Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android

Metodologie di acquisizione di

dispositivi Android

Marco Giorgi

Android

Sistema operativo di Google con kernel Linux presente su svariati dispositivi di uso comune come ad esempio smartphone, tablet, navigatori satellitari, ecc.

Modalità di acquisizione

Chip-off

Logica

Fisica

Filesystem

Acquisizione Logica

Disponibilità limitata dei dati

No carving

Accesso diretto ai records dei database rubrica, contatti, ecc.

Acquisizione Filesystem

Disponibilità limitata dei dati

No carving sui files

Estrazione di file e cartelle

Accesso parziale al filesystem

Acquisizione Fisica

Bitstream image (intera memoria o singole partizioni)

Estrazione di tutti i files e cartelle

E’ possibile fare carving

Chip-off

Distruttiva e rischiosa

Intero dump del chip di memoria

Estrazione di tutti i files e cartelle

E’ possibile fare carving

Strumenti acquisizione

Acquisizione fisica tramite ADB

Esecuzione shell di recovery temporanea modificata tramite scheda Micro SD

Avvio del dispositivo in modalità di recovery standard (pulsanti: HOME + VOLUME UP + TASTO CENTRALE)

Installazione pacchetto con SU e busybox (netcat e dd) tramite scheda Micro SD

Acquisizione memoria flash

Mettere il dispositivo in “recovery mode” e collegarlo al PC tramite cavo USB!

Impostare la porta per il forwarding dei dati tramite ADB : $ adb forward tcp:8888 tcp:8888

Collegamento al dispositivo tramite ADB ed elevazione dei privilegi di root :$ adb shell$ su

Esempio di blocco di memoria

# ls /dev/block/mmcblk0 mmcblk0p1 ——> /efs mmcblk0p10 —-> /data mmcblk0p11 mmcblk0p12 mmcblk0p2 mmcblk0p3 mmcblk0p4 mmcblk0p5 —-> /kernel mmcblk0p6 —-> /recovery mmcblk0p7 ——> /cache mmcblk0p8 mmcblk0p9 ——> /system

# /system/xbin/busybox nc -l -p 8888 -e /system/xbin/ busybox dd if=/dev/block/mmcblk0

In un’altra finestra del terminale : $ nc 127.0.0.1 8888 | pv -i 0.5 > mmcblk0.raw

Da shell ADB :

Terminata l’acquisizione sarà possibile montare le partizioni per estrarre ed elaborare i dati, effettuare carving, ed altre operazioni di interesse

Sviluppi futuri

E’ in fase di studio e sviluppo un metodo meno invasivo per l’acquisizione fisica

Grazie per l’attenzione

Contatti:

Marco Giorgi marco@deftlinux.net

Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android

Documents

Transcript of Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android

Android Programming

Android A. Ferrari. Android Android è un sistema operativo per dispositivi mobili. Inizialmente sviluppato da Startup Android Inc. acquisita poi nel 2005.

ANDROIDTM Guida rapida - google.com · GUIDA RAPIDA AD ANDROID BENVENUTO IN ANDROID . 1. 1 . Benvenuto in Android. Informazioni su Android 4.4. Android 4.4 (KitKat ®) è la versione

DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools

giorgi gioielli

Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline

;> 7GFGDA - De Giorgi - De Giorgi

Giorgi kopadze. I

Io, Android

Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cyber Intelligence

Deftcon 2012 - Michele Ferrazzano - Emule Forensic

DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità del sistema DEFT/DART

Scatolificio Giorgi

Android MIT App Inventor 2 - xenialab.it · Introduzione Android Android e' un sistema operativo per Mobile sviluppato da Google. Android partecipa all Open Handset Alliance (HTC,

Giorgi - Series

Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype

Android: guida alla configurazione della suite di sviluppo ...new345.altervista.org/ANDROID/Creare_app_Android_per_programmatori.pdf · Android: guida alla configurazione della suite

LINEA STUDIO - De Giorgi - De Giorgi

Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini

Deftcon 2012 - Meo Bogliolo - SQLite Forensics