Sesión 4: Social & cloud artifacts on SFF

Es definitivamente impresionante como los dispositivos móviles han inundado nuestra vida para el 2016 un tercio de la información de los usuarios estará en la nube. Hablando de forense móvil estamos tratando con smartphones en dónde el teléfono es sólo una aplicación más algo que es preocupante es la cantidad e información volátil que los dispositivos móviles contienen, como la mayoría de ustedes sabe la información encontrada en un dispositivo o móvil no se trata de la misma manera que una of o laptop es necesario aislar de la red lo más rápido posible nuestro dispositivo móvil para proteger la integridad de la información. 

Una de las aplicaciones más utilizadas es Facebook en los siguientes directorios podemos encontrar cosas como última fecha de ingreso, información de GPS aunque!!!! Se hayan apago los sistemas de localización, fotos tomadas fotos subidas a Facebook, usuario de Facebook etc.

Artefactos de Facebook en iOS :

Facebook 

/mobile/Applications/com.facebook.Facebook/library/preferentes/

/mobile/Applicstions/com.facebook.Facebook/library/caches/FBStore[unique charter string]Store.sqlite

/mobile/Applicstions/com.facebook.Facebook/library/caches/imagecache/[caracteres alestorios]noextension

Una aplicación bastante popular aquí hay algunos directorios de interés 

Twitter

/var/mobile/Applicstions[guid de app]/library/preferencias/com.atebits.Tweetie2.plist

/var/mobile/Applicstion/com.ateabis .tweetie2/library/caches/databases /twitter.db global

Una aplicación relativamente nueva es un juego en donde envías fotos, aparentemente las fotos se eliminan del sistema una vez que sin enviadas sin embargo existen directorios en donde encontrar información e incluso la misma foto

Snapchat 

/mobile/Applicstion/com.toyopsgroup.picaboo/tmp/*.mov and *mp4

Un servicio en la nube para cargar y descargar documentos

Dropbox

/mobile/Applications/com.dropbox.getdropbox.Dropbox/library/caches/dropbox[una carpeta por archivo]

Muy parecido a dropbox sin embargo puedes respaldar más información a la nube

Google drive

/mobile/Applications/com.google.Drive/documentos/[nombre de usuario]/

Ahora veamos las mismas aplicaciones pero en android que es sin duda un OS móvil que ha ganado muchísimo terreno no solo por la versatilidad y flexibilidad del sistema sino también ir la eficacia del mismo:

Artefactos de Facebook android:

Facebook

/data/data/com.facebook.katana/databases/prefs_db

/data/data/com.facebook.katana/databases/newsfeed_db

/data/data/com.facebook/katana/cache/image/[nombre de imagen].imag

/data/data/com.facebook.katana/databases/threads_db2

Twitter 

/data/data/com.twitter.andorid/databases/1347905383.db:users

/data/data/com.twitter.andorid/databases/1347905383.db:statuses

/data/data/com.twitter.andorid/databases/1347905383.db:messages

Snapchat 

/com.snapchat.andorid/com.snapchat/shared_prefs/com.snapchat.andorid_prefrences

/data data com.snapchat.andorid/cache received_images snapchat 

/data/media/0/Snapchat/Snapchat- [nonbre de la imagen].jpg

Dropbox 

/data/data/com.android.privider/dowloads/databases/downloads.db

/data/media/0/download/3.pdf

Google Drive

/data/data/com.google.android.apps.docs/shared_prefs/accountFlags[nomvre de usuario]xml

/data/data/com.google.android.apps.docs/cache/filecache2/[nombre único para cada archivo]

Estos son sólo directorios de interés sin embargo es necesario saber como ingresar al teléfono parador extraer o identificar estos directorios, cellebrite es una excelente opción, oxygen forensics, XRY, black bag, Lantern, Andorid Software development  tools entre otras son herramientas que los ayudarán a poder realizar la extracción lógica, física y de sistema de archivos de sus dispositivos móviles, si necesita cualquier información en estas herramientas no duden en contactarme.