Какую информацию можно получить из мобильного устройства?

Обратился ко мне как-то старый друг и сказал “ты же вроде форензикой увлекаешься?” и показал программку для криминалистического исследования мобильных устройств – “Мобильный криминалист”. Для написания статьи я взял инструмент попользоваться, заодно и покажу, что она умеет делать. Утилита эта – с современным интерфейсом, поддерживает извлечения с носимых девайсов (в том числе планшетов, дронов) и облачных сервисов.

На операционном столе у нас будет планшет “Xiaomi Mi Pad 4”.

Нажимаем кнопку “Извлечение данных”:

А вот, собственно, варианты извлечений. Тут есть и iOS извлечение – резервная копия iTunes, извлечение своим агентом Oxygen, извлечение с Android (широкий спектр, как общий – физика, так и бэкап Android). Извлечения под определённые процессоры (MTK, Spreadtrum, Qualcomm), так и под некоторых производителей – Samsung, LG, Huawei – ну незачем перечислять – всё видно.

Самый фарш попадает в физический образ (аналог DD в Linux) – вытаскиваются хранилища ключей, файлы с токенами доступа и т.д. Стремиться нужно именно к такому извлечению. Но не всегда такое возможно.

Вот список действий, которые нужно произвести с устройством. Самое главное здесь – отладка по USB. Без этого пункта ничего не выйдет. Соответственно, если устройство заблокировано и пароль неизвестен, либо разбит сенсорный экран и нет возможности включить отладку – беда.


На выбор предлагается несколько эксплойтов для получения временного root-доступа. Программа честно предупреждает, что возможна нестабильная работа устройства. Да и вообще есть риск окирпичить, пусть и небольшой. Но мы рискнём. Выбрал эксплойт под свою версию и архитектуру устройства.Дальше программа всё делает автоматически:И пошёл сливаться физический дамп памяти устройства:После того, как образ будет слит – загружается в той же программе в анализатор и… разбираются все приложения и данные, находящиеся в устройстве.
Переписка мессенджеров, история браузера и много чего ещё интересного. В частности тут единая временная шкала активности устройства:
А вот и хранилище ключевой информации. Пароли расшифрованы и представлены в явном виде. Почта, ВК и т.д. А где не пароли, там токены доступа. Используя эти токены можно подгрузить из облаков вообще всё!
Вот что обнаружилось из сервисов:
Запустим выгрузку из “облаков”:
Вот теперь тут реально вообще всё. Все диалоги соц.сетей, передачи файлов, контакты. Все переписки несекретных чатов телеграм. Если в облаке есть резервная копия whatsapp – она тоже будет расшифрована и интегрирована. Поездки на яндекс.такси, фотки с геометками, содержимое дропбокс, гуглдрайв, яндекс.диск, айклауд и т.д. Вот перечень того, что кушается:

Все диалоги в том же телеграм представлены вполне в удобном формате – передачи файлов, геометки – всё попадает.

Прикольная функция – построение социального графа связей. Все контакты по источникам/группам формируются в прикольную структуру, позволяющую выявить связи между различными людьми.

Активность пользователя в различные периоды времени/дни. Само по себе не так интересно, но позволяет провести корреляцию с другими источниками данных и дополнить “портрет” пользователя – в какое время бывает активен, в какое время спит. Там прокрутка вниз на несколько экранов, есть весьма информативные графики и диаграммы.
Если были найдены фотки с геометками или точки геопозиции – они отражаются прямо на встроенной карте…

Это не все функции, так, при беглом использовании удалось “потыкаться” вслепую. Быть может удастся раздобыть ещё пару девайсов и взять программку снова, попробовать вылить образ с iPhone (через DFU-режим) и с какого-нибудь Samsung с заливкой своего bootloader. Если интересно – ставьте лайк)

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Comments: 2
  1. id2746

    и где можно утощить такую программулину?

    1. litladmin (author)

      Утащить – не знаю) знакомые могут дать попользоваться, если есть форензики

Leave a Reply