PDF de programación - Análisis forense de dispositivos móviles con sistema operativo Android

Universidad de Buenos Aires

Facultades de Ciencias Económicas,

Ciencias Exactas y Naturales e Ingeniería



Maestría en Seguridad Informática



Tesis



Tema

Análisis forense de dispositivos móviles con

sistema operativo Android



Título

Desarmando al Androide



Autor: Maximiliano Bendinelli

Director de Tesis: Hugo Pagola





Año 2013

Cohorte 2009









Maximiliano Bendinelli







Desarmando al Androide ii


Maximiliano Bendinelli





Tabla de Contenidos

Resumen ....................................................................................................... vi

Palabras Clave .............................................................................................. vii

Introducción ................................................................................................... 1

Capítulo 1: Android ........................................................................................ 3

Arquitectura ................................................................................................ 3

Kernel Linux ................................................................................................ 4

Librerías ...................................................................................................... 5

Runtime de Android .................................................................................... 5

Capa de Aplicaciones ................................................................................. 6

Inicialización del dispositivo ........................................................................ 7

Boot ROM ................................................................................................... 7

Bootloader .................................................................................................. 8

Kernel ......................................................................................................... 9

El proceso Init ............................................................................................. 9

Zygote y Dalvik ........................................................................................... 9

Servicios del Sistema o Servicios ............................................................... 9

Boot completo ........................................................................................... 10

Particionamiento de la memoria de Android ............................................. 10

Filesystem ................................................................................................ 11

¿Extracción física o lógica? ...................................................................... 12

Extracción Física ................................................................................... 13

Extracción Lógica .................................................................................. 13

Desafíos ................................................................................................... 14

Desarmando al Androide iii


Maximiliano Bendinelli

Capítulo 2: Extracción de imagen forense de un Android ............................ 15

Metodología .............................................................................................. 15

Recovery .................................................................................................. 15

Fastboot .................................................................................................... 17

Creando un firmware forense ................................................................... 17

Desarmando el firmware de Recovery ...................................................... 18

Ramdisk .................................................................................................... 19

Alterando el Ramdisk................................................................................ 19

Preservación de la evidencia .................................................................... 27

Capítulo 3: Análisis forense Android ............................................................ 33

Analizando SMS ....................................................................................... 35

Analizando Contactos ............................................................................... 36

Analizando Llamadas ............................................................................... 38

Analizando Redes WiFi ............................................................................ 39

Analizando Bluetooth ................................................................................ 41

Analizando Google Maps .......................................................................... 41

Analizando Twitter .................................................................................... 43

Analizando Whatsapp ............................................................................... 44

Realizando Carving .................................................................................. 45

Capítulo 4: ¿Virtualización? ......................................................................... 47

Extrayendo las imágenes forenses ........................................................... 48

Ejecutando el entorno virtual .................................................................... 49

Resultado ................................................................................................. 51

Conclusiones ............................................................................................... 53

Anexos ......................................................................................................... 54

Ejecución del emulador para virtualización ............................................... 54

Bibliografía ................................................................................................... 61

Desarmando al Androide iv


Maximiliano Bendinelli









Desarmando al Androide v


Maximiliano Bendinelli

Resumen

La penetración del sistema operativo Android en los usuarios de

dispositivos móviles en los últimos años ha sido de un crecimiento

exponencial, permitiendo una enorme

interacción entre

las personas

mediante la utilización de distintas tecnologías y aplicaciones que se ofrecen

hoy por internet o por redes de telefonía celular. Entre las más populares

existen un gran número de mensajeros que han reemplazado a los SMS

tradicionales por su bajo costo (o nulo), aquellas aplicaciones que permiten

realizar llamadas sin costo como Skype, Line o Viber por mencionar sólo

algunas y también la integración con redes sociales.

La creciente penetración en el mercado dispositivos móviles con

sistema operativo Android y la falta de herramientas que sean de fácil

acceso y que permitan realizar un análisis de estos dispositivos motivaron la

realización de este trabajo.

Se comenzara en el primer capítulo conociendo su arquitectura , el

kernel con el cual trabaja, su proceso de inicialización , se explicara que es

el bootloader entre otras cuestiones técnicas que ayudaran a comprender el

funcionamiento de Android por dentro y ayudaran a familiarizar al lector con

distintos conceptos del funcionamiento de Android que serán necesarios

para comprender el porqué del procedimiento adoptado para avanzar con la

investigación que se llevó a cabo en este trabajo de tesis.

En siguiente capítulo se explicara cómo es posible realizar una

extracción forense de un dispositivo con Android, se analizaran el uso de la

herramientas y se demostrara cono es posible crear un firmware desde cero

para poder realizar una copia bit a bit de la memoria del equipo en cuestión y

poder extraer su contenido sin contaminar al evidencia allí contenida para un

posterior análisis forense.

A lo largo de este trabajo también se demostrara cómo es posible

realizar un análisis forense con la copia bit a bit de la memoria que fue

extraída con la técnica desarrollada en el capítulo dos (2) y se podrá

observar que de dicho análisis se puede recuperar información eliminada,

historial de llamados, SMS, datos de geolocalización , historiales de chat y

Desarmando al Androide vi


Maximiliano Bendinelli

fotos por nombrar son solo algunos de los muchos huellas que dejan las

aplicaciones por su utilización.

Como conclusión se intentara realizar una virtualización de un

dispositivo con la imagen forense extraída del dispositivo por medio de un

emulador del procesador ARM7 incluido dentro de las herramientas de

desarrollo de Andorid.



Palabras Clave

Evidencia Digital – Informática Forense – Dispositivos Móviles – Android





Desarmando al Androide vii


Maximiliano Bendinelli



Introducción



Los avances

tecnológicos en

telefonía celular (o móvil) y el

crecimiento de Internet revolucionaron las comunicaciones de manera tal

que se han convertido en dispositivos imprescindibles para la vida de

muchas personas. Los dispositivos móviles se han trasformado de simples

teléfonos a dispositivos de comunicación con más capacidades como las de

una computadora. Ést