- Gerar link
- Outros aplicativos
A TechBiz publica o terceiro e último post do blog da Magnet Forensics sobre o uso em conjunto do IEF (Internet Evidence Finder) e da tecnologia UFED Cellebrite para se obter mais evidências em investigações forenses de dispositivos móveis. No post anterior, o consultor forense Jamie McQuaid explicou como encontrar mais evidências em dispositivos Android utilizando o IEF e o Cellebrite. Hoje, ele fará o mesmo com o sistema operacional iOS.
"Os investigadores forense devem estar preparados para adquirir imagens de uma ampla gama de dispositivos móveis; depois, analisá-los para encontrar tanto dados nativos quanto dados de aplicativos de terceiros. Quanto mais eficiente for o seu fluxo de trabalho e o conjunto de ferramentas em cada momento da investigação, mais chances você terá de encontrar evidências. Nós o desafiamos a usar a ferramenta forense de aquisição da sua escolha (como o UFED, da Cellebrite) juntamente com o IEF e ver o que consegue", escreve Jamie McQuaid.
Aqui está o fluxo de trabalho recomendado por McQuaid:
Tendo isso em mente, o consultor apresenta o passo a passo sobre como usar as duas tecnologias (IEF e Cellebrite) para adquirir e analisar dispositivos iOS, incluindo aquisições físicas e lógicas.
Um tutorial será iniciado, conduzindo-o aos passos da aquisição. Siga as instruções detalhadas na tela para o modo de recuperação. Carregue o bootloader customizado e inicie a extração.
Uma vez que tudo esteja carregado e preparado, a extração física irá começar.
Quando a extração estiver completa, você receberá um arquivo .ufd contendo detalhes sobre o equipamento e os resultados da busca. Em vez de usar uma variedade de arquivos .bin fragmentados como os da extração física em Android, a Cellebrite cria um arquivo grande .img para dispositivos iOS que pode ser carregado para a análise posterior do IEF.
Para uma extração de arquivos de sistema, todos os dados lógicos são baixados do dispositivo iOS pelo UFED e apresentados em vários formatos como especificado abaixo. Neste exemplo, fiz uma imagem lógica de um iPhone 5. Todo o conteúdo foi armazenado em arquivos zip e dependendo do tamanho da aquisição, você pode notar vários outros arquivos zip terminados em z01, z02, etc. Esses arquivos são fragmentados em pedaços de 2GB para suportar limitações de tamanhos de arquivos em certos sistemas de arquivos tais como FAT32. Você também irá encontrar um arquivo .ufd, , criado pela Cellebrite, que contém detalhes da aquisição.
Quando faz um dump de arquivo de um dispositivo iOS, o UFED recupera dados pertencentes a SMS, logs de ligação, imagens etc. Os resultados também incluem todos os dados de backup, bem como vários relatórios html que detalham os resultados dos arquivos recuperados. Na imagem abaixo estão os resultados obtidos a partir de um dump de arquivos realizado no mesmo iPhone 5 em que fiz a extração de sistema de arquivos.
Neste momento, podemos pegar as nossas imagens (no formato que quisermos) e colocá-las no IEF para a análise e a recuperação detalhada.
Com o IEF aberto, selecione “Mobile” e escolha “iOS” como o sistema operacional. Para extrações físicas ou de sistemas de arquivo, selecione “Image” como a sua fonte. Isso permitirá que você selecione tanto os arquivos .img de uma aquisição física ou os arquivos .zip de uma extração de sistema de arquivo. Para um dump de arquivo, você deverá escolher “File Dump” e selecionar as pastas relevantes. Depois que sua imagem for carregada, você pode identificar quais artefatos você deseja procurar em um iOS e colocar quaisquer detalhes do caso que achar necessários. Finalmente, você pode selecionar o botão “Find Evidence” no IEF e iniciar sua pesquisa.
Quando a sua pesquisa estiver completa, você poderá analisar os seus dados como em qualquer outra investigação com o IEF. Os artefatos serão extraídos e categorizados pelo investigador e todos os detalhes serão classificados em colunas para fácil análise e organização.
Em caso de dúvidas ou comentários:
jamie.mcquaid@magnetforensics.com.
Leia também: "IEF supre o desafio da busca por evidências da web"
"Os investigadores forense devem estar preparados para adquirir imagens de uma ampla gama de dispositivos móveis; depois, analisá-los para encontrar tanto dados nativos quanto dados de aplicativos de terceiros. Quanto mais eficiente for o seu fluxo de trabalho e o conjunto de ferramentas em cada momento da investigação, mais chances você terá de encontrar evidências. Nós o desafiamos a usar a ferramenta forense de aquisição da sua escolha (como o UFED, da Cellebrite) juntamente com o IEF e ver o que consegue", escreve Jamie McQuaid.
Aqui está o fluxo de trabalho recomendado por McQuaid:
Tendo isso em mente, o consultor apresenta o passo a passo sobre como usar as duas tecnologias (IEF e Cellebrite) para adquirir e analisar dispositivos iOS, incluindo aquisições físicas e lógicas.
Aquisição física
A tecnologia Cellebrite é capaz de realizar a aquisição física em iPhone 4 ou em modelos mais antigos utilizando o software Physical Analyzer, instalado na máquina examinadora. Para iniciar o processo de aquisição, abra o software e selecione “iOS Device Extraction” dentro da pasta “Extract”.
Um tutorial será iniciado, conduzindo-o aos passos da aquisição. Siga as instruções detalhadas na tela para o modo de recuperação. Carregue o bootloader customizado e inicie a extração.
Uma vez que tudo esteja carregado e preparado, a extração física irá começar.
Quando a extração estiver completa, você receberá um arquivo .ufd contendo detalhes sobre o equipamento e os resultados da busca. Em vez de usar uma variedade de arquivos .bin fragmentados como os da extração física em Android, a Cellebrite cria um arquivo grande .img para dispositivos iOS que pode ser carregado para a análise posterior do IEF.
Aquisição lógica
Similar à aquisição em Android, a tecnologia Cellebrite possui opções lógicas para extrações de sistemas de arquivo (copiar um file system inteiro) e para file dumps (copiar apenas os dados relevantes dos usuários, tais como logs de ligações, contatos de SMS, fotos etc.). Como mencionado anteriormente, a aquisição lógica é a única opção para se obter uma imagem de um dispositivo iPhone 4s ou um mais recente. Como na aquisição lógica em Android, o UFED da Cellebrite carrega um software no dispositivo móvel para baixar os dados requisitados.Para uma extração de arquivos de sistema, todos os dados lógicos são baixados do dispositivo iOS pelo UFED e apresentados em vários formatos como especificado abaixo. Neste exemplo, fiz uma imagem lógica de um iPhone 5. Todo o conteúdo foi armazenado em arquivos zip e dependendo do tamanho da aquisição, você pode notar vários outros arquivos zip terminados em z01, z02, etc. Esses arquivos são fragmentados em pedaços de 2GB para suportar limitações de tamanhos de arquivos em certos sistemas de arquivos tais como FAT32. Você também irá encontrar um arquivo .ufd, , criado pela Cellebrite, que contém detalhes da aquisição.
Quando faz um dump de arquivo de um dispositivo iOS, o UFED recupera dados pertencentes a SMS, logs de ligação, imagens etc. Os resultados também incluem todos os dados de backup, bem como vários relatórios html que detalham os resultados dos arquivos recuperados. Na imagem abaixo estão os resultados obtidos a partir de um dump de arquivos realizado no mesmo iPhone 5 em que fiz a extração de sistema de arquivos.
Neste momento, podemos pegar as nossas imagens (no formato que quisermos) e colocá-las no IEF para a análise e a recuperação detalhada.
Análise do iOS com o IEF
Para iniciar sua análise, carregue a recém-criada imagem gerada pelo UFED da Cellebrite no IEF. Se você gerou um dump físico, você deverá usar um arquivo .img durante a aquisição física. Se você criou uma imagem lógica, adicione primeiramente o arquivo zip da extração do sistema de arquivo ou carregue os arquivos relevantes do dump de arquivos que você deseja examinar.
Com o IEF aberto, selecione “Mobile” e escolha “iOS” como o sistema operacional. Para extrações físicas ou de sistemas de arquivo, selecione “Image” como a sua fonte. Isso permitirá que você selecione tanto os arquivos .img de uma aquisição física ou os arquivos .zip de uma extração de sistema de arquivo. Para um dump de arquivo, você deverá escolher “File Dump” e selecionar as pastas relevantes. Depois que sua imagem for carregada, você pode identificar quais artefatos você deseja procurar em um iOS e colocar quaisquer detalhes do caso que achar necessários. Finalmente, você pode selecionar o botão “Find Evidence” no IEF e iniciar sua pesquisa.
Quando a sua pesquisa estiver completa, você poderá analisar os seus dados como em qualquer outra investigação com o IEF. Os artefatos serão extraídos e categorizados pelo investigador e todos os detalhes serão classificados em colunas para fácil análise e organização.
Em caso de dúvidas ou comentários:
jamie.mcquaid@magnetforensics.com.
Leia também: "IEF supre o desafio da busca por evidências da web"
Comentários
Postar um comentário