- Gerar link
- Outros aplicativos
A TechBiz Forense Digital publica hoje o segundo post do consultor forense Jamie McQuaid, da Magnet Forensics, sobre como o IEF e a tecnologia Cellebrite podem juntas oferecer mais evidências nas investigações forenses de aparelhos móveis.
No primeiro post, McQuaid falou sobre a necessidade da comunidade forense em encontrar mais evidências na análise de dispositivos móveis, especialmente em aplicativos de terceiros e como a Magnet Forensics supriu essa demanda. Os investigadores mostravam-se satisfeitos com o processo de aquisição das evidências por ferramentas como o UFED, mas queriam saber como ir além na investigação de aplicativos de terceiros. Aqui está o workflow recomendado:
Tendo isso em mente, o consultor apresenta agora um passo a passo sobre como usar o IEF e a tecnologia Cellebrite juntos para adquirir e analisar dispositivos Android, incluindo aquisições físicas, arquivos de sistema e rápidos dumps de arquivos.
Aquisição física
Para demonstrar o processo de aquisição física, escolhi coletar fisicamente dados de um Samsung Galaxy S Relay 4G com o Cellebrite UFED (veja imagem abaixo).
Quando o UFED realiza uma aquisição física, todos os dados disponíveis no dispositivo móvel suspeito são copiados, incluindo todas as partições e espaços não alocados. Para iniciar o processo de aquisição, conecte o aparelho ao dispositivo UFED e selecione o modelo de aparelho a ser analisado. O sistema Cellebrite o conduzirá a uma série de opções, incluindo a definição de um local-alvo para armazenar os dados recuperados.
Quando todas as opções forem selecionadas, o UFED começará a puxar os dados do dispositivo. As imagens do telefone são armazenadas como dados brutos em arquivos .bin fragmentados, juntamente com arquivos contendo detalhes do caso com a extensão .ufd.
Aquisição lógica
A aquisição lógica em dispositivos Android deve ser escolhida quando não for possível realizar uma aquisição física ou essa não for requisitada. Com o Cellebrite UFED, você poderá escolher “Extract Phone Data” (extrair dados de telefone) ou “File System Extraction” (extração de arquivos de sistema), caso você queira ou não recuperar apenas os arquivos de usuário ou o todo o file system.
Semelhante ao processo de aquisição física, é preciso selecionar o modelo de telefone e a saída alvo no UFED. Para um dump de arquivo, você precisa selecionar quais itens gostaria de copiar (logs de ligações, SMS, calendário, contatos, etc.) e a Cellebrite fará então o upload do software para o dispositivo, permitindo baixar esses dados como backup. Para demonstrar uma aquisição lógica, escolhi o HTC One e fiz o dump dos dados em um pen drive. Uma vez que o processo esteja completo, o investigador recebe uma pasta contendo os dados abaixo.
Para a aquisição de arquivos de sistema, você receberá um arquivo .ufd e um arquivo zip com o conteúdo do dispositivo.
Aquisição lógica e dumps de arquivos retornam uma boa quantidade de arquivos para o investigador; no entanto, a aquisição física é sempre mais recomendada para maximizar a recuperação de qualquer dado potencial deletado e que se encontra em um espaço não alocado. Uma aquisição física, no entanto, é sempre recomendada para maximizar a recuperação de qualquer dado potencial deletado e armazenado em espaço não alocado.
A análise com o IEF
Uma vez que os dados foram adquiridos com o UFED, é possível carregá-los para o IEF e iniciar a análise. Esse processo se diferencia um pouco, dependendo do tipo da imagem adquirida (física, file system ou dump). Em caso de uma extração física, abra o IEF e selecione “Mobile.” Depois escolha o sistema operacional relacionado à sua captura (em nosso exemplo, selecionaríamos Android”) e clique em “Image”.
Para a aquisição física, você encontrará uma pasta com uma quantidade de arquivos .bin e .ufd (como mencionado anteriormente). Os arquivos .ufd são usados pelo software da Cellebrite para carregar detalhes e imagens do caso. Para fazer a análise com o IEF, você precisará acessar os arquivos .bin. Se os arquivos estiverem fragmentados devido ao seu tamanho, selecione o primeiro deles e o IEF automaticamente carregará os arquivos bin adicionais.
Se você está realizando aquisições de arquivos de sistema, você precisará localizar e selecionar os arquivos zip que foram criados pelo Cellebrite. O IEF irá extrair depois esse arquivo e automaticamente pesquisará pelo conteúdo recuperado.
Finalmente, se você escolher extrair dados do telefone como um dump de arquivo você terá que escolher “File Dump” em vez de “Image” ao completar as opções de setup, depois navegar até a pasta contendo os dados que foram extraídos por dump.
Assim que a imagem desejada for carregada é possível fazer a análise como qualquer outro exame com o IEF. Tenha certeza de que todos os artefatos que você deseja pesquisar incluem quaisquer detalhes do caso relevantes à sua investigação. O IEF rodará essa pesquisa e carregará os resultados no IEF Report Viewer para a análise.
Pelo Report Viewer, os resultados serão ordenados e categorizados para o investigador. Além de recuperar dados de aplicativos nativos, o IEF também puxará artefatos de aplicativos terceiros instalados no dispositivo.
Encontre mais evidências de dispositivos móveis com IEF e Cellebrite UFED
Investigadores forense precisam estar preparados para adquirir imagens de uma ampla gama de dispositivos móveis; depois analisá-los para encontrar tanto os dados de aplicativos nativos quanto de terceiros. Quanto mais efetivo for o seu workflow e suas ferramentas, mais chances terá de encontrar evidências móveis.
Nós o desafiamos a usar a ferramenta de aquisição da sua escolha (como o UFED) combinada com o IEF e ver o que consegue obter!
Quaisquer dúvidas, comentários ou sugestões jamie. mcquaid@magnetforensics.com.
Jamie McQuaid é consultor forense da Magnet Forensics
No primeiro post, McQuaid falou sobre a necessidade da comunidade forense em encontrar mais evidências na análise de dispositivos móveis, especialmente em aplicativos de terceiros e como a Magnet Forensics supriu essa demanda. Os investigadores mostravam-se satisfeitos com o processo de aquisição das evidências por ferramentas como o UFED, mas queriam saber como ir além na investigação de aplicativos de terceiros. Aqui está o workflow recomendado:
Tendo isso em mente, o consultor apresenta agora um passo a passo sobre como usar o IEF e a tecnologia Cellebrite juntos para adquirir e analisar dispositivos Android, incluindo aquisições físicas, arquivos de sistema e rápidos dumps de arquivos.
Aquisição física
Para demonstrar o processo de aquisição física, escolhi coletar fisicamente dados de um Samsung Galaxy S Relay 4G com o Cellebrite UFED (veja imagem abaixo).
Quando o UFED realiza uma aquisição física, todos os dados disponíveis no dispositivo móvel suspeito são copiados, incluindo todas as partições e espaços não alocados. Para iniciar o processo de aquisição, conecte o aparelho ao dispositivo UFED e selecione o modelo de aparelho a ser analisado. O sistema Cellebrite o conduzirá a uma série de opções, incluindo a definição de um local-alvo para armazenar os dados recuperados.
Quando todas as opções forem selecionadas, o UFED começará a puxar os dados do dispositivo. As imagens do telefone são armazenadas como dados brutos em arquivos .bin fragmentados, juntamente com arquivos contendo detalhes do caso com a extensão .ufd.
Aquisição lógica
A aquisição lógica em dispositivos Android deve ser escolhida quando não for possível realizar uma aquisição física ou essa não for requisitada. Com o Cellebrite UFED, você poderá escolher “Extract Phone Data” (extrair dados de telefone) ou “File System Extraction” (extração de arquivos de sistema), caso você queira ou não recuperar apenas os arquivos de usuário ou o todo o file system.
Semelhante ao processo de aquisição física, é preciso selecionar o modelo de telefone e a saída alvo no UFED. Para um dump de arquivo, você precisa selecionar quais itens gostaria de copiar (logs de ligações, SMS, calendário, contatos, etc.) e a Cellebrite fará então o upload do software para o dispositivo, permitindo baixar esses dados como backup. Para demonstrar uma aquisição lógica, escolhi o HTC One e fiz o dump dos dados em um pen drive. Uma vez que o processo esteja completo, o investigador recebe uma pasta contendo os dados abaixo.
Para a aquisição de arquivos de sistema, você receberá um arquivo .ufd e um arquivo zip com o conteúdo do dispositivo.
Aquisição lógica e dumps de arquivos retornam uma boa quantidade de arquivos para o investigador; no entanto, a aquisição física é sempre mais recomendada para maximizar a recuperação de qualquer dado potencial deletado e que se encontra em um espaço não alocado. Uma aquisição física, no entanto, é sempre recomendada para maximizar a recuperação de qualquer dado potencial deletado e armazenado em espaço não alocado.
A análise com o IEF
Uma vez que os dados foram adquiridos com o UFED, é possível carregá-los para o IEF e iniciar a análise. Esse processo se diferencia um pouco, dependendo do tipo da imagem adquirida (física, file system ou dump). Em caso de uma extração física, abra o IEF e selecione “Mobile.” Depois escolha o sistema operacional relacionado à sua captura (em nosso exemplo, selecionaríamos Android”) e clique em “Image”.
Para a aquisição física, você encontrará uma pasta com uma quantidade de arquivos .bin e .ufd (como mencionado anteriormente). Os arquivos .ufd são usados pelo software da Cellebrite para carregar detalhes e imagens do caso. Para fazer a análise com o IEF, você precisará acessar os arquivos .bin. Se os arquivos estiverem fragmentados devido ao seu tamanho, selecione o primeiro deles e o IEF automaticamente carregará os arquivos bin adicionais.
Se você está realizando aquisições de arquivos de sistema, você precisará localizar e selecionar os arquivos zip que foram criados pelo Cellebrite. O IEF irá extrair depois esse arquivo e automaticamente pesquisará pelo conteúdo recuperado.
Finalmente, se você escolher extrair dados do telefone como um dump de arquivo você terá que escolher “File Dump” em vez de “Image” ao completar as opções de setup, depois navegar até a pasta contendo os dados que foram extraídos por dump.
Assim que a imagem desejada for carregada é possível fazer a análise como qualquer outro exame com o IEF. Tenha certeza de que todos os artefatos que você deseja pesquisar incluem quaisquer detalhes do caso relevantes à sua investigação. O IEF rodará essa pesquisa e carregará os resultados no IEF Report Viewer para a análise.
Pelo Report Viewer, os resultados serão ordenados e categorizados para o investigador. Além de recuperar dados de aplicativos nativos, o IEF também puxará artefatos de aplicativos terceiros instalados no dispositivo.
Encontre mais evidências de dispositivos móveis com IEF e Cellebrite UFED
Investigadores forense precisam estar preparados para adquirir imagens de uma ampla gama de dispositivos móveis; depois analisá-los para encontrar tanto os dados de aplicativos nativos quanto de terceiros. Quanto mais efetivo for o seu workflow e suas ferramentas, mais chances terá de encontrar evidências móveis.
Nós o desafiamos a usar a ferramenta de aquisição da sua escolha (como o UFED) combinada com o IEF e ver o que consegue obter!
Quaisquer dúvidas, comentários ou sugestões jamie. mcquaid@magnetforensics.com.
Jamie McQuaid é consultor forense da Magnet Forensics
Comentários
Postar um comentário