DEFTCON 2012 - Alessandro Rossetti - Android Forensics

ArgomentiArgomentiArgomentiArgomenti

• Android?

• Android Forensics

• Caso pratico

[email protected]

Android?

www.android.com

2005 - Inizio Sviluppo

12/2011 - Release finale 4.03

Licenza: Apache 2.0

AndroidAndroidAndroidAndroidSistema operativo per dispositivi mobili

2008 - Release iniziale 1.0

Sorgente: FOSS

Linux Kernel (Monolitico)

Diffusione esponziale

Gestione Gestione Gestione Gestione deglideglideglidegli aggiornamentiaggiornamentiaggiornamentiaggiornamenti

http://tinyurl.com/androidworm

Attacchi su misura

StrutturaStrutturaStrutturaStrutturaclassicaclassicaclassicaclassica

Principali VersioniPrincipali VersioniPrincipali VersioniPrincipali Versioni v2.2.x v2.2.x v2.2.x v2.2.x FroyoFroyoFroyoFroyo

v2.3.x v2.3.x v2.3.x v2.3.x GingerbreadGingerbreadGingerbreadGingerbread

v3.x v3.x v3.x v3.x HoneycombHoneycombHoneycombHoneycomb

v4.x v4.x v4.x v4.x IceIceIceIce CreamCreamCreamCream SandwichSandwichSandwichSandwich

FilesystemFilesystemFilesystemFilesystem

YAFFS2

EXT4

VARI eseseses. . . . RFSRFSRFSRFS

2.3 Gingerbread2.3 Gingerbread2.3 Gingerbread2.3 Gingerbread

2.2 2.2 2.2 2.2 FroyoFroyoFroyoFroyo

ApplicazioniApplicazioniApplicazioniApplicazioni

App App App App PreinstallatePreinstallatePreinstallatePreinstallate : /system/app

App App App App scaricatescaricatescaricatescaricate: /data/app

DatiDatiDatiDati applicazioniapplicazioniapplicazioniapplicazioni: /data/data, MicroSD

DB di DB di DB di DB di sistemasistemasistemasistema: /data/database

Android Forensics

Un tempo …Un tempo …Un tempo …Un tempo …

AFLOGICALAFLOGICALAFLOGICALAFLOGICALAcquisizione logicaAcquisizione logicaAcquisizione logicaAcquisizione logica

42 diversi tipi di datiIn pochi minuti

AndroidForensics.apkAndroidForensics.apkAndroidForensics.apkAndroidForensics.apk

Acquisizione Acquisizione Acquisizione Acquisizione FisicaFisicaFisicaFisica

mount

Diritti Root

dd if=partizione of=/mnt/sdcard/nomefile.imgdd

su

Rilevazione numero partizioni

+ NB - VUOTA!!!

Esempio

Samsung Galaxy S i9000

AcquisizioneAcquisizioneAcquisizioneAcquisizioneSu nuova MICROSD

Tastiera virtuale

dd

ODIN + CF ROOT

Installazione demone SSH

Acquisizione «Standard» MicroSD

Hash delle immagini dd microSD con

Samsung Galaxy S i9000

Analisi ClassicheAnalisi ClassicheAnalisi ClassicheAnalisi Classiche

Carving

Timeline

Database

Foto/video

Analisi SpecificheAnalisi SpecificheAnalisi SpecificheAnalisi Specifiche

Antiforensics ?

Correlazione informazioni

Applicazioni terze?

Per Per Per Per ApprofondireApprofondireApprofondireApprofondire

Grazie per Grazie per Grazie per Grazie per l’attenzionel’attenzionel’attenzionel’attenzione!!!!

[email protected]

Sandro Sandro Sandro Sandro RossettiRossettiRossettiRossetti

DEFTCON 2012 - Alessandro Rossetti - Android Forensics

Documents

Transcript of DEFTCON 2012 - Alessandro Rossetti - Android Forensics