Buenas a todos, en el post hoy continuaremos hablando de Análisis Forense en Blackberry, tratando la clonación y posterior análisis de la memoria externa (microSD) del terminal.

En el caso de la memoria de los dispositivos Blackberry, es posible realizar una copia bit a bit de la parte pública del usuario, como si se tratase de una unidad de almacenamiento FAT común. Para ello simplemente debemos conectar la Blackberry a un PC y será mapeada automáticamente como si se tratase de un pendrive o disco duro externo.

Para realizar la clonación podéis utilizar algunas de las numerosas herramientas que hemos ido presentando a lo largo de esta cadena:

Como el proceso es idéntico al seguido en anteriores ocasiones, no volveremos a presentarlo. Simplemente recordaros que es importante durante la clonación calcular el hash para controlar en todo momento la integridad de nuestras evidencias ;)

Una vez que tengamos nuestra imagen dd podremos abrirla con nuestra herramienta preferida. Yo suelo usar principalmente Autopsy y FTK Imager.

Como veis se trata de una partición formateada en FAT. En ella encontramos tres carpetas principalmente:

En la carpeta databases encontraremos los backups de WhatsApp, en los ficheros messageStore.db:

Pero la verdadera chica de la parte pública se encuentra en la carpeta Blackberrry:

Ahí encontraremos las imagenes enviadas/recibidas por WhatsApp:

Documentos:

Música, Videos....

Como veis no es poca la información fácilmente accesible de una Blackberry. En próximos posts nos pegaremos un poco más con el terminal por excelencia en la empresa privada.

Saludos!