8 abr 2013

Herramientas forense para ser un buen CSI. Parte XIX: Clonación en Android I de III

Buenas a todos, hoy volvemos para hablar sobre herramientas forense. En los pasados artículos hablamos sobre clonación de discos duros. Hoy volveremos a hablar de clonaciones, pero en este caso nos centraremos en dispositivos móviles, en concreto en Android.

Al igual que en la clonación de discos duros disponemos de dos alternativas, la clonación mediante dispositivos hardware y la clonación mediante software.

Como alternativas para realizar la adquisición de evidencias mediante hardware tenemos los dispositivos de la empresa Cellebrite. Muy recomendables, aunque tienen un precio bastante alto (por encima de los $4000), que sin duda rentabilizaremos si realizamos muchas labores periciales. Tenemos varios modelos disponibles, uno de los que tienen mejor pinta es el UFED Touch Ultimate, con pantalla táctil, y que podéis ver en las imágenes siguientes:

Por otro lado, podremos recurrir a alternativas más económicas para realizar la adquisición de evidencias, aunque son más tediosas. Una de las más utilizadas es el uso de ADB (Android Debug Bridge) y el comando dd. A continuación os listaré los pasos necesarios, a grandes rasgos, que hay que realizar para adquirir la evidencia:

  1. Instalar el SDK de Android en un PC
  2. Conectar el móvil al PC mediante ADB
  3. Rootear (al menos temporalmente) el móvil con Android
  4. Clonar mediante dd las particiones del móvil

A lo largo de éste artículo y de los siguientes, desgranaremos este proceso.En primer lugar y como indicábamos debemos hacernos con el SDK de Android. Nosotros lo instalaremos en un Windows 7 x64. Para ello lo descargaremos del sitio web oficial:

A continuación extraremos el SDK en el equipo:

Una vez descomprimido deberemos definir el path en las variables de entorno para poder hacer uso del comando adb desde cualquier ruta:

Una vez definidas las variables de entorno ejecutaremos el SDK Manager:

Ahora seleccionaremos los paquetes necesarios en función de la versión de Android de los terminales que tengamos que analizar:

Ahora solo nos falta activar el modo depurador en el móvil y conectarlo al PC por un cable USB:

Si todo ha ido correctamente, ahora podremos utilizar el comando "ADB shell" para conectarnos al terminal móvil, y navegar por su interior (por ejemplo para visualizar los backups de las bases de datos de WhatsApp en la sdcard. Ya veremos en próximos posts como acceder a las bbdd de WhatsApp directamente rooteando el terminal):

Eso es todo por hoy, en los próximos artículos veremos como clonar las particiones de nuestro terminal, y como podremos analizarlas.

Saludos!

en
Etiquetas: , , ,

3 comentarios:

  1. Francisco Javier8 de abril de 2013, 13:45

    Me viene de lujo el post, gracias Juan.

    ResponderEliminar
  2. Informe Flu – 11914 de abril de 2013, 2:02

    [...] Arrancamos la semana hablando de Forense en Android con el artículo Herramientas forense para ser un buen CSI. Parte XIX: Clonación en Android I de III [...]

    ResponderEliminar
  3. Herramientas forense para ser un buen CSI. Parte XX: Clonación en Android II de III15 de abril de 2013, 2:01

    [...] a todos, continuando donde terminamos el pasado lunes, ya hemos instalado el SDK de Android en nuestro PC y nos hemos conectado a través de ADB a [...]

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)