Analyse forensique d'un système informatique Android avec Autopsy : dans quel but?
Trouver les bases de données SQLite des applications
Parcourir ces bases de données
Ajouter ces résultats à la recherche
Ce module s’etoffe à chaque nouvelle mise à jour.
Une question? Posez-la ici
Besoin d'aide sur Autopsy?
Analyse forensique d'un système informatique Android avec Autopsy : données entrantes
On doit récupérer les données de l'Android avec un autre outil
Il faut que l’Android ait un systeme de fichiers pour les récupérer. Ajouter simplement les données en tant que sources de données.
Les dumps logiques de fichiers devraient fonctionner.
Sur les appareils Android, nous pouvons effectuer deux types d'acquisition d'images:
Acquisition en direct : effectuée sur un appareil en marche. En général, l'analyste obtient des autorisations root à l'aide de divers outils et extrait l'image à l'aide de DD.
Acquisition morte : effectuée sur l'appareil démarré dans un autre état. Par exemple, si ClockwordMod est installé sur l'appareil, l'analyste peut redémarrer l'appareil pour le récupérer et obtenir un shell racine.
Remarque: pour suivre le processus ci-dessous, l'appareil doit être rooté.
Analyse forensique d'un système informatique Android avec Autopsy : Le root Android
Le root des téléphones Android est devenu un phénomène courant et les téléphones rootés sont très souvent rencontrés lors des enquêtes. De plus, en fonction de la situation et des données à extraire, l'examinateur lui-même doit rooter l'appareil afin d'extraire certaines données.
Cependant, le processus de root est spécifique à chaque modèle de téléphone, version d'Android et numéro de build, vous devez donc toujours trouver le bon outil en fonction de votre modèle de téléphone.
Une majorité de téléphones Android modernes peuvent être rootés à l'aide d'une application appelée KingoRoot , si pour une raison quelconque cette méthode ne fonctionne pas pour vous (chargeur de démarrage verrouillé, Knox, etc.), il peut être utile de trouver de l'aide sur XDA Developers , un site Web avec une grande communauté d'utilisateurs actifs dédiée au développement Android.
Imagerie de la partition / data
Nous utiliserons l'outil populaire «dd» pour faire notre travail.
«Dd» est présent dans Android par défaut à l'emplacement «/ system / bin».
Afin de limiter les modifications du système de fichiers du périphérique, l'image sera transférée vers le poste de travail à l'aide d'un tunnel créé avec NetCat.
Ainsi, la première étape après le root doit être l'installation de Busybox (télécharger ici ), une collection d'utilitaires de console contenant netcat.
Une fois téléchargé le busybox Apk, installez-le sur l'appareil en utilisant adb
adb -d install BusyBox.apk
Ensuite, connectez-vous au téléphone et vérifiez l'accès root:
adb -d shell
ls /data
su
ls /data
Nous utilisons «ls / data» pour tester si nous avons accès à un répertoire protégé.
La première fois que vous l'exécutez, il devrait échouer. Ensuite, nous utilisons «su» pour passer l'utilisateur à root.
Nous utilisons ensuite à nouveau «ls / data» pour tester si nous avons maintenant accès aux répertoires protégés.
Une question? Posez-la ici
Besoin d'aide sur Autopsy?
Ensuite, nous devons vérifier les partitions montées sur l'appareil
Exemple:
rootfs / rootfs ro, relatime 0 0
tmpfs / dev tmpfs rw, seclabel, nosuid, relatime, size = 450904k, nr_inodes = 112726, mode = 755 0 0
devpts / dev / pts devpts rw, seclabel, relatime, mode = 600 0 0
aucun / dev / cpuctl cgroup rw, relatime, cpu 0 0
adb / dev / usb-ffs / adb functionfs rw, relatime 0 0
proc / proc proc rw, relatime 0 0
sysfs / sys sysfs rw, seclabel, relatime 0 0
selinuxfs / sys / fs / selinux selinuxfs rw, relatime 0 0
debugfs / sys / kernel / debug debugfs rw, relatime 0 0
aucun / sys / fs / cgroup tmpfs rw, seclabel, relatime, size = 450904k, nr_inodes = 112726, mode = 750, gid = 1000 0 0
aucun / acct cgroup rw, relatime, cpuacct 0 0
tmpfs / mnt / asec tmpfs rw, seclabel, relatime, size = 450904k, nr_inodes = 112726, mode = 755, gid = 1000 0 0
tmpfs / mnt / obb tmpfs rw, seclabel, relatime, size = 450904k, nr_inodes = 112726, mode = 755, gid = 1000 0 0
/ dev / block / bootdevice / by-name / system / system ext4 ro, seclabel, relatime, discard, data = ordonné 0 0
/ dev / block / bootdevice / by-name / userdata / data ext4 rw, seclabel, nosuid, nodev, relatime, discard, noauto_da_alloc, data = ordonné 0 0
/ dev / block / bootdevice / by-name / cache / cache ext4 rw, seclabel, nosuid, nodev, relatime, data = ordonné 0 0
/ dev / block / bootdevice / by-name / persist / persist ext4 rw, seclabel, nosuid, nodev, relatime, data = ordonné 0 0
/ dev / block / bootdevice / by-name / tctpersist / tctpersist ext4 rw, seclabel, nosuid, nodev, relatime, data = ordonné 0 0
/ dev / block / bootdevice / by-name / modem / firmware vfat ro, context = u: object_r: firmware_file: s0, relatime, uid = 1000, gid = 1000, fmask = 0337, dmask = 0227, codepage = 437, iocharset = iso8859-1, nom court = inférieur, erreurs = remount-ro 0 0
/ dev / fuse / storage / uicc1 fuse rw, nosuid, nodev, relatime, user_id = 1023, group_id = 1023, default_permissions, allow_other 0 0
/ dev / fuse / storage / uicc0 fuse rw, nosuid, nodev, relatime, user_id = 1023, group_id = 1023, default_permissions, allow_other 0 0
/ dev / fuse / mnt / shell / fusible émulé rw, nosuid, nodev, relatime, user_id = 1023, group_id = 1023, default_permissions, allow_other 0 0
/ dev / fuse / storage / usbotg fuse rw, nosuid, nodev, relatime, user_id = 1023, group_id = 1023, default_permissions, allow_other 0 0
/ dev / fuse / storage / sdcard0 fuse rw, nosuid, nodev, relatime, user_id = 1023, group_id = 1023, default_permissions, allow_other 0 0
/ dev / block / vold / 179: 65 / mnt / media_rw / sdcard1 vfat rw, dirsync, nosuid, nodev, noexec, relatime, uid = 1023, gid = 1023, fmask = 0007, dmask = 0007, allow_utime = 0020, page de codes = 437, iocharset = iso8859-1, nom court = mixte, utf8, erreurs = remount-ro 0 0
/ dev / block / vold / 179: 65 / mnt / secure / asec vfat rw, dirsync, nosuid, nodev, noexec, relatime, uid = 1023, gid = 1023, fmask = 0007, dmask = 0007, allow_utime = 0020, page de codes = 437, iocharset = iso8859-1, nom court = mixte, utf8, erreurs = remount-ro 0 0
/ dev / fuse / storage / sdcard1 fuse rw, nosuid, nodev, relatime, user_id = 1023, group_id = 1023, default_permissions, allow_other 0 0
Nous nous intéressons à la partition de données, dans ce cas «/ dev / block / bootdevice / by-name / userdata» .
Ensuite, nous devons définir le routage de connexion entre le poste de travail et l'appareil mobile, en redirigeant le port 8888.
Sur le poste de travail, exécutez:
adb forward tcp:8888 tcp:8888
Alors, commençons maintenant le processus d'imagerie en utilisant «dd» et canalisons les données en utilisant netcat.
Sur le shell root sur le téléphone:
root@VF-895N:/ #dd if=/dev/block/bootdevice/by-name/userdata | busybox nc -l -p 8888
et sur le poste de travail médico-légal:
nc 127.0.0.1 8888 > android_data.dd
Une fois le processus d'imagerie terminé
Nous pouvons maintenant démarrer l'analyse sur le disque image, en utilisant Autopsy
Une question? Posez-la ici
Besoin d'aide sur Autopsy ?
Analyse forensique d'un système informatique Android avec Autopsy : extraire quelles données?
-Historique des appels
-contacts
-Messages :
• SMS/MMS
• Tango
• Friends
• Facebook Messenger
• IMO
• Line
• Skype
• TextNow
• Viber
• Whatsapp
Navigateurs :
• Navigateur Android
• Opera
• Navigateur Samsung
Tranfert de fichiers :
• Sharelt
• Xender
• Zapya
Geo
• Fichiers cache.wifi et cache.cell
• Coordonées navigateur et Google Maps
• Cartes ORUX
Applications installées...
Journeaux des appels
-Messages (Whatsapp…)
-Contacts
-Historique web, cookies, marque spages bookmarks, téléchargements
-Coordonnées GPS
-Applications installées
Analyse forensique d'un système informatique Android avec Autopsy : interface
Le module analyseur Android connait les données Android de base et les applications.
Il extrait les messages, les données web et certaines données de communication
Il est en constante évolution et ce module a de nouvelles fonctionnalités à chaque nouvelle mise à jour.
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.
Ce cours, avec TD, POC et QCM d'évaluation est composé de ces autres chapitres:
Recherche de mots avec SOLR et TIKA
Vos commentaires/remarques sont les bienvenus: