Herramientas forense para ser un buen CSI. Parte XLIV: Blackberry 2

Buenas a todos, en el post hoy continuaremos hablando de Análisis Forense en Blackberry, tratando la clonación y posterior análisis de la memoria externa (microSD) del terminal.

En el caso de la memoria de los dispositivos Blackberry, es posible realizar una copia bit a bit de la parte pública del usuario, como si se tratase de una unidad de almacenamiento FAT común. Para ello simplemente debemos conectar la Blackberry a un PC y será mapeada automáticamente como si se tratase de un pendrive o disco duro externo.

Para realizar la clonación podéis utilizar algunas de las numerosas herramientas que hemos ido presentando a lo largo de esta cadena:
  • dd
  • dc3dd
  • Guymager
  • AIR
  • FTK
  • Y un largo etc.
Como el proceso es idéntico al seguido en anteriores ocasiones, no volveremos a presentarlo. Simplemente recordaros que es importante durante la clonación calcular el hash para controlar en todo momento la integridad de nuestras evidencias ;)

Una vez que tengamos nuestra imagen dd podremos abrirla con nuestra herramienta preferida. Yo suelo usar principalmente Autopsy y FTK Imager.


Como veis se trata de una partición formateada en FAT. En ella encontramos tres carpetas principalmente:
  • Blackberry
  • Databases
  • db_temporary



En la carpeta databases encontraremos los backups de WhatsApp, en los ficheros messageStore.db:


Pero la verdadera chica de la parte pública se encuentra en la carpeta Blackberrry:

Ahí encontraremos las imagenes enviadas/recibidas por WhatsApp:
Documentos:
Música, Videos....
Como veis no es poca la información fácilmente accesible de una Blackberry. En próximos posts nos pegaremos un poco más con el terminal por excelencia en la empresa privada.

Saludos!