Cell Phone Forensic Tools

Traducido por Sykrayo Espaa
WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL sykrayo@hotmail.com
NISTIR 7387
Telfono celular forenseHerramientas:

Una visin general de Anlisis y Actualizacin
AlmiarA y e r s W a y n e J a n s e n L u d o v c i M o e n n e r A u r e e i l n D e a l t i r e
NISTIR 7387
Telfono celular forenses Herramientas:

Una visin general de Anlisis y Actualizacin
Rick Ayers Wayne Jansen Aurelien Delaitre Ludovic Moenner
COMPUTERSECURITY
Divisin de Seguridad Informtica Laboratorio de Tecnologas de la Informacin Instituto Nacional de Estndares y Tecnologa Gaithersburg, MD 20899-8930
Marzo 2007
Departamento de Comercio de EE.UU.
Carlos M. Gutirrez, Secretario

Administracin de Tecnologa
Robert Cresanti, subsecretario interino de Comercio de Tecnologa

Instituto Nacional de Estndares y Tecnologa
William A. Jeffrey, Director
iii
Informes sobre Computer Systems Technology

El Laboratorio de Tecnologas de la Informacin (DIT) del Instituto Nacional de Estndares y Tecnologa (NIST) promueve la economa de EE.UU. y el bienestar pblico, proporcionando liderazgo tcnico para la medicin de la Nacin y la infraestructura de las normas. ITL desarrolla pruebas, mtodos de prueba, datos de referencia, la prueba de las implementaciones de concepto, y el anlisis tcnico para avanzar en el desarrollo y uso productivo de las tecnologas de la informacin. Responsabilidades de ITL incluyen el desarrollo de normas tcnicas, fsicas, administrativas y de gestin y las directrices para la seguridad econmica y la privacidad de la informacin sensible no clasificada en los sistemas informticos federales. Este Informe Interagencial discute la investigacin de ITL, orientacin y actividades de divulgacin en materia de seguridad informtica, y sus actividades de colaboracin con la industria, el gobierno y organizaciones acadmicas.
Instituto Nacional de Estndares y Tecnologa Informe Interagencial 164 pginas (2007)
Ciertas entidades comerciales, equipos o materiales pueden ser identificadas en este documento con el fin de describir un procedimiento experimental o concepto adecuado. Esta identificacin no pretende dar a entender ninguna recomendacin por parte del Instituto Nacional de Estndares y Tecnologa, ni tiene por objeto dar a entender que las entidades, materiales o equipos son necesariamente los mejores disponibles para ese fin.
Abstracto
Los telfonos celulares y otros dispositivos porttiles con capacidades de telfono celular (por ejemplo, Asistente Digital Personal [PDA] celulares) son omnipresentes. En lugar de hacer llamadas, la mayora de los mviles permiten a los usuarios realizar tareas adicionales, como el servicio de mensajes cortos (SMS), mensajera, servicio de mensajera multimedia (MMS), mensajera instantnea (IM), correo electrnico, navegacin por Internet y la informacin personal bsica (PIM), aplicaciones de gestin (por ejemplo, el telfono y el libro de la fecha). PDA, conocidos como telfonos inteligentes, a menudo proporcionan a los usuarios con las capacidades combinadas de un telfono mvil y un PDA. Adems de los servicios de red y aplicaciones bsicas de PIM, se puede administrar de manera ms extensa cita e informacin de contacto, revisar los documentos electrnicos, hacer una presentacin, y realizar otras tareas. Todos, excepto los telfonos ms bsicos ofrecen a las personas con alguna posibilidad de cargar aplicaciones adicionales, almacenar y procesar informacin personal y confidencial de forma independiente de un ordenador de sobremesa o porttil, y opcionalmente sincronizar los resultados en algn momento posterior. A medida que evoluciona la tecnologa digital, las capacidades existentes de estos dispositivos continan mejorando rpidamente. Cuando los telfonos mviles u otros dispositivos celulares estn implicados en un delito u otro incidente, los examinadores forenses requieren herramientas que permitan la recuperacin adecuada y un examen rpido de la informacin presente en el dispositivo. Este informe ofrece una visin general de las actuales herramientas diseadas para la adquisicin, anlisis y presentacin de los datos descubiertos en dispositivos de mano mviles, y la comprensin de sus capacidades y limitaciones. Es una continuacin de la de NISTIR 7250 telfono celular forenses , que se centra en herramientas que han sido sometidos a cambios significativos desde Herramientas: Un Descripcin y Anlisis que la publicacin o no estaban cubiertos anteriormente.
NISTIR 7250 - telfono celular forenses Herramientas: Una visin general y anlisis se puede acceder a travs de:http://csrc.nist.gov/publications/nistir/nistir7250.pdf
Objeto y mbito de aplicacin

El propsito de este informe es dar a conocer la aplicacin de la ley, los miembros del equipo de respuesta a incidentes, y los examinadores forenses sobre las capacidades de nuestros das las herramientas de software forense que han sufrido cambios significativos o que no fueron mencionados en el informe anterior Telfono celular forense Herramientas: una visin general y anlisis. Estas herramientas tienen la capacidad de adquirir informacin de los telfonos celulares que operan sobre Code Division Multiple Access (CDMA), acceso mltiple por divisin de tiempo (TDMA), sistema global para comunicaciones mviles (GSM) de redes celulares y en funcionamiento varios sistemas operativos, incluyendo Symbian, Investigacin en Motion (RIM), Palm OS, Pocket PC y Linux. Una descripcin de cada herramienta se describen el alcance y los servicios prestados para la adquisicin y el anlisis de la evidencia contenida en los telfonos celulares y los telfonos PDA funcional. Escenarios genricos han sido concebidos para reflejar las situaciones que se presentan durante un examen forense de estos dispositivos y sus medios asociados. Los escenarios estn estructurados para revelar cmo las herramientas seleccionadas reaccionan en diversas situaciones. Aunque escenarios genricos se utilizaron en el anlisis de herramientas forenses, los procedimientos no estn destinados a servir como una prueba formal del producto o como una evaluacin completa. Adems, no se garantiza en las ventajas comparativas de una herramienta frente a otra. En cambio, el informe ofrece una perspectiva amplia y en la exploracin sobre el estado del arte de las herramientas de software forense de hoy en da para los telfonos mviles y los telfonos PDA. Alternativas al uso de una herramienta de software para la recuperacin de la evidencia forense digital, como desoldar y extraer la memoria de un dispositivo para leer su contenido o el uso de una interfaz de prueba de hardware incorporado para acceder a la memoria directamente, estn fuera del alcance de este informe. Es importante distinguir este esfuerzo de la Informtica Forense Testing Tool (CFTT) del proyecto, cuyo objetivo es ofrecer garantas medibles a los profesionales, investigadores y otros usuarios que las herramientas utilizadas en investigaciones forenses informticos proporcionan resultados precisos. Lograr este objetivo requiere el desarrollo de rigurosas especificaciones y mtodos de ensayo para herramientas forenses y el anlisis posterior de las herramientas especficas contra esas especificaciones, que va mucho ms all del anlisis descrito en este documento. El CFTT es el esfuerzo conjunto del Instituto Nacional de Justicia, el Instituto Nacional de Estndares y Tecnologa (NIST), la Oficina de Normas de Aplicacin de la Ley (OLES), el Departamento de Defensa de EE.UU., la Oficina Federal de Investigaciones (FBI), EE.UU. Secret Servicio de Inmigracin y Aduanas de EE.UU. (ICE), y otros organismos relacionados. La publicacin no debe usarse como una gua paso a paso para la ejecucin de una investigacin forense adecuado que incluya telfonos celulares y telfonos PDA, o interpretarse como asesoramiento legal. Su propsito es informar a los lectores de las diferentes tecnologas disponibles y las reas que deben considerarse al emplearlos. Antes de aplicar el material de este informe, se aconseja a los lectores consultar con los funcionarios de gestin y jurdica para el cumplimiento de las leyes y reglamentos (por ejemplo, locales, estatales, federales e internacionales) que tengan relacin con su situacin.
Para obtener ms informacin sobre esta iniciativa vase www.cftt.nist.gov
Pblico
Los destinatarios principales del telfono celular documento herramienta forense es la aplicacin de la ley, los miembros del equipo de respuesta a incidentes, y mdicos forenses que se encargan de la realizacin de los procedimientos forenses relacionados con los dispositivos de telefona celular y medios extrables asociados.
Tabla de contenidos
1 ANTECEDENTES 3 SUSCRIPTOR IDENTIDAD MDULO.................................................. ................................................ 5 DESMONTABLE MEDIA 6 FORENSE 8 DISPOSITIVO DECOMISO 11 11 GSM 12 OXGENO TELFONO MANAGER 12 MOBILedit!13 13 13 SecureView 14 PHONEBASE2 14 CellDEK 14 SIMIS2 14 14 FORENSE TARJETA 15 SIMCon 15 USIMDETECTIVE 15 ANLISIS 16 OBJETIVO DISPOSITIVOS16 ESCENARIOS 23 SINOPSIS DE EMBARGO DISPOSITIVO .............................................. ........................................... 28 POCKET Telfonos para PC 28 PALMA OSTELFONOS29 BLACKBERRY DISPOSITIVOS 30 CELL TELFONOS 32 ADQUISICIN ETAPA32 BUSCAR FUNCIONALIDAD35 GRFICOS BIBLIOTECA 36 MARCADORES36 ADICIONAL 37 INFORME GENERACIN 39 ESCENARIO RESULTADOS - PDAS 39 ESCENARIO RESULTADOS - CELL TELFONOS ................................................. ......................................... 40 ESCENARIO RESULTADOS - TARJETA SIM ADQUISICIN .................................................. ....................... 41 SINOPSIS DEL PILOTO-LINK ............................................. .................................................. .... 42 SINOPSIS DE GSM 43
vii
APOYO TELFONOS 43 ADQUISICIN ETAPA43 BUSCAR FUNCIONALIDAD46 GRFICOS BIBLIOTECA 46 INFORME GENERACIN 47 ESCENARIO RESULTADOS - CELL TELFONOS ................................................. ......................................... 50 ESCENARIO RESULTADOS - TARJETA SIM ADQUISICIN .................................................. ....................... 51 SINOPSIS DE Oxygen Phone Manager ............................................. ....................... 52 SINOPSIS DE 53 TARJETA SIM ADQUISICIN 54 SINOPSIS DE 54 SINOPSIS DE 55 TARJETA SIM ADQUISICIN 57 SINOPSIS DE SecureView ............................................... ................................................. 58 APOYO TELFONOS 58 ADQUISICIN ETAPA58 BUSCAR FUNCIONALIDAD61 GRFICOS BIBLIOTECA 61 INFORME GENERACIN 61 ESCENARIO RESULTADOS - CELL TELFONOS ................................................. ......................................... 61 ESCENARIO RESULTADOS - TARJETA SIM ADQUISICIN .................................................. ....................... 63 SINOPSIS DE 65 APOYO TELFONOS 66 ADQUISICIN ETAPA66 BUSCAR FUNCIONALIDAD70 GRFICOS BIBLIOTECA 70 INFORME GENERACIN 70 ESCENARIO RESULTADOS - CELL TELFONOS ................................................. ......................................... 71 ESCENARIO RESULTADOS - TARJETA SIM ADQUISICIN .................................................. ....................... 72 SINOPSIS DE CellDEK 73 APOYO TELFONOS 73 ADQUISICIN ETAPA73 BUSCAR FUNCIONALIDAD76 GRFICOS BIBLIOTECA 77 INFORME GENERACIN 78 ESCENARIO RESULTADOS - CELL TELFONOS ................................................. ......................................... 78 ESCENARIO RESULTADOS - TARJETA SIM ADQUISICIN .................................................. ....................... 79 SINOPSIS DE SIMIS2 81 SINOPSIS DE FORENSICSIM ............................................... ................................................ 83 SINOPSIS DEL LECTOR DE TARJETAS FORENSE ............................................. ........................... 84
SINOPSIS DE SIMCon 85 SINOPSIS DE USIMDETECTIVE ............................................... .......................................... 86 ADQUISICIN ETAPA86 BUSCAR FUNCIONALIDAD87 GRFICOS BIBLIOTECA 87 INFORME GENERACIN 87 ESCENARIO RESULTADOS 90 CONCLUSIONES 92 GLOSARIO DE SIGLAS ............................................... .................................................. 93 ANEXO A: RESULTADOS DEL DISPOSITIVO INCAUTACION - Smart Devices ................................. 96 BLACKBERRY 7750 96 BLACKBERRY 7780 97 KYOCERA 7135 99 MOTOROLA MPX220 100 SAMSUNG 101 PALMONE TREO 600 102 ANEXO B: RESULTADOS DEL DISPOSITIVO INCAUTACION - Celulares .................................... 105 AUDIOVOX 8910 105 ERICSSON T68I 106 LG 4015 107 MOTOROLA C333 108 MOTOROLA V66 109 MOTOROLA V300 110 NOKIA 3390 111 NOKIA 6610i112 SANYO PM-8200 113 ANEXO C:. GSM RESULTADOS XRY ........................................... ........................................ 115 ERICSSON T68I 115 MOTOROLA C333 116 MOTOROLA V66 117 MOTOROLA V300 118 NOKIA 6610i119 NOKIA 6200 120 NOKIA 7610 121 APNDICE D: RESULTADOS SecureView ............................................. .............................. 123 AUDIOVOX 8910 123 ERICSSON T68I 123 LG4015 124 MOTOROLA C333 125 MOTOROLA V66 126 MOTOROLA V300 127
NOKIA 6200 128 SANYO PM-8200 129 ANEXO E: PHONEBASE2 RESULTADOS ............................................. ............................... 131 ERICSSON T68I 131 MOTOROLA V66 132 MOTOROLA V300 133 NOKIA 6610i134 APNDICE F: RESULTADOS CellDEK ............................................. ...................................... 136 ERICSSON T68I 136 MOTOROLA MPX220 137 MOTOROLA 138 MOTOROLA 139 NOKIA 6200 140 NOKIA 6610i141 APNDICE G: SIM EMBARGO - EXTERNAS RESULTADOS SIM ......................................... 143 SIM 143 SIM 143 SIM 144 ANEXO H:. GSM XRY - EXTERNAS RESULTADOS SIM ........................................ ........ 145 SIM 145 SIM 145 SIM 145 ANEXO I: SecureView - EXTERNAS RESULTADOS SIM .......................................... 147 SIM 147 SIM 147 SIM 147 APNDICE J: PHONEBASE2 - EXTERNAS RESULTADOS SIM .......................................... 149 SIM 149 SIM 149 SIM 150 ANEXO K: CellDEK - EXTERNAS RESULTADOS SIM .......................................... ...... 151 SIM 151 SIM 151 SIM 152 APNDICE L: USIMDETECTIVE - EXTERNAS RESULTADOS SIM .................................. 153 SIM 153 SIM 153 SIM 153
10
Agradecimientos
Los autores, Rick Ayers, Wayne Jansen, Aurelien Delaitre y Ludovic Moenner desean expresar su agradecimiento a los colegas que revisaron los borradores de este documento. En particular, su agradecimiento a Karen Scarfone, Murugiah Souppaya y Tim Grance de NIST, Rick Mislan de la Universidad de Purdue, y Lee Reiber de Forensics mviles para su investigacin, la asistencia tcnica y las contribuciones escritas a este documento. Los autores tambin quisiera dar las gracias a todos los que ayudaron en el proceso de revisin interna. Este informe fue patrocinado en parte por el Dr. Bert Coursey del Departamento de Seguridad Nacional (DHS). El apoyo del Departamento y orientacin en este esfuerzo son muy apreciadas.
11
Introduccin
Informtica forense consiste en la identificacin, conservacin, extraccin, documentacin y anlisis de datos informticos. Informtica forense examinadores siguen metodologas claras y bien definidas y los procedimientos que se pueden adaptar a situaciones especficas. Estas metodologas consisten en los siguientes pasos: Prepare una copia forense (es decir, una copia fsica de bit por bit idntico) de lo digital adquiridalos medios de comunicacin, mientras que la preservacin de la integridad de los medios adquiridos. Examine el forensecopiar para recuperar la informacin. Analizar la informacin recuperada y desarrollar un informe que documenta toda la informacin pertinente al descubierto. Herramientas forenses tienen por objeto facilitar el trabajo de los examinadores, que les permite realizar los pasos anteriores en una manera oportuna y estructurada, y mejorar la calidad de los resultados. Este artculo trata de las herramientas de software forenses disponibles para los dispositivos mviles de mano, destacando las facilidades que ofrecen y las capacidades asociadas. Herramientas de software forense se esfuerzan para hacer frente a una amplia gama de dispositivos aplicables y manejar las situaciones de investigacin ms comunes con los requisitos de nivel de habilidades modestas. Estas herramientas suelen realizar adquisiciones lgicas utilizando protocolos comunes para la sincronizacin, la depuracin y las comunicaciones. Situaciones ms complicadas, tales como la recuperacin de datos borrados, a menudo requieren herramientas y conocimientos basados en hardware altamente especializados, que no est dentro del alcance de este informe. Anlisis forense de dispositivos porttiles es bastante nueva y emergente rea temtica en el campo forense, que tradicionalmente enfatiz estaciones de trabajo individuales y servidores de red. Existen discrepancias entre forense de dispositivos porttiles y la informtica forense clsica debido a varios factores, incluyendo los siguientes, que limitan la forma en que operan las herramientas: La orientacin hacia la movilidad (por ejemplo, el tamao compacto y bateras, que requieren interfaces especializadas, medios de comunicacin y hardware) El sistema de ficheros reside en la memoria voltil frente a la memoria no voltil en ciertos sistemas Comportamiento de hibernacin, los procesos de suspensin cuando est apagado o inactivo, pero que siguen siendo activas La amplia variedad de sistemas operativos integrados utilizados ciclos de produccin cortos para la introduccin de nuevos dispositivos de mano La mayora de los telfonos celulares ofrecen conjuntos comparables de capacidades bsicas. Sin embargo, las diversas familias de dispositivos en el mercado difieren en reas tales como la tecnologa de hardware, conjunto de funciones avanzadas, y en formato fsico. En este trabajo se estudian las herramientas de software forense para una serie de plataformas populares, incluyendo Symbian, Research In Motion (RIM), Pocket PC y dispositivos Palm OS. En conjunto, estas plataformas constituyen la mayora de los llamados dispositivos de telfonos inteligentes actualmente disponibles y en uso. Los telfonos ms bsicos, producidos por varios fabricantes y operativos en varios tipos de redes de telefona mvil tambin se abordan en el documento.
El resto de secciones proporcionan una visin general de los telfonos mviles, tarjetas de memoria y juegos de herramientas forenses, describir los escenarios utilizados para analizar las diferentes herramientas y juegos de herramientas; presentar los resultados de la aplicacin de los escenarios, y un resumen de las conclusiones extradas. Se supone que el lector tenga algo de experiencia en informtica forense y la tecnologa. El lector tambin debe ser informada de que las herramientas presentadas en el informe estn evolucionando rpidamente, con nuevas versiones y mejores capacidades disponibles regularmente. El fabricante de la herramienta debe estar siempre en contacto con para una informacin al da.
Fondo
Los telfonos celulares son dispositivos de comunicaciones altamente mviles que pueden hacer una gran variedad de funciones que van desde la de un organizador digital simple a la de un PC de gama baja. Diseado para la movilidad, son de tamao compacto, alimentado por batera, y ligero, a menudo utilizan interfaces propietarias o sistemas operativos, y puede tener caractersticas nicas de hardware para la diferenciacin de productos. En general, se pueden clasificar como telfonos bsicos que son fundamentalmente simples dispositivos de comunicacin de voz y de mensajera, telfonos avanzados que ofrecen capacidades y servicios adicionales para multimedia, y los telfonos inteligentes o los telfonos de gama alta que se fusionan las capacidades de un telfono avanzado con los de un Asistente Digital Personal (PDA). La figura 1 presenta un resumen de las caractersticas de hardware de los telfonos mviles bsicos, avanzados y de alta gama de calidad de visualizacin, procesamiento y capacidad de almacenamiento, la memoria y la expansin de E / S, una funcin de comunicacin y de vdeo y captura de imgenes. La parte inferior del diagrama muestra el rango de los avances de las redes analgicas kilobits celulares de voz y datos, todava en uso hoy en da, a las redes digitales de tercera generacin megabits en la planificacin y etapas de implementacin temprana. El diagrama intenta ilustrar que los telfonos ms capaces pueden capturar y retener no slo ms informacin, sino tambin la informacin ms variada, a travs de una amplia variedad de fuentes, incluyendo los mdulos extrables de memoria, otras interfaces inalmbricas y hardware incorporado. Tenga en cuenta que los componentes de hardware pueden y deben variar de las asignaciones hechas en el diagrama y, con el tiempo, la tecnologa, una vez considerados de gama alta o avanzado aparece finalmente en lo que luego sera considerado un telfono bsico.
Figura 1: Nmero de telfono Componentes hardware
Al igual que con los componentes de hardware, componentes de software que participan en comunicaciones vara con la clase de telfono. Telfonos bsicos normalmente incluyen mensajes de texto utilizando el servicio de mensajes cortos (SMS). Un telfono avanzado podra agregar la posibilidad de enviar mensajes con imgenes simples o
mensajes de texto largos utilizando el servicio de mensajes Extended (EMS), mientras que un telfono de gama alta normalmente soporta el servicio de mensajes multimedia (MMS) a los sonidos de cambio de color, imgenes y texto. Del mismo modo, la posibilidad de chatear en lnea directamente con otro usuario puede ser no compatible, con el apoyo a travs de un canal de SMS dedicado, o apoyado con un cliente de mensajera instantnea completa (IM). Los telfonos de gama alta normalmente apoyan la plena funcin de correo electrnico y clientes Web que utilizan, respectivamente, Post Office Protocol (POP) / Internet Message Access Protocol (IMAP) / Protocolo simple de transferencia de correo (SMTP) y HTTP, mientras que los telfonos avanzados proporcionan estos servicios a travs del protocolo de aplicacin inalmbrica (WAP) y los telfonos bsicos no incluyen ningn tipo de apoyo. La figura 2 ofrece una visin general de las capacidades por lo general asociados con cada tipo de telfono.
Figura 2: Componentes de software del telfono
Telfonos avanzados ms bsicas y muchos dependen de los sistemas operativos en tiempo real propietario desarrollado por el fabricante. Sistemas operativos comercialmente integradas para dispositivos mviles estn tambin disponibles que van desde un programador preventivo bsico con soporte para otros sistemas clave par de llamadas a los ncleos ms sofisticados con alternativas de programacin, soporte de gestin de memoria, controladores de dispositivos y control de excepciones, para terminar incrustado real sistemas operativos de tiempo. La parte inferior de la Figura 2 ilustra este rango. Muchos telfonos inteligentes de gama alta tienen una herencia PDA, evolucionando de Palm OS y Pocket PC (tambin conocido como Windows Mobile) los dispositivos de mano. Como mdulos de telefona inalmbrica eran incorporado en tales dispositivos, las capacidades del sistema operativo se han mejorado para dar cabida a la funcionalidad. Del mismo modo, el sistema operativo Symbian utilizado en muchos de los telfonos inteligentes tambin se deriva de un patrimonio organizador electrnico. Dispositivos OS RIM, que hacen hincapi en la tecnologa push para mensajes de correo electrnico, son otra familia de dispositivos que tambin cae en la categora de telfonos inteligentes.
Subscriber Identity Module
Otra manera til para clasificar los dispositivos celulares es por tanto si se trata de un mdulo de identidad del abonado (SIM). Una tarjeta SIM es extrable diseada para la insercin en un dispositivo, tal como un telfono. SIMs se origin con un conjunto de especificaciones originalmente desarrollado por la Conferencia de Correos y Telecomunicaciones (CEPT) de Europa y continuada por el Instituto Europeo de Normas de Telecomunicaciones (ETSI) para el Sistema Global para Comunicaciones Mviles (GSM). Normas GSM exigen el uso de una tarjeta SIM para el funcionamiento del telfono. Sin ella, un telfono GSM no puede funcionar. Por el contrario, los telfonos de Acceso Mltiple por Divisin de cdigo actuales (CDMA) no requieren una tarjeta SIM. En su lugar, la funcionalidad SIM se incorpora directamente en el dispositivo. Un SIM es un componente esencial de un telfono celular GSM que contiene informacin especfica para el usuario. Un SIM es un tipo especial de tarjeta inteligente que contiene tpicamente entre 16 a 64 kilobytes (KB) de memoria, un procesador y un sistema operativo. Un SIM identifica de forma exclusiva al abonado, determina el nmero de telfono, y contiene los algoritmos necesarios para autenticar un abonado a una red. Un usuario puede retirar la tarjeta SIM de un telfono, la inserta en otro telfono compatible, y reanudar el uso sin la necesidad de involucrar al operador de red. La sistema de archivos organizado jerrquicamente de un SIM se utiliza para almacenar los nombres y nmeros de telfono, recibido y enviado mensajes de texto, e informacin de configuracin de red. Dependiendo del telfono, parte de esta informacin tambin puede coexistir en la memoria del telfono o residir en su totalidad en la memoria del telfono en lugar de la tarjeta SIM. Mientras SIMs son los ms ampliamente utilizados en los sistemas GSM, mdulos compatibles tambin se utilizan en Integrated Digital Enhanced Network (IDEN) Telfonos y Sistema Universal de Telecomunicaciones Mviles (UMTS) equipo de usuario (es decir, de un mdulo de identificacin del abonado universal [SIM]). Debido a la flexibilidad de un SIM ofrece a los usuarios de telfonos GSM para portar su identidad y la informacin entre los dispositivos, con el tiempo se espera que todos los telfonos mviles para incluir capacidad de SIM. Aunque dos tamaos de tarjetas SIM se han estandarizado, slo el tamao ms pequeo se muestra a la izquierda se usa ampliamente hoy en da en los telfonos GSM. El mdulo dispone de un ancho de 25 mm, una altura de 15 mm, y un espesor de 0,76 mm, que es aproximadamente del tamao de un sello postal. Sus conectores de 8 pines no estn alineados a lo largo de un borde inferior como era de esperar, pero en su lugar forman una circular almohadilla integrada en el chip de la tarjeta inteligente, que se inserta en un marco de plstico contacto. Adems, la ranura para la tarjeta SIM no es normalmente accesible desde el exterior del telfono como con una tarjeta de memoria. Cuando se inserta un SIM en un telfono y el pasador se hace contacto, una interfaz en serie se utiliza para comunicar con la plataforma de computacin usando un protocolo semidplex. Tarjetas SIM pueden ser removidos de un telfono y leer usando un lector especializado tarjeta SIM y el software. Un SIM tambin se puede colocar en un adaptador de tarjeta inteligente de tamao estndar y leer mediante un lector de tarjeta inteligente convencional. Al igual que con cualquier tarjeta inteligente, sus contenidos estn protegidos y un PIN se pueden configurar para restringir el acceso. Existen dos PINs, a veces llamado PIN1 y PIN2 o CHV1 y CHV2. Estos pines pueden ser modificados o desactivados por el usuario. El SIM permite que slo un nmero predeterminado de intentos, generalmente tres, para introducir el PIN correcto antes de que se bloquean ms intentos. Introducir la clave correcta PIN de desbloqueo (PUK) restablece el nmero PIN y el contador de intentos. El cdigo PUK se puede obtener del proveedor de servicios o el operador de la red sobre la base de la identidad del SIM (es decir, su Identificador de Tarjeta de Circuito Integrado [ICCID]). Si el nmero de intentos para introducir el PUK supera correctamente un lmite establecido, normalmente de diez intentos, la tarjeta se bloquea de forma permanente.
Almacenamiento externo
Los medios extrables se extiende la capacidad de almacenamiento de un telfono mvil, permitiendo a los individuos para almacenar informacin adicional ms all de la capacidad incorporada del dispositivo. Tambin proporcionan otra va para el intercambio de informacin entre los usuarios que tienen hardware compatible. Los medios extrables es el almacenamiento no voltil, capaz de retener datos grabados cuando se extraen de un dispositivo. El principal tipo de medios extrables para telfonos mviles es una tarjeta de memoria. Aunque similar a SIM de tamao, que siguen un conjunto diferente de las especificaciones y tienen caractersticas muy diferentes. Algunas especificaciones de la tarjeta tambin permiten capacidades de E / S para apoyar las comunicaciones inalmbricas (por ejemplo, Bluetooth o WiFi) u otro hardware (por ejemplo, una cmara) para ser envasados en el mismo formato. Una amplia gama de tarjetas de memoria que existe actualmente en el mercado para los telfonos celulares y otros dispositivos mviles. Las capacidades de almacenamiento de rango de tarjetas de memoria de megabytes (MB) a gigabytes (GB) y vienen en tamaos, literalmente, tan pequeas como una miniatura. Como los avances tecnolgicos continan, se espera que estos medios de comunicacin a ser ms pequeos y ofrecen una mayor densidad de almacenamiento. Afortunadamente, estos medios se formatean normalmente con un sistema de ficheros convencional (por ejemplo, la tabla de asignacin de archivos [FAT]) y pueden ser tratados de manera similar a una unidad de disco, con la imagen y se analizaron usando una herramienta forense convencional con un adaptador compatible multimedia que soporta un entorno de desarrollo integrado (IDE) de la interfaz. Tales adaptadores se pueden usar con un bloqueador de escritura para asegurarse de que los contenidos permanecen inalteradas. A continuacin se presenta un breve resumen de los diferentes tipos comnmente disponibles de las tarjetas de memoria utilizadas en los telfonos mviles. Multi-Media Cards (MMC): 1 Una tarjeta multimedia (MMC) es una tarjeta de disco de estado slido con un conector de 7-pin. Tarjetas MMC tienen un bus de datos de 1 bit. Estn diseados con la tecnologa flash, una tecnologa de almacenamiento no voltil que conserva la informacin una vez que se retira la alimentacin de la tarjeta. Tarjetas Multi-Media son del tamao de un sello postal (longitud 32 mm, ancho 24 mm, y el grosor de 1.4-mm). Tambin existen tarjetas Reduced Size Multi-Media (RS-MMC). Ellos son aproximadamente la mitad del tamao de la tarjeta MMC estndar (longitud de 18 mm-,-ancho de 24 mm, y el grosor-1.4mm). Un RS-MMC se puede utilizar en una ranura MMC de tamao completo con un adaptador mecnico. Una tarjeta regular MMC tambin se puede utilizar en una ranura de la tarjeta RS-MMC, aunque parte de ella se proyectar hacia fuera de la ranura. MMCplus y MMCmobile son variantes de mayor rendimiento de las tarjetas MMC y RS-MMC, respectivamente, que tienen conectores de 13 pines y buses de datos de 8 bits. Secure Digital (SD) Tarjetas: 2 Tarjetas de memoria Secure Digital (SD) (longitud 32 mm, ancho 24 mm, y el grosor2,1 mm) son comparables con el tamao y el diseo de estado slido de tarjetas MMC. De hecho, SD ranuras para tarjetas menudo pueden alojar tarjetas MMC tambin. Sin embargo, las tarjetas SD tienen un 9 - pines y un bus de datos de 4 bits, las cuales ofrecen una velocidad de transferencia ms alta. Tarjetas de memoria SD tienen un interruptor de prevencin de borrado, mantener el interruptor en la posicin de bloqueo protege los datos contra el borrado accidental. Tambin incluyen controles de seguridad para la proteccin de contenido (es decir, la proteccin de contenido Rights Management). Tarjetas MiniSD son una extensin compatible elctricamente de la estndar de la tarjeta SD existente en un formato ms compacto (longitud 21,5 mm, ancho 20 mm-, y
1 2
Imagen cortesa de Lexar Media. Usado con permiso. Imagen cortesa de Lexar Media. Usado con permiso.
-espesor 1,4 mm). Se ejecutan en el mismo bus de hardware como una tarjeta SD, y tambin incluyen caractersticas de seguridad de proteccin de contenido, pero que tienen un conector de 11-pin y una menor capacidad potencial debido a las limitaciones de tamao. Para la compatibilidad con versiones anteriores, un adaptador permite que una tarjeta MiniSD para trabajar con ranuras para tarjetas SD existentes. Memory Stick: 3 Tarjetas de memoria proporcionan memoria de estado slido de un tamao similar, pero ms pequeo que una barra de chicle (longitud 50 mm, ancho-21.45mm de espesor-2.8mm). Tienen un conector de 10 pines y un bus de datos de 1 bit. Al igual que con las tarjetas SD, tarjetas de memoria tambin tienen un interruptor incorporado de prevencin de borrado para proteger los contenidos de la tarjeta. Tarjetas Memory Stick PRO ofrecen mayor capacidad y velocidades de transferencia de tarjetas de memoria estndar, usando un 10-pin conector, pero con un bus de datos de 4 bits. Memory Stick Duo y Memory Stick PRO Duo, versiones ms pequeas de la Memory Stick y Memory Stick PRO, son alrededor de dos tercios del tamao de la tarjeta de memoria estndar (longitud 31 mm, ancho 20 mm, grosor 1,6 mm). Se requiere un adaptador de Memory Stick Duo o Memory Stick PRO Duo para trabajar con ranuras de Memory Stick estndar. TransFlash: 4 TransFlash, recientemente renombrado MicroSD, es una tarjeta de tamao extremadamente pequeo (longitud 15 mm, ancho de 11-mm, y el grosor-1 mm). Debido a la eliminacin y manipulacin frecuente pueden ser torpe, que se utilizan ms como un mdulo de memoria semi-extrable. Tarjetas TransFlash tienen un Conector de 8 pines y un bus de datos de 4 bits. Un adaptador permite que una tarjeta de TransFlash para ser utilizado en dispositivos SD. Del mismo modo, el dispositivo MMCmicro es otra tarjeta ultra pequeo (longitud de 14-mm, ancho de 12-mm, y el grosor-1,1 mm), compatible con los dispositivos habilitados para MMC a travs de un adaptador. Tarjetas MMCmicro tienen un conector de 11 pines y un bus de datos de 4 bits. Ms recientemente, la tarjeta Memory Stick Micro ha surgido, que tambin es muy pequea (longitud 12,5 mm, ancho de 15-mm, y el grosor-1,2 mm) y, con un adaptador mecnico apropiado, capaz de ser utilizado en dispositivos que soportan el tamao ms completa cartas de la familia Memory Stick. Tarjetas Memory Stick Micro tienen un 11 - pin conector y un bus de datos de 4 bits
3 4
Imagen cortesa de Lexar Media. Usado con permiso. Imagen cortesa de SanDisk. Usado con permiso.
Kits de herramientas forenses

La variedad de herramientas forenses para telfonos celulares y otros dispositivos porttiles es diversa. Un gran nmero de herramientas de software y herramientas existen, pero la gama de dispositivos sobre los que operan normalmente se redujo a distintas plataformas para la lnea de fabricacin de los productos, una familia de sistemas operativos, o un tipo de arquitectura de hardware. Por otra parte, las herramientas requieren que el examinador tiene acceso completo al dispositivo (es decir, el dispositivo no est protegido por algn mecanismo de autenticacin o el examinador puede adaptarse a cualquier mecanismo de autenticacin encontr). Aunque la mayora de kits de herramientas soportan una amplia gama de la adquisicin, exploracin, y las funciones de presentacin de informes, algunas herramientas se centran en un subgrupo. Del mismo modo, diferentes herramientas pueden ser capaces de utilizar diferentes interfaces (por ejemplo, infrarroja [IR], Bluetooth o cable serie) para adquirir contenidos del dispositivo. Los tipos de informacin una herramienta puede adquirir pueden variar ampliamente e incluyen Gestin de informacin personal (PIM) de datos (por ejemplo, la gua de telfonos); registros de las llamadas telefnicas, mensajes SMS / EMS / MMS, correo electrnico y contenido de mensajera instantnea, direcciones URL y el contenido de la visita sitios Web, audio, video, y el contenido de la imagen, el contenido SIM y datos de imgenes panormicas. Presentar la informacin en un telfono celular puede variar dependiendo de varios factores, incluyendo los siguientes: Las capacidades inherentes a la telfono implementado por el fabricante Elmodificaciones realizadas en el telfonoel proveedor de servicios u operador de red La red servicios suscritos y utilizados por el usuario Elmodificaciones realizadas en el telfono por el usuario Adquisicin a travs de una interfaz de cable generalmente produce resultados superiores a los de adquisicin de otras interfaces del dispositivo. Sin embargo, a pesar de una interfaz inalmbrica, tales como infrarrojos o Bluetooth puede servir como una alternativa cuando el cable correcto no est fcilmente disponible, que se debe utilizar como ltimo recurso debido a la posibilidad de cambios en el aparato durante la adquisicin. Independientemente de la interfaz utilizada, hay que estar atentos acerca de los problemas forenses asociadas. Ntese tambin que el capacidad de adquirir el contenido de una tarjeta SIM residente no puede ser apoyado por algunos instrumentos, en particular los muy orientada hacia la PDA. La Tabla 1 muestra de cdigo abierto y est disponible comercialmente las herramientas y los servicios que prestan para ciertos tipos de telfonos celulares.
Tabla 1: Cell Phone Tools
Funcin
Device Seizure
Adquisicin, reconocimiento, presentacin de informes
Caractersti cas Objetivos Dispositivos Palm OS, Pocket PC, telfonos de RIM OS y ciertos modelos de GSM, TDMA y CDMA Compatible con la recuperacin de interna y externa SIM Compatible con nica interfaz de cable Objetivos Palm OS mviles Abierto software de cdigo no forense No apoyo para la recuperacin de informacin de SIM Compatible con nica interfaz de cable
pilot-link
Adquisicin
Funcin
GSM. XRY
Caractersti cas Objetivos ciertos modelos de GSM y CDMA telfonos Interna y soporte SIM externa Requiere PC / lector de tarjetas inteligentes compatible con SC para tarjetas SIM externos Cable, Bluetooth e interfaces IR soportados Compatible con radio aislamiento creacin SIM con la tarjeta de propiedad
Oxygen PM (versin forense) MOBILedit! Forense
Adquisicin, reconocimiento, presentacin de informes Adquisicin, reconocimiento, presentacin de informes Adquisicin, Examen
Objetivos ciertos modelos de telfonos GSM Compatible con slo la adquisicin SIM interna Objetivos ciertos modelos de telfonos GSM Interna y soporte SIM externa Compatible con por cable y las interfaces IR Objetivos ciertos modelos de telfonos CDMA Abierto software de cdigo con capacidades de escritura de bloqueo No apoyo para la recuperacin de informacin de SIM Objetivos Los telfonos GSM y CDMA que utilizan los protocolos soportados para establecer la conectividad Interna y soporte SIM externa Requiere Lector de tarjetas inteligentes PC / SC compatible con las tarjetas SIM externos Cable, Bluetooth e interfaces IR soportados Compatible con radio aislamiento creacin SIM con Tarjeta Xpresso GEM Objetivos Los telfonos GSM, CDMA y TDMA que utilizan los protocolos soportados para establecer la conectividad Interna y soporte SIM externa Requiere Lector de tarjetas inteligentes PC / SC compatible con las tarjetas SIM externos Cable, Bluetooth e interfaces IR soportados Objetivos Los telfonos GSM y CDMA que utilizan los protocolos soportados para establecer la conectividad Externa Soporte SIM Requiere Lector de tarjetas inteligentes PC / SC compatible con las tarjetas SIM externos Cable, Bluetooth e interfaces IR soportados Objetivos Los telfonos GSM y CDMA que utilizan los protocolos soportados para establecer la conectividad Interna y soporte SIM externa Construido en PC lector de tarjetas inteligentes compatible con SC / para tarjetas SIM externos Cable, Bluetooth y las interfaces IR soportados
BitPim
TULP2G
Adquisicin, Reporting
SecureView
PhoneBase2
CellDEK
Debido a la forma en los telfonos GSM son lgica y fsicamente dividida en un telfono y SIM, una serie de herramientas de software forenses han surgido que tienen que ver exclusivamente con tarjetas SIM de forma independiente de sus telfonos. El SIM debe ser retirada de su telfono y se inserta en un lector apropiado para la adquisicin. Herramientas forenses SIM requieren ya sea un lector especializado que acepta una tarjeta SIM directa o un lector de propsito general para una tarjeta inteligente de tamao completo. En este ltimo caso, una de tamao estndar se necesita adaptador de tarjeta inteligente para alojar la tarjeta SIM para su uso con el lector. Tabla 2 enumera varias herramientas forenses SIM. Los siete primeros en la lista, Device Seizure, TULP2G, GSM. XRY, MOBILedit!, SecureView, PhoneBase2 y CellDEK tambin se encargan de la adquisicin de la memoria del telfono, como se seal anteriormente.
Tabla 2: SIM Herramientas
Funcin Dispositivo Incautacin Adquisicin, reconocimiento, presentacin de informes
Caractersti cas Tambin recupera informacin de una tarjeta SIM a travs del telfono Requiere Lector SIM propietaria del paraben Tambin recupera informacin de una tarjeta SIM a travs del telfono Compatible con Lector PC / SC Compatible con creacin SIM radio aislamiento Tambin recupera informacin de una tarjeta SIM a travs del telfono Compatible con Lector PC / SC Compatible con creacin SIM radio aislamiento Tambin recupera informacin de una tarjeta SIM a travs del telfono Compatible con Lector PC / SC Tambin recupera informacin de una tarjeta SIM a travs del telfono Compatible con Lector PC / SC Externa Tarjetas SIM slo Compatible con Lector PC / SC Tambin recupera informacin de una tarjeta SIM a travs del telfono Interna Lector PC / SC Externa Tarjetas SIM slo Compatible con Lector PC / SC Compatible con creacin SIM radio aislamiento Externa Tarjetas SIM slo Requiere Propietaria SIM de ForensicSIM lector Compatible con creacin SIM radio aislamiento Externa Tarjetas SIM slo Compatible con Lector PC / SC Externa Tarjetas SIM slo Compatible con Lector PC / SC Externa Tarjetas SIM slo Compatible con Lector PC / SC
TULP2G
Adquisicin, Reporting
GSM. XRY
Adquisicin, reconocimiento, presentacin de informes Adquisicin, reconocimiento, presentacin de informes Adquisicin, reconocimiento, presentacin de informes Adquisicin, reconocimiento, presentacin de informes Adquisicin, reconocimiento, presentacin de informes Adquisicin, reconocimiento, presentacin de informes Adquisicin, reconocimiento, presentacin de informes Adquisicin, Reporting Adquisicin, reconocimiento, presentacin de informes Adquisicin, reconocimiento, presentacin de informes
MOBILedit! Forense
SecureView
PhoneBase2
CellDEK
SIMIS2
ForensicSIM
Card Forense Lector SIMCon USIMdetective
10
Herramientas de software forenses adquirir datos desde un dispositivo en una de dos maneras: la adquisicin fsica o lgica de adquisicin. Adquisicin fsica implica una copia bit a bit de una tienda fsica completa (por ejemplo, una unidad de disco o chip de memoria RAM), mientras que la adquisicin de lgica implica una copia bit a bit por bit de lgica objetos de almacenamiento (por ejemplo, los directorios y archivos) que residen en un almacn lgico. La diferencia radica en la distincin entre la memoria, como se ve por un proceso a travs de las instalaciones del sistema operativo (por ejemplo, una vista lgica), frente a la memoria, como se ve por el procesador y otros componentes de hardware (es decir, una visin fsica). En general, la adquisicin fsica es preferible, ya que permite a los restos de datos actual (por ejemplo, la memoria RAM no asignado o espacio de sistema de archivos no se utiliza) a ser examinado, que de otro modo no contabilizada ir en una adquisicin de lgica. Imgenes de dispositivos fsicos son generalmente ms fcilmente importados en una herramienta ms para su examen y presentacin de informes. Sin embargo, una lgica de adquisicin establece una organizacin ms natural y comprensible de la informacin adquirida. Por lo tanto, si es posible, haciendo ambos tipos de adquisicin es preferible. Las herramientas no diseados especficamente para propsitos forenses son cuestionables y deben ser evaluados a fondo antes de su uso. Aunque las herramientas de software tanto forenses y no forenses suelen utilizar los mismos protocolos para comunicarse con un dispositivo, herramientas forenses no permiten un flujo bidireccional de informacin con el fin de poblar y administrar el dispositivo, y por lo general no calculan hashes de adquirir contenido para fines de integridad. La documentacin tambin puede ser limitada y el cdigo fuente disponible para el examen, el aumento de, respectivamente, la probabilidad de error y la disminucin de la confianza en los resultados. Por un lado, las herramientas forenses no pueden ser el nico medio de obtener informacin que pueda ser relevante como prueba. Por otro, podran sobreescribir, agregar, o causar que se pierda informacin, si no se utiliza con cuidado. El resto de este captulo se ofrece una breve introduccin a cada herramienta utilizada para el presente informe.
Device Seizure
Device Seizure versin del paraben 1.1 es un conjunto de herramientas de software forense que permite a los mdicos forenses para adquirir, buscar, examinar, y los datos asociados con PDAs con Palm OS, Windows CE o RIM OS y los telfonos celulares que operan ms de CDMA, TDMA informe, as como las redes GSM y tarjetas SIM a travs de lector de SIM propietaria RS-232 del paraben. Las caractersticas del dispositivo de convulsivos incluyen la capacidad de realizar una adquisicin de lgica y fsica (depende del tipo de dispositivo), proporcionando una vista de la memoria interna y la informacin pertinente relativa a los archivos individuales y bases de datos. Para adquirir datos de telfonos celulares que utilizan software Device Seizure del paraben, el cable adecuado se debe seleccionar de Herramientas del paraben o un cable compatible (por ejemplo, el Piloto de datos) para crear un enlace de datos entre el telfono y la estacin de trabajo forense. El tipo de telfono que fue adquirido determina la interfaz de cable. RS-232 y USB, conexiones de enlace de datos en serie se han establecido a travs del puerto de datos del telfono o la conexin de interfaz de bajo-batera. Device Seizure utiliza la funcin hash MD5 para proteger la integridad de los archivos adquiridos. Las caractersticas adicionales incluyen marcadores de informacin que se filtra y se organiza en un formato de informe, la bsqueda de cadenas de texto dentro de los datos adquiridos, y montaje de forma automtica imgenes encontradas en una sola instalacin.
Piloto-Link
pilot-link es un paquete de software de cdigo abierto desarrollado originalmente para la comunidad Linux para permitir que la informacin que se transfiere entre hosts de Linux y los dispositivos Palm OS. Se ejecuta en otros sistemas operativos de escritorio, adems de Linux, como Windows y Mac OS. Alrededor de treinta
11
programas de lnea de comandos comprenden la suite de software. Para realizar un volcado fsica y lgica, piloto de enlace establece una conexin con el dispositivo con la ayuda del protocolo de HotSync. Los dos programas de inters para los examinadores forenses estn pi-pi-getram y getrom que recuperar respectivamente el contenido fsico de la memoria RAM y ROM de un dispositivo. Otro programa til es pilot-xfer, que permite la instalacin de programas y la copia de seguridad y restauracin de bases de datos. pilot-xfer proporciona un medio para adquirir el contenido de un dispositivo lgico. Los contenidos obtenidos con estas utilidades pueden ser examinados manualmente con el emulador de Palm OS (POSE), una herramienta forense compatible, como EnCase, o un editor hexadecimal. piloto de enlace no proporciona valores de hash de la informacin adquirida, lo que requiere una etapa separada para ser llevado a cabo para obtenerlos.
GSM. XRY
SoftGSM de Micro Systemation. XRY es un conjunto de herramientas de software forense para la adquisicin de datos de GSM, CDMA, telfonos mviles de 3G y tarjetas SIM / USIM. La unidad. XRY es capaz de conectar con el telfono celular dispositivos a travs de infrarrojos, Bluetooth o un cable de interfaz. Despus de establecer la conectividad, el modelo de telfono se identifica con una imagen correspondiente del telfono, el nombre del dispositivo, fabricante, modelo, nmero de serie (IMEI), identificacin del suscriptor (IMSI), el cdigo de fabricante, reloj del dispositivo, y el reloj del PC. Los datos obtenidos de los dispositivos de telefona celular se almacenan en el formato XRY. Y no se pueden modificar, pero se pueden exportar a formatos externos y ver con aplicaciones de terceros. Despus de una exitosa adquisicin, los siguientes campos se pueden rellenar con datos, dependiendo de la funcionalidad del telfono: la pantalla de resumen, los datos de casos, Informacin general, contactos, llamadas, calendario, SMS, imgenes, audio, archivos, notas, tareas, MMS Network Informacin y Video. Los archivos grficos, archivos de audio y archivos internos presentes en el telfono se pueden ver de forma interna o exportados a la estacin de trabajo forense para su custodia o de una mayor investigacin. Adems, existe soporte para la creacin de una tarjeta SIM sustituto para un original, el uso de una tarjeta SIM regrabable propietario. El SIM sustituto creado proporciona la capacidad de adquirir un dispositivo de desactivacin, mientras que las comunicaciones de red. Al proporcionar aislamiento de radio durante la adquisicin, el ID de funcin Cloner SIM elimina la posibilidad de que los datos de entrada de sobrescritura informacin recuperable. Esta funcionalidad tambin permite a los dispositivos GSM que no son legibles sin un presente SIM para ser adquirida si falta la tarjeta SIM.
Oxygen Phone Manager
La versin forense de Oxygen Phone Manager (OPM) est disponible para los departamentos de polica, unidades de aplicacin de la ley, y todos los servicios pblicos que deseen utilizar el software para fines de investigacin. La versin forense difiere de la versin no-forense de la Oficina del Primer Ministro, al prohibir cualquier cambio en los datos durante la adquisicin. En el informe anterior (NISTIR 7250 del telfono celular forense Herramientas: una visin general y anlisis) Errneamente publicado resultados utilizando la versin no-forense de Oxygen Phone Manager, por lo tanto, cada dispositivo se vuelve a llenar y volver a examinar el uso de la versin forense de la OPM. La clasificacin de los escenarios reportados anteriormente en NISTIR 7250 telfono celular Herramientas forenses: una visin general y anlisisson consistentes con los hallazgos en el presente informe con la versin forense de la OPM. Adems, Oxygen Phone Manager proporciona una versin del software para los dispositivos basados en Symbian, permitiendo examinadores para crear una conexin por cable con la ayuda de un agente instalado en el dispositivo, de lo contrario adquisiciones deben ser peformed a travs de Bluetooth o navegar manualmente por el dispositivo. Se aconseja a los examinadores a tomar extrema precaucin y consultar con un especialista forense
12
cuando la adquisicin de dispositivos que requieren modificacin o Bluetooth conectividad, que pueden potencialmente daar pruebas valiosas presentes en el dispositivo. OPM permite a los examinadores para adquirir datos desde el dispositivo y exportar los datos adquiridos en mltiples formatos soportados. El software OPM se adapta a los telfonos mviles y telfonos inteligentes fabricados por: algunos modelos de Samsung Nokia, Sony Ericsson, Siemens, Panasonic, Sendo, BenQ y. OPM ofrece bibliotecas de software, bibliotecas ActiveX y componentes para Borland Delphi para desarrolladores de software.
MOBILedit!
MOBILedit! Forensic es una aplicacin que da examinadores de la capacidad de adquirir lgicamente, buscar, analizar y reportar datos de PCS / dispositivos de telefona celular GSM / CDMA. MOBILedit! es capaz de conectarse a dispositivos de telefona celular a travs de un puerto de infrarrojos (IR), un enlace Bluetooth o un cable de interfaz. Despus de conectividad se ha establecido, el modelo de telfono se identifica por su fabricante, nmero de modelo, y el nmero de serie (IMEI) y con una imagen correspondiente del telfono. Los datos adquiridos a partir de dispositivos de telfonos celulares se almacenan en el formato de archivo. Med. Despus de una exitosa adquisicin, los siguientes campos se rellenan con los datos: informacin de abonado, especificaciones de dispositivos, Agenda, Agenda SIM, llamadas perdidas, los ltimos nmeros marcados, llamadas recibidas, Bandeja de entrada, Enviados, Borradores, carpeta de archivos. Elementos presentes en la carpeta Archivos, que van desde archivos de grficos de fotos Cmara y tonos, dependen de las capacidades del telfono. Las caractersticas adicionales incluyen el servicio myPhoneSafe.com, que proporciona acceso a la base de datos de IMEI para registrar y comprobar los telfonos robados.
BitPim
BitPim es un programa de gestin de telfono que se ejecuta en Windows, Linux y Mac OS y permite la visualizacin y manipulacin de datos en los telfonos celulares. Estos datos incluyen la gua telefnica, calendario, fondos de pantalla, tonos de llamada, videos, notas, SMS, CallHistory, T9 base de datos y el sistema de archivos integrado. Para adquirir datos utilizando con xito BitPim, los examinadores deben tener el conductor y el cable para formar una conexin entre el telfono y la estacin de trabajo forense. BitPim proporciona informacin detallada que figura en el archivo de ayuda, destacando los telfonos compatibles, cables sugeridos para usar con los modelos de telfonos especficos, y notas y How-Tos sobre situaciones especficas. BitPim se distribuye como software libre bajo la Licencia Pblica General GNU.
TULP2G
TULP2G (segundo generacin) es una herramienta de software forense de cdigo abierto originado por el Instituto Forense de Holanda que permite a los examinadores para extraer y leer los datos de los telfonos celulares mviles y tarjetas SIM. TULP2G requiere una estacin de trabajo forense que ejecuta Windows 2000 o XP, preferiblemente con los ltimos parches y Service Pack instalado, junto con. NET 1.1 SP1. Con el fin de aprovechar las recin lanzado 1.1 plug-ins, se requiere Windows XP SP2. TULP2G adquiere datos de los telfonos mviles que utilizan un cable de datos adecuada, conexin Bluetooth o IrDA y un protocolo compatible plug-in. Lectura SIMs requiere un PC / lector compatible con SC de la tarjeta inteligente y, posiblemente, un adaptador para convertir una SIM de tamao pequeo para el formato de tarjetas inteligentes de tamao estndar. Apoyo a la creacin de un SIM sustituto, utilizando la prueba de una joya SIMs Xpresso SIMIC plug-in, y ofrece la posibilidad de adquirir dispositivos al deshabilitar las comunicaciones de red,
13
SecureView
SecureView de Susteen es un conjunto de herramientas de software forense que adquiere datos de los dispositivos mviles que funcionan a travs de GSM, CDMA, redes TDMA y extraer datos de las tarjetas SIM. SecureView ofrece examinadores con un acceso de slo lectura entorno seguro, eliminando la manipulacin o eliminacin accidental de datos importantes, mientras que el apoyo de ms de 350 modelos de telfono de EE.UU. y Canad. SecureView adquiere datos de los telfonos mviles a travs de cable de datos, Bluetooth o una conexin IrDA. Kit de cable universal de celular nico de Susteen ofrece una solucin sencilla para varios modelos de telfonos y se puede utilizar con varias aplicaciones de adquisicin de mviles.
PhoneBase2
Prever Systems Ltd. PhoneBase2 ofrece examinadores de la capacidad de adquirir forma segura, buscar, analizar y crear informes finalizados de los datos que residen en los dispositivos que operan sobre redes GSM y no GSM, as como extraer los datos de las tarjetas SIM. PhoneBase2 no incluye cables de datos necesarios para crear una conexin de enlace de datos con xito desde el dispositivo al PC. Varias soluciones de hardware de terceros (por ejemplo, Susteen) se pueden utilizar con el cable y el controlador adecuado se instalan para una comunicacin exitosa a travs de un cable de interfaz. PhoneBase2 adquiere datos de los telfonos mviles a travs de cable de datos, Bluetooth o un interfaz IrDA.
CellDEK
CellDEK de Logicube Inc. est diseado para obtener datos de los telfonos celulares que operan sobre redes GSM y no GSM, PDAs, tarjetas SIM y los medios de comunicacin basados en flash. La unidad proporciona CellDEK examinadores con la capacidad de conectarse a los dispositivos mencionados a travs de una conexin por cable, Bluetooth o IrDA. El terminal CellDEK contiene un incrustadas PC con pantalla tctil, cables de datos para varios fabricantes de telfonos, PC / lector de tarjetas SIM SC y un lector de tarjeta de memoria flash protegida contra escritura, empaquetado en una caja de transporte resistente y hermtico. Las adquisiciones se almacenan en el Disco duro y de CellDEK se puede mover o copia de seguridad en una unidad flash USB.
SIMIS2
SIMIS2 es una herramienta forense de Crownhill EE.UU. que da los examinadores de la capacidad de extraer los datos de una tarjeta SIM segura y proteger la integridad de los datos con los hashes criptogrficos. Se necesita un dongle USB para operar el software en una computadora de escritorio. El escritorio SIMIS2 es capaz de decodificar los datos Unicode se encuentran en la tarjeta SIM, como mensajes de texto activos y eliminados e informacin gua telefnica. La compaa tambin ofrece la SIMIS2 Lector de mano mvil, que es un lector de SIM independiente porttil que puede capturar los datos SIM para la transferencia al escritorio SIMIS2. Apoyo para la creacin de una tarjeta de radio-aislamiento, proporciona examinadores con la capacidad de adquirir dispositivos sin interrupcin de la red, a travs de la unidad de mano SIMIS.
ForensicSIM
ForensicSIM Toolkit Radio de tctica consta de los siguientes componentes: Terminal de adquisicin, tarjeta de control, tarjetas de almacenamiento de datos, aplicaciones de anlisis, y lector de tarjetas. El terminal de adquisicin es una unidad independiente que gua al examinador a travs de cada paso del proceso de adquisicin. El kit de herramientas ForensicSIM trata de dos procesos: adquisicin de datos y anlisis de los datos. La adquisicin de datos se lleva a cabo utilizando el terminal de adquisicin. El anlisis de datos se lleva a cabo utilizando el lector de tarjetas ForensicSIM, unido a una PC que ejecuta la aplicacin de anlisis ForensicSIM. La principal funcin del terminal es para capturar las copias de los datos de la tarjeta SIM de destino para un conjunto de tarjetas de almacenamiento de datos. Una tarjeta de control se utiliza para proporcionar el acceso examinador a la terminal de adquisicin,
14
frustrando el uso no autorizado. Las tarjetas de almacenamiento de datos consisten en una tarjeta principal de almacenamiento de datos, una tarjeta de almacenamiento de datos de procesamiento, una tarjeta de almacenamiento de datos de la defensa, y la tarjeta de acceso del auricular. La tarjeta de acceso auricular sirve como sustituto de una tarjeta SIM para un telfono, lo que permite que el dispositivo se adquiri con las comunicaciones de red con discapacidad. El kit de herramientas permite a los examinadores de acceso de slo lectura a SIMs y genera informes de texto basado en los contenidos adquiridos. Los informes pueden ser vistos internamente, guardar en disco o imprimirse para fines de presentacin.
Lector de tarjetas Forense
El lector de tarjetas Forense (FCR) se compone de un lector de tarjeta inteligente USB y el software de FCR que da los examinadores de la capacidad de adquirir datos de las tarjetas de SIM sin modificacin. El examinador tiene la posibilidad de seleccionar los elementos de datos especficos que luego pueden ser almacenados y mostrados en un informe final. Detalles de operaciones, como el nmero de caso, el nmero de pruebas, y el examinador puede ser fusionado de forma automtica en el informe y su nombre de archivo. Todos los elementos de los datos habituales son adquiridas (por ejemplo, un directorio telefnico, nmeros abreviados de marcado, los nmeros de marcacin fija y mensajes SMS), como as como los identificadores de la tarjeta SIM y el abonado. Elementos especiales como los mensajes SMS borrados tambin pueden ser adquiridos. El FCR almacena un informe completo en un formato XML. Tarjetas SIM para telfonos mviles GSM y mviles 3G se pueden utilizar con la FCR. Censada extendidas pueden ser adquiridos, incluidos los nmeros adicionales y direcciones de correo electrnico. El lector FCR suministrado acepta ya sea pequeas o grandes tarjetas SIM sin la necesidad de un adaptador.
SIMCon
SIMCon funciona con cualquier lector de tarjetas inteligentes compatible con el estndar con el estndar PC / SC. Al completar la adquisicin de los datos de la tarjeta SIM, el contenido de la tarjeta SIMCon se almacena en archivos nicos identificados por un cdigo de identificacin del archivo de dos bytes. Los archivos individuales pueden contener muchos elementos informativos llamados "elementos" y se muestran en forma de tabla. Cada elemento, cuando se selecciona, se puede mostrar en hexadecimal o una interpretacin textual. Adems de contenido de archivo SIM estndar, SIMCon tambin tiene la opcin de hacer un anlisis exhaustivo de todos los directorios y archivos que pueden estar presentes en la tarjeta SIM, para adquirir los directorios y archivos no estandarizados. Los examinadores pueden crear informes personalizados mediante la seleccin de la informacin de archivo que se refiere a la investigacin.
USIMdetective
USIMdetective herramienta de adquisicin SIM Quantaq Solutions ofrece examinadores con el abiltity para adquirir, analizar y generar informes desde cualquier tarjeta SIM o USIM usando una PC / SC lector compatible. Elementos adquiridos se pueden mostrar en un formato de texto o hexadecimal. Archivos de comprobacin de integridad de imagen (. CII) se crean con cada adquisiciones proporcionando proteccin contra la manipulacin de datos en anlisis ulteriores. USIMdetective proporciona informes mltiples tipos de salidas, a partir de un "informe estndar" a un "Informe de contenido de archivos", que proporciona ms fino detalle de los datos adquiridos.
15
Descripcin Anlisis
Una metodologa sencilla se sigui para comprender y evaluar las capacidades de las herramientas forenses descritos en la seccin anterior. Los pasos principales se ilustran en la Figura 3. En primer lugar, se reuni a un grupo de dispositivos de destino que van de lo simple a los telfonos inteligentes. A continuacin, se llev a cabo un conjunto de actividades prescritas, como realizar y recibir llamadas, para cada telfono. Despus de la aplicacin de uno o ms de tales escenarios, el contenido del telfono y / o asociados SIM fueron adquiridos utilizando una herramienta disponible y se examinaron para determinar si la evidencia de una actividad podra ser recuperado como se esperaba. Por ltimo, se realiz una misin de lo bien que la herramienta cumple las expectativas predefinidas. Al menos dos personas diferentes realizan cada escenario y se les asigna una clasificacin por separado, se resolvieron las discrepancias observadas.
Figura 3: Herramienta de Evaluacin
Para los telfonos GSM, se aplicaron dos conjuntos de escenarios: uno para los telfonos que contienen un SIM asociada, y el otro para tarjetas SIM retirados de sus telfonos mviles y examinaron de forma independiente. Para CDMA y otros tipos de telfonos que no dependen de una tarjeta SIM, slo se utiliz el anterior conjunto.
Dispositivos de destino
Se necesita un nmero adecuado pero limitado de dispositivos de destino en el que para llevar a cabo los escenarios. Los dispositivos de destino seleccionados, aunque no muy abundante, cubre una amplia gama de sistemas operativos, tipos de procesadores y componentes de hardware. Estas variaciones fueron pensados para descubrir diferencias sutiles en el comportamiento de las herramientas forenses en la adquisicin y el examen. Tabla 3 destaca las caractersticas principales de cada dispositivo de destino, que se enumeran ms o menos a partir de los dispositivos con ms capacidades a dispositivos menos capaces, en lugar de alfabticamente. Tenga en cuenta que los dispositivos ms capaces enumerados tienen una herencia PDA, en la medida en que utilizan Windows Mobile, Palm OS, RIM OS o sistemas operativos Symbian.
Tabla 3: Caractersticas del dispositivo de destino
Software Samsung SGH-i300 Windows Mobile 2003 SE, SMS, EMS, MMS, correo electrnico (IMAP4, POP3) Web (HTML, WAP 2.0)
Hardware 416 MHz Intel XScale procesador 3 GB HDD 64 MB RAM Pantalla a color 262144 colores TFT mostrar 1.3 megapixel / flash de la cmara TransFlash ranura
Sin hilos GSM 900/1800/1900 GPRS Bluetooth IrDA
16
Software Motorola MPX220 Windows Mobile para Telfonos inteligentes 2003 SMS, EMS, MMS Chat SMS Email(IMAP4, POP3) Web (HTML, WAP 2.0)
Hardware 200 MHz OMAP 1611 procesador 64 MB ROM 32 MB RAM Pantalla a color Segundo monocromopantalla de la cmara Slot MiniSD 144 MHz OMAP 1510 Procesador basado en ARM 32 MB de RAM (24 MB display ranura disponible) Color QWERTY teclado SD / MMC (con SDIO)
Sin hilos GSM 850/900 / 1800/1900 GPRS Bluetooth IrDA
Treo 600
Palm OS 5.2 SMS, EMS, MMS Chat SMS Email(POP3, SMTP) Web (HTML 4.0, XHTML, WML 1.3)
GSM 850/900 / 1800/1900 GPRS IrDA
Sony Ericsson P910a
Symbian 7.0, 2.1 UIQ SMS, EMS, MMS Email (POP3, IMAP4) Web (WAP)
Procesador ARM 9 64MB ROM 32MB RAM Pantalla en color Cmara Memory Stick Pro Duo slot
GSM 850/1800/1900 HSCSD, GPRS Bluetooth IrDA
Samsung i700
Pocket PC 2002 Phone Edicin SMS (sin EMS / MMS) Correo electrnico Web Mensajera instantnea
300 MHz StrongArm Procesador PXA250 Memoria flash de 32 MB 64MB SDRAM color de pantalla de la cmara giratoria SD / MMC (con SDIO) Procesador de 123 MHz 8 MB de memoria dinmica interna Pantalla en color Cmara Tamao reducido MMC
AMPS 800 CDMA 800/1900 1xRTT IrDA
Nokia 7610
Symbian 7.0 Series 60 2.0 SMS, MMSConcatenated Correo electrnico SMS (SMTP, POP3, IMAP4) Mensajera instantnea Web (WAP 2.0, HTML, XHTML y WML) Palm OS 4.1 SMS, EMS (sin MMS) Correo electrnico (POP, IMAP, SMTP) Web (HTML 3.2)
GSM 850/1800/1900 HSCSD, GPRS Bluetooth
Kyocera 7135
33 MHz Dragonball VZ procesador 16 MB voltil Color de la pantalla SD / MMC ranura (con SDIO)
AMPS 800 CDMA 800/1900 1xRTT IrDA
17
Software BlackBerry 7780 RIM OS SMS Email(POP3) Web (WAP) RIM OS SMS (sin EMS / SMS) Email (POP3, IMAP4) Web (WAP 2.0, WML / HTML)
Hardware 16 MB de memoria flash ms 2 MB SRAM color de pantalla con teclado QWERTY ARM7TDMI (Chipset Qualcomm 5100) 14 MB de memoria flash 2 MB SRAM color de la pantalla del teclado QWERTY Memoria interna de 5 MB Pantalla en color Cmara
Sin hilos GSM 850/1800/1900 GPRS
BlackBerry 7750
CDMA 800/1900 1xRTT
Motorola V300
SMS, EMS, MMS Chat SMS Nokia Smart Mensaje Instantneo de mensajera de correo electrnico (SMTP, POP3, IMAP4) Web (WAP 2.0) SMS, EMS, MMS Chat SMS, Email Web (WAP 2.0) Serie 40 SMS, MMS SMS concatenados SMS chat No email Web (WAP 1.2.1 XHTML)
GSM 900/1800/1900 GPRS
LG4015
Memoria interna 610KB Pantalla en color 4 MB de memoria de usuario Pantalla a color de 8 lneas Cmara Radio FM
GSM 850/1900 GPRS GSM 900/1800/1900 HSCSD, GPRS IrDA
Nokia 6610i
Ericsson T68i
Sanyo 8200
SMS / EMS mensajera MMS mensajera de correo electrnico (POP3, SMTP) Chat SMS Web (WAP 1.2.1/2.0, WLTS) SMS, EMS Picture Mail Email Web WAP 2.0 De mvil a mvil (Walkie talkie)
Pantalla en color Accesorio de la cmara opcional
GSM 900/1800/1900 HSCSD, GPRS Bluetooth IrDA
Pantalla en color Segundo pantalla a color Cmara
AMPS 850 CDMA 850/1900
18
Software Nokia 6200 SMS, EMS, MMS Emaila travs de SMS Chat SMS Web (WAP 1.2.1, XHTML) EMS, MMS SMS Chat No email Web (WAP 2.0) SMS, SMS de chat ccsme Web (WAP 1.2.1) SMS (no el ccsme) AOL Instant Messenger Web (WAP 1.1) SMS Mensajes con fotos Emaila travs de SMS AOL Instant Messager
Hardware Pantalla en color Radio FM
Sin hilos GSM 850/1800/1900 GPRS, EDGE IrDA
Audiovox 8910
Pantalla en color Segundo monocromomostrar Cmara Pantalla grfica monocromtica
AMPS 850 CDMA800/1900 1xRTT
Motorola C333 Motorola V66 Nokia 3390
GSM 850/1900 GPRS GSM 900/1800/1900 GPRS GSM 1900
Pantalla grfica monocromtica Pantalla grfica monocromtica
No todas las herramienta soporta todos los dispositivos de destino. De hecho, lo contrario es cierto - una herramienta especfica tpicamente soporta slo un nmero limitado de dispositivos. La determinacin de qu herramienta utilizar para el dispositivo que se basa principalmente en la lista documentada de la herramienta de telfonos compatibles. Siempre exista ambigedad, un intento de adquisicin se llev a cabo para tomar una determinacin. La Tabla 4 resume los diferentes dispositivos de destino utilizados con cada herramienta. El orden de los dispositivos no es pertinente en las capacidades que se alfabetizan de coherencia en todo el resto del documento. El cuadro no incluye herramientas SIM forenses, que apoyan la mayora de tarjetas SIM que se encuentran en los dispositivos GSM.
Tabla 4: dispositivos de destino compatibles con cada herramienta
Device Seizure
MOBILedit!
PhoneBase2 X
Piloto-link
SecureView
GSM. XRY
TULP2G
Audiovox 8910 Blackberry 7750 Blackberry 7780 Ericsson T68i
X X X X X X X
x*
Acquisition is supported only for non pay-as-you go carriers
19
CellDEK
BitPim
OPM
Device Seizure
MOBILedit!
PhoneBase2 X X X
Piloto-link
SecureView
GSM. XRY
TULP2G
Kyocera 7135 LG4015 Motorola C333 Motorola MPX220 Motorola V66 Motorola V300 Nokia 3390 Nokia 6200 Nokia 6610i Nokia 7610 Samsung i700 Samsung SGH-i300 Sanyo 8200 Sony Ericsson P910a Treo 600
X X X X X X X
X x* X X X
X X X X X X X
X X
X X
X X X
X X
X X X X X
X X
X X X X
Aunque SIMs estn altamente estandarizados, su contenido puede variar entre los operadores de redes y proveedores de servicios. Por ejemplo, un operador de red puede crear un archivo adicional en la tarjeta SIM para su uso en sus operaciones o puede instalar una aplicacin para proporcionar un servicio nico. SIM tambin pueden ser clasificados de acuerdo a la "fase" de las normas GSM que apoyan. Las tres fases son definidos fase 1, fase 2 y fase 2 +, que corresponden ms o menos a la primera, segunda, y 2,5 instalaciones de la red de generacin. Otra clase de tarjetas SIM en el despliegue temprano es universal SIM (USIM) usado en la tercera generacin (3G). A excepcin de pay-as-you-go telfonos, cada telfono GSM se combina con una tarjeta SIM que ofreca servicios compatibles con las capacidades del telfono. Slo un subconjunto de las tarjetas SIM utilizadas en los escenarios de telfonos fueron utilizados para los escenarios de la tarjeta SIM. Tabla 5 enumera el identificador y la fase de las tarjetas SIM utilizadas en este anlisis, el operador de red asociada, y algunos de la red de asociados
Acquisition is supported only for non pay-as-you go carriers
20
CellDEK
BitPim
OPM
servicios activados en el SIM. A excepcin de pay-as-you-go telfonos, cada telfono GSM se combina con una tarjeta SIM que ofreca servicios compatibles con las capacidades del telfono.
Tabla 5: SIMs
SIM
Fase 2 - Descarga el perfil requerido
Red
Servicios Nmeros de marcacin abreviada (ADN) Nmeros de marcacin fija (FDN) Breve de almacenamiento de mensajes (SMS) ltimos nmeros marcados (LND) General Packet Radio Service (GPRS) Nmeros de marcacin abreviada (ADN) Nmeros de marcacin fija (FDN) Breve de almacenamiento de mensajes (SMS) ltimos nmeros marcados (LND) Grupo Identificador Nivel 1 (GID1) Identificador Nivel 2 (GID2) Servicio de nmeros de marcacin de grupo (SDN) General Packet Radio Service (GPRS) Nmeros de marcacin abreviada (ADN) Nmeros de marcacin fija (FDN) Breve de almacenamiento de mensajes (SMS) ltimos nmeros marcados (LND) General Packet Radio Service (GPRS)
1144
AT & T
8778
2 - Descarga el perfil requerido
Cingular
5343
2 - Descarga el perfil requerido
T-Mobile
En general, las herramientas forenses SIM no se recuperan cada posible elemento de un SIM. Mientras que algunas herramientas tienen como objetivo recuperar toda la informacin de actualidad, la mayora se concentran en un subconjunto considerado ms til como prueba forense. La amplitud de la cobertura vara considerablemente entre las herramientas. Tabla 6 entradas proporcionan una visin general de los elementos recuperados, que se enumeran a la izquierda, por las diversas herramientas forenses SIM, figuran en la parte superior.
21
Tabla 6: Contenido Cobertura de recuperacin
Device Seizure
Internacional de Telecomunicaciones Mviles Identidad AbonadoIMSI Tarjeta de de Circuito Integrado Identificador- ICCID Abonado Mvil RDSI- MSISDN
Nombre del proveedor de servicios- SPN Identificacin de la FaseFase Tabla de servicio SIM- SST Preferencia de idioma- LP La marcacin abreviada Nmeros- ADN ltimos nmeros marcadosLND Servicio de mensajes cortosSMS
X X
X X X X X
X X X X
X X X X X
X X X
X X X X
X X
Ledo / no ledo Suprimido
X X X X
X X
X X X X
X X X X
X X X X
X X X X
X X
X X
X X X X
Selector de PLMN- PLMNsel PLMNs ForbiddenFPLMNs Informacin de ubicacinLOCI Localizacin GPRS Informacin- GPRSLOCI
22
USIMdetective
MOBILedit!
PhoneBase2
ForensicSIM
SecureView
GSM. XRY
TULP2G
CellDEK
SIMCon
SIMIS2
FCR
Escenarios
Los escenarios que definen un conjunto de actividades prescritas usadas para medir las capacidades de la herramienta forense para recuperar informacin de un telfono, a partir de la conectividad y la adquisicin y moviendo progresivamente hacia situaciones ms interesantes relacionados con las aplicaciones ms comunes, formatos de archivo y la configuracin del dispositivo. Los escenarios no estn destinados a ser exhaustiva o para servir como una evaluacin formal del producto. Sin embargo, en su intento de cubrir una amplia gama de situaciones comnmente encontradas al examinar un dispositivo (por ejemplo, la ofuscacin de datos, datos que ocultan los datos, depuracin) y son tiles en la determinacin de las caractersticas y funcionalidades que ofrece un examinador. Tabla 7 proporciona una visin general de estos escenarios, que son genricos para todos los dispositivos con capacidades de telefona celular. Para cada escenario en la lista, una descripcin de su objeto, el mtodo de ejecucin y resultados esperados se resumen. Tenga en cuenta que las expectativas son comparables a las de un examinador tendra cuando se trata con el contenido de una unidad de disco duro en lugar de un PDA / telfono celular. Aunque las caractersticas de los dos son muy diferentes, la recuperacin y el anlisis de informacin de un disco duro es una lnea de fondo bien entendida para la comparacin y con fines pedaggicos. Por otra parte, existen medios comparables de recuperacin de pruebas digitales de la mayora de los telfonos, tales como desoldar y la eliminacin de la memoria no voltil y la lectura de los contenidos con un programador dispositivo adecuado. Tenga en cuenta tambin que ninguno de los escenarios intente para confirmar si se preserva la integridad de los datos en un dispositivo cuando la aplicacin de una herramienta - tema que est fuera del alcance de este documento.
Tabla 7: Escenarios de telfono
Guin Conectividad y Recuperacin
Descripcin Determinar si la herramienta puede conectarse correctamente al equipo y recuperar el contenido de la misma. Habilitar autenticacin del usuario en el dispositivo antes de la adquisicin, que requiere un PIN, contrasea u otra informacin de autenticacin que se sabe que se suministra para el acceso. Iniciar la herramienta en una estacin de trabajo forense, intente conectarse con el dispositivo y adquirir su contenido, verificar que los resultados son consistentes con las caractersticas conocidas del dispositivo. Esperar que el mecanismo de autenticacin (s) puede ser satisfecha sin afectar a la herramienta, y la informacin que reside en el dispositivo puede ser recuperada.
Las aplicaciones PIM
Determinar si la herramienta se puede encontrar informacin, incluyendo borrado informacin, relacionados con la gestin de informacin personal (PIM) aplicaciones como la agenda y la Agenda. Crear varios tipos de archivos PIM en el dispositivo, eliminar selectivamente algunas entradas, adquirir el contenido del dispositivo, localizar y visualizar la informacin. Esperar que toda la informacin relacionada con PIM en el dispositivo se puede encontrar e inform, si no eliminado previamente. Esperar que los remanentes de la informacin borrada se pueden recuperar y reportados.
23
Marcadas / Recibidas Telfono Llamadas
Determinar si la herramienta se puede encontrar llamadas realizadas y recibidas, incluidas las llamadas sin respuesta y sean eliminados. Lugar y recibir varias llamadas desde y hacia diferentes nmeros, borrar de forma selectiva algunas entradas, adquirir el contenido del dispositivo, buscar y mostrar las llamadas realizadas y recibidas. Esperar que todas las llamadas realizadas y recibidas en el dispositivo pueden ser detectadas e informadas, si no eliminados. Esperar que los remanentes de la informacin borrada se pueden recuperar y reportados.
Mensajera SMS / MMS
Determinar si la herramienta puede encontrar realizadas y recibidas SMS / MMS mensajes, incluyendo los mensajes eliminados. Lugar y recibir tanto mensajes SMS y MMS, eliminar selectivamente algunos mensajes, adquirir el contenido del dispositivo, buscar y mostrar todos los mensajes. Esperar que todos los mensajes SMS / MMS enviados y recibidos en el dispositivo pueden ser detectadas e informadas, si no eliminados. Esperar que los remanentes de la informacin borrada se pueden recuperar y reportados.
Mensajera Internet
Determinar si la herramienta puede encontrar enviados y recibidos correo electrnico e Instant Mensajes de mensajes (IM), incluidos los mensajes eliminados. Enviar y recibir tanto mensajes de correo electrnico y mensajera instantnea, eliminar selectivamente algunos mensajes, adquirir el contenido del dispositivo, buscar y mostrar todos los mensajes. Esperar que toda la mensajera instantnea y los mensajes en el dispositivo enviados y recibidos pueden ser detectadas e informadas, si no eliminados. Esperar que los remanentes de la informacin borrada se pueden recuperar y reportados. Determinar si la herramienta se puede encontrar un sitio Web visitada y la informacin intercambiada a travs de Internet. Utilizar el dispositivo para visitar sitios web especficos y realizar consultas, eliminar selectivamente algunos datos, adquirir el contenido del dispositivo de localizar y mostrar las direcciones URL de los sitios visitados y los datos asociados adquirida (por ejemplo, imgenes, texto). Esperar que la informacin sobre la actividad Web ms reciente se puede encontrar e inform. Determinar si la herramienta se puede encontrar y mostrar una recopilacin de archivos de texto que residen en el dispositivo, incluidos los archivos borrados. Carga el dispositivo con varios tipos de archivos de texto (a travs de correo electrnico y dispositivo de protocolos de sincronizacin) eliminar selectivamente algunos archivos, adquiera el contenido del dispositivo, encontrar y reportar los datos. Esperar que todos los archivos con los formatos de archivo de texto comunes (es decir,. txt,. doc, . Pdf) puede ser comprobada, se indicar, si no eliminado. Esperar que los remanentes de la informacin borrada se pueden recuperar y reportados.
Aplicaciones Web
Formatos de archivo de texto
24
Formatos de archivo de grficos
Compressed Archive Archivo Formatos
Determinar si la herramienta se puede encontrar y mostrar una recopilacin de la grficos formateados archivos que residen en el dispositivo, incluidos los archivos eliminados. Carga el dispositivo con varios tipos de archivos grficos, (a travs de correo electrnico y dispositivo de protocolos de sincronizacin) eliminar selectivamente algunos archivos, adquiera el contenido del dispositivo, localizar y visualizar las imgenes. Esperar que todos los archivos con los formatos de archivos grficos comunes (es decir,. bmp, . Jpg,. Gif,. Tif y. Png) se puede encontrar, inform, y se muestra en conjunto, si no se elimina. Esperar que los remanentes de la informacin borrada se pueden recuperar y reportados. Determinar si la herramienta se puede buscar texto, imgenes y otra informacin situada dentro comprimido archivar archivos con formato (por ejemplo,. zip,. Rar, . Tar, . Tgz y de extraccin automtica. Exe) que reside en el dispositivo. Carga el dispositivo con varios tipos de archivos comprimidos (por correo electrnico y protocolos de sincronizacin de dispositivos) adquieren el contenido del dispositivo, buscar y mostrar nombres de archivos seleccionados y los contenidos del archivo. Espera que el texto, imgenes y otra informacin contenida en los archivos los archivos de formato comprimido puede ser encontrado y reportado. Determinar si la herramienta es capaz de reconocer los tipos de archivos con la informacin de encabezado en lugar de la extensin de archivo, y encontrar los archivos de texto y grficos con formato comn que han sido mal llamada con extensiones engaosas. Carga el dispositivo (por correo electrnico y protocolos de sincronizacin de dispositivos) con diversos tipos de texto comn (por ejemplo,. txt) y archivos de grficos (por ejemplo,. bmp,. jpg,. gif y. png) que han sido deliberadamente mal llamada, adquirir el contenido del dispositivo, localizar y mostrar el texto y las imgenes seleccionadas. Esperar que todo el texto mal llamada y archivos grficos que reside en el dispositivo pueden ser reconocidos, informaron, y, para las imgenes, que se muestran. Determinar si la herramienta se puede adquirir archivos individuales almacenados en una memoria tarjeta insertada en el dispositivo y si los archivos borrados puede ser identificado y recuperado. Insertar una tarjeta de memoria con formato que contiene texto, grficos, archivos y archivos mal llamados en una ranura correspondiente del dispositivo, elimine algunos archivos, adquiera el contenido del dispositivo, encontrar y visualizar archivos seleccionados y los contenidos del archivo, incluyendo archivos borrados. Esperar que los archivos de la tarjeta de memoria, incluyendo archivos borrados, pueden ser debidamente adquiridos, que se encuentra, y la notificacin de la misma manera como se esperaba con la memoria en el dispositivo. Determinar si la herramienta proporciona hashes consistentes en archivos que residen en el dispositivo para dos adquisiciones back-to-back Adquirir el contenido del dispositivo y crear un hash sobre la memoria, para adquisiciones fsicas, y ms de los archivos individuales, para adquisiciones lgicas. Esperar que los hashes en los hashes de archivos individuales son coherentes entre las dos adquisiciones, pero inconsistente de los hashes de memoria.
Archivos mal llamada
Tarjetas de memoria perifricos
La consistencia de Adquisicin
25
Dispositivos aclarados
Determinar si la herramienta puede adquirir cualquier informacin de usuario de la dispositivo o memoria perifrica despus de un restablecimiento completo se ha realizado. Lleve a cabo un restablecimiento completo en el dispositivo, adquirir sus contenidos, y buscar y mostrar nombres de archivo disponibles anteriormente y los contenidos del archivo. Esperar que no hay archivos de usuario, excepto los que figuran en la tarjeta de memoria de la periferia, si estn presentes, se pueden recuperar. Determinar si la herramienta puede adquirir cualquier informacin del usuario desde el dispositivo despus de se ha vaciado por completo del poder. Completamente drenar el dispositivo de poder por agotar la batera o quitar la batera durante la noche y luego reemplazar, adquirir contenidos del dispositivo, y buscar y mostrar nombres de archivo disponibles anteriormente y los contenidos del archivo. Esperar que no hay archivos de usuario, excepto los que figuran en la tarjeta de memoria de la periferia, si estn presentes, se pueden recuperar.
Prdida de energa
Un conjunto distinto de escenarios fue desarrollado para herramientas forenses SIM. Los escenarios SIM difieren de los escenarios de telfono en varias maneras. SIMs son dispositivos altamente estandarizados con interfaces relativamente uniformes, comportamiento y contenido. Todas las herramientas SIM Apoyo en general cualquier SIM para la adquisicin a travs de un lector externo. Por lo tanto, el nfasis en estos escenarios es el de cargar la memoria de la tarjeta SIM con tipos especficos de informacin para la recuperacin, en lugar de la memoria del telfono. Una vez que un escenario se completa utilizando un telfono GSM adecuado o programa de gestin de SIM, la tarjeta SIM puede ser procesada por cada una de las herramientas de SIM en sucesin. Tabla 8 ofrece una visin general de los escenarios SIM, incluyendo su propsito, el mtodo de ejecucin y resultados esperados.
Tabla 8: Escenarios SIM
Guin Datos bsicos
Descripcin Determinar si la herramienta puede recuperar abonado (es decir, IMSI, ICCID, SPN, y los archivos elementales PT), PIM (es decir, el archivo de primaria ADN), llamada (es decir, LND archivo elemental) y SMS mensaje de informacin relacionada con la tarjeta SIM, incluyendo entradas eliminadas, y si todos los datos estn correctamente decodificados y mostrados. Rellenar la tarjeta SIM con la conocida PIM, llamadas y mensajes SMS informacin relacionada que pueda ser verificada despus de la adquisicin, y luego retire la tarjeta SIM para la adquisicin y anlisis. Esperar que toda la informacin que reside en el SIM puede ser adquirida y inform con xito. Determinar si la herramienta puede recuperar la informacin relacionada con la localizacin (es decir, LOCI, LOCIGPRS, y los archivos elementales FPLMN) en la tarjeta SIM y si todos los datos se decodifican correctamente y se muestran. La informacin de ubicacin puede indicar que el dispositivo se utiliz por ltima vez para un servicio en particular y de otras redes que podra haber encontrado. Registro los datos relacionados con la ubicacin mantenidos por la red en la tarjeta SIM mediante la realizacin de operaciones de voz y datos en ubicaciones conocidas, a continuacin, quitar la tarjeta SIM para la adquisicin y el anlisis. Esperar que toda la informacin relacionada con la localizacin puede ser adquirida y inform con xito.
Datos de Ubicacin
26
Guin EMS Data
Descripcin Determinar si la herramienta puede recuperar mensajes EMS ms de 160 caracteres de longitud y el contenido no textual que contiene, y si todos los datos son decodificados adecuadamente y se muestran los mensajes activos y eliminado. Mensajes EMS pueden transmitir imgenes y sonidos, as como texto con formato, como una serie de mensajes SMS concatenados. Rellenar la tarjeta SIM con el contenido ccsme conocido que puede ser verificada despus de la adquisicin, a continuacin, quitar la tarjeta SIM para la adquisicin y el anlisis. Esperar que los mensajes EMS pueden ser adquiridos y reportados con xito. Determinar si la herramienta puede recuperar los mensajes SMS y datos PIM de la SIM que est en un idioma extranjero, y si todos los datos estn correctamente decodificado y se muestra. Rellenar la tarjeta SIM con SMS conocidas y contenido PIM que pueden ser verificados despus de la adquisicin, a continuacin, quitar la tarjeta SIM para la adquisicin y el anlisis. Esperar que los datos de lengua extranjera pueden ser adquiridos y reportados con xito.
Relaciones Data Language
Los captulos siguientes proporcionan una breve discusin sobre las herramientas previamente tratados en NISTIR 7250 - Telfono celular forenses Herramientas: una visin general y anlisisy una sinopsis detallada sobre las herramientas que antes no cubiertos, as como los que han sido objeto de cambios significativos. Un resumen de los resultados de la aplicacin de los escenarios anteriores para los dispositivos de destino determina el grado en que una herramienta dada cumple con las expectativas enumerados. La sinopsis herramienta se centra en varias reas funcionales principales: adquisicin, bsqueda, biblioteca de grficos e informes, as como otros tiles caractersticas tales como el etiquetado descubrieron pruebas con un marcador. Los resultados del escenario para cada herramienta se pesan en contra de las expectativas predefinidos definidos anteriormente en la Tabla 7 y la Tabla 8, y se les asigna una clasificacin. La entrada "Conoce" indica que el software cumple con las expectativas del escenario para el dispositivo en cuestin. Dado que los escenarios estn orientados de adquisicin, este ranking generalmente significa que todos los datos identificados se recuperaron con xito. Una advertencia es que algunos telfonos carecen de la capacidad para manejar ciertos datos prescritos en virtud de un escenario, en cuyo caso la clasificacin se aplica slo al subconjunto relevante. Del mismo modo, la entrada "Abajo" indica que el software no lleg a satisfacer plenamente las expectativas, mientras que "Por encima" indica que el programa super las expectativas. Una clasificacin de "abajo" es a menudo consecuencia de una herramienta de realizacin de una adquisicin lgica y no poder recuperar los datos eliminados, lo cual es comprensible. Sin embargo, la clasificacin tambin puede ser debido a los datos activos colocados en el dispositivo no est recuperado con xito, lo que es ms de una preocupacin. Una clasificacin "encima" es tpicamente un resultado asociado con las caractersticas de un dispositivo, tales como la funcin de reinicio no eliminar completamente los datos y dejando restos para la recuperacin por la herramienta. Clasificacin de "arriba" slo deben presentarse con los dos ltimos escenarios de telfono: Dispositivos borra y prdida de potencia. La entrada de "Miss" indica que el software sin xito, reuni las expectativas, destacando una zona potencial de mejora. Por ltimo, la entrada "ND" indica que un escenario particular no era aplicable al dispositivo.
27
Sinopsis del apoderamiento Device

Device Seizure versin 1.15 es capaz de adquirir informacin de Pocket PC, Palm OS y dispositivos BlackBerry, incluyendo aquellos con capacidades mviles, tarjetas SIM y tanto GSM y los telfonos celulares no GSM. Confiscacin de dispositivos permite al examinador para conectar un dispositivo a travs de una conexin serie o USB. Los examinadores deben tener los cables y cunas correctas para garantizar la conectividad, software de sincronizacin compatible, y una fuente de batera de reserva disponible. Software de sincronizacin (por ejemplo, Microsoft ActiveSync, Palm HotSync, el software BlackBerry Desktop Manager) permite a los examinadores para crear una asociacin entre los invitados la estacin de trabajo forense y el dispositivo bajo investigacin.
Pocket PC Telfonos
Device Seizure adquiere un PC dispositivo de telfono mvil de bolsillo se hace a travs de Device Seizure con la ayuda del protocolo de comunicacin ActiveSync de Microsoft. Un examinador crea una conexin ActiveSync como un "invitado" en el dispositivo. La cuenta de "husped" es esencial para que se anule cualquier sincronizacin de contenido entre la estacin de trabajo y el dispositivo antes de la adquisicin. Antes de que comience la adquisicin, la incautacin de dispositivos coloca una pequeadll archivo de programa en el dispositivo en el primer bloque de la memoria disponible, que luego se retira al final de la adquisicin. Paraben indic que utiliza el Device Seizure dll para acceder a regiones no asignados de memoria en el dispositivo. Para obtener la informacin restante, la incautacin de dispositivos utiliza la API remota (RAPI) 6, que proporciona un conjunto de funciones para aplicaciones de escritorio para comunicarse y acceder a informacin sobre plataformas Windows CE. Estas funciones son accesibles tras un dispositivo Windows CE est conectado a travs de ActiveSync. Funciones RAPI estn disponibles para los siguientes: Informacin del sistema de dispositivos - incluye la versin, memoria (total, usada y disponible), y la recuperacin de estado de energa Archivo y directoriodireccin - permite la recuperacin de la informacin de la ruta, encontrar archivos especficos, los permisos, el tiempo de la creacin, etc Acceso a base de datos de la propiedad - permite que la informacin a ser recogidadeinformacin de base de datos en el dispositivo Registro demanipulacin - permite que elRegistro a consultar (es decir, las claves y el valor asociado) Si el dispositivo est protegido con contrasea, la contrasea correcta debe ser suministrado antes de que comience la etapa de adquisicin, como se ilustra a continuacin en la Figura 4. Si la contrasea correcta no es conocido o proporcionado, la conectividad no se puede establecer y el contenido del dispositivo no puede ser adquirida.
5 6
Informacin adicional sobre los productos del paraben se puede encontrar en:http://www.paraben-forensics.com Informacin adicional sobre RAPI se puede encontrar en:http://www.cegadgets.com/artcerapi.htm
28
Figura 4: Password Prompt(Pocket PC)
Durante las etapas iniciales de la adquisicin, el examinador se le pide con cuatro opciones de datos para adquirir tal como se ilustra a continuacin.
Figura 5: Seleccin de Adquisicin (Pocket PC)
Palm OS Mviles
La adquisicin de un dispositivo Palm OS con capacidades de telefona celular implica el examinador forense que sale todas las aplicaciones de HotSync activos y colocar el dispositivo en modo de consola. Modo de consola se utiliza para la adquisicin fsica del dispositivo.7 Para poner el dispositivo Palm OS en modo consola, el examinador tiene que ir a la ventana de bsqueda (pulse la lupa por el rea de escritura de Graffiti), entran a travs de la interfaz de Graffiti los siguientes smbolos : minscula L cursiva, seguido de dos puntos (resultados en un perodo), seguido de escribir un "2" en el rea de los nmeros. Para la adquisicin de datos de un palmOne Treo 600, la tcnica utilizada es ligeramente diferente. En lugar de entrar en modo de consola a travs de
Informacin adicional sobre el modo de consola se puede encontrar en:http://www.ee.ryerson.ca/ ~ elf / visor / dot-shortcuts.html
29
el rea de escritura de Graffiti, el acceso directo se utiliza se debe introducir con el teclado QWERTY. Modo consola es especfico del dispositivo y la secuencia correcta de caracteres de Graffiti se puede encontrar en el sitio Web del fabricante. Si el dispositivo est protegido con contrasea, la contrasea correcta debe ser introducido antes de la adquisicin. Durante las etapas iniciales de la adquisicin es el examinador le pida a las dos opciones de elementos de datos a adquirir tal como se ilustra en la Figura 6.
Figura 6: Seleccin de Adquisicin (Palm OS)
Los dispositivos BlackBerry
La adquisicin de un dispositivo BlackBerry se realiza a travs de Device Seizure sin la ayuda de protocolos de sincronizacin o BlackBerry Desktop Manager. BlackBerry Desktop Manager no permite a los usuarios cargar aplicaciones, realizar copias de seguridad y restauraciones, y la sincronizacin de los datos definidos (por ejemplo, la libreta de direcciones, calendario, bloc de notas, tareas). La figura 7 muestra un cuadro de dilogo presentado al examinador antes de que comience la adquisicin, si el dispositivo BlackBerry est protegido por contrasea. Si la contrasea no es correcta alimentacin dentro de los 10 intentos de todos los datos perdidos desde el dispositivo y el sistema operativo BlackBerry tiene que ser reinstalado.
30
Figura 7: Password Prompt (BlackBerry)
Despus de seleccionar el dispositivo est el examinador le indique, con las siguientes opciones que se muestran en la Figura 8 de la adquisicin de cualquiera de las bases de datos individuales, la memoria, o ambas cosas.
Figura 8: Seleccin de Adquisicin (BlackBerry)
Si Adquirir las bases de datos y la memoria son ambos seleccionados, la memoria se adquiere primero y luego se adquieren las bases de datos individuales. Antes de que comience la adquisicin, el examinador se le da la opcin de hacer una pausa entre la memoria y adquisiciones de base de datos como se ilustra en la Figura 9.
31
Figura 9: BlackBerry Adquisicin
Mviles
Device Seizure versin 1.1 es capaz de adquirir informacin de los telfonos celulares de varios fabricantes, como Motorola, Nokia, Samsung, Siemens y Sony Ericsson.8 La marca, el modelo y el tipo de telfono que determinar la cantidad de datos, en su caso, Device Seizure pueden adquirir. Por lo general, los datos siguientes se pueden adquirir en la mayora de los dispositivos mviles: hicieron llamadas telefnicas, llamadas telefnicas recibidas, mensajes de texto y agendas telefnicas. Adems, la incautacin de dispositivos puede adquirir el siguiente en algunos modelos compatibles: Listas de tareas, calendario, duracin de llamadas, informacin de llamadas, historial de llamadas, informacin de contacto, nmero de telfono de la clula, Galera de imgenes (por ejemplo, Fondos, telfono con cmara Images), Anillo Tones, recordatorios, notas, notas de voz, eventos, perfiles, juegos, logos, configuraciones WAP, WAP, GPRS Marcadores puntos de acceso, los archivos Java y un volcado de memoria completa. La amplitud y profundidad de la informacin adquirida depende de la marca, el modelo, y red en la que opera el telfono. Device Seizure tambin permite la adquisicin independiente de Tarjetas SIM con el lector de tarjetas SIM que viene incluido con la compra de Paraben de Caja de herramientas. La caja de herramientas proporciona todos los cables necesarios para crear la conectividad entre los modelos de telfonos compatibles y la estacin de trabajo forense.
Etapa de adquisicin
Existen dos mtodos para iniciar la adquisicin de datos desde el dispositivo o la tarjeta SIM. La adquisicin puede ser aplicado a travs de la barra de herramientas con el icono Adquirir oa travs del men Herramientas y seleccionando Adquirir imagen. Cualquiera de estas opciones se inicia el proceso de adquisicin. Con el proceso de adquisicin, tanto de archivos e imgenes de memoria se pueden adquirir. De forma predeterminada, la herramienta de marca ambos tipos de datos que se deben adquirir. Una vez que se selecciona el proceso de adquisicin, el asistente de adquisicin se ilustra a continuacin en la Figura 10 gua al examinador a travs del proceso.
8
Informacin adicional sobre los modelos de telfonos soportados puede encontrarse en:http://www.paraben-forensics.com/cell_models.html
32
Figura 10: Asistente de obtencin
Despus de hacer clic en Siguiente en el Asistente para la adquisicin, el examinador se le pide que seleccione el tipo de dispositivo para la adquisicin, como se ilustra a continuacin.
Figura 11: Seleccin de Adquisicin
Figura 12 a continuacin contiene un ejemplo captura de pantalla del apoderamiento de dispositivo durante la adquisicin de una Dispositivo Pocket PC, mostrando los diversos campos proporcionados por la interfaz.
33
Figura 12: Captura de pantalla de Adquisicin (Pocket PC)
Device Seizure informa lo siguiente para cada archivo individual adquirido: Ruta del archivo, nombre de archivo, tipo de archivo, fechas de creacin y modificacin, atributos de archivo, tamao del archivo, estado y un hash MD5 del archivo. Validacin de hash de archivo tomadas antes y despus de la adquisicin se puede usar para detectar si los archivos han sido modificados durante la fase de adquisicin.
34
Funcionalidad de bsqueda
Servicio de bsqueda de dispositivos de apoderamiento permite a los examinadores para consultar los archivos de contenido. La funcin de bsqueda busca en el contenido de los archivos e informes de todas las instancias de una cadena, presente. Comodines y expresiones regulares son compatibles proveer examinadores con la posibilidad de reducir el nmero de declaraciones de falsos positivos. La captura de pantalla se muestra a continuacin en la Figura 13 ilustra un ejemplo de los resultados producidos por la cadena "cuadrangular".
Figura 13: Archivo de contenido Cadena de bsqueda (Pocket PC)
Adems, la ventana de bsqueda proporciona una salida de la memoria relacionada con la cadena de bsqueda proporcionado por el examinador. Esto permite a los examinadores para desplazarse a travs de las secciones de la memoria y marcar una valiosa informacin para la presentacin de informes que se utilizar en las actuaciones judiciales, disciplinarias o de otro tipo.
35
Graphics Library
La biblioteca de grficos permite a los examinadores examinar la coleccin de archivos de grficos presentes en el dispositivo. Archivos grficos eliminados no se muestran en la biblioteca. Para mostrar todos los archivos presentes en el dispositivo de grficos, los examinadores deben seleccionar la funcin "Clasificador de relleno" que se encuentra debajo del men "Herramientas". El "Clasificador" selecciona los archivos de grficos basados en la extensin de archivo de firma archivo. Si existen archivos grficos eliminados, deben ser identificados a travs de la ventana de la memoria mediante la realizacin de una cadena de bsqueda para identificar los restos de archivos. Sin embargo, la recuperacin de una imagen completa es difcil, ya su contenido pueden ser comprimidos por el sistema de ficheros o no pueden residir en ubicaciones de memoria contiguas, o pueden tener algunas secciones irrecuperables. La recuperacin tambin requiere el conocimiento de las estructuras de datos asociadas a reconstruir las partes juntas con xito. La figura 14 muestra una captura de pantalla de imgenes adquiridas desde un dispositivo Nokia 6610i.
Figura 14: Graphics Library
Marcar
Durante la investigacin, los examinadores forenses a menudo tienen una idea del tipo de informacin por los que estn buscando, en base a las circunstancias del incidente y la informacin ya obtenida. Permite marcar los examinadores forenses para marcar los elementos que son relevantes para la
36
investigacin. Esta capacidad proporciona el examinador de los medios para generar informes de casos especficos que contienen informacin significativa que se encuentre durante el examen, en un formato adecuado para la presentacin. Se pueden agregar favoritos por mltiples piezas de informacin que se encuentra, y cada archivo puede exportarse para su posterior anlisis, si es necesario. Ilustrado en la Figura 15 a continuacin es un ejemplo de diversos marcadores creados despus de la adquisicin. Como se mencion anteriormente, los archivos encontrados y marcado se pueden exportar a la estacin de trabajo y se representan con una aplicacin adecuada para el tipo de archivo en cuestin.
Figura 15: Creacin Bookmark(Nokia 6610i)
Herramientas adicionales
Exportar todos los archivos: Examinadorespuede exportar todos los archivos reportados despus de la etapa de adquisicin se ha completado. Cuando se exportan los archivos, se crea una carpeta, basado en el nombre de archivo caso, que contiene dos subcarpetas: uno para cada uno RAM y ROM. Dependiendo del tipo de archivo, el contenido puede ser vistos con una aplicacin de escritorio asociado o con un emulador de dispositivo especfico. Validar cdigos hash:La opcin Validar cdigos hash se puede ejecutar despus de una exitosa adquisicin y est diseado para informar de los archivos que han sido modificados durante el proceso de adquisicin.
37
Figura 16: Validar cdigos hash
Comparer caso: Incautacin dispositivo tiene una funcin incorporada que compara la adquisicin de casoarchivos. Para utilizar la funcin de comparacin de casos y los archivos en cuestin son importados a travs del men Herramientas y escaneadas automticamente las diferencias. Los resultados se muestran en un cuadro de dilogo que el nombre del archivo, el resultado de la comparacin, y el tamao de cada caso (. Pds) del archivo. Haga doble clic en un archivo en cuestin proporciona una vista hexagonal de lado a lado de los dos archivos con las diferencias de relieve. Convulsiones Dispositivo Caso Comparer se ilustra a continuacin en la Figura 17.
Figura 17: Comparer Case
Device Seizure Visor de archivos:Cada archivo adquirida se puede ver tanto en modo texto o hexadecimal, lo que los examinadores para inspeccionar el contenido de todos los archivos presentes. Los examinadores deben utilizar una de las siguientes opciones para entregas otros tipos de archivos: exportar el archivo y poner en marcha una aplicacin de Windows que corresponde a la extensin de archivo (Ejecutar aplicacin de archivo), o, para los dispositivos Palm OS solamente, ver el archivo a travs de la ACTITUD.
38
Generacin de informes
Confiscacin de dispositivos proporciona una interfaz de usuario para la generacin de informes que permite la entrada de los examinadores y la organizacin de la informacin especfica para cada caso. Cada caja contiene un nmero de identificacin y otra informacin especfica a la investigacin con fines de informacin, como se ilustra en la Figura 18 a continuacin. Una vez que se ha generado el informe, se produce una. HTML archivo est disponible para el examinador, que incluye archivos de favoritos, archivos totales adquiridos, el tiempo de adquisicin, la informacin del dispositivo. Si los archivos fueron modificados durante la fase de adquisicin, en el informe los identifica.
Figura 18: Generacin de informes
Escenario Resultados - PDAs
Tabla 9 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Ms informacin se puede encontrar en el Apndice A: Device Seizure Resultados.
Tabla 9: Matriz de Resultados
Guin
Dispositi vo
BlackBerry 7750 BlackBerry 7780 Kyocera 7135 Motorola MPX220 Samsung i700 Treo 600
Conectividad y Recuperacin Las aplicaciones PIM Marcadas / Recibidas Telfono Llamadas Mensajera SMS / MMS Mensajera Internet
Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer
Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer
Satisfacer Satisfacer Satisfacer Abajo Abajo
Satisfacer Perder Perder Abajo Abajo
Satisfacer Satisfacer Satisfacer Abajo Abajo
Satisfacer Satisfacer Satisfacer Satisfacer Abajo
39
Guin
Dispositi vo
BlackBerry 7750 BlackBerry 7780 Kyocera 7135 Motorola MPX220 Samsung i700 Treo 600
Aplicaciones Web Formatos de archivo de texto Formatos de archivo de grficos Archivo Comprimido Formatos de archivo Archivos mal llamada Memoria perifrica Tarjetas La consistencia de Adquisicin Dispositivos aclarados Prdida de energa
NA Abajo Perder Perder Perder NA
Abajo Abajo Perder Perder Perder NA
Abajo Satisfacer Perder Perder Satisfacer Perder Abajo Satisfacer Satisfacer
Abajo Abajo Abajo Satisfacer Satisfacer Abajo Satisfacer Satisfacer Arriba
Abajo Abajo Abajo Satisfacer Satisfacer Abajo Abajo Satisfacer Satisfacer
Abajo Satisfacer Perder Abajo Satisfacer Perder Abajo Satisfacer Satisfacer
Satisfacer Satisfacer Conoc / Above Conoc / Above Arriba Arriba
Escenario Resultados - Celulares
La Tabla 10 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Ms informacin se puede encontrar en el Apndice B: Device Seizure Resultados.
Dispositiv os
Audiovox 8910 Motorola v66 Motorola v300 LG 4015 Sanyo PM8200 Nokia 3390 Nokia 6610i
Guin
Conectividad y Recuperacin
Satisfac Satisfac Satisfac Satisfac Satisfac Satisfac Satisfac er er er er er er er Las aplicaciones PIM Satisfac Abajo Abajo Satisfac Abajo Abajo Abajo er Marcadas / Recibidas Telfono er Satisfac Abajo Perder Abajo Abajo Abajo Abajo Llamadas er Mensajera SMS / MMS Abajo Abajo Abajo Satisfac Abajo Satisfac Abajo er er Mensajera Internet NA Perder NA NA NA Satisfac NA er Aplicaciones Web Abajo Perder Perder NA NA Perder Perder Formatos de archivo de texto NA NA NA NA NA Perder NA Formatos de archivo de Abajo Perder NA NA NA Satisfac NA grficos Comprimido er Archivo NA NA NA NA NA NA NA Formatos de archivo Archivos mal llamada NA NA NA NA NA Perder NA Memoria perifrica NA NA NA NA NA NA NA Tarjetas Adquisicin Consistencia Dispositivos aclarados Prdida de energa
Ericsson T68i
Motorola C333
Satisfac er Abajo Abajo Abajo NA Abajo Abajo Abajo Satisfac er Satisfac er NA
Satisfac er Satisfac er Satisfac er Satisfac er Perder Perder NA Perder NA NA NA
Satisfac Satisfac Satisfac Satisfac Satisfac Satisfac Satisfac Satisfac Satisfac er er er er er er er er er NA Satisfac Arriba Arriba Arriba Arriba NA NA Arriba er Arriba Arriba Arriba Arriba Arriba Arriba Arriba Arriba Arriba
40
Escenario Resultados - Adquisicin tarjeta SIM
Confiscacin de dispositivos permite examinadores la capacidad de adquirir datos directamente desde una tarjeta SIM con el uso de RS-232 Lector de tarjetas SIM de paraben. Los pasos seguidos de adquisicin para adquirir datos directamente desde la tarjeta SIM son los mismos que la adquisicin de datos de un telfono, excepto para la seleccin de tarjeta SIM GSM. Los campos de datos adquiridos (por ejemplo, nmeros de marcacin abreviada, nmeros de marcacin fija, los ltimos nmeros marcados, Servicio SIM marcar nmeros, mensajes cortos) dependen de la tarjeta SIM y proveedor de servicios. La funcionalidad de bsqueda, instalaciones para marcar y generacin de informes funcionan en los datos obtenidos de una forma similar a la adquisicin de telfonos, descritas anteriormente. La Tabla 11 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para las tarjetas SIM en la parte superior. Ms informacin se puede encontrar en el Apndice G: SIM Incautacin - SIM externos Resultados. SIMs se adquiere y se report el uso de parte de apoderamiento SIM del paraben del apoderamiento de dispositivos.
Tabla 11: SIMTarjeta Resultados Matrix - Lector externo
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Abajo Satisface r Satisface r Satisface r 8778 1144
Abajo Abajo Satisface Satisface r r Satisface Satisface r r Satisface Satisface r r
41
Sinopsis de Pilot-link
El piloto link9 software puede ser utilizado para obtener tanto la ROM y la RAM de dispositivos Palm OS (por ejemplo, Palm, Handspring, Handera, TRGPro, Sony) sobre una conexin en serie. Los datos se pueden importar en el emulador de Palm OS (POSE), lo que permite una vista virtual de los datos contenidos en el dispositivo o los archivos individuales se pueden ver con un editor hexadecimal ASCII estndar oa travs de una aplicacin forense compatible. Adems, los datos creados a partir de pilot-link se pueden importar a otras aplicaciones forenses compatibles. Una vez que el software est instalado y configurado, las comunicaciones entre la estacin de trabajo y el dispositivo puede comenzar. Piloto de enlace utiliza el protocolo de HotSync para adquirir datos desde el dispositivo. RAM y ROM se vierten desde el dispositivo con los siguientes comandos: pi-pi-getrom y getram. Archivos de base de datos individuales se pueden adquirir con el piloto al mando-xfer-b. Piloto-link carece de un motor de bsqueda integrado, las instalaciones de generacin de informes, y una biblioteca de grficos. Por lo tanto, las herramientas de terceras partes deben ser utilizados para realizar estas funciones. La Tabla 12 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar enNISTIR 7250 Celular Telfono forenses Herramientas: una visin general y anlisis.
Guin
Dispositi vo
Kyocera 7135 Treo 600
Conectividad y Recuperacin Las aplicaciones PIM Marcadas / Recibidas Telfono Llamadas Mensajera SMS / MMS Mensajera Internet Aplicaciones Web Formatos de archivo de texto Formatos de archivo de grficos Compressed Archive Archivo Formatos Archivos mal llamada Tarjetas de memoria perifricos La consistencia de Adquisicin Dispositivos aclarados Prdida de energa
Satisfacer Satisfacer Satisfacer Satisfacer Satisfacer Abajo Satisfacer Abajo Perder Satisfacer Perder Abajo Satisfacer Satisfacer
Abajo Satisfacer Abajo Abajo Abajo Abajo Satisfacer Abajo Perder Satisfacer Perder Abajo Satisfacer Satisfacer
Informacin adicional sobre pilot-link se puede encontrar en:http://www.pilot-link.org
42
Sinopsis de GSM. XRY

De Micro Systemation GSM. XRY versin 3.0 puede obtener informacin de varios fabricantes de telfonos celulares GSM (es decir, Ericsson, Motorola, Nokia, Siemens) 0.10 La unidad. XRY proporciona la capacidad de realizar adquisiciones a travs de cable, IrDA (infrarrojos), o interfaces de Bluetooth. La. Unidad XRY GSM proporciona todos los cables necesarios para crear la conectividad entre los modelos de telfonos compatibles y la estacin de trabajo forense.
Telfonos compatibles
La marca, el modelo y el tipo de telfono que determinan qu datos GSM. XRY puede adquirir. El sitio web de Micro Systemation proporciona un enlace a una versin de copia electrnica de la lista manual de la marca con el apoyo y los modelos de los telfonos celulares. GSM. XRY est dirigido a los dispositivos GSM y CDMA, incluyendo Dispositivos 3G. Telfonos TDMA no se admiten. . GSM XRY puede adquirir la siguiente informacin de GSM (Sistema Global para Comunicaciones Mviles) Telfonos: Contactos, Calendario, Llamadas, SMS, Fotos, Audio, Archivos, Notas, MMS, vdeo, informacin de la red y las tareas. Cada tipo de datos adquiridos en la barra de men.
Etapa de adquisicin
Existen dos mtodos para obtener datos de los telfonos celulares. La adquisicin puede ser promulgada a travs de la barra de herramientas, utilizando el icono de extraccin de datos, o mediante el men Archivo, seleccione Obtener informacin a partir del dispositivo. Cualquiera de estas opciones se inicia el proceso de adquisicin. Con el proceso de adquisicin, tanto de la memoria interna del telfono y la informacin bsica de la tarjeta SIM (por ejemplo, entradas de la agenda, mensajes SMS) se adquieren. Una vez que se selecciona el proceso de adquisicin, el asistente de adquisicin se ilustra a continuacin en la Figura 19 aparece para guiar el examinador a travs del proceso.
10
Informacin adicional sobre los modelos de telfonos soportados puede encontrarse en:www.msab.com
43
Tras la ejecucin del asistente de adquisicin, el examinador selecciona el tipo de adquisicin: el dispositivo mvil o en la tarjeta SIM / USIM. Asumiendo que la seleccin de un dispositivo de telfono mvil, el examinador se presenta con tres opciones de interfaz para crear una conexin con el telfono celular. Micro Systemation proporciona recomendaciones especficas (por ejemplo, cable, infrarrojo o Bluetooth) para cada marca y modelo de los telfonos compatibles.
Figura 20: Seleccin de la interfaz
44
Una vez establecida una conexin con xito, el dispositivo se identifica y la adquisicin de que comience como se ilustra a continuacin en la Figura 21.
Figura 21: Identificacin del dispositivo
Durante la fase de adquisicin de GSM. XRY mantiene un registro de proceso de la situacin de la informacin extrada del dispositivo, como se ilustra en la Figura 22.
Figura 22: Adquisicin Conectarse
45
Servicio de bsqueda GSM. De XRY permite examinadores para consultar los datos obtenidos para el contenido. La funcin de bsqueda escanea el contenido de los archivos e informes de todas las instancias de una cadena, presente. La captura de pantalla se muestra en la Figura 23 ilustra un ejemplo de las opciones y los resultados de la ventana de bsqueda producido por el "mensaje SMS" string. Buscar xitos que se encuentran se resaltan en color rosa.
Figura 23: Archivo de contenido Cadena de bsqueda
Graphics Library
La biblioteca de grficos permite a los examinadores examinar la coleccin de archivos de grficos presentes en el dispositivo. Cada imagen actual se puede ver internamente con la aplicacin de ventana, lo que los examinadores para agrandar las imgenes si es necesario. Adems, las imgenes recogidas se pueden exportar e inspeccionados con una herramienta de terceros, si es necesario. La figura 24 muestra una captura de pantalla de imgenes adquiridas desde un Nokia 6610i.
46
Figura 24: Graphics Library
GSM. XRY permite informes personalizados a ser creados con la seleccin de datos predefinida, tal como se ilustra en la Figura 25. Instalaciones marcar no existen en GSM. XRY. Por lo tanto, los examinadores no pueden filtrar los datos dentro de las categoras seleccionadas. Adems, los informes de forma predeterminada, no incrustar una vista ilustrativa de archivos grficos adquiridos, slo los nombres de archivo, tamao del archivo y metadatos estn incluidos. Los datos grficos se incluye en una carpeta separada cuando se exporta el informe.
47
Como se mencion anteriormente, los inspectores tienen la capacidad de incluir todos los datos adquiridos desde el telfono celular o para elegir una categora particular de informacin. Ilustra a continuacin en la Figura 26 y la Figura 27 son fotos de un informe generado al momento de elegir, respectivamente, la vista Informacin general y una vista Pictures.
48
Figura 26: Reporte de Extracto (Informacin General)
49
Figura 27: Reporte de Extracto (mensajes de texto)
La Tabla 13 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Ms informacin se puede encontrar en el Apndice C:. GSM XRY Resultados.
Guin
Dispositi vo
Ericsson T68i Motorola V66 Motorola V300 Nokia 6610i Nokia 6200 Nokia 7610
Conectividad y Recuperacin Las aplicaciones PIM
Satisfacer Abajo
Satisfacer Abajo
Satisfacer Abajo
Satisfacer Abajo
Satisfacer Abajo
Satisfacer Abajo
50
Guin
Dispositi vo
Ericsson T68i Motorola V66 Motorola V300 Nokia 6610i Nokia 6200 Nokia 7610
Marcadas / Recibidas Telfono Llamadas Mensajera SMS / MMS Mensajera Internet Aplicaciones Web Formatos de archivo de texto Formatos de archivo de grficos Compressed Archive Archivo Formatos Archivos mal llamada Tarjetas de memoria perifricos La consistencia de Adquisicin Dispositivos aclarados Prdida de energa
Abajo Abajo Perder Perder NA Perder NA NA NA NA Satisfacer Arriba
Abajo Abajo NA NA NA NA NA NA NA NA Satisfacer Arriba
Abajo Abajo Abajo Perder Perder Perder NA Perder NA NA Arriba Arriba
Abajo Abajo NA Abajo Abajo Abajo Satisfacer Satisfacer NA NA NA Arriba
Abajo Abajo NA Perder Abajo Abajo Satisfacer Satisfacer NA NA NA Arriba
Perder Perder Perder Perder Abajo Abajo Satisfacer Satisfacer Abajo NA Satisfacer Arriba
GSM. XRY versin 2.4 a 2.5 proporcionan los examinadores de la capacidad de adquirir datos directamente desde la tarjeta SIM usando el lector CardMan por OMNIKEY. Los pasos seguidos de adquisicin para adquirir datos directamente desde la tarjeta SIM son los mismos que la adquisicin de datos de un telfono, excepto para la seleccin de tarjeta SIM / USIM de la interfaz de usuario en lugar del telfono mvil. Los campos de datos adquiridos (por ejemplo, Informacin general (es decir, ICCID, IMSI, Fase), Contactos, Llamadas, Mensajes) dependen de la tarjeta SIM y el proveedor de servicios. Las instalaciones de motores de bsqueda y el Informe funcionan de manera similar a las adquisiciones de telfonos, descritas anteriormente. La Tabla 14 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para las tarjetas SIM en la parte superior. Ms informacin se puede encontrar en el Apndice H:. GSM XRY externos SIM Resultados.
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Satisface r Abajo Satisface r Satisface r 8778 1144
Satisface Satisface r r Abajo Abajo Satisface Satisface r r Satisface Satisface r r
51
Sinopsis de Oxygen Phone Manager

Oxygen Phone Manager (OPM) 11 es una herramienta diseada para gestionar la informacin en un telfono celular, incluyendo contactos, calendario, mensajes SMS, lista de tareas pendientes, registros y tonos de timbre. El software est diseado para soportar la mayora de los telfonos Nokia. Una versin de Symbian OS tambin est disponible. Oxygen Phone Manager - Versin forense es una adaptacin de la herramienta de gestin de telfono que suprime el cambio de datos en el telfono, pero permite que los datos que se deben adquirir y exportar en varios formatos compatibles lgicamente. La herramienta est diseada para adquirir contactos de la agenda (incluyendo fotos), listas de llamadas (es decir, los ltimos nmeros marcados, llamadas perdidas y recibidas), mensajes SMS, imgenes, logos, tonos, perfiles, listas de tareas, mensajes MMS (formatos compatibles son texto plano, HTML, JPEG, GIF, GIF animado, PNG, TIFF, BMP, MIDI, WAV, y RT), aplicaciones Java, juegos , galera y listas de reproduccin. OPM no proporciona capacidades de bsqueda. Sin embargo, una estructura de rbol de los datos adquiridos se construye y se rellena con los datos seleccionados, proporcionando examinadores con la capacidad de navegar por los archivos adquiridos y ver las imgenes grficas. Todos los artculos se pueden guardar o exportar en formatos comunes y bsquedas utilizando una herramienta de terceros. Generacin de informes internos no se proporciona. Los datos extrados desde el telfono a travs de la interfaz de la herramienta deben ser exportados manualmente y se procesaron a travs de otros medios, tales como un procesador de textos. Los datos se pueden guardar en varios formatos diferentes (por ejemplo,. Rtf,. Html,. Csv, etc) para la exportacin. Ciertos datos, como perfiles, slo se pueden guardar en el formato de datos propietario OPM. La Tabla 15 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar en NISTIR 7250 telfono celular forenses Herramientas: una visin general y Anlisis.
Guin
Dispositi vo
Nokia 3390 Nokia 6610i Nokia 6200 Nokia 7610
Satisfacer Abajo Abajo Abajo NA Perder NA NA NA NA NA NA NA Arriba
Satisfacer Abajo Abajo Abajo NA Perder Abajo Abajo Satisfacer Satisfacer NA NA NA Arriba
Satisfacer Abajo Abajo Abajo NA Perder Abajo Abajo Satisfacer Satisfacer NA NA NA Arriba
Satisfacer Abajo Perder Abajo Abajo Perder Perder Abajo Perder Perder Abajo NA Satisfacer Arriba
11
Informacin adicional se puede encontrar en:http://www.opm-2.com/forensic
52
Sinopsis de MOBILedit!
MOBILedit! Forense, la versin 2.0.0.10, es capaz de adquirir informacin de diversas GSM, CDMA, PCS y celulares de los fabricantes de una variedad (es decir, Alcatel, Ericsson, General, LG, Motorola, Nokia, Panasonic, Philips, Samsung, Siemens, Sony Ericsson ) .12 Una variante no-forense del producto, llamado MOBILedit!, Tambin existe. Este informe abarca solamente la versin forense, que por simplicidad se conoce como MOBILedit!. El MOBILedit! aplicacin proporciona la capacidad de realizar adquisiciones a travs de cable, IrDA (infrarrojos), o interfaces de Bluetooth. La informacin obtenida por MOBILedit! depende de la marca, el modelo, y la riqueza de las funciones del telfono. Algunos campos de datos comunes adquiridos utilizando MOBILedit! son telfono y la informacin del suscriptor, Agenda, Agenda SIM, llamadas perdidas, los ltimos nmeros marcados, llamadas recibidas, Bandeja de entrada, elementos, Borradores y archivos (por ejemplo, grficos, fotos, tonos) enviados. Motor de bsqueda de MOBILedit permite examinadores para realizar bsquedas de cadenas simplificados slo en carpetas especficas. El motor de bsqueda no proporciona la capacidad de buscar a travs de mltiples casos o varias carpetas dentro de una caja o emitir patrones de expresin complejos. La biblioteca de grficos permite a los examinadores examinar la coleccin de archivos de grficos presentes en el dispositivo. Cada imagen actual se puede ver internamente con la aplicacin de ventana que permite examinadores para agrandar las imgenes si es necesario. Adems, las imgenes recogidas se pueden exportar e inspeccionados con una herramienta de terceros, si es necesario. Versin 1.95 y superiores incorporar una instalacin de generacin de informes, lo que permite a los examinadores elaboran informes internos dentro de la aplicacin o para exportarlos en formato xml. La Tabla 16 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar en NISTIR 7250 telfono celular Herramientas forenses: una visin general y anlisis.
Guin
Dispositi vo
Ericsson T68i Motorola C333 Motorola V66 Motorola V300 Nokia 6610i
Conectividad y Recuperacin Las aplicaciones PIM Marcadas / Recibidas Telfono Llamadas Mensajera SMS / MMS Mensajera Internet Aplicaciones Web Formatos de archivo de texto Formatos de archivo de grficos
12
Satisfacer Perder Abajo Abajo Perder Perder NA Perder
Satisfacer Abajo Abajo Perder NA NA NA NA
Satisfacer Abajo Abajo Perder NA NA NA NA
Satisfacer Abajo Abajo Abajo Abajo Perder Perder Perder
Satisfacer Abajo Abajo Abajo NA Perder Abajo Abajo
Informacin adicional sobre los modelos de telfonos soportados puede encontrarse en:www.mobiledit.com
53
Guin
Dispositi vo
Ericsson T68i Motorola C333 Motorola V66 Motorola V300 Nokia 6610i
Compressed Archive Archivo Formatos Archivos mal llamada Tarjetas de memoria perifricos La consistencia de Adquisicin Dispositivos aclarados Prdida de energa
NA NA NA NA Satisfacer Arriba
NA NA NA NA Arriba Arriba
Satisfacer Satisfacer NA NA NA Arriba
Adquisicin SIM Card
MOBILedit! Versin 2.0.0.10 forense y examinadores anterior da la capacidad de adquirir datos de la tarjeta SIM con un PC / lector compatible con SC. Los pasos seguidos de adquisicin para adquirir datos directamente desde la tarjeta SIM son los mismos que la adquisicin de datos de un telfono, excepto para la seleccin de lectores de tarjetas inteligentes en lugar de los telfonos mviles. Los campos de datos adquiridos (es decir, la agenda SIM, los ltimos nmeros marcados, nmeros de marcacin fija, Bandeja de entrada, Elementos enviados, Borradores) depende en parte de la SIM y el proveedor de servicios. Las instalaciones de motores de bsqueda y el Informe funcionan de manera similar a la de las adquisiciones de telfonos, descritas anteriormente. La Tabla 17 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar en NISTIR 7250 telfono celular Herramientas forenses: una visin general y anlisis.
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Abajo Perder Abajo Abajo 8778 Abajo Perder Abajo Abajo 1144 Abajo Perder Abajo Abajo
Sinopsis BitPim
Versin 0.9.10 BitPim puede adquirir informacin sobre todo de varios fabricantes de telfonos celulares CDMA (por ejemplo, Audiovox, Samsung, Sanyo) .13 La aplicacin BitPim proporciona la capacidad de realizar adquisiciones a travs de una interfaz de cable. La marca, el modelo y el tipo de telfono CDMA determinar qu datos BitPim puede adquirir. Algunos campos de datos comunes que BitPim recupera son: Agenda, Wallpapers (archivos grficos presentes en el telfono), Ringers (sound bites), entradas de calendario, mensajes de texto, historial de llamadas, las entradas de Memo y de los cdigos de bloqueo del telfono. BitPim tambin captura un
13
Informacin adicional sobre los modelos de telfonos soportados puede encontrarse en:www.bitpim.org
54
dump lgica del sistema de archivos, donde se pueden encontrar los datos relativos a las llamadas entrantes / salientes / perdidas / Tentativa y mensajes SMS / MMS. El sistema de ficheros de volcado de datos permite el examen de SMS y MMS, el contenido del mensaje y la posible recuperacin de los elementos eliminados relacionados con entradas de la agenda y los mensajes entrantes y salientes. BitPim no proporciona ninguna funcionalidad de bsqueda. Sin embargo, los artculos se pueden guardar o exportar en formatos comunes y bsquedas utilizando una herramienta de terceros. La ficha Medios permite a los examinadores examinar la coleccin de archivos grficos presentes en el dispositivo. Cada imagen actual se puede ver internamente con la aplicacin de ventana, que permite que las imgenes se ampliarn. Adems, las imgenes recogidas se pueden exportar e inspeccionados con una herramienta de terceros, si es necesario. BitPim no admite instalaciones de informes internos. Los datos relevantes recogidos en el dispositivo se pueden copiar, haga clic en un elemento especificado y pegar en otro lugar. Herramientas o editores de terceros se pueden utilizar para crear un informe final de los resultados significativos. La Tabla 18 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar enNISTIR 7250 telfono celular forenses Herramientas: una visin general y Anlisis.
Guin
Dispositi vo
Audiovox 8910 Sanyo 8200
Satisfacer Satisfacer Satisfacer Abajo NA Abajo NA Abajo NA NA NA NA NA Arriba
Satisfacer Satisfacer Satisfacer Satisfacer Perder Abajo NA Abajo NA NA NA NA Arriba Arriba
Sinopsis TULP2G
TULP2G es un marco de software forense desarrollada por el Instituto Forense de Holanda (NFI) para la extraccin y decodificacin de los datos almacenados en la electrnica devices.14 El TULP2G
14
Informacin adicional sobre TULP2G se puede encontrar en:http://tulp2g.sourceforge.net
55
marco implica una arquitectura abstracta, con distintas interfaces de plug-in para la extraccin de datos a travs de diversos medios, decodificacin de datos de los datos extrados, as como una interfaz de usuario. TULP2G no est diseado para su presentacin, visualizacin, o la bsqueda de informacin de los, sino que utiliza XML para el formato de almacenamiento de datos y se basa en las herramientas existentes para la realizacin de estas funciones. La marco, junto con el nmero de la extraccin de datos diferente y decodificacin de plug-ins para los telfonos celulares, se ha implementado como software de cdigo abierto. Versin 1.1.0.2 de TULP2G puede adquirir la evidencia de un telfono a travs de diferentes medios de comunicacin (es decir, cable, Bluetooth, IrDA) y protocolos (es decir, ETSI y Siemens comandos AT, IrDA y OBEX). Para los telfonos GSM, tambin puede adquirir datos de SIM a travs de un PC externo / lector de Carolina del Sur. La herramienta ha sido diseada para trabajar en una amplia variedad de telfonos que soportan una o ms normas comunes de la interfaz. Siguiendo este enfoque, la herramienta realiza una adquisicin lgica utilizando comandos seleccionados a partir de los diferentes estndares de protocolo disponibles para USB, IrDA, interfaces de mdem en serie y lectores de PC / SC. Actualmente, se admiten una conexin de mdem (es decir, puerto serie, ya sea en serie en la USB, Bluetooth o IrDA), una conexin de socket (es decir, IrDA, Bluetooth), y un PC / SC conexin. El protocolo adecuado se lleva a cabo sobre estos conexiones (por ejemplo, un mdem: AT_ETSI, AT_Siemens; IrDA: IrMC; Bluetooth: OBEX, PC / SC: SIM extraccin de datos de la tarjeta chip). Los datos se transforma a continuacin, utilizando la correspondiente conversin se produce plug-ins (por ejemplo, AT_ETSI, SMS) y un archivo XML. Una hoja de estilo se puede aplicar al archivo para generar informes en una variedad de formatos y contenidos. TULP2G puede adquirir las llamadas telefnicas realizadas, llamadas recibidas, mensajes SMS y las entradas de la libreta de telfonos de los diferentes telfonos. Tambin puede acceder a datos ms precisos (por ejemplo, enviados / recibidos correo electrnico o calendario, lista de tareas pendientes), en funcin del par de comunicaciones / protocolo elegido. TULP2G tambin adquiere IMEI, IMSI y datos especficos sobre el telfono. Debido TULP2G no es una herramienta de bsqueda y anlisis, despus de que se genere el informe con formato XML o HTML, los examinadores deben buscar manualmente el informe de datos o exportar los datos y el uso de cualquier otro servicio de bsqueda. Los archivos grficos se almacenan en el archivo de salida XML con <! [CDATA [etiquetas y pueden ser convertidos y recuperados utilizando el plug-in de conversin (por ejemplo, OBEX, SMS TPDU). Una vez que los datos han sido convertidos correctamente, los archivos individuales se pueden guardar en el escritorio para los informes. La Tabla 19 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar en NISTIR 7250 telfono celular forenses Herramientas: Una visin general y anlisis.
Tabla 19: ResultadosMatriz
Dispositi vo Guin
Audiovox 8910 Ericsson T68i Sony Ericsson P910a Motorola C333 Motorola V66 Motorola V300 Nokia 6610i Nokia 6200
Conectividad y Recuperacin PIM Aplicaciones
Satisfacer Abajo
Satisfacer Abajo Abajo
Satisfacer Perder Perder
Satisfacer Satisfacer Abajo Abajo Abajo Abajo
Marcadas / Recibidas Abajo Llamadas telefnicas
56
Dispositi vo Guin
Audiovox 8910 Ericsson T68i Sony Ericsson P910a Motorola C333 Motorola V66 Motorola V300 Nokia 6610i Nokia 6200
SMS / MMS Mensajera Internet Mensajera Web Aplicaciones Archivo de texto Formatos Grficos del archivo Formatos Comprimido Archivo Histrico Formatos
Perder NA Perder NA Perder
Abajo Perder Perder NA Perder
Perder Perder Perder Perder Perder
Perder NA NA NA NA
Perder NA NA NA NA
Abajo Abajo Perder Perder Perder
Abajo NA Perder Perder Perder
Abajo NA Perder Perder Perder
NA
Perder Perder Perder NA Satisfacer Satisfacer
Perder Perder NA NA NA Arriba
Archivos mal llamada NA Perifrico NA Tarjetas de memoria Adquisicin Consistencia Dispositivos aclarados Prdida de energa NA NA Arriba
Adquisicin SIM Card
TULP2G versin 1.2.0.2 da los examinadores de la capacidad de adquirir datos de la tarjeta SIM con un lector compatible PC/SC-. La adquisicin pasos seguidos para adquirir datos directamente desde la tarjeta SIM son los mismos que la adquisicin de datos de un telfono, excepto para la seleccin de PC / SC comunicacin de la tarjeta chip en lugar de una conexin en serie o zcalo. Los campos de datos adquiridos (por ejemplo, nmeros de marcacin abreviada, los ltimos nmeros marcados, nmeros de marcacin fija, mensajes) dependen de la tarjeta SIM y el proveedor de servicios. Las instalaciones de informe operan de una manera similar como para las adquisiciones de telfono, descrito anteriormente. La Tabla 20 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla a los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar en NISTIR 7250 Telfono celular forenses Herramientas: una visin general y anlisis.
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Satisface r Abajo Satisface r Satisface r 8778 1144
Satisface Satisface r r Abajo Abajo Satisface Abajo r Satisface Satisface r r
57
Sinopsis SecureView
SecureView versin 1.5.015 disponible tanto para PC y Mac, tiene la capacidad de adquirir datos de varios fabricantes de dispositivos mviles GSM y no GSM. Conectividad de dispositivos se realiza a travs de la interfaz de cualquier Susteen nico cable, Bluetooth o IR. Una vez que la conectividad se ha establecido, la marca y modelo del dispositivo determina la riqueza de datos (por ejemplo, la agenda, SMS, imagen, tono, Calendar) que se pueden recuperar.
SecureView compatible con ms de 300 dispositivos mviles de las siguientes marcas: Audiovox, Kyocera, LG, Motorola, Nokia, Samsung, Sanyo, Siemens y Sony Ericsson. La marca, el modelo y el tipo de telfono que determinan los elementos de datos (es decir, la agenda, SMS, imgenes, calendario) que SecureView admite, como se ilustra a continuacin en la Figura 28.
Figura 28: Seleccin de telfono compatibles
Etapa de adquisicin
Adquisicin comienza por el examinador pulsando el teclado virtual (es decir, icono de la herramienta) se ilustra a continuacin en la Figura 29. La clave del icono de la herramienta en el teclado virtual permite al examinador decidir si la
15
Informacin adicional se puede encontrar en:www.susteen.com
58
dispositivo es detectado automticamente o seleccionar manualmente a travs de la marca y el modelo de lista desplegable. Una vez que se ha establecido la conectividad con el dispositivo, las guas de teclado virtual el examinador en la seleccin de elementos de datos especficos para adquirir. Por ejemplo, el icono de la msica-nota adquiere tonos de llamada en el dispositivo, si es compatible. Elementos de datos compatibles que son adquiridas se presentan en ventanas separadas y especficas para el tipo de datos (es decir, la agenda, SMS, imagen, tono, Calendar), permitiendo que los examinadores puedan ver y examinar el contenido de los datos adquiridos. Datos adicionales (es decir, nombre Telfono, IMEI / ESN) se pueden determinar mediante la seleccin de la ficha Propiedades en la libreta de direcciones como se muestra a continuacin en la Figura 30.
Figura 29: Interfaz de usuario
59
Figura 30: Datos de la agenda telefnica
Despus que los datos han sido adquiridos con xito desde el dispositivo, los datos pueden ser protegidos con contrasea a travs del men de la agenda en la pantalla de edicin, se muestra a continuacin en la Figura 31, para evitar el acceso no autorizado a los datos del caso.
Figura 31: Proteccin de archivos
60
Motor de bsqueda de SecureView permite examinadores para realizar bsquedas de cadenas simplificados dentro de las ventanas de datos adquirida y especfica (es decir, la agenda, SMS, imagen, tono, Calendar). El motor de bsqueda no dan los examinadores de la capacidad de buscar a travs de mltiples casos o varias carpetas en un caso, o para emitir patrones de expresin complejos.
Graphics Library
La biblioteca de grficos permite a los examinadores examinar la coleccin de archivos de grficos presentes en el dispositivo. Cada imagen actual se puede ver con una aplicacin de terceros despus de que se guarda en el disco duro. La figura 32 muestra una captura de pantalla de un archivo de imagen y la carpeta correspondiente.
Figura 32: archivos de imagen
SecureView no admite instalaciones de informes internos. Los datos relevantes recogidos en el dispositivo se pueden exportar y ver con un visor de terceros correspondiente. Herramientas o editores de terceros pueden ser utilizados para crear un informe definitivo de conclusiones significativas.
61
La Tabla 21 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Ms informacin se puede encontrar en el Apndice D: SecureView Resultados.
62
Guin
Dispositi vo
Audiovox 8910 Ericsson T68i LG 4015 Motorola C333 Motorola V66 Motorola V300 Nokia 6200 Sanyo 8200
Conectividad y Recuperacin PIM Aplicaciones Marcadas / Recibidas Llamadas telefnicas SMS / MMS Mensajera Internet Mensajera Web Aplicaciones Archivo de texto Formatos Grficos del archivo Formatos Comprimido Archivo Histrico Formatos Archivos mal llamada Perifrico Tarjetas de memoria Adquisicin Consistencia Dispositivos aclarados Prdida de energa
Miss *
Satisfacer Abajo Perder Abajo Perder Perder NA Perder
Satisfacer Abajo Perder Perder NA Perder NA NA
Satisfacer Abajo Perder Abajo NA NA NA NA
Satisfacer Abajo Perder Abajo NA NA NA NA
Satisfacer Abajo Perder Abajo Perder Perder Perder Satisfacer
Satisface Satisfacer r Abajo Perder Abajo NA Perder Perder Abajo Abajo Perder Perder Perder Perder NA Abajo
SecureView versin 1.5.0 da examinadores de la capacidad de adquirir datos de la tarjeta SIM con un lector compatible PC/SC-. La adquisicin pasos seguidos para adquirir datos directamente desde la tarjeta SIM son los mismos que la adquisicin de datos de un telfono, excepto para la seleccin de PC / SC comunicacin de la tarjeta chip. Los campos de datos adquiridos (por ejemplo, nmeros de marcacin abreviada, los ltimos nmeros marcados, fijas Nmeros de marcacin, mensajes, etc) dependen de la tarjeta SIM y el proveedor de servicios. La instalacin Informe opera de una manera similar a las adquisiciones de telfono, descritos anteriormente. La Tabla 22 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para las tarjetas SIM en la parte superior. Ms informacin se puede encontrar en el Apndice I: SecureView externos SIM Resultados.
*
Adquisicin slo se admite en pay-as-you-go transportistas no
63
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Abajo Perder Perder Abajo 8778 Abajo Perder Perder Abajo 1144 Abajo Perder Perder Abajo
64
Sinopsis PhoneBase2
PhoneBase2 versin 1.2.0.1516 tiene la capacidad de adquirir datos de varios fabricantes de dispositivos mviles GSM y no GSM. Conectividad de dispositivos se realiza a travs de soluciones de terceros de cable, Bluetooth o infrarrojos. El motor de adquisicin dispositivo celular utilizado en PhoneBase2 aparentemente est bajo licencia de los fabricantes de MobileEdit!. Resultados comparables se puede esperar cuando se aplican las herramientas para el mismo dispositivo. Interfaz de usuario de PhoneBase2 ofrece examinadores con acceso rpido y fcil a todas las funciones principales del sistema. Los datos recuperados desde los dispositivos celulares o medios asociados se almacenan en un formato de base de datos comn. Los usuarios pueden ser asignados "perfiles de la autoridad", que otorga o niega el uso de funciones especficas, tales como, la modificacin de los registros existentes, eliminar registros, o el inicio de datos lee. Los examinadores tienen la capacidad de analizar, examinar, buscar, almacenar, agrega, y crear informes personalizados para datos adquiridos. La "pantalla principal", se muestra a continuacin en la Figura 33, contiene cuatro fichas que proporcionan los examinadores de acceso rpido a los archivos de casos de reciente creacin (Hoy), todos expedientes (Index), agrupaciones de registros en funcin de la fecha de creacin, el usuario, la categora y el estado (Carpeta), y capacidades de bsqueda en una base de datos (Search).
Figura 33: PhoneBase2 - Interfaz de usuario
16
Informacin adicional se puede encontrar en:www.phonebase.info
65
PhoneBase2 compatible con ms de 200 dispositivos mviles de las siguientes marcas: Alcatel, Ericsson, LG, Motorola, Nokia, Panasonic, Philips, Samsung, Siemens y Sony Ericsson. La marca, el modelo y el tipo de telfono que determinan los elementos de datos (es decir, la agenda, SMS, imgenes, calendario) que SecureView apoya.
Etapa de adquisicin
El proceso de adquisicin comienza ingresando con xito en la aplicacin PhoneBase2 ya sea a travs de administracin o un nombre de usuario asignado, creando un caso (por ejemplo, Archivo -> Nuevo) y la adicin de un registro nico en una base de datos proporcionada con el software PhoneBase2, como se ilustra a continuacin en la Figura 34 y la Figura 35.
Figura 34: PhoneBase2 - AdicinArchivos
66
Figura 35: PhoneBase2 - Adquisicin
Despus de notas del caso y los campos apropiados contienen marca y modelo del dispositivo se introduce aparecer el botn READ, que inicia la conectividad con el dispositivo y la lectura de los datos, como se ilustra a continuacin en la Figura 36.
67
Figura 36: PhoneBase2 - Leer telfono
Despus de que los contenidos del dispositivo se han adquirido con xito, los PhoneBase2 de interfaz de usuario a travs de guas de los examinadores de descriptores de datos situados en las pestaas de contenido como se ilustra en la Figura 37 y la Figura 38 a continuacin.
68
Figura 37: PhoneBase2 - Libreta de direcciones
Figura 38: PhoneBase2 - Mensajes de texto
69
PhoneBase2 ofrece examinadores con la opcin para ejecutar una consulta simple en 15 campos (es decir, nmero de registro, identificacin de exposicin, Notas de caso, notas de la tarjeta SIM, el nmero IMSI, nmero de serie (ME), el nmero de serie (ICC), el nmero de telfono, nmeros, El texto del mensaje, nombre de contacto, el proveedor de red, datos adjuntos, notas de exposicin, nmero de Seal). PhoneBase2 pre-selecciona los primeros tres campos antes mencionados de forma predeterminada. Cuando se procesa una bsqueda de base de datos, se mostrarn todos los casos que contengan la cadena de bsqueda consultado. El lmite mximo para buscar retornos es de 200.
Graphics Library
Debajo de la pestaa del sistema de archivos descansa los grficos, vdeo, audio y otros sub-fichas que contienen los archivos asociados adquiridos desde el dispositivo del tipo designado por la sub-pestaa. Ilustrado en la Figura 39 son las imgenes sub-pestaa que permite el examen de la coleccin de archivos de grficos presentes en el dispositivo. Cada imagen actual puede ser vista interno, haciendo clic en el botn Editar, o se puede exportar e inspeccionado con una herramienta de terceros.
Figura 39: PhoneBase2 - Graphics Library
PhoneBase2 proporciona una instalacin de generacin de informes que permite la creacin de un informe en copia dura o blanda copia (utilizando software de terceros) que resume los datos relevantes que se encuentran en el dispositivo. Se ilustra a continuacin en la Figura 40 son elementos de datos que se pueden seleccionar para los informes. PhoneBase2 no proporciona los examinadores con la opcin de incluir datos de casos adicionales, tales como ficheros grficos en el informe final.
70
Figura 40: PhoneBase2 - Opciones de impresin
Tabla 23summarizes los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos listados en la parte superior. Ms informacin se puede encontrar en el Apndice E: PhoneBase2 Resultados.
Guin
Dispositi vo
Ericsson T68i Motorola v66 Motorola v300 Nokia 6610i
Conectividad y Recuperacin PIM Aplicaciones Marcadas / Recibidas Llamadas telefnicas
71
Guin
Dispositi vo
Ericsson T68i Motorola v66 Motorola v300 Nokia 6610i
SMS / MMS Mensajera Internet Mensajera Web Aplicaciones Archivo de texto Formatos Grficos del archivo Formatos Comprimido Archivo Histrico Formatos Archivos mal llamada Perifrico Tarjetas de memoria Adquisicin Consistencia Dispositivos aclarados Prdida de energa
Abajo Perder Perder NA Perder
Abajo NA NA NA NA
Abajo Perder Perder Perder Satisfacer
Abajo NA Perder Satisfacer Abajo
Satisfacer Satisfacer NA NA NA Arriba
PhoneBase2 versin 1.2.0.15 da examinadores de la capacidad de adquirir datos de la tarjeta SIM con un PC / lector compatible con SC. La adquisicin pasos seguidos para adquirir datos directamente desde la tarjeta SIM son los mismos que la adquisicin de datos de un telfono, excepto para la seleccin de PC / SC comunicacin de la tarjeta chip. Los campos de datos adquiridos (por ejemplo, nmeros de marcacin abreviada, los ltimos nmeros marcados, nmeros de marcacin fija, mensajes) dependen de la tarjeta SIM y el proveedor de servicios. La instalacin Informe opera de una manera similar como para las adquisiciones de telfono, descrito anteriormente. La Tabla 24 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para las tarjetas SIM en la parte superior. Ms informacin se puede encontrar en el Apndice J: PhoneBase2 - SIM externos Resultados.
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Abajo Abajo Abajo Abajo 8778 Abajo Abajo Abajo Abajo 1144 Abajo Abajo Abajo Abajo
72
Sinopsis CellDEK
CellDEK versin 1.3.1.0 tiene la capacidad de adquirir datos de varios fabricantes de dispositivos mviles GSM y no GSM. Conectividad de dispositivos se realiza a travs de la interfaz de cualquier CellDEK nico cable, Bluetooth o IR. La marca y el modelo del dispositivo determina los datos (por ejemplo, la agenda, SMS, imagen, tono, Calendar) que CellDEK recupera. Toda la informacin es ordenada individualmente utilizando el algoritmo MD5 para garantizar que se puede verificar la integridad de los datos. Adems, CellDEK genera archivos de registro detallado del proceso de adquisicin, que captura cada vez que pulsa el botn, todos los comandos enviados al dispositivo de destino y todos los datos recibidos del dispositivo de destino.
CellDEK versin 1.3.1.0 apoya aproximadamente 220 dispositivos mviles. Los siguientes fabricantes son compatibles: Acer, BenQ, BenQ Siemens, Blackberry, HP, Imate, Kyocera, LG, Motorola, Nokia, O2, Orange, Samsung, Siemens y Sony Ericsson.
Etapa de adquisicin
Se muestra la pantalla inicial o de inicio de la aplicacin CellDEK continuacin en la Figura 41. Este men permite al examinador con la capacidad de hacer varias actividades (por ejemplo, la adquisicin, visualizacin de datos, realizar copias de seguridad de archivos, actualizar el software) y sirve como la principal pgina de navegacin. El proceso de adquisicin se inicia seleccionando "nuevo dispositivo de lectura".
73
La fase de adquisicin sigue pidiendo al examinador para seleccionar el tipo de dispositivo o medio (por ejemplo, telfono celular, PDA, tarjeta SIM, la memoria Flash) para adquirir, como se ilustra a continuacin en la Figura 42. Despus de que el tipo de dispositivo se ha elegido (en este ejemplo - fue seleccionado "Telfono Mvil"), el examinador se le pide que elija el fabricante del dispositivo como se muestra en la Figura 43.
Figura 42: CellDEK - Tipo de dispositivo
Figura 43: CellDEK - Fabricante del dispositivo
Con el fin de continuar para la adquisicin y el cable adecuado para ser identificado, se debe introducir el modelo del dispositivo como se ilustra a continuacin en la Figura 44. Si el modelo es desconocido o no se puede determinar, CellDEK proporciona una representacin grfica de todos los dispositivos soportados para ayudar a la identificacin. Adems, si se demuestra que es infructuosa, las dimensiones (es decir, longitud, anchura,
74
profundidad) del dispositivo se puede introducir y CellDEK mostrar dispositivos posibles que caen dentro de esas mediciones se muestran.
Figura 44: CellDEK - Seleccin del modelo
Una vez que el dispositivo ha sido identificado, la aplicacin ilumina el procedimiento recomendado conectividad (es decir, por cable, infrarrojos o Bluetooth) y los tipos de datos capaz de ser recuperado, como se ilustra a continuacin en la Figura 45. Si una conexin por cable es permisible, las luces del conector de cable adecuadas para arriba, alertar al examinador para enchufar el conector de encendido en la cama dispositivo. Una vez que el cable se ha asentado correctamente en el dispositivo de cama, el examinador se conecta el cable a la interfaz de telfono. Si se utilizan conexiones IR o Bluetooth, se muestran instrucciones especficas informar al examinador en las instrucciones de adquisicin inalmbricos.
Figura 45: CellDEK - Conectividad
75
Cuando el procedimiento de adquisicin se complete, se presenta la interfaz "Vista de datos" se muestra a continuacin en la Figura 46.Esta interfaz proporciona los medios para seleccionar y ver los elementos de los datos adquiridos como Device Info, Contactos, Registro de llamadas, mensajes de texto, organizador y datos ampliados. Este ltimo contiene imgenes grabadas, audio y video. La siguiente ilustracin muestra un ejemplo de pantalla de la seleccin de contactos y datos asociados presentes en el dispositivo adquirido.
Figura 46: CellDEK - Contactos
La unidad CellDEK no tiene ninguna funcionalidad de bsqueda integrado en la aplicacin. Los informes generados se pueden buscar cadenas especficas utilizando una herramienta de terceros.
76
Graphics Library
CellDEK clasifica los archivos de grficos, as como archivos de audio y vdeo, como "Extended Data". Una vez que los datos estndar (por ejemplo, contactos, registro de llamadas, mensajes de texto, organizador) con xito se ha extrado, la opcin de descargar datos extendidos encuentra en el dispositivo o en los medios de comunicacin se da. Datos del archivo grfico se muestra como se ilustra a continuacin en la Figura 47 (miniaturas se pueden ampliar pulsando en la imagen con el lpiz).
Figura 47: CellDEK - Graphics Library
77
CellDEK genera automticamente archivos de informes que contengan todos los datos que se encuentran en un formato HTML, a travs de la interfaz de usuario. Los informes se pueden personalizar con logotipos de la empresa y detalles de casos, cuando entr por el examinador antes de la adquisicin de dispositivos como se muestra en la Figura 48.
Figura 48: CellDEK - Datos del caso
La Tabla 25 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos listados en la parte superior. Ms informacin se puede encontrar en el Apndice F: CellDEK Resultados.
Guin
Dispositi vo
Ericsson T68i Motorola MPX220 Motorola V66 Motorola V300 Nokia 6200 Nokia 6610i
Conectividad y Recuperacin PIM Aplicaciones
Satisfacer Abajo
Satisfacer Abajo Abajo Abajo
Marcadas / Recibidas Abajo Llamadas telefnicas Mensajera SMS / MMS Abajo
78
Guin
Dispositi vo
Ericsson T68i Motorola MPX220 Motorola V66 Motorola V300 Nokia 6200 Nokia 6610i
Internet Mensajera Web Aplicaciones Archivo de texto Formatos Grficos del archivo Formatos Comprimido Archivo Histrico Formatos
Perder Perder NA Perder
Abajo Perder Perder Abajo
NA NA NA NA
Abajo Perder Perder Satisfacer
NA Perder Perder Abajo
NA Perder Perder Abajo
NA
Perder Perder Abajo Satisfacer Satisfacer Arriba
NA NA NA Satisfacer Satisfacer Arriba
NA NA NA Satisfacer Satisfacer Arriba
Perder Perder NA Satisfacer NA Arriba
Perder Perder NA Satisfacer NA Arriba
Archivos mal llamada NA Perifrico NA Tarjetas de memoria Adquisicin Consistencia Dispositivos aclarados Prdida de energa Satisfacer NA Arriba
CellDEK versin 1.3.1.0 ofrece la posibilidad de adquirir los datos de la tarjeta SIM utilizando el lector compatible PC/SC- integrado en el lado derecho de la caja de transporte. Un LED verde parpadea, cuando la tarjeta SIM est bien colocada. El proceso de adquisicin se inicia pulsando el botn "Tarjeta SIM" en la pantalla Device Type Select, que le pide al examinador para insertar la tarjeta SIM en el lector, como se ilustra a continuacin en la Figura 49.
Figura 49: CellDEK - SIM Adquisicin
Durante el proceso de adquisicin, se muestra un registro de actividad, como se ilustra a continuacin en la Figura 50, con todos los detalles de lo que los elementos de datos actualmente estn siendo adquirido de la tarjeta SIM. Antes de la lectura de la tarjeta SIM, el examinador se le pide a los "Datos del caso" pantalla permitiendo adicional
79
notas sobre los datos recuperados de la tarjeta SIM que se introduce a travs del teclado virtual. El caso Los detalles se incluirn en el informe final como se ha descrito anteriormente.
Figura 50: CellDEK - Registro de actividad
Los campos de datos siguientes se presentan: IMSI, ICCID, MSISDN, ADN, LND, SMS, y la informacin de loci. La Tabla 26 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para las tarjetas SIM en la parte superior. Ms informacin se puede encontrar en el Apndice K: CellDEK - SIM externos Resultados.
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Abajo Perder Abajo Abajo 8778 Abajo Perder Abajo Abajo 1144 Abajo Perder Abajo Abajo
80
Sinopsis SIMIS2
SIMIS2 versin 2.2.11 de Crown Hill17 es capaz de adquirir informacin de tarjetas SIM a travs de la PC / lector de tarjetas compatible con SC que viene con el software. SIMIS2 ofrece examinadores con una interfaz de usuario que contiene un conjunto de fichas que proporcionan los examinadores con la capacidad de crear seala el informe, importar informes archivados, buscar adquiri datos y realizar la administracin PIN. SIMIS2 permite los siguientes tipos de datos que se deben adquirir a partir de tarjetas SIM: Nmeros de marcacin abreviada (ADN), nmeros de marcacin fija (FDN), Identidad internacional del abonado mvil (IMSI), los ltimos nmeros marcados (LND), Mobile Subscriber Integrated Services Digital Network Number ( MSISDN), Parmetros cortos mensajes de servidor (Segunda Reunin), SMS mensajes cortos, mensajes eliminados, terreno pblico Redes mviles (PLMN), prohibido Redes Mviles Terrestres Pblicas (FPLMNS), informacin de ubicacin, canal de control de difusin (BCCH), mensaje de difusin celular Identificador de Descargar datos (CBMID), Nmero de correo de voz, identificacin Integrated Circuit Card (ICCID), la fase de identificacin, proveedor de servicios, administracin de datos, nmeros de marcacin de servicio (SDN) y Parmetros de configuracin de capacidad. La herramienta tambin puede realizar un volcado completo de los contenidos de la tarjeta para el anlisis. La adquisicin se inicia mediante la recopilacin de informacin de los casos (es decir, la referencia de archivo nico, nombre del operador, nmero de caso, IMEI, ICCID y el proveedor de servicios de informacin impresa en la tarjeta SIM) del examinador para su inclusin en el informe final. Despus de una adquisicin exitosa, SIMIS2 compara los datos introducidos manualmente (por ejemplo, el ICCID) con los datos adquiridos a partir de la tarjeta SIM para la consistencia. Si se encuentra una discrepancia, se notifica al examinador. SIMIS2 permite a los examinadores para ver los datos adicionales que no se muestran en la interfaz de usuario. Un archivo de volcado ASCII (. Dmp) se puede crear en el directorio de salida SIMIS2 seleccionando "dump SIM" en el men Archivo. Por ejemplo, las redes prohibidas (FPLMNs) fichero elemental se puede conseguir de esta manera. Los informes generados se pueden personalizar con detalles relacionados con el examen antes de que ocurra la adquisicin, que se incluyen en la versin final. Despus de seleccionar la opcin "Read SIM" y la adquisicin de todos los datos, se genera el informe se muestra al usuario. El informe generado es un informe basado en HTML que se puede ver con un editor de HTML estndar. El motor de bsqueda SIMIS2 ofrece examinadores de la capacidad de realizar bsquedas en los nmeros de telfono que aparecen en un caso o en toda la base de datos de todos los casos creados. En la actualidad, las bsquedas de cadenas alfa no son compatibles. SIMIS2 Actualmente no muestra ningn tipo de grficos que se encuentran en ciertos mensajes SMS de adultos. La Tabla 27 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar en NISTIR 7250 telfono celular Herramientas forenses: una visin general y anlisis.
SIM Guin 5343 Datos bsicos

17
8778 Satisface r
1144 Satisface r
Satisface r
Para ms informacin sobre los productos Crownhill USA:www.crownhillmobile.com
81
SIM Guin 5343 Datos de Ubicacin EMS Data Relaciones Data idioma Satisface r Abajo Satisface r 8778 1144
Abajo Abajo Abajo Abajo Satisface Satisface r r
Las versiones anteriores de SIMIS2 no se muestran correctamente los caracteres Unicode. Versin 2.2.11 ha corregido este problema.
82
Sinopsis ForensicSIM
El kit de herramientas ForensicSIM de Tcticas de radio es capaz de adquirir informacin de tarjetas SIM a travs de un PC / lector de tarjetas compatible con SC que viene con el software. Antes de que los contenidos de los datos de la tarjeta SIM pueden ser analizados con el software de anlisis forense, el examinador debe utilizar el terminal de adquisicin de ForensicSIM, un dispositivo independiente, para crear una copia de referencia del objetivo SIM en una tarjeta de almacenamiento por separado. Para copiar la SIM, el examinador primera sesin en el terminal de adquisicin con un nmero de usuario y PIN. La terminal de adquisicin luego camina al examinador a travs del proceso de introduccin de la tarjeta SIM de destino y la creacin de copias de referencia duplicados en las tarjetas SIM proporcionadas en blanco. Un Maestro SIM est destinado para el almacenamiento en caso de una disputa de pruebas, mientras que una copia SIM Fiscala que sirve como un trabajo duplicado para la recuperacin y el anlisis de las pruebas, y una copia Defensa SIM que sirve como un trabajo duplicado extendido a la defensa. Adems de las mencionadas tarjetas SIM de copia, existe una opcin para crear una tarjeta de acceso. La tarjeta de acceso es una copia de la tarjeta SIM de destino que se puede insertar en un telfono GSM asociado para el examen, sin el riesgo de conectar a la red celular. Una vez que el objetivo SIM ha sido duplicado con xito, el software ForensicSIM y lector de SIM se pueden utilizar para crear un informe de los datos contenidos en un SIM de referencia. El ForensicSIM toolkit permite los siguientes tipos de datos que deben recuperarse: archivos de abonado / usuario relacionados, Tlf. archivos relacionados Nmero, archivos relacionados SMS, archivos relacionados con la red y la informacin general SIM. Cada campo individual contiene metadatos adicionales acerca de cada tipo. El examinador tiene la opcin de crear un informe estndar o un informe avanzado. Un informe estndar slo muestra informacin de la tarjeta de identificacin, la agenda y los mensajes de texto SMS. El reporte avanzado muestra informacin adicional recuperado de la tarjeta SIM. Despus de que los datos de la tarjeta SIM se ha adquirido con xito, el examinador se le pide que introduzca la informacin especfica para cada caso (es decir, Operador, Operador Nombre, Fecha / Hora, Nmero de referencia, caso N Referencia, Oficial de Casos, prueba de referencia, Anexo Seal No., prueba Reseal No., Telfono Marca, cdigos PIN / PUK, si se conocen) Tipo de telfono, IMEI y. Una vez generado el informe, los inspectores pueden buscar manualmente los datos que contiene o utilizar un motor de bsqueda automatizado apropiado para el tipo de archivo exportado del informe. La Tabla 28 resume los resultados de la aplicacin de los escenarios aparece en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar en NISTIR 7250 telfono celular forenses Herramientas: una visin general y anlisis .
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Satisface r Satisface r Abajo Abajo 8778 Perder Perder Perder Perder 1144 Abajo Abajo Abajo Abajo
83
Sinopsis del lector de tarjetas Forense

Forense lector de tarjetas (FCR) 18 versin 1.8.0.94 es capaz de adquirir informacin de tarjetas SIM a travs del lector de Chipy PC / SC. El lector de tarjetas FCR PC / SC USB y el software de FCR dan examinadores de la capacidad de capturar datos como el ID ICC, IMSI, las llamadas entrantes / salientes, nmeros de llamada abreviados, mensajes SMS y datos de localizacin. Elementos de datos y el progreso de adquisicin se muestran, permitiendo que el proceso de adquisicin a ser monitoreados. FCR no tiene un motor de bsqueda integrado o facilidades de bsqueda. Una vez generado el informe en formato XML, los examinadores pueden buscar manualmente los datos que contiene o utilizar una herramienta de bsqueda apropiada. FCR no muestra los archivos de grficos de cualquier tipo. La aplicacin FCR slo permite que los examinadores para exportar datos de texto en el formato XML. Una vez que se genera el informe final, el archivo se puede ver con un navegador Web apropiado o editor XML. La Tabla 29 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar en NISTIR 7250 telfono celular Herramientas forenses: una visin general y anlisis.
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Abajo Abajo Abajo Abajo 8778 Abajo Abajo Abajo Abajo 1144 Abajo Abajo Abajo Abajo
18
Informacin adicional sobre FCR se puede encontrar en:http://www.becker-partner.de/forensic/intro_e.htm
84
Sinopsis SIMCon
SIMCon versin 1.2 se puede obtener informacin de tarjetas SIM a travs de un PC / lector compatible con SC. El software SIMCon da examinadores la capacidad de capturar y analizar datos como el DNI (ICCID), nmeros de marcacin almacenados (ADN), Nmeros de marcacin fija (FDN), nmero de abonado (MSISDN), los ltimos nmeros marcados (LND), mensajes SMS , identificacin del abonado (IMSI), clave de cifrado (Kc) y de la Informacin (loci) Ubicacin. Despus de una adquisicin exitosa, todo el contenido de la SIM pueden ser guardados y almacenados en la SIMCon. Formato propietario SIM para su posterior procesamiento. SIMCon permite buscar no estndar "archivos ocultos" marcando la opcin "Buscar archivos ocultos" casilla de verificacin. SIMCon utiliza una instalacin de hash interna para garantizar la integridad de los casos y detectar si el sabotaje se produjo durante el almacenamiento. SIMCon utiliza el algoritmo SHA1 para calcular un hash para cada archivo a medida que se lee de la tarjeta. Al seleccionar "Verificar Hash" en el men "Archivo", provoca SIMCon para volver a calcular todos los hashes y compruebe que el archivo original est en consonancia con el caso reabierto. SIMCon no tiene un motor de bsqueda integrado o facilidades de bsqueda. Sin embargo, los datos se pueden ver de forma manual mediante la navegacin a travs de la estructura de rbol y seleccionar elementos de datos individuales. Una representacin textual y hexadecimal de un elemento de datos seleccionado se presenta en el panel inferior. Adems, una vez que se genera el informe con formato, los examinadores pueden buscar manualmente de forma manual o utilizar una herramienta de bsqueda automtica apropiada. SIMCon slo admite imgenes de pxeles pequeos (16x16) y grandes (32x32) embebidos en determinados mensajes SMS de adultos. Estos tipos de imgenes se presentan junto con el contenido de texto del mensaje. La generacin de informes se inicia solicitando al examinador con los detalles de casos especficos como el nombre de investigador, fecha / hora, Identificacin del caso, el nmero de pruebas y toma nota especfica para la investigacin. El informe incluye los datos de los casos ingresados y los elementos de datos seleccionados por el examinador para su inclusin. La Tabla 30 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para los dispositivos a travs de la parte superior. Informacin adicional se puede encontrar en NISTIR 7250 telfono celular Herramientas forenses: una visin general y anlisis.
SIM Guin 5343 Datos bsicos Datos de Ubicacin EMS Data Relaciones Data Language Satisface r Satisface r Satisface r Satisface r 8778 1144
Abajo Abajo Satisface Satisface r r Satisface Satisface r Satisface r Satisface r r
85
Sinopsis USIMdetective
De Quantaq USIMdetective versin 1.3.119 se puede obtener informacin de tarjetas SIM a travs de un lector compatible PC/SC-. El software proporciona USIMdetective examinadores con la posibilidad de adquirir, analizar y generar informes personalizados incluyendo datos como el DNI (ICCID), nmeros de marcacin almacenados (ADN), nmeros de marcacin fija (FDN), el nmero de abonado (MSISDN), los ltimos nmeros marcados (LND), SMS y EMS mensajes, identificacin del abonado (IMSI), clave de cifrado (Kc) y de la Informacin (loci) Ubicacin.
Etapa de adquisicin
Una vez que la correcta conectividad se establece con el SIM, el examinador se le solicite el PIN correcto, si la tarjeta SIM est protegida, antes de iniciar la adquisicin. Si la tarjeta SIM no contiene una adquisicin PIN comienza haciendo clic en OK como se ilustra a continuacin en la Figura 51.
Despus de una adquisicin exitosa, todo el contenido de la SIM pueden ser guardados y almacenados en Formato propietario de USIMdetective para el procesamiento posterior. USIMdetective utiliza un interno hash instalacin para asegurar la integridad de los datos de casos y detectar si el sabotaje se produjo durante el almacenamiento. USIMdetective utiliza comprobaciones de integridad SHA1 y MD5 para garantizar que el archivo original est en consonancia con el expediente reabierto. La figura 52 proporciona una instantnea de la interfaz de usuario, que proporciona el examinador con una interfaz explica por s mismo a las funciones soportadas.
19
Informacin adicional sobre USIMdetective se puede encontrar en:http://www.quantaq.com/
86
USIMdetective no tiene un motor de bsqueda integrado o facilidades de bsqueda. Sin embargo, los datos se pueden ver de forma manual mediante la navegacin a travs de la estructura de rbol y seleccionar elementos de datos individuales o el HTML generado reportado se pueden buscar usando una herramienta de terceros.
Graphics Library
USIMdetective no muestra archivos grficos de cualquier tipo, aunque los datos en bruto asociados con imgenes de pxeles pequeos (16x16) y grandes (32x32) est presente. Por lo general, este tipo de imgenes se insertan en un mensaje MMS / EMS, y se presentan junto con el contenido textual del mensaje SMS / EMS.
La generacin de informes se inicia solicitando al examinador con los detalles de casos especficos como el nombre de investigador, fecha / hora, Identificacin del caso, el nmero de pruebas y toma nota especfica para la investigacin, como se ilustra a continuacin en la Figura 53.
87
Figura 53: Notas de adquisicin
El informe final se puede exportar en varios formatos, como se ilustra a continuacin en la Figura 54. El examinador se proporciona con la opcin de incluir o excluir elementos de datos especficos asociados a un tipo de informe.
88
Un extracto del informe se ilustra a continuacin en la Figura 55 y la Figura 56. El informe incluye informacin relevante para el caso como se mencion anteriormente, y los elementos de datos seleccionados por el examinador que estn en relacin con el caso o incidente.
Figura 55: Reporte Extracto
89
Figura 56: Reporte Extracto
Escenario Resultados
La Tabla 31 resume los resultados de la aplicacin de los escenarios enumerados en la parte izquierda de la tabla para las tarjetas SIM en la parte superior. Ms informacin se puede encontrar en el Apndice L: USIMdetective SIM externos Resultados.
SIM Guin 5343 Datos bsicos Datos de Ubicacin Satisface r Satisface r 8778 Satisface r Satisface r 1144 Satisface r Satisface r
90
SIM Guin 5343 EMS Data Relaciones Data Language Abajo Abajo 8778 Abajo Abajo 1144 Abajo Abajo
91
Conclusiones
Examen forense de dispositivos mviles es un tema cada vez mayor en la informtica forense. En consecuencia, telfonos celulares herramientas forenses son un desarrollo relativamente reciente y en las primeras etapas de madurez. Herramientas de Reconocimiento Mdico Legal traducen los datos en un formato y una estructura que sea comprensible por el examinador y se puede utilizar con eficacia para identificar y recuperar la evidencia. Sin embargo, las herramientas pueden contener un cierto grado de inexactitud. Por ejemplo, la aplicacin de una herramienta puede contener un error de programacin; una especificacin utilizado por la herramienta para traducir bits codificados en datos comprensibles por el examinador puede ser inexacta o fuera de fecha, o la estructura de protocolo generada por el dispositivo celular como entrada puede es incorrecta, causando la herramienta no funcione correctamente. Con el tiempo, la experiencia con una herramienta proporciona una comprensin de sus limitaciones, lo que permite un examinador para compensar en lo posible cualquier deficiencia o acudir a otros medios de recuperacin. Mientras que las herramientas se describen en este documento generalmente un buen desempeo y una funcionalidad adecuada, se espera que las nuevas versiones de mejorary satisfacer mejor las necesidades de investigacin. Este ha sido el caso en general para aquellas herramientas resumi anteriormente en NISTIR 7250 del telfono celular forense Herramientas: una visin general y anlisis. No hay una sola herramienta forense, sin embargo, se dirige a toda la gama de dispositivos que se pueden encontrar en la prctica. Para cubrir la ms amplia gama de telfonos mviles y (U) SIM, se debe esperar los examinadores de tener una caja de herramientas que contiene varias herramientas forenses bien elegidos. Los siguientes criterios destacan algunos elementos a considerar al elegir entre las herramientas disponibles: Facilidad de uso - la capacidad de presentardatos en un formularioque es til para un investigador. Integral - la capacidad de presentar todosdatos recuperables presentes en el dispositivo a un investigador para que las pruebas relacionadas con una investigacin puede ser identificado. Precisin - la calidad que la salida de la herramienta ha sido verificada y un margen de error determinado. determinista - la capacidadpara la herramienta para producir la misma salida cuando se les da el mismo conjunto deinstrucciones y de datos de entrada. Verificable - la capacidad de asegurar la precisin de la salida por tener acceso a la traduccin intermedia y presentacin de resultados. Aceptacin - el grado de revisin por pares y el acuerdo sobre la metodologa o tcnica utilizada por la herramienta. Calidad - la tcnicaapoyo, la fiabilidad, y el mantenimiento proporcionado por el fabricante Capacidad - los dispositivos compatibles, conjunto de caractersticas, rendimiento y riqueza de caractersticas en cuanto a flexibilidad y personalizacin Asequibilidad - el costo en comparacin con los beneficios asociados enproductividad
92
Glosario de siglas
ADN (nmeros de marcacin abreviada) - Censada guardan en la tarjeta SIM. CDMA (Code Division Multiple Access)- Una tecnologa de espectro ensanchado para redes celulares basadas en el Estndar Provisional-95 (IS-95) de la Asociacin de la Industria de Telecomunicaciones (TIA). EDGE (Velocidades de Datos Mejoradas para la Evolucin de GSM) - La actualizacin a GPRS para proporcionar mayores velocidades de datos al unirse varios intervalos de tiempo. (Servicio de mensajera mejorado)- Un sistema de mensajera mejorado para los telfonos mviles GSM que permite la imagen, el sonido, la animacin y el texto elementos que se transmiten a travs de uno o ms mensajes SMS concatenados. ESN (nmero de serie electrnico)- Un nmero nico de 32 bits programado en los telfonos CDMA cuando se fabrican. ID de la FCC (Comisin Federal de Comunicaciones de identificacin nmero)- Un identificador encontrar en todos los telfonos mviles que se venden legalmente en los EE.UU., que se emite por la FCC. FDN (nmeros de marcacin fija)- Un conjunto de nmeros de telfono mantiene en la tarjeta SIM que el telfono puede llamar exclusivamente de cualquier otro (es decir, todos los dems nmeros no se permiten). FPLMN (Forbidden PLMN) -una lista de Redes Mviles Terrestres Pblicas (PLMN) mantenidos en la tarjeta SIM que el telfono no puede ponerse en contacto de forma automtica, por lo general porque el servicio ha sido rechazada por un proveedor extranjero. GID1 (Grupo Identificador Nivel 1) - Un identificador para un SIM en particular y de asociacin auricular, que puede ser usado para identificar un grupo de SIMs implicadas en una aplicacin particular. GID2 (Grupo Identificador Nivel 2) - Un identificador GID1 similar. GPRS (General Packet Radio Service) - Una mejora de la conmutacin de paquetes a GSM y TDMA redes inalmbricas para aumentar la velocidad de transmisin de datos. GRPSLOCI (Informacin Ubicacin GPRS)- La informacin de rea de encaminamiento (RAI), enrutamiento Estado de actualizacin de rea, y otra informacin de localizacin mantienen en el SIM. GSM (Sistema Global para Comunicaciones Mviles)- Un conjunto de normas para redes celulares de segunda generacin actualmente mantenidos por el Proyecto de Asociacin de 3 Generacin (3GPP). HTTP (HyperText Transfer Protocol) - Un mtodo estndar para la comunicacin entre clientes y servidores Web. ICCID (circuito de identificacin de tarjetas integrado)- Un identificador nico e inmutable mantiene dentro de la tarjeta SIM.
93
iDEN (Integrated Digital Enhanced Network)- Una tecnologa de comunicacin mvil desarrollada por Motorola que combinan las capacidades de un telfono celular digital de radio de dos vas. IM (mensajera instantnea)- Una instalacin para el intercambio de mensajes en tiempo real con otras personas a travs de Internet y el seguimiento del progreso de la conversacin. IMEI (International Mobile Equipment Identity) - Un nmero nico programado en GSM y los telfonos mviles UMTS. IMSI (International Mobile Subscriber Identity) - Un nmero nico asociado con cada Usuario de telfono mvil GSM. IMAP (Internet Message Access Protocol) - Un mtodo de comunicacin utilizado para leer el correo electrnico almacenado en un servidor remoto. LND (ltimos nmeros marcados) - Un registro de los ltimos nmeros marcados, similar a la mantenida en el telfono, pero se mantuvo en la tarjeta SIM y sin una marca de tiempo. Loci (Informacin de ubicacin)- La ubicacin de identificador de rea (LAI) de la ubicacin actual del telfono, mantiene continuamente en la tarjeta SIM cuando el telfono est activo y se guarda cada vez que el telfono est apagado. MMS (Multimedia Messaging Service)- Un estndar aceptado para la mensajera que permite a los usuarios enviar y recibir mensajes con formato de texto, grficos, fotografas, audio y video clips. MSISDN (Mobile Subscriber Integrated Services Digital Network)- El nmero de telfono internacional asignado a un abonado celular. PIM (Personal Information Management)- Tipos de datos, como contactos, entradas de calendario, tareas, notas, memorandos y correos electrnicos que se pueden sincronizar desde el PC al dispositivo y viceversa. POP (Post Office Protocol) - Un protocolo estndar utilizado para recibir correo electrnico desde un servidor. SIM (Subscriber Identity Module) - un chip de tarjeta inteligente de los manifiestamente utilizados en equipos GSM. SMS (Short Message Service) - una instalacin de red de telefona mvil que permite a los usuarios enviar y recibir mensajes de texto alfanumrica de hasta 160 caracteres en su telfono celular o cualquier otro dispositivo porttil SMS (Short Message Service) chat- Un centro de intercambio de mensajes entre los usuarios de telfonos mviles en tiempo real a travs de la mensajera de texto SMS, lo que permite que los mensajes anteriores de la misma conversacin para ser visto.
94
SMTP (Simple Mail Transfer Protocol) - El protocolo ms utilizado para transferir mensajes de correo electrnico en Internet. UMTS (Sistema Universal de Telecomunicaciones Mviles)- Tercera generacin de tecnologas (3G) de telefona mvil estandarizados por el 3GPP como la sucesora de GSM. USIM (UMTS Subscriber Identity Module)- Un mdulo similar a la tarjeta SIM en GSM / GPRS redes, pero con capacidades adicionales adaptadas a las redes 3G. WAP (Wireless Application Protocol) - Un estndar que define la forma en que las comunicaciones de Internet y otros servicios avanzados se proporcionan en los dispositivos mviles inalmbricos. WIM (Mdulo de identidad WAP) - Un mdulo de seguridad implementado en la tarjeta SIM que proporciona un entorno de confianza para el uso de las aplicaciones y servicios relacionados WAP en un dispositivo mvil a travs de una puerta de enlace WAP. WiFi (Wireless Fidelity)- Un trmino genrico que se refiere a una red de rea local inalmbrica que observa el protocolo IEEE 802.11. WML (Wireless Markup Language)- Una versin reducida de HTML para permitir que los dispositivos mviles para acceder a sitios Web y las pginas que se han convertido de HTML para el formato de texto ms bsico de apoyo. XHTML (Extensible HyperText Markup Language) - Un estndar unificador que trae el Beneficios XML de fcil validacin y solucin de problemas a HTML. XML (Extensible Markup Language)- Un formato de texto flexible, diseado para describir los datos de la publicacin electrnica.
95
Apndice A: Device Seizure Resultados - Smart Devices

Los escenarios se realizaron en una recuperacin forense de dispositivos de prueba (FRED) con Windows XP SP2. Device Seizure versin 1.1 se utiliz para adquirir datos de Palm OS, Pocket PC y los dispositivos BlackBerry con capacidad de telfono celular.
Blackberry 7750
Los siguientes escenarios fueron ejecutados en un dispositivo inalmbrico CDMA BlackBerry basado en Java Verizon 7750 de mano con v3.7.1.36 (Plataforma 1.4.0.37). Conectividad y recuperacin:Los contenidos del dispositivo se adquirieron con xito. Si se aplican los mecanismos de autenticacin, la frase de paso correcta deber aportarse en 10 intentos. La correcta frase de paso se debe proporcionar para la memoria y la adquisicin de bases de datos. No se encontr informacin del proveedor de servicio (por ejemplo, ESN, MSID, FCCID) abonado Basic y. El tamao de la memoria reportado es incompatible con el tamao total que se encuentra en el dispositivo a travs de las opciones de > Pantalla Estado. (Meet) PIM Aplicaciones:Todos los datos PIM (es decir, libreta de direcciones, calendario, tareas, notas) se encuentra en las bases de datos correspondientes (es decir, libreta de direcciones, calendario, tareas, notas de base de datos) y reportado. Se encontr que todos los datos PIM eliminados y reportados en la ventana de memoria. (Meet) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados en el registro de llamadas de telfono, la base de datos Lista Caliente telfono, y la ventana de la memoria al realizar una bsqueda. Llamadas eliminados se encuentran en la ventana de memoria. (Meet) SMS / MMS Mensajera: Se encontr que todos los mensajes SMS entrantes y salientes activos e informados en la carpeta de mensajes y la ventana de la memoria. Se encontr que todos los SMS borrados y reportados en la ventana de memoria. Mensajes MMS no son compatibles. (Meet) Mensajera de Internet: Todo el contenido de datos asociado conenviados y se encontr mensajes de correo electrnico recibidos y reportados en la base de datos de mensajes y la ventana de la memoria. No se encontraron mensajes eliminados y reportados en la ventana de memoria. El dispositivo BlackBerry no es compatible con mensajera instantnea, por lo que esta parte de la hiptesis no es aplicable. (Meet) Aplicaciones Web:NA - Para que el Verizon BlackBerry 7750 para utilizar el visor Web, los clientes de Verizon debe comprar una solucin de terceros tales como MobileWeb4U Web Mvil WAP Gateway. Verizon no proporciona una puerta de enlace WAP pblica con esta capacidad. (NA) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) slo se encontr en. Txt archivos cuando se envan a travs de correo electrnico o el protocolo de BlackBerry Desktop Manager. No se encontraron datos eliminados. (Abajo) Grficos Formatos de archivo: Archivo de grficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png,. Tif) no se encontr o se muestra cuando se envan por correo electrnico el contenido de los datos. El protocolo de BlackBerry Desktop Manager no permite la transferencia de archivos de imagen al dispositivo. El nombre de archivo y la lnea de asunto del correo se encuentra y se inform. (Miss)
96
Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) No se encontr contenido. (Miss) Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) contenido de los datos no fue encontrado. (Miss) Perifricos Tarjetas de memoria:NA - El BlackBerry 7750 no permite para los medios extrables. (NA) La consistencia de adquisicin:Dos adquisicin consecutiva producir diferentes valores hash generales de la memoria. Sin embargo, los archivos de base de datos individuales adquiridos fueron consistentes. (Meet) Dispositivos aclarados:Existen dos mtodos para realizar un restablecimiento completo en un dispositivo BlackBerry: 1) que no entreguen la frase de paso correcta dentro de 10 intentos 2) acceder a BlackBerry Desktop Manager y despejar todas las bases de datos a travs de la copia de seguridad / Restaurar men avanzado. El primer enfoque obliga al usuario a volver a descargar el sistema operativo antes de que el dispositivo funciona correctamente. No se encontraron datos. (Meet) Los siguientes datos se encuentran despus de eliminar un dispositivo a travs del gestor de escritorio: los datos PIM (es decir, libreta de direcciones, calendario), Realizacin / Recepcin de llamadas telefnicas y de datos de mensajera de Internet (es decir, sujeto / nombre de archivo). (Arriba) Prdida de energa:El BlackBerry 7750 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
BlackBerry 7780
Los siguientes escenarios fueron ejecutados en un dispositivo BlackBerry AT & T GSM 7780 basado en Java inalmbrico de mano corriendo v3.7.1.59 (Plataforma 1.6.1.48). Conectividad y recuperacin:Los contenidos del dispositivo se reciben con xito, con o sin la presente SIM. Si se aplican los mecanismos de autenticacin, la frase de paso correcta deber aportarse en 10 intentos. La correcta frase de paso se debe proporcionar para la memoria y la adquisicin de bases de datos. No se encontr informacin del proveedor de servicio (por ejemplo, IMEI, ICCID, MSISDN) de abonado Basic y. El tamao de la memoria reportado es incompatible con el tamao total que se encuentra en el dispositivo a travs de> Opciones-la pantalla de estado. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM y reportados (es decir, libreta de direcciones, calendario, tareas, notas) en las bases de datos correspondientes (es decir, libreta de direcciones, calendario, tareas, notas de base de datos). Se encontr que todos los datos PIM eliminados y reportados en la ventana de memoria. (Meet) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados en la ventana del registro de llamadas, la base de datos Lista Caliente telfono y la memoria del telfono al realizar una bsqueda. Llamadas eliminados se encuentran en la ventana de memoria. (Meet)
97
SMS / MMS Mensajera:Se encontr que todos los mensajes SMS entrantes y salientes activos e informados en la carpeta de mensajes y la ventana de la memoria al realizar una bsqueda en el contenido del mensaje. Se encontr que todos los SMS borrados y reportados en la ventana de memoria. Mensajes MMS no son compatibles. (Meet) Mensajera de Internet:Todo el contenido de datos asociado conenviados y se encontr mensajes de correo electrnico recibidos y reportados en la base de datos de mensajes y la ventana de la memoria. No se encontraron mensajes eliminados y reportados en la ventana de memoria. El dispositivo BlackBerry no es compatible con mensajera instantnea, por lo que omite en este escenario. (Meet) Aplicaciones Web:URL visitadas y consultas en los motores de bsqueda fueron encontrados y reportados. No se encontr contenido Web Pruebas relativas a URLs. No hay imgenes grficas de los sitios visitados se encontraron y se muestra. (Abajo) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) slo se encontr en. Txt archivos cuando se envan a travs de correo electrnico o el protocolo de BlackBerry Desktop Manager. El nombre de archivo y la lnea de asunto del correo se encuentra y se inform de todos los archivos basados en texto. No se encontraron datos eliminados. (Abajo) Grficos Formatos de archivo: Archivo de grficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png,. Tif) no se encontr o se muestra cuando se envan por correo electrnico el contenido de los datos. El protocolo de BlackBerry Desktop Manager no permite la transferencia de archivos de imagen al dispositivo. El nombre de archivo y la lnea de asunto del correo se encuentra y se inform. (Miss) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) No se encontr contenido. (Miss) Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) contenido de los datos no fue encontrado. (Miss) Perifricos Tarjetas de memoria:NA - El BlackBerry 7780 no permite para los medios extrables. (NA) La consistencia de adquisicin:Dos adquisicin consecutiva producir diferentes valores hash generales de la memoria. Los archivos de base de datos individuales adquiridos fueron consistentes. (Meet) Dispositivos aclarados:Existen dos mtodos para realizar un restablecimiento completo en un dispositivo BlackBerry: 1) que no entreguen la frase de paso correcta dentro de 10 intentos, y 2) el acceso al BlackBerry Desktop Manager y despejar todas las bases de datos a travs de la copia de seguridad / Restaurar men avanzado. El primer enfoque obliga al usuario a volver a descargar el sistema operativo antes de que el dispositivo funciona correctamente. No se encontraron datos. (Meet) Los siguientes datos se encuentran despus de eliminar un dispositivo a travs del gestor de escritorio: los datos PIM (es decir, libreta de direcciones, calendario), Realizacin / Recepcin de llamadas telefnicas y de datos de mensajera de Internet (es decir, sujeto / nombre de archivo). (Arriba)
98
Prdida de energa:El BlackBerry 7780 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Kyocera 7135
Los escenarios siguientes se llevaron a cabo en un Kyocera 7135 que ejecuta la versin Verizon Palm OS 4.1. Conectividad y recuperacin:Los contenidos del dispositivo se adquirieron con xito. Si se aplican los mecanismos de autenticacin, la frase de paso correcta tiene que ser proporcionada a fin de iniciar la adquisicin. No se encontr informacin del proveedor de servicio (por ejemplo, ESN, MSID, FCCID) abonado Basic y. Soporte de red y el nmero de telfono se encuentran en el archivo NetworkDB y reportados. Dado que la memoria interna no puede ser adquirido, tamao de la memoria no se inform y no pudo ser verificada. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas, notas) en la base de datos / carpeta (es decir, AddressDB, DatebookDB, ToDoDB, archivos MemoDB) correspondiente e informados. Se encontr que el siguiente eliminado los datos PIM y reportado en asociacin con la Entradas de la libreta de direcciones: Nombre de la empresa, que se encuentra en el AddressCompaniesDB y ttulos, que se encuentra en el AddressTitlesDB. (Meet) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados en el archivo kwc_CallHistoryDB. Llamadas telefnicas eliminados fueron encontrados en el volcado de memoria. (Meet) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en el archivo kwc_messages y reportados. Mensajes SMS borrados no se encontraron o reportados. Mensajera MMS no es compatible. (Abajo) Mensajera de Internet:Todo el contenido de datos asociado conmensajes de correo electrnico enviados y recibidos se encuentran en el MailDB, pdQmailMsgs y los archivos de mensajes MMPROIII y reportados. No se encontraron mensajes eliminados. (Abajo) Aplicaciones Web: URL visitadas se encontraron e inform, aunque no se encontraron las bsquedas realizadas. No se encontr contenido Web textual o grfica relativa a URLs. (Abajo) Formatos de archivo de texto: Se encontr contenido de datos asociados con archivos de texto (por ejemplo,. Txt,. Doc,. Pdf) e inform de. Txt archivos. Sin embargo,. Pdf y. doc contenido archivo enviado por correo electrnico y HotSync no se encontr en un formato legible. Software necesario que permite a cada uno de los tipos de archivos anteriores para ser lectura se ha instalado en el dispositivo. Se encuentran los datos de archivos de texto eliminados y reportados para. Txt archivos. (Meet) Grficos Formatos de archivo: Archivo grfico (es decir,. Bmp,. Jpg,. Gif,. Png,. Tif) Los datos no se encontr cuando se envan a travs de correo electrnico o de HotSync. (Miss) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) No se encontr contenido. (Miss)
99
Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) que se encontr contenido de datos e inform de archivos basados en texto cuando se envan a travs de correo electrnico. Los tipos de archivos desconocidos no son aceptadas por el protocolo de HotSync. (Meet) Perifricos Tarjetas de memoria:No hay datos que residen en un MB MMC 128 poblados con varios archivos (Es decir, texto, grficos, audio, archivos comprimidos, archivos mal llamados) se encontr. (Miss) La consistencia de adquisicin:Dos adquisicin consecutiva producir diferentes hashes de los archivos siguientes bases de datos: NetworkDB y preferencias guardadas. (Abajo) Dispositivos aclarados:A Hard Reset se realiza manteniendo el botn de reinicio mientras pulsa la tecla de iluminacin. No se encontraron datos. (Meet) Prdida de energa:El Kyocera 7135 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. No se encontraron datos. (Meet)
Motorola MPx220
Los escenarios siguientes se llevaron a cabo en un Cingular GSM Motorola MPx220 corriendo Microsoft Windows Mobile 2004 para Pocket PC Phone Edition. Conectividad y recuperacin:Los contenidos de los datos del dispositivo se reciben con xito, con o sin la presente SIM. Si se aplican los mecanismos internos de autenticacin de memoria, la frase de paso correcta debe ser proporcionado para la conexin ActiveSync a tener lugar. No se encontr informacin del proveedor de servicio (por ejemplo, IMEI, ICCID, MSISDN) de abonado Basic y. Soporte de red y el nmero de telfono se encuentran en el directorio \ Windows y reportados. El tamao de la memoria informado es consistente con el tamao total de la memoria del dispositivo. (Meet) PIM Aplicaciones:No se encontraron datos PIM (es decir, libreta de direcciones, calendario, tareas, notas). (Miss) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:No se encontraron mensajes SMS. Contenido de los textos de los mensajes MMS entrantes activas fueron encontrados y reportados. No se encontraron archivos adjuntos de MMS. No se encontraron mensajes MMS eliminados. (Abajo) Mensajera de Internet:Todo el contenido de datos asociado conenviados y se encontr mensajes de correo electrnico recibidos e informados. No se encontraron mensajes eliminados. (Abajo) Aplicaciones Web:URL visitadas y consultas en los motores de bsqueda fueron encontrados y reportados. No se encontr contenido Web Pruebas relativas a las direcciones URL visitadas. No se encontraron imgenes grficas de los sitios visitados. (Abajo) Formatos de archivo de texto: Se encontr contenido de datos asociados con archivos de texto (por ejemplo,. Txt,. Doc,. Pdf) y reportado. No se encontraron archivos de texto borrados. (Abajo)
100
Grficos Formatos de archivo: Archivo de grficos (es decir,. Bmp,. Jpg,. Gif,. Png,. Tif) que se encontr contenido de datos e inform. . Png No se encontraron los archivos pero no aparecen en la biblioteca de grficos. No se encontraron archivos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que se encontr contenido y reportado. (Meet) Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) contenido de datos y se encontr inform. (Meet) Perifricos Tarjetas de memoria:Los datos que residen en una tarjeta SD de 256 MB Mini poblada con varios archivos (por ejemplo, texto, grficos, audio, archivos comprimidos, archivos mal llamados) se encontraron e informaron. No se encontraron los archivos eliminados. (Abajo) La consistencia de adquisicin:Dos adquisicin consecutiva producir diferentes valores hash generales de la memoria. Los archivos individuales adquiridos fueron consistentes. (Meet) Dispositivos aclarados:A Hard Reset se realiza manteniendo pulsado el botn de accin y presionando el botn de encendido. No se encontraron datos. (Meet) Prdida de energa:El Motorola MPx220 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Se encontr los siguientes datos: mensajes MMS (contenido de texto) y datos de mensajes de Internet (es decir, enviado / recibido correo electrnico). Los archivos individuales almacenados en el / Se encontraron directorio de almacenamiento y inform. (Arriba)
Samsung i700
Los escenarios siguientes se llevaron a cabo en un CDMA Samsung i700 Verizon con Microsoft Windows Mobile 2004 para Pocket PC Phone Edition. Conectividad y recuperacin:Los contenidos del dispositivo se adquirieron con xito. Si se aplican los mecanismos de autenticacin, la frase de paso correcta debe ser proporcionado para la conexin ActiveSync a tener lugar. No se encontr informacin del proveedor de servicio (por ejemplo, ESN, MSID, FCCID) abonado Basic y. Soporte de red y el nmero de telfono se encuentran en el directorio \ Windows y reportados. El tamao de la memoria informado es consistente con el tamao total de la memoria del dispositivo. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas, notas) en la base de datos / carpeta (por ejemplo, contactos, citas, tareas, notas de base de datos) y el correspondiente comunicado. Se encontr e informaron los datos PIM eliminados. (Meet) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontradas en la base de datos de la imagen de memoria y obstruccin e informados. Los nmeros de telfono se encuentran emitiendo el siguiente patrn de bsqueda: (. Aaa) .. ppp-.ssss Llamadas eliminados fueron encontrados en la imagen de memoria. (Meet)
101
SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la Carpeta \ Windows \ Mensajera y el archivo fldr100171c y reportados. No se encontraron mensajes SMS borrados. MMS no es compatible. (Abajo) Mensajera de Internet:Todo el contenido de datos asociado conmensajes de correo electrnico enviados y recibidos se encuentran en el archivo \ Windows \ Mensajera y reportados. Suprimido el contenido del archivo de mensajes (por ejemplo, el asunto, el cuerpo del texto) no se ha encontrado. (Abajo) Aplicaciones Web:URL visitadas y consultas en los motores de bsqueda fueron encontrados y reportados. Se encontr contenido Web Pruebas relativas a las URL y reportado. No hay imgenes grficas de los sitios visitados se encontraron o se muestran. (Abajo) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) fue comprobada, se indicar cuando se transfiere a travs de correo electrnico y ActiveSync. No se encontr el archivo de datos de texto borrados. (Abajo) Grficos Formatos de archivo: Archivo grfico (es decir,. Bmp,. Jpg,. Gif,. Png, tif). Nombres de archivos y contenido de datos se han encontrado y se muestra cuando se envan por correo electrnico y ActiveSync. No se encontr el archivo de datos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:Nombres de archivos y contenido de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) fueron encontrados y reportados cuando se envan por correo electrnico y ActiveSync. (Meet) Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) contenido de datos se encontr cuando se envan por correo electrnico y ActiveSync. (Meet) Perifricos Tarjetas de memoria:Los datos que residen en una MMC 128 MB poblada con varios archivos (por ejemplo, texto, grficos, audio, archivos comprimidos, archivos mal llamados) se encontraron e informaron. No se encontraron los archivos eliminados. (Abajo) La consistencia de adquisicin:Dos adquisicin consecutiva producir diferentes hashes de los archivos siguientes bases de datos: \ Categoras Base de datos, \ ConfigMetabase, SchedSync.dat, DB_notify_events, DB_notify_queue, pmailFolders, pmailMsgClasses, pmailNamedProps, pmailServices y Speed.db. (Abajo) Dispositivos aclarados:A Hard Reset se realiza manteniendo pulsado el botn de encendido mientras pulsa el botn de reinicio con el lpiz, y luego soltar el botn de encendido. No se encontraron datos. (Meet) Prdida de energa:El Samsung i700 Pocket PC se repobl con los escenarios anteriores y completamente vaca de toda la energa de la batera y volvi a adquirir. No se encontraron datos. (Meet)
PalmOne Treo 600
Los escenarios siguientes se llevaron a cabo en el Treo 600 que ejecuta la versin PalmOne Palm OS 5.2.1.
102
Conectividad y recuperacin:Los contenidos del dispositivo se reciben con xito, con o sin la presente SIM. Cuando se aplicaron los mecanismos de autenticacin, la frase de paso correcta deba ser proporcionado con el fin de iniciar la adquisicin. No se encontr informacin del proveedor de servicio (por ejemplo, IMEI, ICCID, MSISDN) de abonado Basic y. El tamao de la memoria no se inform y no pudo ser verificada. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM activos (es decir, libreta de direcciones, calendario, tareas, notas) en la base de datos / carpeta correspondiente (es decir, AddressDB, DatebookDB, ToDoDB, archivos MemoDB) y reportados. Datos PIM eliminados se encuentran en el archivo de la memoria. (Meet) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontradas en la PhoneCallDB archivo y reportado. Llamadas telefnicas eliminados fueron encontrados en el archivo de la memoria. (Abajo) SMS / MMS Mensajera:Se encontr que todos los mensajes SMS activos e informados en el archivo Database.pdb Msj. Se encontraron y reportaron los mensajes MMS y nombres de archivo correspondientes. Sin embargo, los archivos multimedia asociados no se puede ver. Mensajes SMS / MMS eliminados fueron encontrados en el archivo de la memoria. (Abajo) Mensajera de Internet:Todo el contenido de datos asociado conmensajes de correo electrnico enviados y recibidos se encuentran en el archivo Email_libr_HsMp_BDC79AAB y reportados. Suprimido el contenido del archivo de mensajes (por ejemplo, el asunto, el cuerpo del texto) no se ha encontrado, pero la direccin de correo electrnico se encuentra en el archivo EmailAddressDB.pdb. (Abajo) Aplicaciones Web:URL visitadas y consultas en los motores de bsqueda fueron encontrados y reportados. Se encontr contenido Web Pruebas relativas a las URL y reportado. No hay imgenes grficas de los sitios visitados se encontraron o se muestran. (Abajo) Formatos de archivo de texto: Se encontr contenido de datos asociados con archivos de texto (por ejemplo,. Txt,. Doc,. Pdf) e inform de. Doc y. txt archivos. Sin embargo,. Pdf datos de contenido de archivos enviados por correo electrnico y sincronizador no se encontr en un formato legible. Software necesario que permite a cada uno de los tipos de archivos anteriores para ser leda fue instalado en el dispositivo. Se encontr e informaron los datos del archivo de texto borrados de. Doc y . Txt archivos. (Meet) Grficos Formatos de archivo: Se encuentran los datos de archivo grfico (es decir,. Bmp,. Jpg,. Gif,. Png,. Tif) para los tipos de archivos compatibles con Palm OS. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) contenido no fue encontrado, pero no se encontr el nombre de archivo incluido en el archivo comprimido y report cuando se envan a travs de correo electrnico. (Abajo) Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) que se encontr contenido de datos e inform de archivos basados en texto, pero slo cuando se envan a travs de correo electrnico. Los tipos de archivos desconocidos no son aceptadas por el protocolo de HotSync. (Meet)
103
Perifricos Tarjetas de memoria:No hay datos que residen en un 128 MB MMC poblada con varios archivos (por ejemplo, texto, grficos, audio, archivos comprimidos, archivos mal llamados) se encontr o reportados. (Miss) La consistencia de adquisicin:Los archivos individuales y las bases de datos que no han sido modificados mantienen hashes consistentes entre adquisiciones consecutivas. (Meet) Dispositivos aclarados:A Hard Reset se realiza manteniendo pulsado el botn de reinicio y pulsando la tecla de encendido. No se encontraron datos. (Meet) Prdida de energa:El Treo 600 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. No se encontraron datos. (Meet)
104
Apndice B: Device Seizure Resultados - Celulares

Los escenarios se realizaron en una recuperacin forense de dispositivos de prueba (FRED) con Windows XP SP2. Device Seizure versin 1.1 fue utilizado para adquirir los datos de los siguientes telfonos celulares: Audiovox 8910, Ericsson T68i, LG 4015, Motorola C333, Motorola V66, Motorola V300, Nokia 3390, Nokia 6610i y el Sanyo PM8200.
Audiovox 8910
Los escenarios siguientes se llevaron a cabo en un pre-pago CMDA Audiovox 8910. Conectividad Device Seizure se estableci mediante la seleccin de LG (CDMA). Conectividad y recuperacin:Cable de datos Susteen de Data-piloto para mviles Audiovox se utiliz con el fin de establecer la conectividad con Device Seizure. Los contenidos del dispositivo protegido por contrasea se adquirieron con xito. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Todos los activos y los restos de los datos PIM eliminados fueron encontrados y reportados en el Seccin del sistema de archivos. (Meet) Realizacin / Recepcin de llamadas telefnicas:Todos los activos y eliminados marcados / llamadas recibidas fueron encontrados y reportados en la seccin del sistema de archivos. (Meet) SMS / MMS Mensajera:Todos los SMS entrantes y salientes activos / MMS fueron encontrados y reportados en la seccin del sistema de archivos. No se encontraron mensajes eliminados. (Abajo) Mensajera de Internet: NA - El Audiovox 8910 no es compatible con correo electrnico. (NA) Aplicaciones Web:URL visitadas fueron encontrados y reportados. No se encontraron consultas en los motores de bsqueda, el contenido textual Web perteneciente a URLs visitadas y las imgenes grficas de los sitios visitados,. (Abajo) Formatos de archivo de texto: NA - El Audiovox 8910 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato: Una conexin no se pudo establecer que permite la transferencia de archivos grficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Audiovox 8910. Las imgenes fueron creadas a travs de la cmara interna. Los archivos grficos presentes en el dispositivo fueron encontrados y reportados en la seccin del sistema de archivos. Las imgenes fueron exportados y ver con una aplicacin de terceros. No se encontraron archivos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:NA - El Audiovox 8910 no admite archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Audiovox 8910 no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA)
105
Perifricos Tarjetas de memoria:NA - El Audiovox 8910 no permite para los medios extrables. (NA) La consistencia de adquisicin:Todos los hashes de las carpetas individuales fueron consistentes. (Meet) Dispositivos aclarados:NA - Una funcin de arranque en fro no es proporcionada por el telfono. (NA) Prdida de energa:El Audiovox 8910 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Ericsson T68i
Los escenarios siguientes se llevaron a cabo en un Sony Ericsson T68i. Device Seizure versin 1.1 se utiliz para la adquisicin. Conectividad y recuperacin:Cable de datos Susteen de Data-piloto para los telfonos Sony Ericsson se utiliz con el fin de establecer la conectividad con Device Seizure. Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM y reportados (es decir, libreta de direcciones, calendario, tareas). No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Llamadas telefnicas carpeta. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta SMS y reportados. No se encontraron mensajes SMS borrados. Mensajes MMS y archivos adjuntos (por ejemplo, grficos, sonidos) no fueron encontrados o reportados. (Abajo) Mensajera de Internet:Contenido de los datos asociados a los mensajes de correo electrnico enviados y recibidos no fueron hallados. (Miss) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: NA - El Sony Ericsson T68i no soporta archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato: No se encontraron archivos grficos compatibles (por ejemplo,. Jpg,. Gif) presentes en el dispositivo. (Miss) Formatos de archivo comprimido Archivo:NA - El Sony Ericsson T68i no soporta archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)
106
Archivos mal llamada:NA - El Sony Ericsson T68i no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Sony Ericsson T68i no permite a los medios extrables. (NA) La consistencia de adquisicin:Todos los hashes de las carpetas individuales fueron consistentes. (Meet) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de Master Reset en el men de configuracin. Los datos contenidos en la tarjeta SIM se encontraron e informaron. (Meet) Prdida de energa:El Sony Ericsson T68i se repobl con los escenarios anteriores, entonces completamente drenados de toda la energa de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
LG 4015
Los escenarios siguientes se llevaron a cabo en un LG 4015 GSM. Device Seizure versin 1.1 se utiliz para la adquisicin. Conectividad y recuperacin:Los contenidos del dispositivo protegido por contrasea se adquirieron con xito. No se encontr informacin del proveedor de servicio de suscripcin Basic y. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM (es decir, libreta de direcciones, notas) en la base de datos / carpeta correspondiente (es decir, la agenda, las carpetas Scheduler) y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:Todos los SMS entrantes y salientes activas fueron encontrados y reportados. No se encontraron otros datos. (Abajo) Mensajera de Internet:N.A. - El LG 4015 no es compatible con correo electrnico. (NA) Aplicaciones Web:No se encontraron datos. (Miss) Formatos de archivo de texto: NA - El LG 4015 no es compatible con archivos de texto (por ejemplo, txt, doc, pdf...). (NA) Grficos Archivos Formato: NA -... Una conexin no se pudo establecer que permite la transferencia de archivos grficos (es decir, bmp, jpg, gif . Png,. Tif) para el LG 4015. (NA) Formatos de archivo comprimido Archivo:NA - El LG 4015 no admite archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El LG 4015 no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA)
107
Perifricos Tarjetas de memoria:NA - El LG 4015 no permite para los medios extrables. (NA) La consistencia de adquisicin:Todos los hashes de las carpetas individuales fueron consistentes. (Meet) Dispositivos aclarados: un restablecimiento completo se llev a cabo mediante la seleccin de la opcin Restaurar en la seguridadmen. Se recuper Todos los datos activos. (Arriba) Prdida de energa:El Sanyo PM-8200 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola C333
Los escenarios siguientes se llevaron a cabo en un desbloqueado GSM Motorola C333. Device Seizure versin 1.1 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Se encontr informacin del proveedor de servicio (por ejemplo, IMEI) de abonado Basic y. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base de datos / carpeta correspondiente (es decir, la agenda, las carpetas de la agenda) y reportados. Fue encontrado datos PIM eliminados y reportados en la carpeta del sistema de archivos. (Meet) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Llame carpeta Historial. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta de mensajes SMS y reportados. Mensajes SMS entrantes y salientes eliminados fueron encontrados en los SMS y rpida carpeta de descarga Notes. Mensajes MMS entrantes y salientes se encontraron, pero no los archivos multimedia asociados. (Meet) Mensajera de Internet:NA - El Motorola C333 no es compatible con correo electrnico. (NA) Aplicaciones Web:NA - conectividad a Internet no pudo ser establecida. (NA) Formatos de archivo de texto: NA - El Motorola C333 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato:NA - El Motorola C333 no es compatible con los archivos grficos (por ejemplo, bmp,. . Jpg,. Gif,. Png,. Tif). (NA) Formatos de archivo comprimido Archivo:NA - El Motorola C333 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)
108
Archivos mal llamada:NA - El Motorola C333 no es compatible con archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Motorola C333 no permite para los medios extrables. (NA) La consistencia de adquisicin: Todos los hashes de las carpetas individuales fueron consistentes. (Meet) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de Borrado y Restablecimiento maestro en el men de configuracin. No se encontraron mensajes SMS y Memos y reportados en los SMS y rpida carpeta dump notas. (Arriba) Prdida de energa:El Motorola C333 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola V66
Los escenarios siguientes se llevaron a cabo en un desbloqueado GSM Motorola V.series 66. Dispositivo Incautacin versin 1.1 se utiliz para la adquisicin. Conectividad y recuperacin:El contenido de dispositivos protegidos con contrasea son xito adquirido con o sin la presente SIM sin tener que proporcionar autenticacin adecuado. Se encontr informacin del proveedor de servicio (por ejemplo, IMEI, ICCID, IMSI) de abonado Basic y. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base de datos / carpeta correspondiente (es decir, la agenda, las carpetas de la agenda) y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Llame carpeta Historial. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta de mensajes SMS y reportados. No se encontraron mensajes SMS borrados. Mensajera MMS no es compatible. (Abajo) Mensajera de Internet:N.A. - El Motorola V66 no es compatible con correo electrnico. (NA) Aplicaciones Web:NA - conectividad a Internet no pudo ser establecida. (NA) Formatos de archivo de texto: NA - El Motorola V66 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato:NA - El Motorola V66 no es compatible con los archivos grficos (por ejemplo, bmp,. . Jpg,. Gif,. Png,. Tif). (NA)
109
Formatos de archivo comprimido Archivo:NA - El Motorola V66 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Motorola V66 no es compatible con archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Motorola V66 no permite para los medios extrables. (NA) La consistencia de adquisicin:Todos los hashes de las carpetas individuales fueron consistentes. (Meet) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin, el Maestro Borrar / Reiniciar en el men de configuracin. Se encontr e informaron datos de SMS y PIM eliminados. (Arriba) Prdida de energa:El Motorola V66 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola V300
Los escenarios siguientes se llevaron a cabo en un Pay-As-You-Go GSM Motorola V300. Dispositivo Incautacin versin 1.1 se utiliz para la adquisicin. Conectividad y recuperacin: Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI, IMSI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base de datos / carpeta correspondiente (por ejemplo, contactos, carpetas Calendario) y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas: Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Carpeta de las llamadas. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta de mensajes SMS y reportados. Mensajes SMS salientes eliminados fueron encontrados en los SMS y rpida carpeta de descarga Notes. No se encontraron e informaron mensajes y archivos adjuntos de MMS (es decir, los grficos, los bytes de sonido). (Meet) Mensajera de Internet:Mensajes de correo electrnico entrantes / salientes fueron encontrados y reportados. No se encontraron mensajes eliminados y reportados en el volcado de memoria prima. (Meet) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) no se encontr cuando se envan a travs de correo electrnico. El nombre de archivo y la lnea de asunto del correo se encuentra y se inform. (Miss)
110
Grficos Archivos Formato: Una conexin no se pudo establecer que permite la transferencia de archivos grficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Motorola V300. Las imgenes fueron creadas a travs de la cmara interna. Los archivos grficos fueron encontrados y reportados. (Meet) Formatos de archivo comprimido Archivo:NA - El Motorola V300 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) contenido de los datos no se encontr cuando se envan a travs de correo electrnico. El nombre de archivo y la lnea de asunto del correo se encuentra y se inform. (Miss) Perifricos Tarjetas de memoria:NA - El Motorola V300 no permite para los medios extrables. (NA) La consistencia de adquisicin:Todos los hashes de las carpetas individuales fueron consistentes. (Meet) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin del Borrado y Master Cambiar opciones en el men de configuracin. Se recuperaron los mensajes SMS. (Arriba) Prdida de energa:El Motorola V300 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Nokia 3390
Los escenarios siguientes se llevaron a cabo en un Nokia 3390 GSM. Device Seizure versin 1.1 se utiliz para la adquisicin. Conectividad y recuperacin:Los contenidos del dispositivo protegidas por contrasea se reciben con xito, con o sin la presente SIM proporcionar autenticacin de memoria interna adecuada. Se encontr informacin bsica proveedor de abonado y servicios (es decir, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM y reportados (es decir, Agenda, Calendario). Suprimido No se encontraron datos PIM. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Llamadas telefnicas carpeta. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes activas se encuentran en la carpeta SMS y reportados. No se encontraron mensajes SMS salientes. No se encontraron mensajes SMS borrados. Mensajes MMS no son compatibles. (Abajo) Mensajera de Internet:N.A. - El Nokia 3390 no es compatible con correo electrnico. (NA) Aplicaciones Web:El Nokia 3390 no es compatible con la navegacin por la Web, pero permite una instantnea Mensajera. No se encontraron datos. (Miss)
111
Formatos de archivo de texto: NA - El Nokia 3390 no es compatible con archivos de texto (por ejemplo, txt, doc, pdf...). (NA) Grficos Archivos Formato: NA - El Nokia 3390 no es compatible con los archivos grficos (por ejemplo, bmp, jpg,.. . Gif,. Png,. Tif). (NA) Formatos de archivo comprimido Archivo:NA - El Nokia 3390 no es compatible con archivos comprimidos de archivos (por ejemplo, zip, rar, exe, tgz.....) (NA) Archivos mal llamada:NA - El Nokia 3390 no es compatible con archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Nokia 3390 no permite para los medios extrables. (NA) La consistencia de adquisicin:Todos los hashes de las carpetas individuales fueron consistentes. (Meet) Dispositivos aclarados: NA - Una funcin de arranque en fro no son proporcionados por el telfono. (NA) La prdida de energa: El Nokia 3390 se repobl con los escenarios anteriores, entonces completamente drenado de todo el poder de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
Nokia 6610i
Los escenarios siguientes se llevaron a cabo en una GSM desbloqueado Nokia 6610i. Device Seizure versin 1.1 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin correcta deba ser proporcionada al dispositivo protegido por contrasea cuando el SIM estuvo presente, aunque la adquisicin se ha realizado correctamente y sin la tarjeta SIM. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM y reportados (es decir, Agenda, Calendario). Suprimido No se encontraron datos PIM. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Call Logs. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta Historial SMS y reportados. No se encontraron mensajes MMS activos y los archivos asociados (por ejemplo, archivos grficos, audio). No se encontraron mensajes SMS / MMS eliminados. (Abajo) Mensajera de Internet:N.A. - El Nokia 6610i no es compatible con correo electrnico. (NA) Aplicaciones Web:URL visitadas se encontraron e inform, aunque no se encontraron las bsquedas realizadas. No se encontr contenido Web Pruebas relativas a las direcciones URL visitadas. No hay imgenes grficas de los sitios visitados se encontraron y se muestra. (Abajo)
112
Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) fue comprobada, se indicar en la carpeta del sistema de archivos y puede ser visto despus de guardar en la estacin de trabajo forense. No se encontraron archivos de texto borrados. (Abajo) Grficos Archivos Formato: Se encontraron y reportaron los archivos grficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png, tif.) Presentes en el dispositivo. No se encontraron archivos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que se encontr contenido y reportado en la carpeta del sistema de archivos y se puede ver despus de guardar en la estacin de trabajo forense. (Meet) Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) se han encontrado y reportado en la carpeta del sistema de archivos y puede ser visto con la correcta aplicacin despus de guardar en la estacin de trabajo forense. (Meet) Perifricos Tarjetas de memoria:NA - El Nokia 6610i no permite para los medios extrables. (NA) La consistencia de adquisicin:Todos los hashes de las carpetas individuales fueron consistentes. (Meet) Dispositivos aclarados: NA - Una funcin de arranque en fro no son proporcionados por el telfono. (NA) La prdida de energa: El Nokia 6610i se repobl con los escenarios anteriores, entonces completamente drenado de todo el poder de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
Sanyo PM-8200
Los escenarios siguientes se llevaron a cabo en un CMDA Sanyo 8200. Conectividad Device Seizure se estableci mediante la seleccin de LG (CDMA). Conectividad y recuperacin:Los contenidos del dispositivo protegido por contrasea se adquirieron con xito. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM activos e informados en la carpeta correspondiente (por ejemplo, Agenda, Calendario). Entradas de Tareas fueron encontrados y reportados en la seccin del sistema de archivos. Se encontr contacto datos PIM eliminados y reportados en la seccin del sistema de archivos. Restos de datos de Calendar borrada y entradas de Tareas fueron encontrados y reportados en la seccin del sistema de archivos. (Meet) Realizacin / Recepcin de llamadas telefnicas: Todos los activos y eliminados marcados / llamadas recibidas fueron encontrados y reportados en la seccin del sistema de archivos. (Meet) SMS / MMS Mensajera:Todos los SMS entrantes y salientes activas y MMS salientes (contenido textual) fueron encontrados y reportados en la seccin del sistema de archivos. No se encontraron mensajes SMS / MMS salientes eliminados (contenido textual) y reportados en la seccin del sistema de archivos. No se encontraron mensajes MMS entrantes (es decir, el contenido textual). (Meet)
113
Mensajera de Internet:Contenido de los datos asociados a enviados y no se encontr mensajes de correo electrnico recibidos. (Miss) Aplicaciones Web:Visitado el URL o web contenidos de titularidad de los sitios visitados no fueron hallados. (Miss) Formatos de archivo de texto: NA - La Sanyo PM-8200 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato: Una conexin no se pudo establecer que permite la transferencia de archivos grficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Sanyo PM-8200. Las imgenes fueron creadas a travs de la cmara de fotos. No se encontraron archivos grficos presentes en el dispositivo. (Miss) Formatos de archivo comprimido Archivo:NA - Las PM-8200 no es compatible con archivos comprimidos Sanyo (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - La Sanyo PM-8200 no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado cona. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - La Sanyo PM-8200 no permite para los medios extrables. (NA) La consistencia de adquisicin:Todos los hashes de las carpetas individuales fueron consistentes. (Meet) Dispositivos aclarados: un restablecimiento completo se llev a cabo mediante la seleccin la opcin Reiniciar del men de seguridad. Se recuper Todos los datos activos. (Arriba) Prdida de energa:El Sanyo PM-8200 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
114
Apndice C:. GSM XRY Resultados

Los escenarios se realizaron en una recuperacin forense de dispositivos de prueba (FRED) con Windows XP SP2. . GSM XRY versin 3.0 fue utilizado para adquirir los datos de los siguientes telfonos mviles: Ericsson T68i, Motorola C333, Motorola V66, Motorola V300, Nokia 6610i, Nokia 6200 y Nokia 7610.
Ericsson T68i
Los escenarios siguientes se llevaron a cabo en un Sony Ericsson T68i. GSM. XRY versin 3.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI, IMSI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas) en la base de datos / carpeta (por ejemplo, contactos, carpetas Calendario, Tareas) correspondiente y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Carpeta de las llamadas. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta SMS y reportados. No se encontraron mensajes SMS borrados. Mensajes y archivos adjuntos de MMS (es decir, los grficos, los bytes de sonido) no fueron encontrados o reportados. (Abajo) Mensajera de Internet:No se encontr contenido de datos asociado con mensajes de correo electrnico enviados y recibidos. (Miss) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: NA - El Sony Ericsson T68i no soporta archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato: No se encontraron archivos grficos compatibles (por ejemplo,. Jpg,. Gif) presentes en el dispositivo. (Miss) Formatos de archivo comprimido Archivo:NA - El Sony Ericsson T68i no soporta archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Sony Ericsson T68i no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA)
115
Perifricos Tarjetas de memoria:NA - El Sony Ericsson T68i no permite a los medios extrables. (NA) La consistencia de adquisicin:NA - Esta firma no es un hash de los datos del dispositivo, pero la identidad del examinador. (NA) Dispositivos aclarados:A Hard Reset se realiza seleccionando Restablecer ajustes y Restablecer todo en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Sony Ericsson T68i se repobl con los escenarios anteriores, entonces completamente drenados de toda la energa de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola C333
Los escenarios siguientes se llevaron a cabo en un desbloqueado GSM Motorola C333. GSM. XRY versin 3.0 se utiliz para la adquisicin. Conectividad y recuperacin:El contenido de dispositivos protegidos con contrasea son xito adquirido con o sin la presente SIM sin tener que proporcionar autenticacin adecuado. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI, IMSI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base de datos / carpeta correspondiente (por ejemplo, contactos, carpetas Calendario) y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Carpeta de las llamadas. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta SMS y reportados. No se encontraron mensajes SMS borrados. MMS no es compatible. (Abajo) Mensajera de Internet:NA - El Motorola C333 no es compatible con correo electrnico. (NA) Aplicaciones Web:NA - conectividad a Internet no pudo ser establecida. (NA) Formatos de archivo de texto: NA - El Motorola C333 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato:NA - El Motorola C333 no es compatible con los archivos grficos (por ejemplo, bmp,. . Jpg,. Gif,. Png,. Tif). (NA) Formatos de archivo comprimido Archivo: NA - El Motorola C333 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)
116
Archivos mal llamada:NA - El Motorola C333 no es compatible con archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Motorola C333 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - Esta firma no es un hash de los datos del dispositivo, pero la identidad del examinador. (NA) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de Borrado y Restablecimiento maestro en el men de configuracin. No se encontraron mensajes SMS y reportados en la carpeta SMS. (Arriba) Prdida de energa:El Motorola C333 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola V66
Los escenarios siguientes se llevaron a cabo en un desbloqueado GSM Motorola V.series 66. GSM. XRY versin 3.0 se utiliz para la adquisicin. Conectividad y recuperacin:El contenido de dispositivos protegidos con contrasea son xito adquirido con o sin la presente SIM sin tener que proporcionar autenticacin adecuado. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI, IMSI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base de datos / carpeta correspondiente (por ejemplo, contactos, carpetas Calendario) y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Carpeta de las llamadas. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta SMS y reportados. No se encontraron mensajes SMS borrados. MMS no es compatible. (Abajo) Mensajera de Internet:N.A. - El Motorola V66 no es compatible con correo electrnico. (NA) Aplicaciones Web:NA - conectividad a Internet no pudo ser establecida. (NA) Formatos de archivo de texto: NA - El Motorola V66 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato:NA - El Motorola V66 no es compatible con los archivos grficos (por ejemplo, bmp,. . Jpg,. Gif,. Png,. Tif). (NA)
117
Formatos de archivo comprimido Archivo:NA - El Motorola V66 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Motorola V66 no es compatible con archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Motorola V66 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - Esta firma no es un hash de los datos del dispositivo, pero la identidad del examinador. (NA) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de Master Reset en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Motorola V66 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola V300
Los escenarios siguientes se llevaron a cabo en un Pay-As-You-Go GSM Motorola V300. GSM. XRY versin 3.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI, IMSI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base de datos / carpeta correspondiente (por ejemplo, contactos, carpetas Calendario) y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Carpeta de las llamadas. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera: Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta SMS y reportados. No se encontraron mensajes SMS borrados. Mensajes y archivos adjuntos de MMS (es decir, los grficos, los bytes de sonido) no fueron encontrados o reportados. (Abajo) Mensajera de Internet:Mensajes de correo electrnico entrantes / salientes fueron encontrados y reportados. Registros de chat y No se encontraron mensajes eliminados. (Abajo) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) no se encontr cuando se envan a travs de correo electrnico. El nombre de archivo y la lnea de asunto del correo se encuentra y se inform. (Miss)
118
Grficos Archivos Formato: Una conexin no se pudo establecer que permite la transferencia de archivos grficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Motorola V300. Las imgenes fueron creadas a travs de la cmara de fotos. No se encontraron datos. (Miss) Formatos de archivo comprimido Archivo:NA - El Motorola V300 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) contenido de los datos no se encontr cuando se envan a travs de correo electrnico. El nombre de archivo y la lnea de asunto del correo se encuentra y se inform. (Miss) Perifricos Tarjetas de memoria:NA - El Motorola V300 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - Esta firma no es un hash de los datos del dispositivo, pero la identidad del examinador. (NA) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin del Borrado y Master Cambiar opciones en el men de configuracin. Se recuperaron los mensajes SMS. (Arriba) Prdida de energa:El Motorola V300 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Nokia 6610i
Los escenarios siguientes se llevaron a cabo en una GSM desbloqueado Nokia 6610i. GSM. Versin XRY 3.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin correcta deba ser proporcionada al dispositivo protegido por contrasea antes de contenidos se adquirieron con xito. Los contenidos del dispositivo se reciben con xito, con o sin la presente SIM. Informacin del proveedor de servicio de suscripcin de base y fue encontrado y reportado (es decir, IMEI, IMSI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario) en la base de datos / carpeta (por ejemplo, contactos, calendario) correspondiente y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas: Todas las llamadas realizadas / recibidas fueron encontrados y reportados en el Carpeta de las llamadas. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:Todos los mensajes SMS entrantes y salientes activas se encuentran en la carpeta de mensajes SMS y reportados. No se encontraron mensajes SMS / MMS eliminados. Restos de datos textuales de los mensajes MMS recibidos se encuentran en la carpeta de archivos. Los datos adjuntos de MMS se encontr en la imagen y carpetas de audio. (Abajo) Mensajera de Internet:N.A. - El Nokia 6610i no es compatible con correo electrnico. (NA)
119
Aplicaciones Web:URL visitadas y consultas en los motores de bsqueda fueron encontrados y reportados. No se encontr contenido Web Pruebas relativas a URLs. No hay imgenes grficas de los sitios visitados se encontraron o se muestran. (Abajo) Formatos de archivo de texto: Se encontr contenido de datos asociados con archivos de texto (por ejemplo,. Txt,. Doc,. Pdf) y reportado en la carpeta Archivos y podra ser visto despus de guardar en la estacin de trabajo forense. No se encontraron archivos de texto borrados. (Abajo) Grficos Archivos Formato: No se encontraron archivos grficos (es decir,. Bmp,. Jpg,. Gif,. Png, tif.) Presentes en el dispositivo y reportados en la carpeta Imgenes. No se encontraron archivos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que se encontr contenido y reportado en la carpeta de archivos y se puede ver despus de guardar en la estacin de trabajo forense. (Meet) Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) se han encontrado y reportado en la carpeta de archivos y puede ser visto con la correcta aplicacin despus de guardar en la estacin de trabajo forense. (Meet) Perifricos Tarjetas de memoria:NA - El Nokia 6610i no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - Esta firma no es un hash de los datos del dispositivo, pero la identidad del examinador. (NA) Dispositivos aclarados:NA - Una funcin de arranque en fro no es proporcionada por el telfono. (NA) Prdida de energa:El Nokia 6610i se repobl con los escenarios anteriores, entonces completamente drenados de toda la energa de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
Nokia 6200
Los escenarios siguientes se llevaron a cabo en un Nokia 6200 GSM. GSM. XRY versin 3.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin correcta deba ser proporcionada al dispositivo protegido por contrasea antes de contenidos se adquirieron con xito. Los contenidos del dispositivo se reciben con xito, con o sin la presente SIM. Informacin del proveedor de servicio de suscripcin de base y fue encontrado y reportado (es decir, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones: Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas) en la base de datos / carpeta correspondiente (es decir, Contactos, Calendario, Notas) y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Marcadas / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo)
120
SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes de texto SMS entrantes y salientes activas. No se encontraron mensajes SMS / MMS eliminados. No se encontraron mensajes MMS con archivos adjuntos (por ejemplo, grficos, archivos de audio). (Abajo) Mensajera de Internet: NA El Nokia 6200 no es compatible con correo electrnico. (NA) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Se encontr contenido de datos asociados con archivos de texto (por ejemplo,. Txt,. Doc,. Pdf) y reportado en la carpeta Archivos y podra ser visto despus de guardar en la estacin de trabajo forense. No se encontraron archivos de texto borrados. (Abajo) Grficos Archivos Formato: No se encontraron archivos grficos (es decir,. Bmp,. Jpg,. Gif,. Png, tif.) Presentes en el dispositivo y reportados en la carpeta Imgenes. No se encontraron archivos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que se encontr contenido y reportado en la carpeta de archivos y se puede ver despus de guardar en la estacin de trabajo forense. (Meet) Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) se han encontrado y reportado en la carpeta de archivos y puede ser visto con la correcta aplicacin despus de guardar en la estacin de trabajo forense. (Meet) Perifricos Tarjetas de memoria:NA - El Nokia 6200 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - Esta firma no es un hash de los datos del dispositivo, pero la identidad del examinador. (NA) Dispositivos aclarados:NA - Una funcin de arranque en fro no es proporcionada por el telfono. (NA) Prdida de energa:El Nokia 6200 se vuelve a llenar con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Nokia 7610
Los escenarios siguientes se llevaron a cabo en un Nokia 7610 GSM con Symbian OS. GSM . XRY versin 3.0 se utiliz para la adquisicin. Conectividad y recuperacin:GSM. XRY pudo adquirir contenido de los datos a travs de un cable de interfaz. Por lo tanto, Bluetooth se utiliza para la adquisicin. Autenticacin correcta deba ser proporcionada al dispositivo protegido por contrasea con el fin de activar Bluetooth para permitir la conectividad con la red GSM Unidad. XRY. La tarjeta SIM debe estar presente para la adquisicin, pero la autenticacin no tendr que ser proporcionada. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI, IMSI). No se inform el tamao de memoria. (Meet)
121
PIM Aplicaciones:Se encontr que todos los datos PIM (es decir, libreta de direcciones, calendario, tareas) en la base de datos / carpeta correspondiente (es decir, Contactos, Calendario, Notas) y reportados. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:No se encontraron entrantes y salientes de SMS / mensajes de texto MMS (es decir, el contenido basado en texto). (Miss) Mensajera de Internet:No se encontr contenido de datos asociado con mensajes de correo electrnico enviados y recibidos. (Miss) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Contenido de los datos asociados con archivos de texto (es decir,. Txt. pdf, . Doc) fueron encontrados y reportados en la carpeta Notes. Archivo de texto eliminados no fueron hallados. (Abajo) Grficos Archivos Formato: No se encontraron archivos grficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png, tif.) Presentes en el dispositivo y reportados en la carpeta Imgenes. No se encontraron archivos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que se encontr contenido y reportado en la carpeta de archivos y se puede ver despus de guardar en la estacin de trabajo forense. (Meet) Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) se han encontrado y reportado en la carpeta Notes. (Meet) Perifricos Tarjetas de memoria:Los datos que residen en un 64 MB MMC poblada con varios archivos (por ejemplo, texto, grficos, audio, archivos mal llamados) fueron encontrados y reportados. No se encontraron datos borrados. (Abajo) La consistencia de adquisicin:NA - Esta firma no es un hash de los datos del dispositivo, pero la identidad del examinador. (NA) Dispositivos aclarados:A Hard Reset se realiz introduciendo * # 7370 # seguido de la tecla de llamada. No se encontraron datos de la memoria interna del telfono. Los datos de poblacin en la tarjeta MMC se encontr y reportados. (Meet) Prdida de energa:El Nokia 7610 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
122
Apndice D: SecureView Resultados

Los escenarios fueron realizados en una estacin de trabajo forense con Windows XP SP2. SecureView versin 1.5.0 se utiliz para la adquisicin de datos a partir de los siguientes telfonos celulares: Audiovox 8910, Ericsson T68i, LG4015, Motorola C333, Motorola V66, Motorola V300, Nokia 6200 y un Sanyo 8200 a travs de un cable de enlace de datos.
Audiovox 8910
Los escenarios siguientes se llevaron a cabo en un pre-pago CMDA Audiovox 8910. Conectividad y Recuperacin: El contenido de dispositivos protegidos con contrasea se adquirieron con xito cuando la autenticacinSe proporcionan mecanismoscon la presente SIM. No se encontraron datos. (Miss)
Ericsson T68i
Los escenarios siguientes se llevaron a cabo en un desbloqueado Sony Ericsson T68i. Conectividad se estableci mediante cable Sony Ericsson Conejo de Susteen. Conectividad y recuperacin:El contenido de dispositivos protegidos con contrasea son xito adquiridas cuando los mecanismos de autenticacin se les proporcion la presente SIM. No se ha encontrado informacin bsica de abonado (es decir, de IMEI / ESN). No se inform el tamao de memoria. (Meet) PIM Aplicaciones: Todas las entradas de la libreta de telfono activos almacenados en la memoria interna del telfono fueron encontrados y reportados. No se informaron los registros guardados en la tarjeta SIM. No se encontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. No se encontraron mensajes SMS borrados. Mensajes y archivos adjuntos de MMS (es decir, los grficos, los bytes de sonido) no fueron encontrados o reportados. (Abajo) Mensajera de Internet:No se encontr contenido de datos asociado con mensajes de correo electrnico enviados y recibidos. (Miss) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: NA - El Sony Ericsson T68i no soporta archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato: No se encontraron archivos grficos compatibles (por ejemplo,. Jpg,. Gif) presentes en el dispositivo. (Miss) Formatos de archivo comprimido Archivo: NA - El Sony Ericsson T68i no soporta archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)
123
Archivos mal llamada:NA - El Sony Ericsson T68i no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Sony Ericsson T68i no permite a los medios extrables. (NA) La consistencia de adquisicin:NA - SecureView no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de Master Reset en el men de configuracin. Los datos contenidos en la tarjeta SIM se encontraron e informaron. (Meet) Prdida de energa:El Sony Ericsson T68i se repobl con los escenarios anteriores, entonces completamente drenados de toda la energa de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
LG4015
Los escenarios siguientes se llevaron a cabo en un LG4015. Conectividad se estableci mediante LG2 cable Camel de Susteen. Conectividad y recuperacin:Los contenidos del dispositivo protegido por contrasea se adquirieron con xito. Se encontr informacin bsica de abonado (es decir, IMEI / ESN). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Todas las entradas de la libreta de telfono activos almacenados en la memoria interna del telfono y la tarjeta SIM se encontraron e informaron. No se encontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:No se encontraron datos. (Miss) Mensajera de Internet:N.A. - El LG 4015 no es compatible con correo electrnico. (NA) Aplicaciones Web:No se encontraron datos. (Miss) Formatos de archivo de texto: NA - El LG 4015 no es compatible con archivos de texto (por ejemplo, txt, doc, pdf...). (NA) Grficos Archivos Formato: NA -... Una conexin no se pudo establecer que permite la transferencia de archivos grficos (es decir, bmp, jpg, gif . Png,. Tif) para el LG 4015. (NA) Formatos de archivo comprimido Archivo:NA - El LG 4015 no admite archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)
124
Archivos mal llamada:NA - El LG 4015 no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El LG 4015 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - SecureView no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados: un restablecimiento completo se llev a cabo mediante la seleccin de la opcin Restaurar en la seguridadmen. Se recuper Todos los datos activos. (Arriba) Prdida de energa:El Sanyo PM-8200 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola C333
Los escenarios siguientes se llevaron a cabo en un Motorola C333 telfono GSM desbloqueado. Conectividad se estableci utilizando Motorola cable Scorpion de Susteen 2. Conectividad y recuperacin:Los contenidos del dispositivo protegido por contrasea se adquirieron con xito con SIM presente y proporcionando la autenticacin apropiada. Se encontr informacin bsica abonado (es decir IMEI / ESN) e inform. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Todas las entradas de la libreta de telfono activos fueron encontrados y reportados. No se encontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. No se encontraron mensajes SMS borrados. Mensajes y archivos adjuntos de MMS (es decir, los grficos, los bytes de sonido) no fueron encontrados o reportados. (Abajo) Mensajera de Internet:NA - El Motorola C333 no es compatible con correo electrnico. (NA) Aplicaciones Web:NA - conectividad a Internet no pudo ser establecida. (NA) Formatos de archivo de texto: NA - El Motorola C333 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato:NA - El Motorola C333 no es compatible con los archivos grficos (por ejemplo, bmp,. . Jpg,. Gif,. Png,. Tif). (NA) Formatos de archivo comprimido Archivo:NA - El Motorola C333 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Motorola C333 no es compatible con archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA)
125
Perifricos Tarjetas de memoria:NA - El Motorola C333 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - SecureView no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de la opcin Reinicio General en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Motorola C333 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola V66
Los escenarios siguientes se llevaron a cabo en un Motorola V.series 66 GSM telfono desbloqueado. Conectividad se estableci utilizando Motorola cable Pingino de Susteen 2. Conectividad y recuperacin:Los contenidos del dispositivo protegido por contrasea se adquirieron con xito con el actual SIM. Se encontr informacin bsica abonado (es decir IMEI / ESN) e inform. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Todas las entradas de la libreta de telfono activos fueron encontrados y reportados. No se encontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. No se encontraron mensajes SMS borrados. MMS no es compatible. (Abajo) Mensajera de Internet:N.A. - El Motorola V66 no es compatible con correo electrnico. (NA) Aplicaciones Web:NA - conectividad a Internet no pudo ser establecida. (NA) Formatos de archivo de texto: NA - El Motorola V66 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato:NA - El Motorola V66 no es compatible con los archivos grficos (por ejemplo, bmp,. . Jpg,. Gif,. Png,. Tif). (NA) Formatos de archivo comprimido Archivo:NA - El Motorola V66 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Motorola V66 no es compatible con archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA)
126
Perifricos Tarjetas de memoria:NA - El Motorola V66 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - SecureView no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:A Hard Reset se realiza seleccionando la opcin Borrar Maestro en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Motorola V66 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola V300
Los escenarios siguientes se llevaron a cabo en un Motorola V300 GSM telfono desbloqueado. Conectividad se estableci utilizando Motorola cable Pingino de Susteen 2. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Se encontr informacin bsica abonado (es decir IMEI / ESN) e inform. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Todas las entradas de la libreta de telfono activos fueron encontrados y reportados. No se encontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. Eliminados los datos del mensaje MMS (es decir, las imgenes, los bytes de sonido) SMS y no se encontraron. (Abajo) Mensajera de Internet:No se encontraron datos. (Miss) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (por ejemplo,. Txt,. Doc,. Pdf) no fue encontrado. (Miss) Grficos Archivos Formato: Una conexin no se pudo establecer que permite la transferencia de archivos grficos (por ejemplo,. Bmp,. Jpg,. Gif . Png,. Tif) para el Motorola V300. Las imgenes fueron creadas utilizando la cmara de fotos. Se encontr e informaron los datos de Active. (Meet). Formatos de archivo comprimido Archivo:NA - El Motorola V300 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)
127
Archivos mal llamada:NA - El Motorola V300 no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Motorola V300 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - SecureView no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de la opcin Reinicio General en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Motorola V300 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Nokia 6200
Los escenarios siguientes se llevaron a cabo en un Nokia 6200 GSM telfono. Conectividad se estableci utilizando Nokia cable Cobra Susteen 2. Conectividad y recuperacin:Los contenidos del dispositivo protegido por contrasea se adquirieron con xito con SIM presente y proporcionando la autenticacin apropiada. Se encontr informacin bsica abonado (es decir IMEI / ESN) e inform. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Todas las entradas de la libreta de telfono activos fueron encontrados y reportados. No se encontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. Activo MMS y mensajes SMS / MMS borrados no se encontraron. (Abajo) Mensajera de Internet:N.A. - El Nokia 6200 no es compatible con correo electrnico. (NA) Aplicaciones Web: No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) no fue encontrado. (Miss) Grficos Archivos Formato: No se encontraron archivos grficos (es decir,. Bmp,. Jpg,. Gif,. Png, tif.) Presentes en el dispositivo y reportados en la carpeta Imgenes. No se encontraron archivos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) No se encontr contenido. (Miss)
128
Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) no fueron hallados. (Miss) Perifricos Tarjetas de memoria:NA - El Nokia 6200 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - SecureView no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:NA - Una funcin de arranque en fro no es proporcionada por el telfono. (NA) Prdida de energa:El Nokia 6200 se vuelve a llenar con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Sanyo PM-8200
Los escenarios siguientes se llevaron a cabo en un CMDA Sanyo 8200. Conectividad se estableci utilizando Sanyo cable "Perro" de Susteen. Conectividad y recuperacin:Los contenidos del dispositivo protegido por contrasea se adquirieron con xito. Se encontr informacin bsica abonado (es decir IMEI / ESN) e inform. No se inform el tamao de memoria. (Meet) PIM Aplicaciones: Todas las entradas de la libreta de telfono activos fueron encontrados y reportados. No se encontraron entradas del calendario activo. No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:No se encontraron llamadas marcadas / recibidas. (Miss) SMS / MMS Mensajera:No se encontraron mensajes SMS / MMS. (Miss) Mensajera de Internet:No se encontr contenido de datos asociado con mensajes de correo electrnico enviados y recibidos. (Miss) Aplicaciones Web:Contenido de los datos asociados a las aplicaciones web (es decir, las direcciones URL visitadas, grficos, etc) no fueron hallados. (Miss) Formatos de archivo de texto:NA - La Sanyo PM-8200 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato: Una conexin no se pudo establecer que permite la transferencia de archivos grficos (es decir,. Bmp,. Jpg,. Gif . Png,. Tif) para el Sanyo PM-8200. Las imgenes fueron creadas a travs de la cmara de fotos. Los archivos grficos presentes en el dispositivo fueron encontrados y reportados. No se encontraron archivos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:NA - Las PM-8200 no es compatible con archivos comprimidos Sanyo (por ejemplo, zip, rar, exe, tgz....). (NA)
129
Archivos mal llamada:NA - La Sanyo PM-8200 no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - La Sanyo PM-8200 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - SecureView no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de la opcin Reiniciar del men de seguridad. Se recupera todos los datos activos. (Arriba) Prdida de energa:El Sanyo PM-8200 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
130
Apndice E: PhoneBase2 Resultados

Los escenarios fueron realizados en una estacin de trabajo forense con Windows XP SP2. Phonebase2 versin 1.2.0.15 fue utilizado para la adquisicin de datos a partir de los siguientes telfonos mviles: Ericsson T68i, Motorola V66, Motorola V300 y Nokia 6610i a travs de un cable de enlace de datos.
Ericsson T68i
Los escenarios siguientes se llevaron a cabo en un Sony Ericsson T68i. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, la libreta de direcciones). Calendario, tareas y entradas de borrado de datos PIM no se encontraron. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. No se encontraron mensajes SMS borrados. Mensajes y archivos adjuntos de MMS (es decir, los grficos, los bytes de sonido) no fueron encontrados o reportados. (Abajo) Mensajera de Internet:Contenido de los datos asociados a los mensajes de correo electrnico enviados y recibidos no fueron hallados. (Miss) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: NA - El Sony Ericsson T68i no soporta archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato: No se encontraron archivos grficos compatibles (por ejemplo,. Jpg,. Gif) presentes en el dispositivo. (Miss) Formatos de archivo comprimido Archivo:NA - El Sony Ericsson T68i no soporta archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Sony Ericsson T68i no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Sony Ericsson T68i no permite a los medios extrables. (NA)
131
La consistencia de adquisicin: NA - PhoneBase2 no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de Master Reset en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Sony Ericsson T68i se repobl con los escenarios anteriores, entonces completamente drenados de toda la energa de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola V66
Los escenarios siguientes se llevaron a cabo en un Motorola V.series 66 GSM telfono desbloqueado. Conectividad se estableci utilizando Motorola cable Pingino de Susteen 2. Conectividad y recuperacin:Los contenidos del dispositivo protegidas por contrasea se reciben con xito, con o sin la presente SIM. Se encontr informacin bsica abonado (es decir, IMEI) y reportado. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, la libreta de direcciones). Calendario, tareas y entradas de borrado de datos PIM no se encontr (continuacin) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. No se encontraron mensajes SMS borrados. MMS no es compatible. (Abajo) Mensajera de Internet:N.A. - El Motorola V66 no es compatible con correo electrnico. (NA) Aplicaciones Web:NA - conectividad a Internet no pudo ser establecida. (NA) Formatos de archivo de texto: NA - El Motorola V66 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato:NA - El Motorola V66 no es compatible con los archivos grficos (por ejemplo, bmp,. . Jpg,. Gif,. Png,. Tif). (NA) Formatos de archivo comprimido Archivo:NA - El Motorola V66 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Motorola V66 no es compatible con archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Motorola V66 no permite para los medios extrables. (NA)
132
La consistencia de adquisicin:NA - PhoneBase2 no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:A Hard Reset se realiza seleccionando la opcin Borrar Maestro en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Motorola V66 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola V300
Los escenarios siguientes se llevaron a cabo en un Motorola V300 GSM telfono desbloqueado. Conectividad se estableci utilizando Motorola cable Pingino de Susteen 2. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Se encontr informacin bsica abonado (es decir, IMEI) y reportado. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, la libreta de direcciones). Calendario, tareas y entradas de borrado de datos PIM no se encontraron (continuacin) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. Eliminados los datos del mensaje MMS (es decir, las imgenes, los bytes de sonido) SMS y no se encontraron. (Abajo) Mensajera de Internet:No se encontraron datos. (Miss) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (por ejemplo,. Txt,. Doc,. Pdf) no fue encontrado. (Miss) Grficos Archivos Formato: Una conexin no se pudo establecer que permite la transferencia de archivos grficos (por ejemplo,. Bmp,. Jpg,. Gif . Png,. Tif) para el Motorola V300. Las imgenes fueron creadas utilizando la cmara de fotos. Se encontr e informaron los datos de Active. (Meet). Formatos de archivo comprimido Archivo:NA - El Motorola V300 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Motorola V300 no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA)
133
Perifricos Tarjetas de memoria:NA - El Motorola V300 no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - PhoneBase2 no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de la opcin Reinicio General en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Motorola V300 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Nokia 6610i
Los escenarios siguientes se llevaron a cabo en un Nokia 6610i a travs de IrDA. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se reciben con xito, a travs de IrDA. PhoneBase2 no admite un cable de interfaz de enlace de datos para el Nokia 6610i. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, la libreta de direcciones). No se encontraron entradas del calendario, tareas y datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. Activo MMS y mensajes SMS / MMS borrados no se encontraron. (Abajo) Mensajera de Internet:N.A. - El Nokia 6610i no es compatible con correo electrnico. (NA) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) fue comprobada, se indicar con una aplicacin de terceros apropiada. (Meet) Grficos Archivos Formato: No se encontraron archivos grficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png,. Tif) y reportados con una aplicacin de terceros apropiada. No se encontr el archivo de datos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) que se encontr contenido, se indicar con una aplicacin de terceros apropiada. (Meet)
134
Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) se encontraron, se indicar con una aplicacin de terceros apropiada. (Meet) Perifricos Tarjetas de memoria:NA - El Nokia 6610i no permite para los medios extrables. (NA) La consistencia de adquisicin:NA - PhoneBase2 no proporciona un algoritmo de hash interna para los archivos individuales o de adquisicin de telfono general. (NA) Dispositivos aclarados:NA - Una funcin de arranque en fro no es proporcionada por el telfono. (NA) Prdida de energa:El Nokia 6610i se repobl con los escenarios anteriores, entonces completamente drenados de toda la energa de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
135
Apndice F: CellDEK Resultados

Los escenarios se realizaron en la estacin de trabajo forense CellDEK. Versiones CellDEK 1.3.0.0 - 1.3.1.0 se utilizaron para la adquisicin de datos a partir de los siguientes telfonos mviles: Ericsson T68i, Motorola MPX220, Motorola V66, Motorola V300, Nokia 6610i y Nokia 6200.
Ericsson T68i
Los escenarios siguientes se llevaron a cabo en un Sony Ericsson T68i a travs de un cable de enlace de datos. CellDEK versin 1.3.0.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Se encontr que todos los datos PIM y reportados (es decir, libreta de direcciones, calendario, tareas). No se encontraron datos PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. No se encontraron mensajes SMS borrados. Mensajes y archivos adjuntos de MMS (es decir, los grficos, los bytes de sonido) no fueron encontrados o reportados. (Abajo) Mensajera de Internet:Contenido de los datos asociados a enviadoy no se encontraron mensajes de correo electrnico recibidos. (Miss) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: NA - El Sony Ericsson T68i no soporta archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato: No se encontraron archivos grficos compatibles (por ejemplo,. Jpg,. Gif) presentes en el dispositivo. (Miss) Formatos de archivo comprimido Archivo:NA - El Sony Ericsson T68i no soporta archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Sony Ericsson T68i no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Sony Ericsson T68i no permite a los medios extrables. (NA)
136
La consistencia de adquisicin:CellDEK no proporciona un hash global del expediente del caso. Sin embargo, los hashes de los elementos de datos individuales son consistentes despus volver a las adquisiciones posteriores. (Meet) Dispositivos aclarados:A Hard Reset se realiz mediante la seleccin de Master Reset en el men de configuracin. Los datos contenidos en la tarjeta SIM se encontraron e informaron. (Meet) Prdida de energa:El Sony Ericsson T68i se repobl con los escenarios anteriores, entonces completamente drenados de toda la energa de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola MPx220
Los escenarios siguientes se llevaron a cabo en un Cingular GSM Motorola MPx220 con Microsoft Windows Mobile 2004 para Pocket PC Phone Edition. CellDEK versin 1.3.1.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin correcta deba ser proporcionada al dispositivo protegido por contrasea antes de contenidos se adquirieron con xito. Se encontr informacin del proveedor de servicio de suscripcin bsica y e informaron (es decir, IMSI, IMEI) con o sin la presente SIM. No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, libreta de direcciones, calendario). No se encontraron los datos y tareas PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. Activo MMS y mensajes SMS / MMS borrados no se encontraron. (Abajo) Mensajera de Internet:Se encontr e informaron datos de correo electrnico entrantes y salientes activas. Datos o archivos adjuntos eliminadosno se encontraron. (Abajo) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) no fue encontrado. (Miss) Grficos Formatos de archivo: Archivo de grficos (es decir,. Bmp,. Jpg,. Gif,. Png,. Tif) que se encontr contenido de datos e inform. No se encontraron archivos grficos eliminados. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) No se encontr contenido. (Miss) Archivos mal llamada: Archivo mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) contenido de los datos no se encontr e inform. (Miss)
137
Perifricos Tarjetas de memoria:Los datos que residen en una tarjeta SD de 256 MB Mini poblada con varios archivos (por ejemplo, texto, grficos, audio, archivos comprimidos, archivos mal llamados) se encontraron e informaron. No se encontraron los archivos eliminados. (Abajo) La consistencia de adquisicin:CellDEK no proporciona un hash global del expediente del caso. Sin embargo, los hashes de los elementos de datos individuales son consistentes despus volver a las adquisiciones posteriores. (Meet) Dispositivos aclarados:A Hard Reset se realiza seleccionando la opcin Borrar Maestro en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Motorola MPx220 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Se encontr los siguientes datos: mensajes MMS (contenido de texto) y datos de mensajes de Internet (es decir, enviado / recibido correo electrnico). Los archivos individuales almacenados en el / Se encontraron directorio de almacenamiento y inform. (Arriba)
Motorola v66
Los escenarios siguientes se llevaron a cabo en un Motorola v66 travs de un cable de enlace de datos. CellDEK versin 1.3.1.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin correcta deba ser provista cuando los mecanismos de autenticacin se han habilitado en el SIM. Sin embargo, los datos fueron capturados cuando se emplearon mecanismos de autenticacin (es decir, las cerraduras de la memoria interna) con el presente SIM. Adquisicin tuvo xito si la tarjeta SIM est ausente. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (por ejemplo, IMSI, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, libreta de direcciones, calendario). No se encontraron los datos y tareas PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. Activo MMS y mensajes SMS / MMS borrados no se encontraron. (Abajo) Mensajera de Internet:N.A. - El Motorola V66 no es compatible con correo electrnico. (NA) Aplicaciones Web:NA - conectividad a Internet no pudo ser establecida. (NA) Formatos de archivo de texto: NA - El Motorola V66 no es compatible con archivos de texto (por ejemplo, txt, doc,.. . Pdf). (NA) Grficos Archivos Formato:NA - El Motorola V66 no es compatible con los archivos grficos (por ejemplo, bmp,. . Jpg,. Gif,. Png,. Tif). (NA) Formatos de archivo comprimido Archivo:NA - El Motorola V66 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA)
138
Archivos mal llamada:NA - El Motorola V66 no es compatible con archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Motorola v66 no permite para los medios extrables. (NA) La consistencia de adquisicin:CellDEK no proporciona un hash global del expediente del caso. Sin embargo, los hashes de los elementos de datos individuales son consistentes despus volver a las adquisiciones posteriores. (Meet) Dispositivos aclarados:A Hard Reset se realiza seleccionando la opcin Borrar Maestro en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Motorola v66 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Motorola v300
Los escenarios siguientes se llevaron a cabo en un Motorola v300 a travs de un cable de enlace de datos. CellDEK versin 1.3.1.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se adquirieron con xito. Sin embargo, fueron capturados los datos parciales (es decir, las imgenes captadas a travs de la cmara interna) cuando se emplearon mecanismos de autenticacin (es decir, las cerraduras de la memoria interna, los bloqueos SIM), aunque Error # 1 AT-CCLK se inform en la pantalla de vista de datos. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (por ejemplo, IMSI, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, libreta de direcciones, calendario). No se encontraron los datos y tareas PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. Activo MMS y mensajes SMS / MMS borrados no se encontraron. (Abajo) Mensajera de Internet:Activo entrante y se encontr e informaron datos de correo electrnico salientes. No se encontraron datos o archivos adjuntos eliminados. (Abajo) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss) Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (por ejemplo,. Txt,. Doc,. Pdf) no fue encontrado. (Miss)
139
Grficos Archivos Formato: Una conexin no se pudo establecer que permite la transferencia de archivos grficos (por ejemplo,. Bmp,. Jpg,. Gif . Png,. Tif) para el Motorola V300. Las imgenes fueron creadas utilizando la cmara de fotos. Se encontr e informaron los datos de Active. (Meet). Formatos de archivo comprimido Archivo:NA - El Motorola V300 no es compatible con archivos comprimidos (por ejemplo, zip, rar, exe, tgz....). (NA) Archivos mal llamada:NA - El Motorola V300 no admite archivos mal llamadas (por ejemplo, txt. archivo renombrado con la extensin. dll extensin). (NA) Perifricos Tarjetas de memoria:NA - El Motorola v66 no permite para los medios extrables. (NA) La consistencia de adquisicin:CellDEK no proporciona un hash global del expediente del caso. Sin embargo, los hashes de los elementos de datos individuales son consistentes despus volver a las adquisiciones posteriores. (Meet) Dispositivos aclarados:A Hard Reset se realiza seleccionando la opcin Borrar Maestro en el men de configuracin. No se encontraron datos. (Meet) Prdida de energa:El Motorola v300 se repobl con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Nokia 6200
Los escenarios siguientes se llevaron a cabo en un Nokia 6200 a travs de IrDA. CellDEK versin 1.3.1.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se reciben con xito, a travs de IrDA, CellDEK no proporciona una interfaz de cable de enlace de datos para el Nokia 6200. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, libreta de direcciones, calendario). No se encontraron los datos y tareas PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera: No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. Activo MMS y mensajes SMS / MMS borrados no se encontraron. (Abajo) Mensajera de Internet:N.A. - El Nokia 6200 no es compatible con correo electrnico. (NA) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss)
140
Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) no fue encontrado. (Miss) Grficos Archivos Formato: Se encontraron y reportaron los archivos grficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png). Eliminados los datos de archivos grficos y. Tif No se encontraron archivos. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) No se encontr contenido. (Miss) Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) no fueron hallados. (Miss) Perifricos Tarjetas de memoria:NA - El Nokia 6200 no permite para los medios extrables. (NA) La consistencia de adquisicin:CellDEK no proporciona un hash global del expediente del caso. Sin embargo, los hashes de los elementos de datos individuales son consistentes despus volver a las adquisiciones posteriores. (Meet) Dispositivos aclarados:NA - Una funcin de arranque en fro no es proporcionada por el telfono. (NA) Prdida de energa:El Nokia 6200 se vuelve a llenar con los escenarios anteriores, a continuacin, completamente drenado de toda la energa de la batera y volvi a adquirir. Todos los datos se encontr como se inform anteriormente. (Arriba)
Nokia 6610i
Los escenarios siguientes se llevaron a cabo en un Nokia 6610i a travs de IrDA. CellDEK versin 1.3.0.0 se utiliz para la adquisicin. Conectividad y recuperacin:Autenticacin adecuada tuvo que ser proporcionada al dispositivo protegido por contrasea y la tarjeta SIM tuvo que ser insertado antes de contenidos se reciben con xito, a travs de IrDA, CellDEK no proporciona una interfaz de cable de enlace de datos para el Nokia 6610i. Se encontr informacin del proveedor de servicio de suscripcin Basic y e informados (es decir, IMEI, IMSI). No se inform el tamao de memoria. (Meet) PIM Aplicaciones:Fue encontrado datos parciales PIM y reportados (es decir, libreta de direcciones, calendario). No se encontraron los datos y tareas PIM eliminados. (Abajo) Realizacin / Recepcin de llamadas telefnicas:Todo marcados / llamadas recibidas fueron encontrados y reportados. No se encontraron llamadas telefnicas eliminados. (Abajo) SMS / MMS Mensajera:No se encontraron e informaron todos los mensajes SMS entrantes y salientes activas. Activo MMS y mensajes SMS / MMS borrados no se encontraron. (Abajo) Mensajera de Internet:N.A. - El Nokia 6610i no es compatible con correo electrnico. (NA) Aplicaciones Web:No se encontraron URLs visitado, las consultas de bsqueda realizadas, el contenido Web textual e imgenes grficas de los sitios visitados. (Miss)
141
Formatos de archivo de texto: Contenido de los datos asociados a los archivos de texto (es decir,. Txt,. Doc,. Pdf) no fue encontrado. (Miss) Grficos Archivos Formato: Se encontraron y reportaron los archivos grficos (por ejemplo,. Bmp,. Jpg,. Gif,. Png). Eliminados los datos de archivos grficos y. Tif No se encontraron archivos. (Abajo) Formatos de archivo comprimido Archivo:Archivo de datos comprimidos (es decir,. Zip,. Avi,. Exe,. Tgz) No se encontr contenido. (Miss) Archivos mal llamada: Archivos mal llamada (por ejemplo,. Txt archivo renombrado con la extensin. dll extensin) no fueron hallados. (Miss) Perifricos Tarjetas de memoria:NA - El Nokia 6610i no permite para los medios extrables. (NA) La consistencia de adquisicin:CellDEK no proporciona un hash global del expediente del caso. Sin embargo, los hashes de los elementos de datos individuales son consistentes despus volver a las adquisiciones posteriores. (Meet) Dispositivos aclarados:NA - Una funcin de arranque en fro no es proporcionada por el telfono. (NA) Prdida de energa:El Nokia 6610i se repobl con los escenarios anteriores, entonces completamente drenados de toda la energa de la batera y recobrado. Todos los datos se encontr como se inform anteriormente. (Arriba)
142
Apndice G: SIM Incautacin - externos SIM Resultados

Los escenarios se realizaron en una recuperacin forense de dispositivos de prueba (FRED) con Windows XP SP2. SIM apoderamiento versin 1.0 build 2468.18222 fue utilizado con lector de tarjetas SIM de paraben para adquirir datos de un SIM poblada.
SIM 5343
Los escenarios siguientes se llevaron a cabo usando un T-Mobile SIM. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y activa / borra los mensajes SMS. El ICCID y LP tenan que ser decodificado de forma manual para la interpretacin. Las entradas de ADN que contienen caracteres especiales (por ejemplo, "@") se muestran como una cadena vaca. (Abajo) Datos de ubicacin:Todos los loci y datos LOCIGPRS fue encontrado y reportado, pero tuvo que ser decodificado de forma manual para la interpretacin. (Meet) EMS Data:Activo / borrados entrantes Mensajes EMS que tengan ms de 160 caracteres fueron encontrados y reportados. Los mensajes que contengan imgenes incrustadas (es decir, 16x16, 32x32 y grficos en negro blanco) fueron encontrados y reportados. (Meet) Relaciones Data Idioma: ADN entradas y mensajes SMS que contengan caracteres de idiomas franceses y asiticos fueron encontrados y reportados correctamente. (Meet)
SIM 8778
Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y activa / borra los mensajes SMS. El ICCID y LP tenan que ser decodificado de forma manual para la interpretacin. Las entradas de ADN que contienen caracteres especiales (por ejemplo, "@") se muestran como una cadena vaca. (Abajo) Datos de ubicacin:Todos los loci y datos LOCIGPRS fue encontrado y reportado, pero tuvo que ser decodificado de forma manual para la interpretacin. (Meet) EMS Data:Activo / borrados entrantes Mensajes EMS que tengan ms de 160 caracteres fueron encontrados y reportados. Los mensajes que contengan imgenes incrustadas (es decir, 16x16, 32x32 y grficos en negro blanco) fueron encontrados y reportados. (Meet) Relaciones Data Idioma: ADN entradas y mensajes SMS que contengan caracteres de idiomas franceses y asiticos fueron encontrados y reportados correctamente. (Meet)
143
SIM 1144
Los escenarios siguientes se llevaron a cabo usando una SIM AT & T. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y activa / borra los mensajes SMS. El ICCID y LP tenan que ser decodificado de forma manual para la interpretacin. Las entradas de ADN que contienen caracteres especiales (por ejemplo, "@") se muestran como una cadena vaca. (Abajo) Datos de ubicacin:Todos los loci y datos LOCIGPRS fue encontrado y reportado, pero tuvo que ser decodificado de forma manual para la interpretacin. (Meet) EMS Data:Activo / borrados entrantes Mensajes EMS que tengan ms de 160 caracteres fueron encontrados y reportados. Los mensajes que contengan imgenes incrustadas (es decir, 16x16, 32x32 y grficos en negro blanco) fueron encontrados y reportados. (Meet) Relaciones Data Idioma: ADN entradas y mensajes SMS que contengan caracteres de idiomas franceses y asiticos fueron encontrados y reportados correctamente. (Meet)
144
Apndice H:. GSM XRY - externos SIM Resultados

Los escenarios se realizaron en una recuperacin forense de dispositivos de prueba (FRED) con Windows XP SP2. GSM. XRY versin 3.0 se utiliza con el Systemation Micro SIM Card Reader para adquirir datos de un SIM poblada.
SIM 5343
Los escenarios siguientes se llevaron a cabo usando un T-Mobile SIM. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y activa / borra los mensajes SMS entrantes. (Meet) Datos de ubicacin:Se encontr que todos los datos de loci y reportado, pero tuvo que ser decodificado de forma manual para la interpretacin. No se encontraron datos GPRSLOCI. (Abajo) EMS Data:Activo / borrados entrantes Mensajes EMS que tengan ms de 160 caracteres fueron encontrados y reportados. Los mensajes que contengan imgenes incrustadas (es decir, 16x16, 32x32 y grficos en negro blanco) fueron encontrados y reportados. (Meet) Relaciones Data Idioma: ADN entradas y mensajes SMS que contengan caracteres de idiomas franceses y asiticos fueron encontrados y reportados correctamente. (Meet)
SIM 8778
Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio (SPN) fue asignado pero no activado. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y activa / borra los mensajes SMS entrantes. (Meet) Datos de ubicacin:Se encontr que todos los datos de loci y reportado, pero tuvo que ser decodificado de forma manual para la interpretacin. No se encontraron datos GPRSLOCI. (Abajo) EMS Data:Activo / borrados entrantes Mensajes EMS que tengan ms de 160 caracteres fueron encontrados y reportados. Los mensajes que contengan imgenes incrustadas (es decir, 16x16, 32x32 y grficos en negro blanco) fueron encontrados y reportados. (Meet) Relaciones Data Idioma: ADN entradas y mensajes SMS que contengan caracteres de idiomas franceses y asiticos fueron encontrados y reportados correctamente. (Meet)
SIM 1144
Los escenarios siguientes se llevaron a cabo usando una SIM AT & T. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN.
145
Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y activa / borra los mensajes SMS entrantes. (Meet) Datos de ubicacin:Se encontr que todos los datos de loci y reportado, pero tuvo que ser decodificado de forma manual para la interpretacin. No se encontraron datos GPRSLOCI. (Abajo) EMS Data:Activo / borrados entrantes Mensajes EMS que tengan ms de 160 caracteres fueron encontrados y reportados. Los mensajes que contengan imgenes incrustadas (es decir, 16x16, 32x32 y grficos en negro blanco) fueron encontrados y reportados. (Meet) Relaciones Data Idioma: ADN entradas y mensajes SMS que contengan caracteres de idiomas franceses y asiticos fueron encontrados y reportados correctamente. (Meet)
146
Apndice I: SecureView - SIM externos Resultados

Los escenarios se realizaron en una recuperacin forense de dispositivos de prueba (FRED) con Windows XP SP2. SecureView versin 1.5.0 se utiliza con un PC / SC SIM lector de tarjetas para adquirir datos de un SIM poblada.
SIM 5343
Los escenarios siguientes se llevaron a cabo usando un T-Mobile SIM. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encuentran los siguientes datos e inform: Nmeros de marcacin abreviada (ADN). Los siguientes datos no se encontr: IMSI, ICCID ltimo nmero, marcacin (LND), el mensaje SMS entrante activa, preferencia de idioma (LP) y mensajes SMS borrados. (Abajo) Datos de ubicacin: No se encontraron datos. (Miss) EMS Data:No se encontraron datos. (Miss) Relaciones Data Idioma:Las entradas de ADN que contienen caracteres de idiomas franceses y asiticos fueron encontrados, pero no se muestran correctamente. (Abajo)
SIM 8778
Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio (SPN) fue asignado pero no activado. No se presentaron FPLMN. Datos bsicos: Se encuentran los siguientes datos e inform: Nmeros de marcacin abreviada (ADN). Los siguientes datos no se encontr: IMSI, ICCID ltimo nmero, marcacin (LND), el mensaje SMS entrante activa, preferencia de idioma (LP) y mensajes SMS borrados. (Abajo) Datos de ubicacin: No se encontraron datos. (Miss) EMS Data:No se encontraron datos. (Miss) Relaciones Data Idioma:Las entradas de ADN que contienen caracteres de idiomas franceses y asiticos fueron encontrados, pero no se muestran correctamente. (Abajo)
SIM 1144
Los escenarios siguientes se llevaron a cabo usando una SIM AT & T. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encuentran los siguientes datos e inform: Nmeros de marcacin abreviada (ADN). Los siguientes datos no se encontr: IMSI, ICCID ltimo nmero, marcacin (LND), el mensaje SMS entrante activa, preferencia de idioma (LP) y mensajes SMS borrados. (Abajo) Datos de ubicacin: No se encontraron datos. (Miss)
147
EMS Data:No se encontraron datos. (Miss) Relaciones Data Idioma:Las entradas de ADN que contienen caracteres de idiomas franceses y asiticos fueron encontrados, pero no se muestran correctamente. (Abajo)
148
Apndice J: PhoneBase2 - SIM externos Resultados

Los escenarios se realizaron en una recuperacin forense de dispositivos de prueba (FRED) con Windows XP SP2. PhoneBase2 versin 1.2.0.15 fue usado con un PC / SC SIM lector de tarjetas para adquirir datos de un SIM poblada.
SIM 5343
Los escenarios siguientes se llevaron a cabo usando un T-Mobile SIM. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y mensajes SMS activos y eliminados. Los siguientes datos no se encontr: preferencia de idioma (LP). Sin embargo, la parte de las multinacionales de la IMSI, un valor de tres dgitos, se tradujo incorrectamente y elementos de datos de ADN no se decodifica excluyendo la ltima entrada. (Abajo) Datos de ubicacin:Se encontr e informaron todos los datos loci. Sin embargo, la porcin de MNC de la LAI fue traducida incorrectamente. No se encontraron datos GPRSLOCI. (Abajo) EMS Data: Activos y eliminados Mensajes EMS entrantes que tengan ms de 160 caracteres fueron encontrados y reportados. Se encontr un mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se ha decodificado correctamente y presentado, aunque el texto era. (Abajo) Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francs fueron encontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteres de idiomas asiticos no se muestran correctamente en la interfaz de usuario o el informe generado. (Abajo)
SIM 8778
Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio (SPN) fue asignado pero no activado. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y mensajes SMS activos y eliminados. No se encontraron datos de preferencia de idioma (LP). Sin embargo, la porcin de MNC de la IMSI, un valor de tres dgitos, se traduce de forma incorrecta y elementos de datos de ADN no se decodifica con la excepcin de la ltima entrada. (Abajo) Datos de ubicacin:Se encontr e informaron todos los datos loci. Sin embargo, la porcin de MNC de la LAI fue incorrectamente descodificado. No se encontraron datos GPRSLOCI. (Abajo) EMS Data: Activos y eliminados Mensajes EMS entrantes que tengan ms de 160 caracteres fueron encontrados y reportados. Se encontr un mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se ha decodificado correctamente y presentado, aunque el texto era. (Abajo)
149
Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francs fueron encontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteres de idiomas asiticos no se muestran correctamente en la interfaz de usuario o el informe generado. (Abajo)
SIM 1144
Los escenarios siguientes se llevaron a cabo usando una SIM AT & T. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y mensajes SMS activos y eliminados. No se encontraron datos de preferencia de idioma (LP). Sin embargo, la porcin de MNC de la IMSI, un valor de tres dgitos, se ha decodificado incorrectamente e inform de ADN y elementos de datos no se decodifica con la excepcin de la ltima entrada. (Abajo) Datos de ubicacin:Se encontr e informaron todos los datos loci. Sin embargo, la porcin de MNC de la LAI fue incorrectamente descodificado. No se encontraron datos GPRSLOCI. (Abajo) EMS Data: Activos y eliminados Mensajes EMS entrantes que tengan ms de 160 caracteres fueron encontrados y reportados. Se encontr un mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se ha decodificado correctamente y presentado, aunque el texto era. (Abajo) Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francs fueron encontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteres de idiomas asiticos no se visualicen correctamente ni en la interfaz de usuario o en el informe generado. (Abajo)
150
Apndice K: CellDEK - SIM externos Resultados

Los escenarios se realizaron en la terminal CellDEK con Windows XP SP2. CellDEK versin 1.3.1.0 se utiliza con PC interna de CellDEK / SC SIM lector de tarjetas para adquirir datos de un SIM poblada.
SIM 5343
Los escenarios siguientes se llevaron a cabo usando un T-Mobile SIM. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y los mensajes SMS entrantes activos y eliminados. Los siguientes datos no se encontr: preferencia de idioma (LP). (Abajo) Datos de ubicacin: No se encontraron datos. (Miss) EMS Data: Se encontraron y reportaron los mensajes entrantes activas EMS que tengan ms de 160 caracteres. Se encontr un mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se ha decodificado correctamente y presentado, aunque el texto era. No se encontraron mensajes EMS eliminados. (Abajo) Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francs fueron encontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteres de idiomas asiticos no se muestran correctamente en la interfaz de usuario, a pesar de los mensajes SMS aparecen correctamente en el archivo. Rtf informe generado. (Abajo)
SIM 8778
Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio (SPN) fue asignado pero no activado. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y los mensajes SMS entrantes activas. Los siguientes datos no se encontr: preferencia de idioma (LP) y mensajes SMS borrados. La porcin inicial de la IMSI se adjunt incorrectamente a la ICCID informado. (Abajo) Datos de ubicacin: No se encontraron datos. (Miss) EMS Data: Se encontraron y reportaron activos mensajes EMS entrantes que excedan 160 caracteres. Se encontr un mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se ha decodificado correctamente y presentado, aunque el texto era. No se encontraron mensajes EMS eliminados. (Abajo) Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francs fueron encontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteres de idiomas asiticos no se muestran correctamente en la interfaz de usuario, a pesar de los mensajes SMS aparecen correctamente en el archivo. Rtf informe generado. (Abajo)
151
SIM 1144
Los escenarios siguientes se llevaron a cabo usando una SIM AT & T. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y mensajes SMS activas. Los siguientes datos no se encontr: preferencia de idioma (LP) y mensajes SMS borrados. La porcin inicial de la IMSI se adjunt incorrectamente a la ICCID informado. (Abajo) Datos de ubicacin: No se encontraron datos. (Miss) EMS Data: Se encontraron y reportaron los mensajes entrantes activas EMS que tengan ms de 160 caracteres. Se encontr un mensaje EMS que contiene una imagen incrustada. Sin embargo, la imagen no se ha decodificado correctamente y presentado, aunque el texto era. No se encontraron mensajes EMS eliminados. (Abajo) Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres del idioma francs fueron encontrados y reportados. Sin embargo, las entradas de ADN y los mensajes SMS que contengan caracteres de idiomas asiticos no se muestran correctamente en la interfaz de usuario, a pesar de los mensajes SMS aparecen correctamente en el archivo. Rtf informe generado. (Abajo)
152
Apndice L: USIMdetective - externos SIM Resultados

Los escenarios se realizaron en una recuperacin forense de dispositivos de prueba (FRED) con Windows XP SP2. USIM apoderamiento versin 1.3.1 se utiliza con un PC / SC SIM lector de tarjetas para adquirir datos de un SIM poblada.
SIM 5343
Los escenarios siguientes se llevaron a cabo usando un T-Mobile SIM. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y activa / borra los mensajes SMS. (Meet) Datos de ubicacin:Todos los loci y datos LOCIGPRS se encontraron e informaron. (Meet) EMS Data:Activo / borrados entrantes Mensajes EMS que tengan ms de 160 caracteres fueron encontrados y reportados. No se encontraron mensajes que contienen imgenes incrustadas (es decir, 16x16, 32x32 negro y los grficos blancos), pero no se muestran las imgenes. (Abajo) Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres franceses fueron encontrados y reportados. Los mensajes y entradas de ADN que contienen caracteres asiticos no se han presentado correctamente. (Abajo)
SIM 8778
Los escenarios siguientes se llevaron a cabo utilizando un Cingular SIM. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN. Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y activa / borra los mensajes SMS. (Meet) Datos de ubicacin:Todos los loci y datos LOCIGPRS se encontraron e informaron. (Meet) EMS Data:Activo / borrados entrantes Mensajes EMS que tengan ms de 160 caracteres fueron encontrados y reportados. No se encontraron mensajes que contienen imgenes incrustadas (es decir, 16x16, 32x32 negro y los grficos blancos), pero no se muestran las imgenes. (Abajo) Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres franceses fueron encontrados y reportados. Los mensajes y entradas de ADN que contienen caracteres asiticos no se han presentado correctamente. (Abajo)
SIM 1144
Los escenarios siguientes se llevaron a cabo usando una SIM AT & T. Nombre del proveedor de servicio (SPN) No se asign. No se presentaron FPLMN.
153
Datos bsicos: Se encontr y comunicaron los siguientes datos: IMSI, ICCID, preferencia de idioma (LP), nmeros de marcacin abreviada (ADN), los ltimos nmeros marcados (LND) y activa / borra los mensajes SMS. (Meet) Datos de ubicacin:Todos los loci y datos LOCIGPRS se encontraron e informaron. (Meet) EMS Data:Activo / borrados entrantes Mensajes EMS que tengan ms de 160 caracteres fueron encontrados y reportados. No se encontraron mensajes que contienen imgenes incrustadas (es decir, 16x16, 32x32 negro y los grficos blancos), pero no se muestran las imgenes. (Abajo) Relaciones Data Idioma: ADN entradas y mensajes SMS que contienen caracteres franceses fueron encontrados y reportados. Los mensajes y entradas de ADN que contienen caracteres asiticos no se han presentado correctamente. (Abajo)
154

Cell Phone Forensic Tools

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cell Phone Forensic Tools

Uploaded by

Copyright:

Available Formats

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Telfono celular forenseHerramientas:

Traducido por Sykrayo Espaa

Telfono celular forenses Herramientas:

Rick Ayers Wayne Jansen Aurelien Delaitre Ludovic Moenner

Departamento de Comercio de EE.UU.

Carlos M. Gutirrez, Secretario

Robert Cresanti, subsecretario interino de Comercio de Tecnologa

William A. Jeffrey, Director

Traducido por Sykrayo Espaa

Informes sobre Computer Systems Technology

Instituto Nacional de Estndares y Tecnologa Informe Interagencial 164 pginas (2007)

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Objeto y mbito de aplicacin

Para obtener ms informacin sobre esta iniciativa vase www.cftt.nist.gov

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Figura 1: Nmero de telfono Componentes hardware

Traducido por Sykrayo Espaa

Figura 2: Componentes de software del telfono

Traducido por Sykrayo Espaa

Subscriber Identity Module

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Kits de herramientas forenses

Adquisicin, reconocimiento, presentacin de informes

Traducido por Sykrayo Espaa

Adquisicin, reconocimiento, presentacin de informes

Oxygen PM (versin forense) MOBILedit! Forense

Adquisicin, reconocimiento, presentacin de informes

Adquisicin, reconocimiento, presentacin de informes

Adquisicin, reconocimiento, presentacin de informes

Traducido por Sykrayo Espaa

Funcin Dispositivo Incautacin Adquisicin, reconocimiento, presentacin de informes

Card Forense Lector SIMCon USIMdetective

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

Figura 3: Herramienta de Evaluacin

Sin hilos GSM 900/1800/1900 GPRS Bluetooth IrDA

Traducido por Sykrayo Espaa

Sin hilos GSM 850/900 / 1800/1900 GPRS Bluetooth IrDA

GSM 850/900 / 1800/1900 GPRS IrDA

Sony Ericsson P910a

GSM 850/1800/1900 HSCSD, GPRS Bluetooth IrDA

AMPS 800 CDMA 800/1900 1xRTT IrDA

GSM 850/1800/1900 HSCSD, GPRS Bluetooth

AMPS 800 CDMA 800/1900 1xRTT IrDA

Traducido por Sykrayo Espaa

Sin hilos GSM 850/1800/1900 GPRS

CDMA 800/1900 1xRTT