Analisis Forense en Dispositivos Ios - Charla

Anlisis Forense de Dispositivos iOS
Jaime Andrs Restrepo
jueves 22 de septiembre de 11
Agenda de la Charla
Agenda de la Charla
Introduccin
Agenda de la Charla
Introduccin Como vamos a trabajar?
Agenda de la Charla
Introduccin Como vamos a trabajar? Manos a la Obra!!
Introduccin
Introduccin
Cmo vamos a trabajar?

No dejarlos iniciados.

No dejarlos iniciados. Utilizaremos cdigos QR y
acortadores de direcciones.

No dejarlos iniciados. Utilizaremos cdigos QR y
casa y veremos los temas practicos acortadores de direcciones.
Dejaremos la teora para la
Etapas de un anlisis forense
Etapas de un anlisis forense
Etapa de evaluacin
goo.gl/fskC2
Etapa de evaluacin
Noticar y obtener autorizaciones
goo.gl/fskC2
Etapa de evaluacin

Noticar y obtener autorizaciones Revisar legislacin y polticas de cada pas
goo.gl/fskC2
Etapa de evaluacin

Noticar y obtener autorizaciones Revisar legislacin y polticas de cada pas Identicar los miembros del equipo
goo.gl/fskC2
Etapa de evaluacin

Noticar y obtener autorizaciones Revisar legislacin y polticas de cada pas Identicar los miembros del equipo Realizar una evaluacin previa
goo.gl/fskC2
Etapa de evaluacin

Noticar y obtener autorizaciones Revisar legislacin y polticas de cada pas Identicar los miembros del equipo Realizar una evaluacin previa Prepararse para la adquisicin de pruebas
goo.gl/fskC2
Etapa de adquisicin
goo.gl/NmZAR
Etapa de adquisicin
Construccin de la
investigacin
goo.gl/NmZAR
Etapa de adquisicin
Construccin de la
investigacin
goo.gl/NmZAR
Recopilar los datos
Etapa de adquisicin
Construccin de la
investigacin
goo.gl/NmZAR
Recopilar los datos Almacenar y archivar
Tareas previas a la adquisicin
Adquisicin con las uas

Mtodo
Que el dispositivo iOS tenga Jailbreak.
Mtodo

Que el dispositivo iOS tenga Jailbreak. Servidor SSH y netcat o que permita instalarlos.
Mtodo

Que el dispositivo iOS tenga Jailbreak. Servidor SSH y netcat o que permita instalarlos. Servidor SSH con clave por defecto alpine o una clave dbil.
Mtodo

Mtodo
Obtener el PhoneDisk
Mtodo

Obtener el PhoneDisk Que el dispositivo iOS tenga Jailbreak.
Mtodo

Obtener el PhoneDisk Que el dispositivo iOS tenga Jailbreak. Que tenga instalado el componente afc2add.
Mtodo

Obtener el PhoneDisk Que el dispositivo iOS tenga Jailbreak. Que tenga instalado el componente afc2add. Usar cualquier herramienta forense para adquirir la imagen.
Mtodo

Obtener el PhoneDisk Que el dispositivo iOS tenga Jailbreak. Que tenga instalado el componente afc2add. Usar cualquier herramienta forense para adquirir la imagen.
Mtodo
Adquisicin con Kits

Cellebrite UFED
Adquisicin con Kits

Cellebrite UFED
Tener $3,999USD
Etapa de anlisis
goo.gl/Y2pgU
CAMBIAR
Etapa de anlisis
Analizar los datos de la red
goo.gl/Y2pgU
CAMBIAR
Etapa de anlisis
Analizar los datos de la red Analizar los datos del
dispositivo
goo.gl/Y2pgU
CAMBIAR
Etapa de anlisis
Analizar los datos de la red Analizar los datos del
dispositivo
goo.gl/Y2pgU
CAMBIAR
Analizar los medios de

almacenamiento
Estructura de un sistema iOS

Applications: Es un enlace simblico a -> /var/stash/Applications.pwn Developer: Esta vaco Library: Como en cualquier sistema Mac OS X, plugins, conguraciones, etc.. System: Contiene las preferencias del sistema y del dispositivo User: Es un enlace simblico a -> /var/mobile bin: Contiene los ejecutables del sistema boot: Esta vaco cores: Esta vaco dev: Esta vaco etc: Es un enlace simblico a -> private/etc/ lib: Esta vaco mnt: Esta vaco private: Contiene los directories etc y var (fstab, passwd y muchos mas) sbin: Contiene los ejecutables del sistema tmp: Es un enlace simblico a -> private/var/tmp/ usr: Contiene los datos de zona horaria y ejecutables del sistema var: Es un enlace simblico a -> private/var/
Anlisis con las uas - Herramientas
Imagen de iOS adquirida

Imagen de iOS adquirida Cliente SQLite (puede ser SQLitebrowser SQLiteman SQLite Manager) o cualquier otro

Imagen de iOS adquirida Cliente SQLite (puede ser SQLitebrowser SQLiteman SQLite Manager) o cualquier otro Lector de archivos .plist (XCode, plistviewer, plist editor)

Imagen de iOS adquirida Cliente SQLite (puede ser SQLitebrowser SQLiteman SQLite Manager) o cualquier otro Lector de archivos .plist (XCode, plistviewer, plist editor) plutil.pl para parsear un .plist si nos lo encontramos binario

Imagen de iOS adquirida Cliente SQLite (puede ser SQLitebrowser SQLiteman SQLite Manager) o cualquier otro Lector de archivos .plist (XCode, plistviewer, plist editor) plutil.pl para parsear un .plist si nos lo encontramos binario Software para recuperado de archivos

Imagen de iOS adquirida Cliente SQLite (puede ser SQLitebrowser SQLiteman SQLite Manager) o cualquier otro Lector de archivos .plist (XCode, plistviewer, plist editor) plutil.pl para parsear un .plist si nos lo encontramos binario Software para recuperado de archivos Editor hexadecimal
Anlisis con las uas - Contactos

/private/var/mobile/Library/ AddressBook una de las carpetas mas importantes, ya que en ella se encuentran los archivos AddressBookImages.sqlitedb donde estn almacenadas las imgenes asociadas a los contactos y AddressBook.sqlitedb que hacen referencia a nuestra libreta de contactos
Anlisis con las uas - Llamadas

/private/var/wireless/Library/ CallHistory/ en esta carpeta encontraremos el archivo call_history.db donde esta el listado de las ultimas 100 llamadas realizadas desde el dispositivo.
CAMBIAR IMAGEN
Anlisis con las uas - Mails

/private/var/mobile/Library/ Mail encontraremos mucha informacin sobre los correos recibidos desde el dispositivo, las cuentas de correo, los tiempos de actualizacin, archivos adjuntos y mensajes de correo electrnico.
Anlisis con las uas - Media

/private/var/mobile/Media/ DCIM/100APPLE y /private/var/ mobile/Media/PhotoData fotos y vdeos grabados con el dispositivo iOS, recuerda que por defecto las fotos tomadas con un dispositivo iOS incluye la posicin GPS del lugar donde fue tomada en sus meta-datos, por lo que puede ser de mucha utilidad.
Anlisis con las uas - SMSs

/private/var/mobile/Library/ SMS la siguiente base de datos que nos llama la atencin, es la de los mensajes SMS, en ella podremos encontrar el archivo sms.db y la carpeta Drafts con los borradores que estn guardados en el dispositivo iOS.
Anlisis con las uas - Notas

/private/var/mobile/Library/ Notes la informacin ingresada en la aplicacin notas incorporada en todas las versiones del sistema iOS de Apple
Anlisis con las uas - Calendario

/private/var/mobile/Library/ Calendar aqu encontraremos el Calendar.sqlitedb que contiene toda la informacin sobre los calendarios del dispositivos, alarmas y fechas lo que nos puede ser muy til en nuestra investigacin forense
Anlisis con las uas - Internet

/private/var/mobile/Library/Safari encontramos los favoritos del safari Bookmarks.db, el historial History.plist y los buscadores usados SearchEngines.plist ademas del archivo SuspendState.plist que almacena las pestaas o paginas suspendidas de Safari /private/var/mobile/Library/ Preferences/ com.apple.mobilesafari.plist ultimas bsquedas en safari
Anlisis con las uas - Spotlight

/private/var/mobile/Library/ Spotlight aqu encontraremos un listado con las aplicaciones abiertas por medio del buscador spotlight db.sqlitedb y los mensajes que estn indexados por este buscador SMSSearchdb.sqlitedb
Anlisis con las uas - Mapas

/private/var/mobile/Library/ Maps encontraremos los archivos History.plist y Directions.plist con la informacin que tengamos almacenada en la aplicacin mapas, del dispositivo iOS
Anlisis con las uas - Voz

/private/var/mobile/Media/ Recordings encontraremos las notas de voz y una base de datos Recordings.db con con toda su informacin y las etiquetas personalizadas de la nota (si la tiene) CustomLabels.plist /private/var/mobile/Library/ Voicemail aqu encontraras los correos de voz que se encuentren en el dispositivo
Anlisis con las uas - Preferencias

/private/var/mobile/Library/Preferences com.apple.Maps.plist: ultimas bsquedas en el programa de mapas com.apple.mobiletimer.plist y com.apple.mobilecal.alarmengine.plist: informacin sobre las alarmas puestas en el reloj com.apple.mobilephone.speeddial.plist: nmeros de llamada rpida com.apple.youtube.plist: ltimos vdeos buscados en la aplicacin de youtube com.apple.preferences.datetime.plist zona horaria del dispositivo com.apple.springboard.plist lista de aplicaciones estndar y aadidas por el usuario com.apple.stocks.plist el stock de acciones listadas en la aplicacin bolsa com.apple.weather.plist listado de ciudades aadidas a la aplicacin de clima
Anlisis con las uas - SpringBoard

/private/var/mobile/Library/ SpringBoard aqu encontraremos las aplicaciones instaladas applicationstate.plist la organizacin de estas aplicaciones dentro del equipo IconState.plist y una miniatura del fondo utilizado LockBackgroundThumbnail.jpg
Anlisis con las uas - Passwords

En la carpeta /private/var/Keychains/ encontraremos los archivos TrustStore.sqlite3, keychain-2.db, ocspcache.sqlite3 donde encontraremos en texto plano algunas de las contraseas usadas por las aplicaciones instaladas /private/var/root/Library/Lockdown/ en esta carpeta encontraras los certicados pblicos y privados del dispositivo
/private/etc/master.passwd y /private/etc/passwd utilizando john the ripper o cualquier otra herramienta para crackear passwords, podremos obtener las claves del sistema
Anlisis con las uas - Logs

/private/var/logs/ y /private/var/log/en estas carpetas encontraremos una gran cantidad de logs del sistema iOS que nos pueden ayudar en la elaboracin de nuestra linea de tiempo. /var/wireless/Library/Logs logs sobre las conexiones inalmbricas (3G, Bluetooht, WiFi) del dispositivo /private/var/mobile/Library/Logs Esta carpeta de logs es bastante interesante, por que nos muestra los errores de las aplicaciones instaladas en el equipo, podremos sacar buena informacin de todos estos archivos
consolidate.db
/private/var/root/ Library/Caches/ locationd/ consolidate.db archivo que contiene las ultimas ubicaciones donde estuvo nuestro dispositivo
dynamic-text.dat o iKeylogger
/private/var/ mobile/Library/ Keyboard/(idioma)dynamic-text.dat Diccionario personalizado que almacena las palabras que escribimos en el dispositivo iOS aadir al diccionario las palabras que mas usas
ADDataStore.sqlitedb
/private/var/mobile/ Library/Logs/ ADDataStore.sqlitedb historial de las aplicaciones abiertas y el tiempo que fu utilizada
Anlisis con Software Comercial
iSSH
/private/var/ mobile/ Applications/ CAMBIA/Library/ Preferences/ cong.dat el cliente SSH mas popular de los sistemas iOS no cifra la informacion
WordPress
/private/var/mobile/ Applications/CAMBIA/ Documents/ WordPress.sqlite ademas de mostrar nuestros datos sin cifrar almacena todos los post, comentarios y borradores de nuestro blog.
WhatsApp
/private/var/mobile/ Applications/CAMBIA/ Documents/ ChatStorage.sqlite ademas de enviar nuestros datos sin cifrar por la red, almacena todos los mensajes enviados desde la aplicacin.
WhatsApp
/private/var/mobile/ Applications/CAMBIA/ Documents/ ChatStorage.sqlite ademas de enviar nuestros datos sin cifrar por la red, almacena todos los mensajes enviados desde la aplicacin.
http://goo.gl/IyjAI
Muchsimas mas Apps...
/private/var/mobile/Applications
Etapa de informes
Recopilar y organizar la
informacin
goo.gl/It5AI
Escribir los informes Ganamos un iPad

Analisis Forense en Dispositivos Ios - Charla

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Analisis Forense en Dispositivos Ios - Charla

Uploaded by

Copyright:

Available Formats

Anlisis Forense de Dispositivos iOS

Jaime Andrs Restrepo

Cmo vamos a trabajar?

Cmo vamos a trabajar?

Cmo vamos a trabajar?

Cmo vamos a trabajar?

Dejaremos la teora para la

Etapas de un anlisis forense

Etapas de un anlisis forense

Noticar y obtener autorizaciones

Recopilar los datos

Recopilar los datos Almacenar y archivar

Tareas previas a la adquisicin

Tareas previas a la adquisicin

Tareas previas a la adquisicin

Tareas previas a la adquisicin

Tareas previas a la adquisicin

Adquisicin con las uas

Adquisicin con las uas

Que el dispositivo iOS tenga Jailbreak.

Adquisicin con las uas

Adquisicin con las uas

Adquisicin con las uas

Adquisicin con las uas

Adquisicin con las uas

Adquisicin con las uas

Adquisicin con las uas

Adquisicin con las uas

Adquisicin con Kits

Adquisicin con Kits

Analizar los medios de

Estructura de un sistema iOS

Anlisis con las uas - Herramientas

Anlisis con las uas - Herramientas

Imagen de iOS adquirida

Anlisis con las uas - Herramientas

Anlisis con las uas - Herramientas

Anlisis con las uas - Herramientas

Anlisis con las uas - Herramientas

Anlisis con las uas - Herramientas

Anlisis con las uas - Contactos

Anlisis con las uas - Llamadas

Anlisis con las uas - Mails

Anlisis con las uas - Media

Anlisis con las uas - SMSs

Anlisis con las uas - Notas

Anlisis con las uas - Calendario

Anlisis con las uas - Internet

Anlisis con las uas - Spotlight

Anlisis con las uas - Mapas

Anlisis con las uas - Voz

Anlisis con las uas - Preferencias

Anlisis con las uas - SpringBoard

Anlisis con las uas - Passwords

Anlisis con las uas - Logs

Anlisis con Software Comercial

Anlisis con Software Comercial

Anlisis con Software Comercial

Anlisis con Software Comercial

Muchsimas mas Apps...

Escribir los informes Ganamos un iPad

You might also like