KilltrØ Forensics & InfoSec.

En esta ocasión para extraer información de un android mobile device como CallLog , Contacts , MMS , MMSParts y SMS utilice AFLogical OSE , este al ser una apk si vamos a su AndroidManifest.xml AndroidManifest AFLogical OSE Apk Veremos como Android permission. READ_PHONE_STATE : Permite el acceso de sólo lectura del estado del mobile, incluyendo el número de teléfono del dispositivo, la información actual de la red, el estado de las llamadas en curso, y una lista de cualquier PhoneAccounts registrados en el dispositivo, en esta apk al estar el minSdkVersion=”3” el sistema otorga implícitamente su aplicación para este permiso. READ_CONTACTS : Permite que la aplicación pueda leer los datos de los contactos del usuario. READ_SMS : Permite que la aplicación pueda leer los mensajes SMS. Básicamente estos permisos más la aplicación en si permitirán la extracción de datos una vez que la apk este ya en el device, por otra parte, utilice Android Debug Bridge que tiene d

Obtener datos y pruebas que te ayuden en una investigación no es tarea fácil, hace unas noches atrás (Si de aquellas que te sientas a investigar y terminas viendo el reloj a las 4:45 AM) me preguntaba por las formas de obtener las imágenes que el usuario estaba visualizando en el momento in situ en el que estaba cometiendo algún tipo de delito, ilícito, etc. Las posibilidades son muchas no voy ahondar que hecho preciso pudo realizar, es por eso que prepare una VM arme el escenario y me puse a realizar las pruebas imaginando que este computador no fue apagado y esto nos permitió hacer rápidamente volcado de memoria y posteriormente hacer análisis forense a dicho volcado. Lo primero que hice fue listar los procesos para ver cuáles serían mis objetivos a analizar. volatility pslist -f '/media/sf_Desktop/Gagonotes/Win7SP1x64-20161031-015650.raw' --profile=Win7SP1x64 Lista de Procesos extraidos del volcado de memoria. Esta vez había que obtener el dump de cada proceso por