RoamingApple ComputerMobileSyncBackup <UDID> • Mac OS X -> <carpeta usuario>/Library/Application Support/MobileSync/Backup/<UDID> © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Herramientas libres © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Backup de iTunes: Ficheros • Herramientas Necesarias: – – – – – listManifest.py SQLite Database Browser PListEdit Pro Iphone Data Protection BinaryCookieReader.py • Status.plist -> Info del último backup • Info.plist y Manifest.plist -> Info del iDevice: Serial number, versión de IOS e iTunes, datos de sincronización (mail, calendarios, contactos,…), apps instaladas • Manifest.mbdb -> Metadatos de los ficheros del backup • Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb) © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics iPhone Analyzer © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics iPhone Backup Analyzer © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics iExplorer (Unregistered version) © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics iFunBox © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Herramientas comerciales © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Ubicación de ficheros importantes © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros • /private/var/mobile/Media/DCIM – /100Apple -> IMG_* – /999Apple -> Imágenes anteriores • • • • • • • /private/var/mobile/Library/Keyboard/dynamic-text.dat /private/var/Keychains/key-chain-2.db /private/var/mobile/Library/Notes/notes.sqlite /private/var/mobile/Library/SMS/sms.db /private/var/mobile/Library/Mail/ /private/var/mobile/Library/Maps/History.plist /private/var/mobile/Media/Recordings – Recordings.db – *.m4a © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros • • • • /private/var/mobile/Library/VoiceMail/ /private/var/mobile/Library/Cookies/cookies.binarycookies /private/var/mobile/Library/Caches/RecentSearches.plist* /private/var/mobile/Library/AddressBook/ AddressBook.sqlitedb • /private/var/Library/CallHistory/call_history.db • /private/var/Library/Calendar/Calendar.sqlitedb • /private/var/Library/Caches/locationd/consolidated.db © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Basta ya de chapa... © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Lenguaje de scripting: Perl • Inicialmente, herramienta de clasificación de ficheros de un backup • Luego, selección de ficheros ‘Juicy’ • Lios_report – Tratamiento de datos en un periodo de fechas – Llamadas, SMS, Calendario, Notas, Whatsapp, Line, Viber, Notas de voz, Safari – Timeline!!! © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Problemas encontrados – EPOCH vs. CFAbsoluteTime – Cambios en las versiones de IOS – Nombres de tablas inexistentes en diferentes versiones de Apps • Roadmap – Modularidad/Plugins, API – Wechat, Mail, Skype, Spotbros, ficheros Mapsdata, etc... – Compatibilidad con IOS 7 – Integración con otras herramientas – Recuperación de registros borrados © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics No me lo creo... a verlo! © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Conclusiones • Manipulación ficheros en crudo vs. Herramientas “homologadas” • Low cost o home made != Malo • LIOS: – Clasificación de ficheros “por tipo” – Ficheros “jugosos” – Report: • Información visual • Aplicaciones típicas, pero no estándar • Escalabilidad • Timeline © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics Email me: lorenzo@securizame.com Twitter: @lawwait @securizame @secbydefault © Todos los derechos reservados

Recomendados

Presentacion componente ordenador
Presentacion componente ordenadorPresentacion componente ordenador
Presentacion componente ordenadorclaudioFelipe13
 
Navegadores
Navegadores Navegadores
Navegadores'Dianiita Mariisol
 
Componentes de un Computador
Componentes de un Computador Componentes de un Computador
Componentes de un Computador Iván Eduardo Gutiérrez Ladino
 
1100101001001110
11001010010011101100101001001110
1100101001001110navajanegra
 
Charla antifingerprinting
Charla antifingerprintingCharla antifingerprinting
Charla antifingerprintingnavajanegra
 
All your appliances are belong to us
All your appliances are belong to usAll your appliances are belong to us
All your appliances are belong to usnavajanegra
 
Adivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nocheAdivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nochenavajanegra
 
Venezuela2
Venezuela2Venezuela2
Venezuela2TanDesil
 

Recomendados

Presentacion componente ordenador
Presentacion componente ordenadorPresentacion componente ordenador
Presentacion componente ordenadorclaudioFelipe13
 
Navegadores
Navegadores Navegadores
Navegadores'Dianiita Mariisol
 
Componentes de un Computador
Componentes de un Computador Componentes de un Computador
Componentes de un Computador Iván Eduardo Gutiérrez Ladino
 
1100101001001110
11001010010011101100101001001110
1100101001001110navajanegra
 
Charla antifingerprinting
Charla antifingerprintingCharla antifingerprinting
Charla antifingerprintingnavajanegra
 
All your appliances are belong to us
All your appliances are belong to usAll your appliances are belong to us
All your appliances are belong to usnavajanegra
 
Adivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nocheAdivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nochenavajanegra
 
Venezuela2
Venezuela2Venezuela2
Venezuela2TanDesil
 
Seguridad informatica chile
Seguridad informatica chileSeguridad informatica chile
Seguridad informatica chileLorenzo Rodriguez
 
Forensic iOS
Forensic iOSForensic iOS
Forensic iOSGissim
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
 
Forensia en movil
Forensia en movil Forensia en movil
Forensia en movil José Moreno
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 
Peru Hack - Hacking mobile apps with Frida
Peru Hack - Hacking mobile apps with FridaPeru Hack - Hacking mobile apps with Frida
Peru Hack - Hacking mobile apps with FridaPatricio Castagnaro
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]RootedCON
 
Sistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsSistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsJesus Jimenez
 
Trabajo final de ordinario DFSO
Trabajo final de ordinario DFSOTrabajo final de ordinario DFSO
Trabajo final de ordinario DFSOJounaruiz
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
Juan Oliva - Seguridad Preventiva y Reactiva en VoIP
Juan Oliva - Seguridad Preventiva y Reactiva en VoIPJuan Oliva - Seguridad Preventiva y Reactiva en VoIP
Juan Oliva - Seguridad Preventiva y Reactiva en VoIPElastixCom
 
Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)ivan1951
 
S.O..pdf
S.O..pdfS.O..pdf
S.O..pdfDemsshillCoutino
 
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS) Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS) Alejandro Ramos
 
Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Albert Marques
 
TAREA EXTRA
TAREA EXTRA TAREA EXTRA
TAREA EXTRA Julietallanes
 
Ensayo de informática 2
Ensayo de informática 2Ensayo de informática 2
Ensayo de informática 2joseluisgordianmendez
 
Dueño de microsoft
Dueño de microsoftDueño de microsoft
Dueño de microsoft07223383
 
Dueño de microsoftt
Dueño de microsofttDueño de microsoftt
Dueño de microsoftt07223383
 
Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gamenavajanegra
 
Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testingnavajanegra
 

Más contenido relacionado

Similar a LIOS: a tool for IOS Forensic

Forensic iOS
Forensic iOSForensic iOS
Forensic iOSGissim
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Forensia en movil
Forensia en movil Forensia en movil
Forensia en movil José Moreno
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 
Peru Hack - Hacking mobile apps with Frida
Peru Hack - Hacking mobile apps with FridaPeru Hack - Hacking mobile apps with Frida
Peru Hack - Hacking mobile apps with FridaPatricio Castagnaro
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]RootedCON
 
Sistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsSistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsJesus Jimenez
 
Trabajo final de ordinario DFSO
Trabajo final de ordinario DFSOTrabajo final de ordinario DFSO
Trabajo final de ordinario DFSOJounaruiz
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
Juan Oliva - Seguridad Preventiva y Reactiva en VoIP
Juan Oliva - Seguridad Preventiva y Reactiva en VoIPJuan Oliva - Seguridad Preventiva y Reactiva en VoIP
Juan Oliva - Seguridad Preventiva y Reactiva en VoIPElastixCom
 
Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)ivan1951
 
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS) Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS) Alejandro Ramos
 
Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Albert Marques
 
Dueño de microsoft
Dueño de microsoftDueño de microsoft
Dueño de microsoft07223383
 
Dueño de microsoftt
Dueño de microsofttDueño de microsoftt
Dueño de microsoftt07223383
 

Similar a LIOS: a tool for IOS Forensic (20)

Seguridad informatica chile
Seguridad informatica chileSeguridad informatica chile
Seguridad informatica chile
 
Forensic iOS
Forensic iOSForensic iOS
Forensic iOS
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Forensia en movil
Forensia en movil Forensia en movil
Forensia en movil
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
 
Peru Hack - Hacking mobile apps with Frida
Peru Hack - Hacking mobile apps with FridaPeru Hack - Hacking mobile apps with Frida
Peru Hack - Hacking mobile apps with Frida
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
 
Sistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsSistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOs
 
Trabajo final de ordinario DFSO
Trabajo final de ordinario DFSOTrabajo final de ordinario DFSO
Trabajo final de ordinario DFSO
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
 
Juan Oliva - Seguridad Preventiva y Reactiva en VoIP
Juan Oliva - Seguridad Preventiva y Reactiva en VoIPJuan Oliva - Seguridad Preventiva y Reactiva en VoIP
Juan Oliva - Seguridad Preventiva y Reactiva en VoIP
 
Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)
 
S.O..pdf
S.O..pdfS.O..pdf
S.O..pdf
 
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS) Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
 
Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)
 
TAREA EXTRA
TAREA EXTRA TAREA EXTRA
TAREA EXTRA
 
Ensayo de informática 2
Ensayo de informática 2Ensayo de informática 2
Ensayo de informática 2
 
Dueño de microsoft
Dueño de microsoftDueño de microsoft
Dueño de microsoft
 
Dueño de microsoftt
Dueño de microsofttDueño de microsoftt
Dueño de microsoftt
 

Más de navajanegra

Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gamenavajanegra
 
Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testingnavajanegra
 
Cool Boot: It's cool!
Cool Boot: It's cool!Cool Boot: It's cool!
Cool Boot: It's cool!navajanegra
 
El lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep WebEl lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep Webnavajanegra
 
Telephaty: Harness the code
Telephaty: Harness the codeTelephaty: Harness the code
Telephaty: Harness the codenavajanegra
 
Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)navajanegra
 
Economías criptográficas
Economías criptográficasEconomías criptográficas
Economías criptográficasnavajanegra
 
Where is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudWhere is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudnavajanegra
 
Divulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación TecnológicaDivulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación Tecnológicanavajanegra
 
Anteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis TécnicoAnteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis Técniconavajanegra
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5navajanegra
 
¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?navajanegra
 
SDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsSDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsnavajanegra
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsnavajanegra
 
HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!navajanegra
 
Show me your intents
Show me your intentsShow me your intents
Show me your intentsnavajanegra
 
Take a walk on the wild side
Take a walk on the wild sideTake a walk on the wild side
Take a walk on the wild sidenavajanegra
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendnavajanegra
 

Más de navajanegra (20)

Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a game
 
Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testing
 
Offensive MitM
Offensive MitMOffensive MitM
Offensive MitM
 
Cool Boot: It's cool!
Cool Boot: It's cool!Cool Boot: It's cool!
Cool Boot: It's cool!
 
El lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep WebEl lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep Web
 
Telephaty: Harness the code
Telephaty: Harness the codeTelephaty: Harness the code
Telephaty: Harness the code
 
Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)
 
Economías criptográficas
Economías criptográficasEconomías criptográficas
Economías criptográficas
 
Where is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudWhere is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraud
 
Divulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación TecnológicaDivulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación Tecnológica
 
Anteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis TécnicoAnteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis Técnico
 
Zeus-R-Us
Zeus-R-UsZeus-R-Us
Zeus-R-Us
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
 
¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?
 
SDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsSDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communications
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other tools
 
HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!
 
Show me your intents
Show me your intentsShow me your intents
Show me your intents
 
Take a walk on the wild side
Take a walk on the wild sideTake a walk on the wild side
Take a walk on the wild side
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriend
 

Último

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxlosdiosesmanzaneros
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilJuanGallardo438714
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 

Último (15)

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 

LIOS: a tool for IOS Forensic

  • 1. SbD LIOS #FF: a tool for IOS Forensics Lorenzo Martínez R. (@lawwait) © Todos los derechos reservados
  • 2. LIOS #FF: A tool for IOS Forensics [root@localhost ~]# whoami © Todos los derechos reservados
  • 3. LIOS #FF: A tool for IOS Forensics Echando la vista atrás... Septiembre 2007 Mayo 2013 © Todos los derechos reservados Septiembre 2013
  • 4. LIOS #FF: A tool for IOS Forensics [root@localhost ~]# whoami • • • • • • • • • • 13 años experiencia profesional en seguridad Integradores -> Fabricantes -> Empresario && formador CTO && Founder www.securizame.com Perito Informático Forense CISSP, CISA Editor de SecurityByDefault Herramientas: Securewin, amispammer, scalparser Twitter: @lawwait, @securizame, @secbydefault Email: lorenzo@securizame.com Web: www.securizame.com www.securitybydefault.com © Todos los derechos reservados
  • 5. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  • 6. LIOS #FF: A tool for IOS Forensics ¿Por qué analizar IOS? © Todos los derechos reservados
  • 7. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  • 8. LIOS #FF: A tool for IOS Forensics • Dos particiones HFS+ (Hierarchical FileSystem+) – Boot/firmware • Sólo lectura (excepto update y JB) • S.O y apps básicas – Datos de usuario y apps • Árbol de directorios y ficheros (Formato UNIX) • Tipos de ficheros fundamentales – SQLite (Agenda, Calendario, Llamadas, SMS,...) – PList (NextStep y XML) © Todos los derechos reservados
  • 9. LIOS #FF: A tool for IOS Forensics Adquisición de datos • Desde un Backup de iTunes – Cifrado / sin cifrar • Directamente desde el dispositivo – Con contraseña de (des)bloqueo – Herramienta: iExplorer • Desde un dispositivo con Jailbreak – SSH + dd - En todos ellos, AIRPLANE MODE o Jaula de Faraday © Todos los derechos reservados
  • 10. LIOS #FF: A tool for IOS Forensics Backup de iTunes: ¿Dónde? • Windows 7 -> <carpeta usuario>AppDataRoaming Apple ComputerMobileSyncBackup<UDID> • Windows XP -> <carpeta usuario>Application Data RoamingApple ComputerMobileSyncBackup <UDID> • Mac OS X -> <carpeta usuario>/Library/Application Support/MobileSync/Backup/<UDID> © Todos los derechos reservados
  • 11. LIOS #FF: A tool for IOS Forensics Herramientas libres © Todos los derechos reservados
  • 12. LIOS #FF: A tool for IOS Forensics Backup de iTunes: Ficheros • Herramientas Necesarias: – – – – – listManifest.py SQLite Database Browser PListEdit Pro Iphone Data Protection BinaryCookieReader.py • Status.plist -> Info del último backup • Info.plist y Manifest.plist -> Info del iDevice: Serial number, versión de IOS e iTunes, datos de sincronización (mail, calendarios, contactos,…), apps instaladas • Manifest.mbdb -> Metadatos de los ficheros del backup • Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb) © Todos los derechos reservados
  • 13. LIOS #FF: A tool for IOS Forensics iPhone Analyzer © Todos los derechos reservados
  • 14. LIOS #FF: A tool for IOS Forensics iPhone Backup Analyzer © Todos los derechos reservados
  • 15. LIOS #FF: A tool for IOS Forensics iExplorer (Unregistered version) © Todos los derechos reservados
  • 16. LIOS #FF: A tool for IOS Forensics iFunBox © Todos los derechos reservados
  • 17. LIOS #FF: A tool for IOS Forensics Herramientas comerciales © Todos los derechos reservados
  • 18. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  • 19. LIOS #FF: A tool for IOS Forensics Ubicación de ficheros importantes © Todos los derechos reservados
  • 20. LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros • /private/var/mobile/Media/DCIM – /100Apple -> IMG_* – /999Apple -> Imágenes anteriores • • • • • • • /private/var/mobile/Library/Keyboard/dynamic-text.dat /private/var/Keychains/key-chain-2.db /private/var/mobile/Library/Notes/notes.sqlite /private/var/mobile/Library/SMS/sms.db /private/var/mobile/Library/Mail/ /private/var/mobile/Library/Maps/History.plist /private/var/mobile/Media/Recordings – Recordings.db – *.m4a © Todos los derechos reservados
  • 21. LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros • • • • /private/var/mobile/Library/VoiceMail/ /private/var/mobile/Library/Cookies/cookies.binarycookies /private/var/mobile/Library/Caches/RecentSearches.plist* /private/var/mobile/Library/AddressBook/ AddressBook.sqlitedb • /private/var/Library/CallHistory/call_history.db • /private/var/Library/Calendar/Calendar.sqlitedb • /private/var/Library/Caches/locationd/consolidated.db © Todos los derechos reservados
  • 22. LIOS #FF: A tool for IOS Forensics Basta ya de chapa... © Todos los derechos reservados
  • 23. LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Lenguaje de scripting: Perl • Inicialmente, herramienta de clasificación de ficheros de un backup • Luego, selección de ficheros ‘Juicy’ • Lios_report – Tratamiento de datos en un periodo de fechas – Llamadas, SMS, Calendario, Notas, Whatsapp, Line, Viber, Notas de voz, Safari – Timeline!!! © Todos los derechos reservados
  • 24. LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Problemas encontrados – EPOCH vs. CFAbsoluteTime – Cambios en las versiones de IOS – Nombres de tablas inexistentes en diferentes versiones de Apps • Roadmap – Modularidad/Plugins, API – Wechat, Mail, Skype, Spotbros, ficheros Mapsdata, etc... – Compatibilidad con IOS 7 – Integración con otras herramientas – Recuperación de registros borrados © Todos los derechos reservados
  • 25. LIOS #FF: A tool for IOS Forensics No me lo creo... a verlo! © Todos los derechos reservados
  • 26. LIOS #FF: A tool for IOS Forensics Conclusiones • Manipulación ficheros en crudo vs. Herramientas “homologadas” • Low cost o home made != Malo • LIOS: – Clasificación de ficheros “por tipo” – Ficheros “jugosos” – Report: • Información visual • Aplicaciones típicas, pero no estándar • Escalabilidad • Timeline © Todos los derechos reservados
  • 27. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  • 28. LIOS #FF: A tool for IOS Forensics Email me: lorenzo@securizame.com Twitter: @lawwait @securizame @secbydefault © Todos los derechos reservados