Análisis forense con oxygen forensics suite 2012 analyst

Análisis Forense con Oxigen

Forensic

http://www.oxygen-forensic.com/en/

Pasos previos

• Tener instalado Oxigen Forensic• Disponer del dongle (dispositivo de seguridad

para software) “La mochila” de Oxigen Forensic• Tener instalados los drivers de conexión de

Oxigen con el dispositivo a analizar• Tener instalado el driver del dispositivo a

analizar.• Tener instalado el driver del cable

Pasos previos

• En el administrador de dispositivos debe aparecer el ADB Interface

Conectar un dispositivo

Asistente. Paso 1 - Bienvenida

Asistente. Paso 2 - Conexión• Se indica cómo está conectado

– Cable. Con un cable físico, necesaria la instalación del cable mencionada.– Bluetooth. El equipo analizador debe tener un hardware para bluetooth– Infrarrojo. El equipo analizador debe tener un hardware para infrarrojo.

Similar a un mando a distancia.

Asistente. Paso 3 - Conexión

• Se instala el Oxigen Forensic en el dispositivo móvil• El móvil debe tener

– Depuración USB activada– Tener una SDCard con espacio


• Empieza la conexión real con el teléfono• Si falla normalmente es porque los drivers

instalados no son los correctos.


• Detección del dispositivo• Muestra el modelo y la identificación

Asistente. Paso 1 - Extracción


• Relleno de información correspondiente al caso– Alias del dispositivo. Es un nombre cualquiera que identifica al

dispositivo entre otros.– Número de caso. El nombre identificativo del caso. Se pueden

llevar varios casos a la vez.– Número de prueba. Organiza las diversas pruebas que puede

haber en un caso.– Propietario de dispositivo. – Algoritmo Hash. El tipo de algoritmo que se utilizará en el

cifrado– Inspector. El nombre del que realiza el análisis del dispositivo– Notas de dispositivo: Cualquier información relativa al

dispositivo que se considere de interés



• Se insertan los posibles números de teléfono del propietario


• Permite “rutear” el dispositivo– Es imprescindible para tener

acceso total a los datos que muestra

– Avisa de que está libre de exploits y software malicioso

– Una vez finalizado el análisis el “ruteado” se elimina volviendo el dispositivo a estar como antes.



• Se indica que datos se quieren extraer• Por defecto no se extrae la estructura de

archivos.



• Al finalizar la extracción se elige qué hacer con la información extraída:– Se guarda como un archivo con extensión OFB– Se abre el dispositivo con Oxigen Forensic para su análisis– Se exporta a un archivo (pdf, xls, xml, html, …)


• Exportación de datos a un PDF





Lectura de dispositivo

• Se genera una carpeta por cada caso• Dentro de cada caso estarán los dispositivos a

analizar


• El dispositivo se divide en diferentes secciones• Según el dispositivo tendrá más o menos

secciones dependiendo del contenido del dispositivo

• Cada sección a su vez tiene sus características y algunos subcategorías


Demo

Analizar un dispositivo móvil a través del cable

Cargar otro dispositivo

• Es posible cargar una copia de seguridad de un dispositivo:– No sería necesario disponer del dispositivo físico– Copia portable a otros analizadores– Oxigen Forensic admite las copias de seguridad

más habituales


• El proceso es similar al de analizar mediante un dispositivo conectado

• Se carga el caso entero, no el dispositivo individual• Una vez cargado se puede asignar un dispositivo de un

caso a otro


• Oxigen Forensic dispone de varios dispositivos para realizar pruebas

• Un caso puede tener varios dispositivos pendientes de analizar

• Cada dispositivo se evalúa por separado y tiene sus propias características (inspector, número de prueba, notas, …)

Demo

Cargar 2 dispositivos a través de dos archivos OFB

Contactos agregados• En esta sección están todas las personas contactadas por el propietario

del teléfono. Incluye:– Nombre del contacto– Fotografía (si hubiera)– Origen de los datos (Guía telefónica, WhatsAPP, Facebook,

Mensajes…). Es posible mostrar los datos en función de su origen, y “navegar” al origen de los datos para mostrar más información.

– Ocupación– Números de teléfono– Direcciones de internet (página web, correo electrónico)– Dirección física– Notas– Datos privados (por ejemplo fecha de cumpleaños)– Método de encriptación utilizado

Contactos agregados

• Acciones posibles– Agrupar y desagrupar

diferentes contactos en un solo grupo. (Esta opción es reversible)

– Copiar un contacto o grupo de contactos al portapapeles

– Exportar un contacto o grupo de contactos a un archivo externo

Guía telefónica• Agenda. Muestra información acerca de los contactos disponibles

en el teléfono (móvil, SIM, …). Incluye más o menos los mismos datos que los “Contactos agregados”

• El programa también muestra la fecha de la última modificación del contacto que puede ser muy útil en la investigación. La funcionalidad está disponible para smartphones Symbian OS.

• Cada contacto se puede ver en detalle en un panel especial que aparece al hacer doble clic en un contacto.

• Filtro rápido que permite encontrar un elemento necesario por cualquier letra o cifra en unos segundos.

• La sección cuenta con las exportaciones y los botones de impresión en la barra de herramientas que permiten exportar, imprimir y visualizar la información cuando la necesite (incluidas las fotos).

Guía telefónica

Guía telefónica con filtro

• Se ha filtrado por green street• Se quita el filtro rápidamente en el botón

“Reiniciar los Filtros”

Mensajes• Una sección de mensajes que da acceso a SMS, MMS y mensajes de

correo electrónico (con los archivos adjuntos) en el teléfono• Cada mensaje puede ser visto en detalle en un panel especial que

aparece al hacer doble clic en un mensaje.• Incorpora un filtro rápido permite encontrar un elemento necesario

por cualquier letra o cifra en unos segundos.• La sección cuenta con las exportaciones y los botones de impresión

en la barra de herramientas que permiten exportar, imprimir y visualizar la información cuando la necesite.

• En función del tipo de mensaje muestra un icono u otro que ayuda a su identificación

• Muestra los mensajes que se han eliminado una vez desde el teléfono.

Mensajes

• Se pueden establecer distintos filtros en algunos apartados.

Calendario• El calendario muestra información sobre todos los tipos de

eventos (reuniones, cumpleaños, notas, llamadas, etc), incluyendo los eventos recurrentes.

• En smartphones Symbian OS se muestra también la última actualización que puede ser útil durante una investigación.

• Cada evento puede ser visto en detalle en un panel especial que aparece al hacer doble clic en un evento.

• Un filtro rápido permite encontrar artículos por escribir letras o caracteres momentáneamente.

• La sección cuenta con las exportaciones y los botones de impresión. El comando de impresión es compatible con la vista previa de impresión.

Registro del evento

• Muestra las llamadas, mensajes, paquetes de datos y llamadas FaceTime de los dispositivos

• Puede mostrar los SMS que se eliminaron previamente desde el teléfono.

• Un filtro rápido permite localizar rápidamente un tema escribiendo una cadena

• Hay botones de exportación y de impresión en la barra de herramientas que permite a la exportación, la información de impresión y vista previa.

• Los dispositivos iPhone redondean la duración de la llamada a incrementos de minutos completos. Los segundos no se muestran y las marcas de tiempo estarán en UTC

Registro del evento

Demo

Cargar un dispositivo IPhone a través de un archivo OFB

Explorador de archivos

• El Explorador de archivos muestra los archivos de la galería (como imágenes, videos, canciones, etc), documentos, aplicaciones y otra información.

• Hay varias pestañas en el explorador de archivos que permiten extraer información por grupos

• Los datos se acompaña con información de geolocalización, donde esté disponible.

• Los filtros personalizados son más numerosos que en las otras opciones. Además de crear filtros propios.

Explorador de archivos - Visor• Oxigen soporta Hex, texto, Unicode UTF-8, medios de comunicación y

puntos de vista de archivos Web. • También existe el modo de detección automática disponible que

selecciona automáticamente el punto de vista adecuado para un archivo• Más de 50 codificaciones están disponibles para HEX, texto, Unicode y

UTF-8 puntos de vista. • Es posible ajustar el texto y buscar en el archivo (en formato de texto,

HEX, etc) hacia adelante y hacia atrás.

Explorador de archivos – Google Earth

• Se puede exportar un elemento a Google Earth para ver la geolocalización

• No todos los archivos tienen coordenadas de geolocalización• Las coordenadas se pueden guardar también en un archivo

KMZ compatible con Google Earth. • Otra opción es verlo directamente en Google Maps a través

de las coordenadas

Explorador de archivos – Otros paneles

• Exif – Almacena la información EXIF incrustada en la

imagen. Incluye la longitud y la latitud.

• Xmp– Muestra información de la imagen en el formato de

Adobe XMP (Extensible Metadata) – Mantiene la MCC, MNC, LAC y la información de

identificación de la célula única.

• Cell info– Información tomada de LifeBloog– Una aplicación especial está pre-instalada en muchos

smartphones Symbian OS.

• Si las tres fuentes anteriores están disponibles, todos se muestran en el panel de posicionamiento geográfico.

• Información del objeto muestra las principales características del objeto seleccionado.

• Tareas de archivos y carpetas presenta accesos directos a algunas operaciones básicas, como las propiedades, opción de guardar el archivo o de buscar con una máscara

Explorador de archivos – SQLite• Hay que verla con un visualizador especial

– SQLite Database Viewer de Oxigen Forensic– Se puede exportar la base de datos y abrirla

con otro como SQLite Manager• SQLite Database Viewer explora archivos de

base de datos con las extensiones: Sqlite, sqlitedb, db, DB3....

• Estos archivos contienen la información acerca de SMS, notas, llamadas, caché de aplicaciones, la información de correo de voz, etc

• SQLite Database Viewer se puede iniciar desde el menú Herramientas del programa.

Explorador de archivos – Filtros• La cantidad de filtros por defecto es mayor• Cada filtro tiene una serie de extensiones propias• No se pueden cambiar las extensiones de los filtros por defecto• Es posible crear filtros personalizados a los que añadir nuevas extensiones o

mezclar extensiones ya existentes.

UTC (Universal Time Coordinated)

• Es el tiempo de la zona horaria de referencia respecto a la cual se calculan todas las otras zonas del mundo

• A partir de 1972 sucede al GMT (Greenwich Meridian Time)

• Se basa en relojes atómicos y no en la posición del sol

• En España (excepto Canarias) su valor es UTC+1 y UTC+2 en verano

• Se utiliza para tener una referencia horaria común en todo el mundo

UTC (Universal Time Coordinated)

• Se muestra la hora actual del sistema

• Muestra la hora UTC que corresponde a la hora actual

• Es posible crear varias zonas horarias con su correspondiente hora

• Cada hora añadida se muestra luego en cada archivo o carpeta que tenga establecida una fecha

Conexiones Web y Localización• Muestra el historial de las conexiones Web (Wi-Fi, GPRS, LTE)• Muestra también el lugar donde se utilizó Internet en el mapa. • El panel lateral permite recalcular posicionamientos basados en

Google• Según el dispositivo y los elementos que contenga varían los datos a

mostrar• En general se presenta la información acerca de toda la actividad de

la red del dispositivo. La sección es compatible con dispositivos Apple y Android OS.

• El iPhone debe tener iOS 4 o superior.• Hay dos modos de visualización para la ficha Ubicaciones

– Modo original: Muestra la cantidad de puntos en el dispositivo. – Modo promedio: Se hace una media entre los datos de la célula y la

ubicaciones Wi-Fi y muestra el lugar aproximado de la media de los puntos.

Conexiones Web y Localización – Conexiones WI-FI

• Muestra diversa información correspondiente a la conexión WI-FI establecida:– SSID es el nombre de la red inalámbrica a la que se conectó– BSSID es la dirección MAC del punto de acceso– Última conexión– Coordenadas geográficas del lugar donde la conexión se

estableció.– Exactitud en metros de la posición– Pais, ciudad y calle donde se estableció la conexión WiFi.– Los valores en amarillo indican que los datos recibidos son

desde el servidor de Google.

Conexiones Web y Localización – Conexiones IP

• Muestra diversa información correspondiente a la conexión IP establecida:– Cuando un propietario de dispositivo utiliza la

conexión a Internet la dirección IP se guarda– De esta dirección se extrae:

• Dirección DNS, dirección MAC, dirección VPN, tiempo de conexión en base a GMT 0

• Nombre del país, región, ciudad, código postal, latitud, longitud del proveedor

• La información detallada proveedor se presenta en el panel especial a la izquierda

Diccionarios• Permite revisar el vocabulario propietario del dispositivo• Muestra todas las palabras que ha tecleado el usuario en los mensajes del dispositivo, en las

notas y el calendario por orden alfabético, en orden cronológico, o por la frecuencia. • No son las palabras del diccionario sistema, sino que representan las palabras de uso más

frecuente del usuario• La sección Diccionarios posibilita recuperar el contenido de los mensajes y las notas que

fueron eliminados por el usuario, ya que las palabras del diccionario se mantienen en el teléfono, incluso después de que el mensaje original o una nota se hayan eliminado.

• El análisis de vocabulario de usuario es en la actualidad sólo es posible para Apple y Android OS.

• En los dispositivos IOS de Apple, los marcadores individuales representarán a diferentes idiomas.

• Los datos se muestran en 2 columnas:– Orden: Muestra las palabras en el orden en que se escribieron– Frecuencia: Muestra la cantidad de veces que aparece cada palabra.

• Se pueden simular las frases. El programa utiliza las palabras más frecuentes y las muestra en forma de frase, insertando delante y detrás de la palabra seleccionada las siguientes que encuentra en la lista.

Línea de tiempo cronológica• Resume todos los eventos de teléfono en un orden cronológico, incluye los

eventos en el calendario, tareas, SMS, MMS, correo electrónico, archivos de mensajes, llamadas, geo caché de web, conexiones Wi-Fi, correo de voz de los dispositivos de Apple y las comunicaciones de Skype.

• A través de filtros permite concentrarse en el análisis de los datos necesarios solamente.

• En el panel de la izquierda se muestra información de registro de la actividad, y también la información del contacto relevante con la que está conectado.

• Se pueden mostrar los datos en distintas fichas según la información que se quiera recabar:– Listado– Fecha– Equipo Remoto– Contacto– Geo data

Línea de tiempo cronológica - Listado

• Se presentan todos los eventos en una lista. • Se pueden ordenar de diferentes maneras en función del dato

a mostrar:– Tipo de evento– Fecha de la vista. – Remote Party. Hace referencia a la ubicación remota del evento.– Descripción

• Además hay filtros laterales para ver los datos según:– Fechas concretas, tanto antes como después de un evento a seguir– Contactos, dentro de cada uno se puede analizar por un teléfono en concreto

o correo electrónico

• También es posible incluir eventos de calendario, aunque estos pueden tener diversa periodicidad.

Aplicaciones• Muestra todas las aplicaciones instaladas• Esta sección sólo está disponible para los dispositivos de Apple y Android OS con

licencia de desarrollador.• La cantidad de datos que se muestran para el iPhone depende de lo siguiente:

– Si el teléfono ha sido desbloqueado– La versión del firmware

• Se muestran los siguientes datos:– Identificador : Nombre único de la aplicación– Versión – Fecha de compra: La fecha en que la aplicación se ha descargado desde la tienda– Género: Categoría de la aplicación– Tipo de aplicación: Muestra si la aplicación es del sistema o del usuario– Copyright– Contenedor: Lugar del dispositivo donde se encuentra la aplicación

• La pestaña “Actividad de aplicaciones” muestra la fecha y hora en que se pusieron en marcha las actividades, así como sus propiedades.

Servicios de Google• Google Mail y Google Calendar

– La sección de correo de Google permite investigar las cuentas de Gmail registradas en el dispositivo. La función sólo está disponible para Apple iOS y Android OS dispositivos a los usuarios de licencias de analistas. Android OS dispositivos debe erradicarse con Android enraizamiento add-on para mostrar esta información.

– Oxygen Forensic Suite determina automáticamente los archivos que pertenecen a la aplicación de correo de Google. El acceso a analizar los datos en bruto está disponible. Los grupos folliwing se muestran:

· Contactos

· Las Conversaciones

· Mensajes

• La sección de Google Maps muestra el historial de búsqueda Google mapa y marcadores almacenados acompañados con sus direcciones completas y coordenadas.

Esta aplicación Nokia Maps viene preinstalado en todos los dispositivos Apple iOS, y se actualiza periódicamente por el dispositivo tan pronto como una nueva actualización esté disponible.

Esta funcionalidad sólo está disponible para Apple iOS y Android OS dispositivos a los usuarios de licencias de analistas. Android OS dispositivos debe erradicarse con Android enraizamiento add-on para mostrar estos datos.

Web browser caché analyzer

• Permite extraer información de los navegadores con los que se ha accedido a Internet

• Dependiendo del dispositivo será un navegador u otro (navegador por defecto, Firefox, dolphin, …)

• En función del navegador y de lo realizado con el mismo devuelve diversa información:

Cuentas Datos descargados Marcadores Datos de formulario Historial web

Cookies Thumbnails Geolocalización Contraseñas

Otras herramientas• Además de las ya mencionadas, Oxigen incorpora otras

herramientas que en función del dispositivo y su actividad se mostrarán o no.

• Muchas sólo están disponiblea para los dispositivos de Apple y Android OS con licencia de desarrollador.

• Muchas de ellas se incorporan a otros apartados como «Línea de tiempo – Cronología»

• Algunas herramientas se utilizan con alguna aplicación en concreto como por ejemplo Dropbox

• Entre ellas destacan:– Yahoo Services. Similar a los servicios de Google ya mostrados pero

correspondientes a Yahoo, como Yahoo Mail o Yahoo Messenger– Social Networks: Hace referencia a las redes sociales como Facebook o Twitter. – Messenger: La mensajería de este tipo que ha utilizado el usuario, como el Yahoo

Messenger mencionado, Whatspp o Skype

Otras herramientas - Yahoo mail

Otras herramientas - Yahoo Messenger

Otras herramientas - Foursquare

Otras herramientas - Facebook

Otras herramientas - Whatsapp

Otras herramientas - Skipe

Otras herramientas - Dropbox

Key Evidence

• Muestra los eventos marcados como importantes por el analista.

• Cuando en algunas secciones (Calendario, Mensajes, Notas, …), se encuentra información relevante de ser analizada, se marca el icono correspondiente (una bandera roja)

• Los datos marcados aparecen juntos en la ventana Key Evidence y el analista puede ir evaluando la información que considera importante

• El analista puede ir añadiendo sus propias conclusiones en cada dato analizado

• Desde esta misma ventana se pueden desmarcar elementos que ya no se consideran importantes y filtrar por los datos mostrados en las celdas

Evidencia en Guía Telefónica

Evidencia en Calendario

Evidencia en Conexiones Web y Servicios de Ubicación

Key Evidence

Key Evidence

FIN

Technology

Análisis forense con oxygen forensics suite 2012 analyst