8 jul 2013

Herramientas forense para ser un buen CSI. Parte XXIX: Análisis Forensede navegadores GPS Tomtom (II de IV)

Buenas a todos, en el post de hoy continuaremos el análisis forense a un dispositivo Tomtom partiendo en el lugar donde lo dejamos la pasada semana.Tras pasar unos 45-50 minutos ya tendremos una imagen con una copia perfecta del disco del Tomtom. El siguiente paso será abrirlo con una herramienta que sepa interpretar el formato dd.
Para esta labor a mi personalmente me gusta utilizar el software FTK Imager, que permite analizar un dd de manera gráfica y con previsualización de archivos. Su uso es muy sencillo, nada más abrirlo, seleccionaremos un nuevo origen, en nuestro caso un archivo de imagen:
A continuación, seleccionaremos la imagen dd:
Y pulsamos en finalizar. En unos pocos segundos tendremos cargado en la herramienta el sistema de carpetas del navegador GPS:
Si desplegamos la partición 1 (y única), veremos todas las carpetas y archivos que contenía el navegador:
Navegando por la raíz, podremos jugar un poco y encontrar las imágenes que aparecen durante el inicio y apagado del navegador, cuando le queda poca batería, etc. Por ejemplo, a continuación os muestro la imagen "Anti ladrones" que aparece en este Tomtom al apagarse :)
Para trabajar más cómodo exportaré los archivos a mi escritorio, de esta manera puedo realizar búsquedas por extensión mas cómodamente:
A continuación os dejo una tabla donde se encuentran los archivos más interesantes que nos encontraremos en un Tomtom:
FileDescription
TTGO.BIFContains  information concerning the device, including: model, serial number, language,   current map, current base map, voice.
CURRENTLOCATION.DATContains the latest position of the device
CURRENTMAP.DATContains the current map
GPRSETTINGS.DATContains the GPRS configuration (if present)
SETTINGS.DATContains the name and MAC Address of any telephone connected, wireless settings,   provider data, and user telephone data, if entered (GO models only)
GPRS.CONFContains GPRS PIN number (if entered) (GO models only)
MAPSETTINGS.CFGFiles with a “CFG” extension, such as “mapsettings.cfg” or “name_map.cfg” are all   contained in the folders of the relevant maps and contain all the information   on “Favourites”, itineraries, addresses , and points of interest stored.
\CONTACTS\ CALLED.TXTContains telephone numbers called from the telephone connected to the TomTom (GO   models only)
\CONTACTS\ CALLERS.TXTContains telephone numbers that have called the telephone connected to the TomTom (GO models only)
\CONTACTS\ CONTACTS.TXTContains the contact list of the telephone connected to the TomTom (GO models only)
\CONTACTS\ INBOX.TXTContains text messages received from the telephone connected to the TomTom (GO models only)
\CONTACTS\ OUTBOX.TXTContains text messages sent from the telephone connected to the TomTom (GO models   only)
NOMEFILE.ITIContains stored itineraries
TEMPORARY.ITIContains itineraries not stored with a filename
Los primeros archivos que intentaremos localizar hoy son "ttgo.bif" o "ttnavigator.bif". Dependiendo del tipo de Tomtom nos encontraremos con unos o con otros. En estos archivos de configuración encontraremos entre otra información:
  • Versión del firmware
  • Nº de serie
  • ID Único del dispositivo
  • Idioma
  • Nombre de usuario y contraseña
  • Voz utilizada durante la navegación
  • Mapas cargados
  • Versiones de los mapas
  • Coordenadas de la situación del lugar marcado como casa por el dueño del navegador
  • Dirección postal de la situación marcada como casa por el dueño del navegador
A continuación os muestro una captura del fichero ttgo.bif del Tomtom analizado:
Como podéis ver, aunque se trata de un Tomtom V3 (como dijimos la semana anterior), tiene instalada la versión V6. Por lo que podemos intuir que el dispositivo ha sido manipulado en algún momento. Aunque esto era fácil de averiguar tras ver los archivos "extraños" almacenados en el dispositivo, las voces de Loquendo, etc. :)
Eso es todo por hoy, nos vemos en el siguiente post de la cadena.
Saludos!

3 comentarios:

  1. [...] Abrimos la semana hablando de Forense en navegadores TomTom: Herramientas forense para ser un buen CSI. Parte XXIX: Análisis Forense de navegadores GPS Tomtom (.... [...]

    ResponderEliminar
  2. Me gustaría poner una contraseña al tomtom a través del archivo ttgo.bif. ¿Que cadena tendría que introducir y donde? Muchas gracias

    ResponderEliminar
  3. Hola, soy el mismo que ha consultado antes, pero me he equivocado en la dirección de correo.Me gustaría introducir una contraseña al tomtom, a través del archivo ttgo.bif.¿Qué cadena tendría que introducir y donde?Muchas gracias por su atención.

    ResponderEliminar