KilltrØ Forensics & InfoSec.

En esta ocasión para extraer información de un android mobile device como CallLog , Contacts , MMS , MMSParts y SMS utilice AFLogical OSE , este al ser una apk si vamos a su AndroidManifest.xml AndroidManifest AFLogical OSE Apk Veremos como Android permission. READ_PHONE_STATE : Permite el acceso de sólo lectura del estado del mobile, incluyendo el número de teléfono del dispositivo, la información actual de la red, el estado de las llamadas en curso, y una lista de cualquier PhoneAccounts registrados en el dispositivo, en esta apk al estar el minSdkVersion=”3” el sistema otorga implícitamente su aplicación para este permiso. READ_CONTACTS : Permite que la aplicación pueda leer los datos de los contactos del usuario. READ_SMS : Permite que la aplicación pueda leer los mensajes SMS. Básicamente estos permisos más la aplicación en si permitirán la extracción de datos una vez que la apk este ya en el device, por otra parte, utilice Android Debug Bridge que tiene d

Obtener datos y pruebas que te ayuden en una investigación no es tarea fácil, hace unas noches atrás (Si de aquellas que te sientas a investigar y terminas viendo el reloj a las 4:45 AM) me preguntaba por las formas de obtener las imágenes que el usuario estaba visualizando en el momento in situ en el que estaba cometiendo algún tipo de delito, ilícito, etc. Las posibilidades son muchas no voy ahondar que hecho preciso pudo realizar, es por eso que prepare una VM arme el escenario y me puse a realizar las pruebas imaginando que este computador no fue apagado y esto nos permitió hacer rápidamente volcado de memoria y posteriormente hacer análisis forense a dicho volcado. Lo primero que hice fue listar los procesos para ver cuáles serían mis objetivos a analizar. volatility pslist -f '/media/sf_Desktop/Gagonotes/Win7SP1x64-20161031-015650.raw' --profile=Win7SP1x64 Lista de Procesos extraidos del volcado de memoria. Esta vez había que obtener el dump de cada proceso por

Contexto En este caso no soy un administrador de sistemas y tampoco un administrador de red, por lo tanto mi solución va enfocada desde el último eslabón el usuario, en esta situación la red Minsal es administrada por un proveedor ISP el cual le concede ciertos trabajos y administración al Servicio de Salud, entre estos dos resuelven los trabajos de sistemas y redes, las redes hospitalarias estaban y aún están siendo burladas por los usuario saltándose las restricciones con el uso de VPNs a nosotros como unidad nos llegó información de lo sucedido con la explicación que el proveedor ISP y el SS no habían podido bloquear estos saltos de restricciones porque desconocían las VPNs con que se hacían fue ahí donde no me hacía sentido la respuesta por parte del ISP y el SS, por lo que pensé que si desarmaba la extensión miraba su código podía tener la lista de VPNs además de generar una herramienta para bloquear el salto de restricción de los usuarios , resultado de este cuestionamiento

Ya había estado trabajando con framework y otras herramientas que permiten la lectura de procesos y dump de memoria , hace unos días atrás leí sobre una herramienta de hacking que podía obtener datos del usuario en tiempo de ejecución, esto lo hace a través de la WinAPI y específicamente con la Windows function ReadProcessMemory() , me gusta bastante C y sus derivados como C# porque me permiten poder escarbar en el sistema en sus registro, procesos, files, red(sniffer), etc. Considero que es especial para programar mis propias ideas y descubrimientos hacking/forensic interactuando directamente con el sistema. Para leer lo que un proceso tiene en memoria he programado las siguientes líneas en C#. Primero obtengo la lista de procesos para luego identificar el name y ID del proceso que quiero leer en memoria: /* # Title: GetProcessId (POC) # Date: 19/07/2016 # Author: José Alejandro Gago # Tested on: Windows 7 x64 SP1 */ using System; using System.Diagnostics; using System.Compo