Buenas a todos, en el post hoy continuaremos hablando de Análisis Forense en Blackberry, tratando la clonación y posterior análisis de la memoria externa (microSD) del terminal.
En el caso de la memoria de los dispositivos Blackberry, es posible realizar una copia bit a bit de la parte pública del usuario, como si se tratase de una unidad de almacenamiento FAT común. Para ello simplemente debemos conectar la Blackberry a un PC y será mapeada automáticamente como si se tratase de un pendrive o disco duro externo.
Para realizar la clonación podéis utilizar algunas de las numerosas herramientas que hemos ido presentando a lo largo de esta cadena:
- dd
- dc3dd
- Guymager
- AIR
- FTK
- Y un largo etc.
Como el proceso es idéntico al seguido en anteriores ocasiones, no volveremos a presentarlo. Simplemente recordaros que es importante durante la clonación calcular el hash para controlar en todo momento la integridad de nuestras evidencias ;)
Una vez que tengamos nuestra imagen dd podremos abrirla con nuestra herramienta preferida. Yo suelo usar principalmente Autopsy y FTK Imager.
Como veis se trata de una partición formateada en FAT. En ella encontramos tres carpetas principalmente:
- Blackberry
- Databases
- db_temporary
En la carpeta databases encontraremos los backups de WhatsApp, en los ficheros messageStore.db:
Pero la verdadera chica de la parte pública se encuentra en la carpeta Blackberrry:
Ahí encontraremos las imagenes enviadas/recibidas por WhatsApp:
Documentos:
Música, Videos....
Como veis no es poca la información fácilmente accesible de una Blackberry. En próximos posts nos pegaremos un poco más con el terminal por excelencia en la empresa privada.
Saludos!
0 comentarios:
Publicar un comentario