Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android

Apr 13, 20141 like4,345 views

Deft Association

Metodologie di
acquisizione di
dispositivi Android
Marco Giorgi

Android
Sistema operativo di Google
con kernel Linux presente
su svariati dispositivi di uso
comune come ad esempio
smartphone, tablet,
navigatori satellitari, ecc.

Modalità di
acquisizione
Chip-off
Logica
Fisica
Filesystem

Acquisizione
Logica
Disponibilità limitata dei dati
No carving
Accesso diretto ai records dei database
rubrica, contatti, ecc.

Acquisizione
Filesystem
Disponibilità limitata dei dati
No carving sui files
Estrazione di file e cartelle
Accesso parziale al filesystem

Acquisizione Fisica
Bitstream image (intera memoria o
singole partizioni)
Estrazione di tutti i files e cartelle
E’ possibile fare carving

Chip-off
Distruttiva e rischiosa
Intero dump del chip di memoria
Estrazione di tutti i files e cartelle
E’ possibile fare carving

Acquisizione fisica
tramite ADB
Esecuzione shell di recovery
temporanea modificata
tramite scheda Micro SD
Avvio del dispositivo in
modalità di recovery standard
(pulsanti: HOME + VOLUME UP +
TASTO CENTRALE)
!
Installazione pacchetto con
SU e busybox (netcat e dd)
tramite scheda Micro SD

Acquisizione
memoria flash
Mettere il dispositivo in “recovery
mode” e collegarlo al PC tramite
cavo USB
!
Impostare la porta per il forwarding
dei dati tramite ADB : 
 
$ adb forward tcp:8888 tcp:8888

Acquisizione
memoria flash
Collegamento al dispositivo tramite
ADB ed elevazione dei privilegi di
root : 
 
$ adb shell 
$ su

Esempio di blocco
di memoria
# ls /dev/block/mmcblk0  
 
mmcblk0p1 ——> /efs 
mmcblk0p10 —-> /data 
mmcblk0p11 
mmcblk0p12 
mmcblk0p2 
mmcblk0p3 
mmcblk0p4 
mmcblk0p5 —-> /kernel 
mmcblk0p6 —-> /recovery 
mmcblk0p7 ——> /cache 
mmcblk0p8 
mmcblk0p9 ——> /system

Acquisizione
memoria flash
# /system/xbin/busybox nc -l -p 8888 -e
/system/xbin/ busybox dd if=/dev/block/mmcblk0
In un’altra finestra del terminale :
$ nc 127.0.0.1 8888 | pv -i 0.5 > mmcblk0.raw
Da shell ADB :

Acquisizione
memoria flash
Terminata l’acquisizione sarà possibile
montare le partizioni per estrarre ed
elaborare i dati, effettuare carving, ed
altre operazioni di interesse

Sviluppi futuri
E’ in fase di studio e
sviluppo un metodo
meno invasivo per
l’acquisizione fisica

Grazie per
l’attenzione
Contatti:
Marco Giorgi 
marco@deftlinux.net

You are likely benefitting from The Internet of Things (IoT) today, whether or not you’re familiar with the term. If your phone automatically connects to your car radio, or if you have a smartwatch counting your steps, congratulations! You have adopted one small piece of a very large IoT pie, even if you haven't adopted the name yet. IoT may sound like a business buzzword, but in reality, it’s a real technological revolution that will impact everything we do. It's the next IT Tsunami of new possibility that is destined to change the face of technology, as we know it. IoT is the interconnectivity between things using wireless communication technology (each with their own unique identifiers) to connect objects, locations, animals, or people to the Internet, thus allowing for the direct transmission of and seamless sharing of data. IoT represents a massive wave of technical innovation. Highly valuable companies will be built and new ecosystems will emerge from bridging the offline world with the online into one gigantic new network. Our limited understanding of the possibilities hinders our ability to see future applications for any new technology. Mainstream adoption of desktop computers and the Internet didn’t take hold until they became affordable and usable. When that occurred, fantastic and creative new innovation ensued. We are on the cusp of that tipping point with the Internet of Things. IoT matters because it will create new industries, new companies, new jobs, and new economic growth. It will transform existing segments of our economy: retail, farming, industrial, logistics, cities, and the environment. It will turn your smartphone into the command center for the both digital and physical objects in your life. You will live and work smarter, not harder – and what we are seeing now is only the tip of the iceberg.

Accelerare la giustizia, piano straordinario per la digitalizzazioneForza Italia - Veneto

��

2014 it - app dev series - 04 - indicizzazioneMongoDB

��

Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeft Association

��

Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxSandro Rossetti

��

Corso base - HW e SW pubblicata.pptxPaolo Righetto

��

Hardware3Salvatore Cianciabella

��

Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...caioturtle

��

Il recupero delle informazioni cancellate e nascosteEdoardo E. Artese

��

Rimozione sicura dei dati: be clean Emanuele Florindi

��

Componenti del pc.miglioratograziano98

��

La disponibilita dei dati in azienda strategie di protezioneVincenzo Virgilio

��

E' primavera! Depuriamo anche il pc!Piazza Telematica Schio

��

Presentazione Live Backup 2010 Remotamodestini

��

Presentazione Live Backup 2010 Remotamodestini

��

festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2016

��

Modulo 1 ECDLAntonio Fini

��

Guida al computer - Lezione 5 - Il disco rigido parte 1caioturtle

��

Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno

��

Computer Forensicsitis e.divini san severino marche

��

Componenti del pcgraziano98

��

Modulo1 lezione1scipag

��

Corso Fse Itc Modulo Secondo Incontro IMaíra Ribeiro

��

Deft - Botconf 2017Deft Association

��

Deft Linux is a free digital forensics and incident response Linux distribution that provides tools for investigating cybersecurity incidents. Giovanni Rattaro, an IT security consultant and member of the BackTrack Linux project, leads the Deft Linux team. The next release, code named "Deft X Xplosion", will build on the existing digital forensics and incident response tools included in previous Deft Linux, Deft Zero, and DART distributions.

deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...Deft Association

��

More Related Content

Similar to Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android (20)

Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeft Association

��

Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxSandro Rossetti

��

Corso base - HW e SW pubblicata.pptxPaolo Righetto

��

Hardware3Salvatore Cianciabella

��

Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...caioturtle

��

Il recupero delle informazioni cancellate e nascosteEdoardo E. Artese

��

Rimozione sicura dei dati: be clean Emanuele Florindi

��

Componenti del pc.miglioratograziano98

��

La disponibilita dei dati in azienda strategie di protezioneVincenzo Virgilio

��

E' primavera! Depuriamo anche il pc!Piazza Telematica Schio

��

Presentazione Live Backup 2010 Remotamodestini

��

Presentazione Live Backup 2010 Remotamodestini

��

festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2016

��

Modulo 1 ECDLAntonio Fini

��

Guida al computer - Lezione 5 - Il disco rigido parte 1caioturtle

��

Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno

��

Computer Forensicsitis e.divini san severino marche

��

Componenti del pcgraziano98

��

Modulo1 lezione1scipag

��

Corso Fse Itc Modulo Secondo Incontro IMaíra Ribeiro

��

Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeft Association

��

Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxSandro Rossetti

��

Corso base - HW e SW pubblicata.pptxPaolo Righetto

��

Hardware3Salvatore Cianciabella

��

Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...caioturtle

��

Il recupero delle informazioni cancellate e nascosteEdoardo E. Artese

��

Rimozione sicura dei dati: be clean Emanuele Florindi

��

Componenti del pc.miglioratograziano98

��

La disponibilita dei dati in azienda strategie di protezioneVincenzo Virgilio

��

E' primavera! Depuriamo anche il pc!Piazza Telematica Schio

��

Presentazione Live Backup 2010 Remotamodestini

��

Presentazione Live Backup 2010 Remotamodestini

��

festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2016

��

Modulo 1 ECDLAntonio Fini

��

Guida al computer - Lezione 5 - Il disco rigido parte 1caioturtle

��

Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno

��

Computer Forensicsitis e.divini san severino marche

��

Componenti del pcgraziano98

��

Modulo1 lezione1scipag

��

Corso Fse Itc Modulo Secondo Incontro IMaíra Ribeiro

��

More from Deft Association (20)

Deft - Botconf 2017Deft Association

��

deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...Deft Association

��

deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association

��

deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...Deft Association

��

deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...Deft Association

��

This document summarizes research into analyzing artifacts from the Tor browser on Windows systems. It describes how the Tor browser leaves various artifacts that can be analyzed, including prefetch files, the UserAssist registry key, thumbnail cache, Windows search database, bookmarks, pagefile.sys, and memory dumps. These artifacts can reveal information like installation date, execution dates and paths, and evidence of websites visited. The document provides an example of how analysis of these artifacts was used in a case to identify the suspect who accessed a private company's salaries before they were published online.

deftcon 2015 - Dave Piscitello - DNS Traffic MonitoringDeft Association

��

This document discusses how DNS is used by cybercriminals and malware in various ways. It describes how criminals register domains for malicious purposes like phishing, botnets, and malware distribution. It also explains how legitimate domains get compromised and used for criminal ends. The document advocates monitoring DNS traffic and logs to detect abnormal queries that could indicate cyberattacks, exploits, or command and control communications between infected devices and criminal infrastructure.

deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT ToolsDeft Association

��

The document discusses the European Antitrust Forensic IT Tools (EAFIT_TOOLS) project. It provides an overview of the project objectives, which are to develop a prototype indexing software to boost technical convergence of forensic analysis tools for European antitrust authorities. The software will index large amounts of documents collected during dawn raids and enable collaborative review. Requirements were gathered from authorities and include capabilities for on-site indexing and analysis during raids. The software architecture is discussed and it will be released as open source. The goals are to standardize forensic procedures and tools to aid multi-jurisdictional antitrust investigations.

deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...Deft Association

��

deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...Deft Association

��

Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeft Association

��

Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeft Association

��

Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association

��

Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deft Association

��

Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeft Association

��

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualDeft Association

��

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Deft Association

��

DEFT is a Linux distribution and toolkit for digital forensics and intelligence activities. It contains various Linux applications and scripts as well as Windows applications through the DART suite. Some key features include tools for acquiring, analyzing, and investigating digital evidence from a variety of sources like hard drives, smartphones, and network traffic. This manual provides an overview of the main applications in DEFT and includes some tutorials for common digital forensics tasks.

Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deft Association

��

deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...Deft Association

��

Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deft Association

��

This document presents a comprehensive black-box methodology for testing the forensic characteristics of solid-state drives (SSDs). The methodology aims to assess how SSD technologies like trim, garbage collection, wear leveling, and compression impact forensic analysis. A series of controlled experiments are conducted on several SSD models to determine if they implement these technologies and how they affect data persistence and file recoverability when using standard forensic tools and approaches in a black-box setting. The results provide insight into the challenges of SSD forensics and help evaluate the feasibility of potential white-box analysis techniques.

DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...Deft Association

��

Deft - Botconf 2017Deft Association

��

deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...Deft Association

��

deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association

��

deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...Deft Association

��

deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...Deft Association

��

deftcon 2015 - Dave Piscitello - DNS Traffic MonitoringDeft Association

��

deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT ToolsDeft Association

��

deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...Deft Association

��

deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...Deft Association

��

Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeft Association

��

Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeft Association

��

Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association

��

Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deft Association

��

Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeft Association

��

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualDeft Association

��

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Deft Association

��

Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deft Association

��

deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...Deft Association

��

Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deft Association

��

DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...Deft Association

��

Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android

1. Metodologie di acquisizione di dispositivi Android Marco Giorgi

2. Android Sistema operativo di Google con kernel Linux presente su svariati dispositivi di uso comune come ad esempio smartphone, tablet, navigatori satellitari, ecc.

3. Modalità di acquisizione Chip-off Logica Fisica Filesystem

4. Acquisizione Logica Disponibilità limitata dei dati No carving Accesso diretto ai records dei database rubrica, contatti, ecc.

5. Acquisizione Filesystem Disponibilità limitata dei dati No carving sui files Estrazione di file e cartelle Accesso parziale al filesystem

6. Acquisizione Fisica Bitstream image (intera memoria o singole partizioni) Estrazione di tutti i files e cartelle E’ possibile fare carving

7. Chip-off Distruttiva e rischiosa Intero dump del chip di memoria Estrazione di tutti i files e cartelle E’ possibile fare carving

8. Strumenti acquisizione

9. Acquisizione fisica tramite ADB Esecuzione shell di recovery temporanea modificata tramite scheda Micro SD Avvio del dispositivo in modalità di recovery standard (pulsanti: HOME + VOLUME UP + TASTO CENTRALE) ! Installazione pacchetto con SU e busybox (netcat e dd) tramite scheda Micro SD

10. Acquisizione memoria flash Mettere il dispositivo in “recovery mode” e collegarlo al PC tramite cavo USB ! Impostare la porta per il forwarding dei dati tramite ADB :    $ adb forward tcp:8888 tcp:8888

11. Acquisizione memoria flash Collegamento al dispositivo tramite ADB ed elevazione dei privilegi di root :    $ adb shell  $ su

12. Esempio di blocco di memoria # ls /dev/block/mmcblk0     mmcblk0p1 ——> /efs  mmcblk0p10 —-> /data  mmcblk0p11  mmcblk0p12  mmcblk0p2  mmcblk0p3  mmcblk0p4  mmcblk0p5 —-> /kernel  mmcblk0p6 —-> /recovery  mmcblk0p7 ——> /cache  mmcblk0p8  mmcblk0p9 ——> /system

13. Acquisizione memoria flash # /system/xbin/busybox nc -l -p 8888 -e /system/xbin/ busybox dd if=/dev/block/mmcblk0 In un’altra finestra del terminale : $ nc 127.0.0.1 8888 | pv -i 0.5 > mmcblk0.raw Da shell ADB :

14. Acquisizione memoria flash Terminata l’acquisizione sarà possibile montare le partizioni per estrarre ed elaborare i dati, effettuare carving, ed altre operazioni di interesse

15. Sviluppi futuri E’ in fase di studio e sviluppo un metodo meno invasivo per l’acquisizione fisica

16. Grazie per l’attenzione Contatti: Marco Giorgi  marco@deftlinux.net

�ݺ�ߣ

Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android

Recommended

More Related Content

Similar to Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android (20)

More from Deft Association (20)

Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android