Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Análisis forense a dispositivos móviles - MOTOROLA (I)

  • 4 Respuestas
  • 7437 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5487
  • Actividad:
    26.67%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« en: Febrero 23, 2010, 12:41:43 pm »
Hoy vamos a ver como realizar un análisis forense a un dispositivo móvil.

Este POST se compondrá a su vez de diferentes artículos de análisis forense a los siguientes dispositivos:


Forensics a Motorola ( Tres partes. Hoy la primera)


  • Forensics a una tarjeta SIM
  • Forensics a un Windows mobile
  • Forensics a un PALM

El realizar este post es porque apenas hay documentación al respecto y creo interesante para la comunidad aprender sobre estos temas.

Ademas, el otro día salio una noticia en un diario Español que decia que la Guardia Civil de Ceuta está investigando el empleo de teléfonos móviles para el desembarco de inmigrantes en las costas de la ciudad procedentes de Marruecos, tras haber localizado dos teléfonos en una patera en la que viajaban ilegalmente siete inmigrantes, según informaron fuentes policiales.

La investigación trata de determinar la posible conexión entre los tripulantes de la patera y las personas que presuntamente aguardaban su llegada en la orilla.

Los funcionarios del instituto armado han comprobado que desde los teléfonos móviles de la patera se hicieron varias llamadas, presumiblemente para conocer la presencia de agentes en las inmediaciones de la costa.

Hasta aquí la noticia.

Como se puede apreciar, el uso de móviles se empieza a convertir en una 'comodity'. En la vida de las personas, es más fácil dejarte la cartera o las llaves, que el móvil, yo añadiría que realmente casi todos disponemos de uno (y casi de dos) dado que ademas de ser de gran utilidad (realmente es un ordenador muy potente y de reducido tamaño).

Por otro lado, la gran versatibilidad en las comunicaciones, agendas, organizadores, aplicaciones hacen de el un punto vulnerable para la fuga de información y aquí es donde entra el contenido de este post.

Introducción a los dispositivos moviles.

En el mercado yo diría que dominan diversos dispostivos que practicamente llevan los siguientes sistemas operativos:


Symbian es un sistema operativo que fue producto de la alianza de varias empresas de telefonía móvil. El objetivo de Symbian fue crear un sistema operativo para terminales móviles que pudiera competir con el de Palm o el Windows Mobile de Microsoft.

Palm OS es un sistema operativo hecho por PalmSource para PDAs

Windows Mobile es un sistema operativo basados en la API Win32 de Microsoft. Los dispositivos que llevan Windows Mobile son Pocket PC, Smartphones y Media Center. Ha sido diseñado para ser similar a las versiones de escritorio de windows e integrables con las redes y servidores Windows 2003 y 2008

Aunque hay más, quizas sean estos los más usuales.

Desde estas líneas quiero que veamos como obtener algo más que unas simple llamadas de un terminal mó vil.

Lo primero es seguir las buenas prácticas de un analista forense:


  • Preservar -Documentar
  • Adquirir-Investigar
  • Informar


PRESERVAR

A diferencia de las copias bit a bit que se realizan sobre los discos duros, los móviles sufren constantemente cambios en su sistema de datos y ficheros, y realizar una copia integra se presenta como una opción prácticamente imposible de realizar desde el punto de vista de la preservación de la información. Aparte de esto generalmente viene protegido por mecanismos propios del fabricante.


Aquí las soluciones que se presentan en el mercado son muy caras económicamente, pero con muy buena aceptación en el ámbito forense. Herramientas de este estilo las tenemos en la empresa CeLLEBRITE con su KIT UFED.



kit. UFED orientado para fuerzas del estado e investigadores


NOTA: Si no disponemos de $ y Euros para comprar estos elementos, entonces este es tu post!!

ANALISIS FORENSE A UN MOTOROLA (I)



Tengo en mis manos un MOTOROLA RZOR y lo que me interesa obtener de este móvil es lo siguiente:


  • Mensajes
  • Agendas
  • LLamadas entrantes y salientes
  • Contraseñas, Pin
  • Sitios web visitados
  • Correos
  • Chats

Para el análisis del MOTOROLA vamos a utilizar diversas herramientas, pero quizas la mejor para poder preservar, es la ya famosa FLASH & BACKUP, que como su nombre indica permite realizar copias de las zonas de memoria que dispone y como no del dispositivo entero.

Las regiones (zonas de memoria) que se ven en la pantalla anterior se componen de:


  • CG1 – Contiene el sistema operativo. No es relevante para una investigación. Puede servir para restaurar el telefono
  • CG2 – Contiene aplicaciones y datos. Importante para la investigación
  • CG3 – Contiene la firma digital del firmware. Esta parte procesa el audio en tiempo real.
  • CG4 – Contiene el pack de idiomas y fuentes
  • CG15 – Contiene imagenes e iconos (indicador de bateria, señal, etc)
  • CG18 – Firma digital del telefono


En este ejemplo, lo ideal es seleccionar solo el CG2.
 


ANALIZANDO LA MEMORIA


En este paso no hace falta haber introducido el PIN en el móvil. Tan solo encenderlo
Como explicarlo con pantallas es complejo, he decidido poner el siguiente video y que realiza las siguientes acciones:

  • Primero se realiza la copia.
  • Flash & Backup genera un fichero con el contenio de CG2
  • Una vez obtenido se utiliza el comando strings y se vuelca el texto a otro fichero CG2.txt
  • Una vez extraido se procede a revisar el contenido buscando palabras, mensajes,
contraseñas, y sitios web.



Nota: Como tiene poca calidad el video, y si alguien esta interesado me mandais un correo que os indico como descargarlo en maxima calidad.

Como habréis visto en el vídeo aparecen palabras y sitios web aparentemente relacionado con pornografía, ademas de obtener información importante sobre contraseñas y PINs.

El siguiente POST obtendremos las llamadas entrantes, salientes y agendas.

Análisis forense - MOTOROLA (II)
Analisis Forense - Motorola (III)
« Última modificación: Noviembre 04, 2014, 10:17:25 am por ANTRAX »


Desconectado baron.power

  • *
  • Underc0der
  • Mensajes: 290
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Febrero 03, 2013, 04:11:44 pm »
genial tutorial. saludos

Desconectado Usuario5

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Marzo 17, 2017, 12:36:01 pm »
Puede subir el video? please!!!

Desconectado DUDA

  • *
  • Underc0der
  • Mensajes: 334
  • Actividad:
    0%
  • Reputación 1
  • Hago pocas cosas, pero las hago bien.
    • Ver Perfil
« Respuesta #3 en: Marzo 17, 2017, 12:45:58 pm »
Puede subir el video? please!!!

El post es del 2010, no creo que lo tenga.

Desconectado Usuario5

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Marzo 17, 2017, 06:05:55 pm »
Lo dudo si, me a venido muy bien el tutorial  e podido sacar fotos y videos , pero llevo horas  mirando que hacer con el archivo .seem  para sacar el pin y no tengo ni idea
« Última modificación: Marzo 17, 2017, 06:24:29 pm por Usuario5 »

 

¿Te gustó el post? COMPARTILO!



Metadatos de imagenes: Extraccion, Analisis y Geolocalizacion

Iniciado por B1g4rd4

Respuestas: 6
Vistas: 9309
Último mensaje Diciembre 09, 2014, 05:58:33 pm
por smileyface
Analisis de Metadatos con FOCA

Iniciado por Sanko

Respuestas: 4
Vistas: 6576
Último mensaje Diciembre 17, 2018, 11:35:35 am
por elcanijo
Curso de Informática Forense - Descuento para lectores de Segu.Info

Iniciado por Gold Master

Respuestas: 0
Vistas: 3030
Último mensaje Abril 07, 2019, 09:58:31 pm
por Gold Master
[Informatica Forense] Indice de Temas Importantes

Iniciado por Snifer

Respuestas: 0
Vistas: 9551
Último mensaje Diciembre 07, 2012, 10:58:53 am
por Snifer
Introducción a la informática forense en entornos Windows

Iniciado por ANTRAX

Respuestas: 4
Vistas: 6817
Último mensaje Diciembre 30, 2015, 11:59:03 am
por Byakko