20 dic 2013

Herramientas forense para ser un buen CSI. Parte XLIV: Blackberry 2

Buenas a todos, en el post hoy continuaremos hablando de Análisis Forense en Blackberry, tratando la clonación y posterior análisis de la memoria externa (microSD) del terminal.

En el caso de la memoria de los dispositivos Blackberry, es posible realizar una copia bit a bit de la parte pública del usuario, como si se tratase de una unidad de almacenamiento FAT común. Para ello simplemente debemos conectar la Blackberry a un PC y será mapeada automáticamente como si se tratase de un pendrive o disco duro externo.

Para realizar la clonación podéis utilizar algunas de las numerosas herramientas que hemos ido presentando a lo largo de esta cadena:
  • dd
  • dc3dd
  • Guymager
  • AIR
  • FTK
  • Y un largo etc.
Como el proceso es idéntico al seguido en anteriores ocasiones, no volveremos a presentarlo. Simplemente recordaros que es importante durante la clonación calcular el hash para controlar en todo momento la integridad de nuestras evidencias ;)

Una vez que tengamos nuestra imagen dd podremos abrirla con nuestra herramienta preferida. Yo suelo usar principalmente Autopsy y FTK Imager.


Como veis se trata de una partición formateada en FAT. En ella encontramos tres carpetas principalmente:
  • Blackberry
  • Databases
  • db_temporary



En la carpeta databases encontraremos los backups de WhatsApp, en los ficheros messageStore.db:


Pero la verdadera chica de la parte pública se encuentra en la carpeta Blackberrry:

Ahí encontraremos las imagenes enviadas/recibidas por WhatsApp:
Documentos:
Música, Videos....
Como veis no es poca la información fácilmente accesible de una Blackberry. En próximos posts nos pegaremos un poco más con el terminal por excelencia en la empresa privada.

Saludos!

No hay comentarios:

Publicar un comentario